Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5117 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный технический университет Украины «Киевский политехнический институт»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лабораторная робота4.doc
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
113.15 Кб
Скачать
►Содержание►

Меры повышения безопасности Windows 2k.

Теперь, ознакомившись с приемами вскрытия паролей учетных записей, можно сформулировать перечень мер по усилению безопасности Windows 2k. Важнейшая задача системного администратора Windows 2k состоит в защите информации, которая хранится в файле учетных записей SAM, от несанкционированного доступа. С этой целью необходимо:

  • ограничить физический доступ к компьютерам сети и, прежде всего, к контроллерам доменов.

  • сделать недоступным для вскрытия системный блок компьютера для предотвращения возможного отключения жесткого диска с операционной системой или подключения другого диска;

  • в BIOS SETUP отключить загрузку компьютера с FDD и CD, разрешить загрузку только с жесткого диска, чтобы не допустить загрузку с другого носителя;

  • установить пароль BIOS на вход в Setup, не позволяя отменить запрет на загрузку с другого носителя;

  • Windows 2k должна быть единственной операционной системой, установленной на машине, что делает невозможным копирование и замену файлов при обращении к ним из других операционных систем;

  • каталог %WindowsRoot%\repair должен быть закрыт для доступа всех пользователей, включая администраторов, а разрешать доступ только во время создания в каталоге архивных копий системного реестра Windows 2k с помощью утилиты RDISK.

  • контролировать условия хранения дискет аварийного восстановления ERD.

  • поскольку LM-хеш слабо устойчив к взлому, так как каждая из двух половин 14-байтового символьного пароля хэшируется независимо, то необходимо отказаться от создания LM-хеша пароля пользователя или по крайней мере включить использование аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для этого в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\LSA системного реестра необходимо добавить параметр LMCompatibilityLevel (REG_DWORD), задав ему числовое значение от 0 до 5, обозначающее тип используемого алгоритма аутентификации:

    • 0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;

    • 1 - использовать аутентификацию NTLMv2, если это необходимо;

    • 2 - посылать только NT-ответ;

    • 3 - использовать только аутентификацию NTLMv2;

    • 4 - контроллеру домена отказывать в LM-аутентификации;

    • 5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).

  • при выборе паролей пользователей ОС Windows 2k соблюдать следующие правила:

  • не выбирать в качестве пароля или части пароля любое слово, которое может являться словом словаря или его модификацией;

  • длина пароля в Windows NT должна быть не менее 7 символов (при максимально возможной длине пароля в 14 символов), в Windows 2000/XP - более 14 символов (при максимально возможной длине пароля в 128 символов);

  • пароль должен содержать символы из возможно большого символьного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специальные символы (причем в каждой из 7-символьных половин пароля, если длина пароля менее или равна 14);

  • символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, производимое по NT-хэшу;

  • Задать режим работы библиотеки %WindowsRoot%\System32\PASSFILT.DLL таким образом, чтобы пользователь при формировании своего пароля был вынужден использовать символы, по крайней мере, трех наборов их четырех возможных. Для этого в раздел системного реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\LSA необходимо добавить параметр Notification Packages типа REG_MULTI_SZ, задав ему значение “PASSFILT”.

  • своевременно выполнять установку пакетов исправлений и обновлений операционной системы;

  • переименовать административную и гостевую учетные записи, отключив при этом последнюю;

  • иметь только одного пользователя с административными правами;

  • вести политику учетных записей, чтобы контролировать максимальный срок действия пароля, минимальную длину пароля, удовлетворение пароля требованиям сложности, блокировку учетных записей после определенного числа ошибок входа в систему, требование неповторяемости паролей и т.д.);

  • периодически выполнять тестирование и аудит паролей, используя программу LC+4 или подобные ей.

Контрольные вопросы:

  1. Какие новые возможности по безопасности предоставляет файловая система NTFS?

  2. Какова роль файла SAM в системе защиты Windows 2k?

  3. Что такое RID? Коков диапазон его значений?

  4. Почему формируется две хеш-функции пароля учетной записи?

  5. Поясните, по какой причине LM-хеш обладает низкой устойчивостью к расшифровке?

  6. Каким образом осуществляется защита утилитой SYSKEY?

  7. Какие виды защиты ключом SYSTEM KEY могут быть реализованы?.

  8. Какие приемы несанкционированного копирования файла SAM могут быть использованы?

  9. Режимы работы программы парольного взломщика.

  10. Каким образом можно отключить LM-аутентификацию?

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности