Примечание. Рекомендуется устанавливать
для срока действия паролей значение
от 30 до 90 дней, в зависимости от рабочей
среды. В этом случае у злоумышленника
ограничено время, в течение которого
он может взломать пароль пользователя
и получить доступ к сетевым ресурсам.
По умолчанию: 42.
- «Минимальная длина пароля» - этот параметр безопасности
определяет минимальное количество знаков,
которое должно содержаться в пароле пользователя.
Можно установить значение от 1 до 14 знаков,
либо 0 знаков, если пароль не требуется.
По умолчанию:
7 - на контроллерах домена.
0 - на автономных серверах.
Примечание. По умолчанию компьютеры-члены
домена используют конфигурацию своих
контроллеров домена.
- «Минимальный срок действия пароля» - этот параметр безопасности
определяет период времени (в днях), в течение
которого пользователь должен использовать
пароль, прежде чем его можно будет изменить.
Можно установить значение от 1 до 998 дней
либо разрешить изменять пароль сразу,
установив значение 0 дней. Значение минимального
срока действия пароля должно быть меньше
значения максимального срока действия
пароля, за исключением значения максимального
срока, равного 0 дней, означающего, что
срок действия пароля никогда не истечет.
Если значение максимального срока действия
пароля равно 0, то минимальный срок действия
пароля может принимать любые значения
в диапазоне от 0 до 998 дней.
Установите значение минимального
срока действия пароля больше 0,
чтобы включить ведение журнала паролей.
Без установки минимального срока действия
пароля пользователь может изменять пароли
повторно, пока не получит свой старый
предпочитаемый пароль. Значение по умолчанию
установлено вопреки этой рекомендации,
поэтому администратор может назначить
пользователю пароль, а затем потребовать
сменить его при входе пользователя в
систему. Если для журнала паролей установлено
значение 0, пользователю не нужно выбирать
новый пароль. По этой причине значение
для журнала паролей по умолчанию равно
1.
По умолчанию:
1 - на контроллерах домена.
0 - на автономных серверах.
Примечание. По умолчанию компьютеры-члены
домена используют конфигурацию своих
контроллеров домена.
- «Пароль должен отвечать требованиям сложности» - этот параметр безопасности
определяет, должен ли пароль отвечать
требованиям сложности.
Если эта политика включена, пароли
должны удовлетворять следующим
минимальным требованиям.
Не содержать имени учетной
записи пользователя или частей полного
имени пользователя длиной более
двух рядом стоящих знаков
Иметь длину не менее 6 знаков
Содержать знаки трех из четырех
перечисленных ниже категорий:
Латинские заглавные буквы (от A до
Z)
Латинские строчные буквы (от a до z)
Цифры (от 0 до 9)
Отличающиеся от букв и цифр знаки
(например, !, $, #, %)
Требования сложности применяются
при создании или изменении пароля.
По умолчанию:
Включены на контроллерах домена.
Отключены на автономных серверах.
Примечание. По умолчанию компьютеры-члены
домена используют конфигурацию своих
контроллеров домена.
- «Требование неповторяемости паролей» - этот параметр безопасности
определяет число новых уникальных паролей,
которые должны быть назначены учетной
записи пользователя до повторного использования
старого пароля. Число паролей должно
составлять от 0 до 24.
Эта политика позволяет администраторам
улучшать безопасность, гарантируя, что
старые пароли не будут повторно использоваться
постоянно.
По умолчанию:
24 на контроллерах домена.
0 на автономных серверах.
Примечание. По умолчанию компьютеры-члены
домена используют конфигурацию своих
контроллеров домена.Чтобы сохранить
эффективность журнала паролей, не позволяйте
изменять пароль снова сразу после того,
как он был изменен. Включите также параметр
политики безопасности "Минимальный
срок действия пароля". Сведения о параметре
политики безопасности "Минимальный
срок действия пароля" см. в разделе
"Минимальный срок действия пароля".
- «Хранить пароли, используя обратимое шифрование» - этот параметр безопасности
определяет, используется ли операционной
системой для хранения паролей обратимое
шифрование.
Эта политика обеспечивает поддержку
приложений, использующих протоколы, требующие
знание пароля пользователя для проверки
подлинности. Хранение паролей с
помощью обратимого шифрования - по
существу то же самое, что и хранение
паролей открытым текстом. По этой причине
данная политика не должна применяться,
пока требования приложения не станут
более весомыми, чем требования по защите
паролей.
Эта политика необходима при использовании
проверки подлинности протокола
CHAP через удаленный доступ или службу
проверки подлинности в Интернете (IAS).
Она также необходима при использовании
краткой проверки подлинности в IIS.
По умолчанию: Отключена.
- «Блокировка учетной записи на» - этот параметр
безопасности определяет количество минут,
в течение которых учетная запись остается
заблокированной до ее автоматической
разблокировки. Допустимые значения: от
0 до 99999 минут. Если продолжительность
блокировки учетной записи равна 0, то
учетная запись будет заблокирована до
тех пор, пока администратор не разблокирует
ее.
Если определено пороговое значение
блокировки учетной записи, то длительность
блокировки учетной записи должна быть
больше или равна времени сброса.
По умолчанию: Не задано,
т.к. этот параметр политики принимает
значения, только если определено пороговое
значение блокировки учетной записи.
- «Пороговое значение блокировки» - этот параметр
безопасности определяет количество неудачных
попыток входа в систему, приводящее к
блокировке учетной записи пользователя.
Заблокированная учетная запись не может
использоваться до тех пор, пока не будет
сброшена администратором, либо пока не
истечет период блокировки этой учетной
записи. Количество неудачных попыток
входа в систему может составлять от 0
до 999. Если установить это значение равным
0, то учетная запись никогда не будет разблокирована.Неудачные
попытки ввода паролей на рабочих станциях
или серверах-членах домена, заблокированных
с помощью клавиш CTRL+ALT+DELETE или с помощью
защищенных паролем заставок, считаются
неудачными попытками входа в систему.
По умолчанию: 0.
- «Сброс счетчика блокировки через» - этот параметр безопасности
определяет количество минут, которые
должны пройти после неудачной попытки
входа в систему до того, как счетчик неудачных
попыток входа будет сброшен до 0. Допустимые
значения: от 1 до 99999 минут.
Если определено пороговое значение
блокировки учетной записи, то время
сброса должно быть меньше или равно
длительности блокировки учетной записи.
По умолчанию: Не задано,
т.к. этот параметр политики принимает
значения, только если задано пороговое
значение блокировки учетной записи.
7. Ответы на контрольные вопросы:
- Каковы основные цели угроз безопасности информации в компьютерных системах?
Цели угроз:
утечка информации;
модифицирование (искажение, подмена)
информации;
уничтожение информации;
блокирование доступа к информации.
- Насколько средства, изученные при выполнении лабораторной работы, могут нейтрализовать эти угрозы?
Надежные пароли и разграничение
прав доступа пользователей могут
в достаточной мере нейтрализовать
угрозы безопасности информации в компьютерных
системах.
- Каковы признаки, в соответствии с которыми может быть проведена классификация угроз безопасности в компьютерных системах?
Угрозы информационной безопасности
можно классифицировать по различным
признакам:
- По аспекту информационной безопасности, на который направлены
угрозы, выделяют:
• Угрозы конфиденциальности. Они заключаются в неправомерном
доступе к конфиденциальной информации.
• Угрозы целостности. Эти угрозы означают
любое преднамеренное преобразование
данных, содержащихся в информационной
системы.
• Угрозы доступности. Их осуществление приводит
к полной или временной невозможности
получения доступа к ресурсам информационной
системы.
- По степени преднамеренности действий угрозы делят на:
• Случайные. Эти угрозы не связаны
с умышленными действиями правонарушителей;
осуществляются они в случайные моменты
времени. Источниками этих угроз могут
служить стихийные бедствия и аварии,
ошибки при разработке информационной
системы, сбои и отказы систем, ошибки
пользователей и обслуживающего персонала.
Согласно статистическим данным, эти угрозы
наносят до 80 % от всего ущерба, наносимого
различными видами угроз. Однако следует
отметить, что этот тип угроз довольно
хорошо изучен, и имеется весомый опыт
борьбы с ними. Снизить потери от реализации
угроз данного класса помогут такие меры,
как: использование современных технологий
для разработки технических и программных
средств, эффективная эксплуатация информационных
систем, создание резервных копий информации.
• Преднамеренные. Они, как правило, связаны
с действиями какого-либо человека, недовольного
своим материальным положением или желающего
самоутвердиться путём реализации такой
угрозы. Эти угрозы можно разделить на
пять групп: шпионаж и диверсии, несанкционированный
доступ к информации, электромагнитные
излучения и наводки, модификация структуры
информационных систем, вредительские
программы. В отличие от случайных, преднамеренные
угрозы являются менее изученными за счет
их высокой динамичности и постоянного
пополнения новыми угрозами, что затрудняет
борьбу с ними.
- По расположению источника угроз:
•Внутренние. Источники этих угроз
располагаются внутри системы.
•Внешние. Источники данных угроз
находятся вне системы.
- По степени зависимости от активности информационной системы:
•Угрозы, реализация которых не зависит от активности информационной системы.
•Угрозы, осуществление которых возможно только при автоматизированной обработке данных.
- По размерам наносимого ущерба:
• Общие. Эти угрозы наносят
ущерб объекту безопасности в целом, причиняя
значительное отрицательное влияние на
условия его деятельности.
• Локальные. Угрозы этого типа воздействуют
на условия существования отдельных частей
объекта безопасности.
• Частные. Они причиняют вред
отдельным свойствам элементов объекта
или отдельным направлениям его деятельности.
- По степени воздействия на информационную систему:
• Пассивные. При реализации данных
угроз структура и содержание системы
не изменяются.
• Активные. При их осуществлении
структура и содержание системы подвергается
изменениям.
- Каковы основные каналы утечки конфиденциальной информации в компьютерных системах?
Под каналами утечки данных понимают
возможные варианты технологии несанкционированного
доступа к данным. Существуют различные
способы несанкционированного доступа
к компьютерной информации через каналы
утечки данных. Наиболее известные из
них:
- дистанционное фотографирование экранов мониторов;
- перехват электромагнитных излучений;
- хищение носителей данных;
- хищение производственных отходов;
- считывание данных в массивах других пользователей;
- чтение остаточных данных в записывающих устройствах системы
после выполнения санкционированных запросов;
- копирование носителей данных;
- несанкционированное использование терминалов других пользователей;
- маскировка под зарегистрированного пользователя с помощью похищенных паролей и других реквизитов разграничения доступа;
- маскировка несанкционированных запросов под запросы операционной системы;
- использование программных ловушек;
- преднамеренное включение в библиотечные программы
специальных блоков типа «троянских коней»,
регистрирующих обрабатываемые данные
в интересах злоумышленников;
- незаконное подключение к аппаратуре или линиям связи вычислительной системы;
- вывод из строя механизма защиты.
- Насколько средства, изученные при
выполнении лабораторной работы, могут
перекрыть эти каналы?
В недостаточной степени средства,
изученные при выполнении лабораторной
работы, помогут перекрыть каналы утечки
конфиденциальной информации.