Разграничение прав пользователей в защищенных версиях операционной системы «Windows»

 

 

Определение параметров политики безопасности, относящихся к аутентификации пользователей при интерактивном входе:

Политика паролей (Password Policy) позволяет улучшить защиту компьютера, настроив контроль за созданием и управлением паролями. Вы можете определить максимальный период времени, по истечении которого пользователю придется сменить пароль. Смена паролей уменьшает шансы неавторизованных пользователей получить доступ к вашему компьютеру. Регулярная смена паролей пользователей сделает обнаруженную злоумышленником комбинацию имени пользователя и пароля недействительной для доступа к вашему компьютеру и пресечет неавторизованный доступ к компьютеру. Вы можете указать минимальную длину пароля: длинные пароли раскрыть труднее. Или поддерживать историю использования паролей, что по­зволит не допустить чередование паролей.

Макс. срок действия пароля (Maximum Password Age). Указанное в этом параметре число определяет интервал времени, когда пользователю разрешается пароль, прежде чем система потребует его сменить. Значение 0 указывает, что срок действия пароля не ограничен Значение по умолчанию — 42 дня. Значение можно изменять в диапазоне от 0 до 999 дней.

Мин. срок действия пароля (Minimum Password Age). Значение этого параметра определяет интервал времени, который должен пройти после установки пароля, прежде чем пользователю будет разрешено изменить его Значение по умолчанию равно 0, оно означает, что пароль можно изменять немедленно. Если вы храните историю паролей, этот параметр не должен быть равен 0. Вы можете задать значение от 0 до 999 дней. Оно указывает, сколько дней должно пройти, прежде чем пользователь получит возможность изменить пароль. Устанавливайте этот параметр, чтобы предотвратить немедленное изменение пользователем своего нового пароля на старый Минимальный срок действия пароля должен быть меньше максимального.

Минимальная длина пароля (Minimum Password Length). Параметр определяет минимально допустимое количество символов в пароле. Значение может изменяться от 0 до 14. По умолчанию значение равно 0, что указывает на допустимость отсутствия пароля.

Пароль должен отвечать требованиям сложности (Passwords Must Meet Complexity Requirements). Параметр может принимать два значения: Включен (Enable) и Отключен (Disable) (значение по умолчанию). Если установить значение Включен (Enable), все пароли должны соответствовать заданной минимальной длине, отличаться от паролей сохраненных в истории, содержать заглавные буквы, цифры и знаки пунктуации и не должны содержать имя учетной записи или имя пользователя

Требовать неповторяемости  паролей (Enforce Password History). Значение этого параметра указывает число паролей, которые сохранятся в истории паролей пользователя. Значение по умолчанию (0) указывает, что история паролей не ведется. Вы можете установить значение от 0 до 24, задав число паролей, сохраняемых в истории паролей. Число обозначает количество новых паролей, по истечении этого числа пользователь может использовать старые пароли

Хранить пароли всех пользователей  в домене используя обратимое шифрование (Store Password Using Reversible Encryption For All Users In The Do main). Параметр может принимать два значения: Включен (Enable) и Отключен (Disable) (значение по умолчанию). Параметр разрешает Windows XP Professional хранить зашифрованные с применением обратимого алгоритма пароли для всех пользователей домена, например для использования с протоколом Challenge Handshake Authentication Protocol (CHAP). Параметр доступен, только если ваш компьютер с Windows XP Professional входит в домен.

 

Политика блокировки учетных записей.

Блокировка учетной  записи на (Account Lockout Duration). Значение этого параметра определяет интервал времени, в течение которого учетная запись заблокирована. Значение 0 указывает, что учетная запись блокируется до тех пор, пока администратор не разблокирует ее. Пороговое значение блокировки (Accounl LockoutTreshold). Вы можете ввести любое значение от 0 до 99,999 минут (максимально возможное значение равно 99,999 минут и соответствует примерно 69,4 дня) Задает количество неудачных попыток входа в систему, после которых учетная запись пользователя блокируется Значение, равное 0, указывает, что учетная запись не блокируется, независимо от числа неудачных попыток входа в систему. Вы можете задать любое значение от 0 до 999.     

Сброс счетчика блокировки через (Reset Lockout Counter After). Значение, вводимое в этом параметре, указывает интервал времени в минутах, по истечении которого счетчик неудачных попыток регистрации будет очищен. Вы можете задавать значение от 1 до 99,999 минут.

 

Ответы на контрольные  вопросы:

1. Каковы основные цели угроз безопасности информации в компьютерных системах?

К основным целям угрозы безопасности информации можно отнести: традиционный шпионаж и диверсию, несанкционированный  доступ к информации, несанкционированные модификации структур и вредительские программы.

В качестве источников нежелательного воздействия на информационные ресурсы  по-прежнему актуальны методы и средства шпионажа и диверсии, которые использовались и используются для добывания или уничтожения информации на объектах, не имеющих КС. Эти методы также действенны и эффективны в условиях применения компьютерных систем. Чаще всего они используются для получения сведений о системе защиты с целью проникновения в КС, а также для хищения и уничтожения информационных ресурсов.

2. Насколько средства, изученные при выполнении лабораторной работы, могут нейтрализовать эти угрозы?

На мой взгляд, данные средства хоть и могут нейтрализовать данные угрозы, но не до конца, поскольку возможна утеря пароля администратора, что может привести, в свою очередь, к непоправимым последствиям. Получение пароля администратора в чужие руки может привести ко всем перечисленным выше угрозам.

3. Каковы другие признаки, в соответствии с которыми может быть проведена классификация угроз безопасности в компьютерных системах?

Угрозы безопасности также можно  классифицировать на случайные и преднамеренные угрозы (преднамеренные угрозы описаны в 1 вопросе). К случайным угрозам можно отнести:

- стихийные бедствия и аварии  чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен;

- сбои и отказы технических  средств сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к несанкционированному доступу к информации путем несанкционированной ее выдачи в канал связи, на печатающее устройство и т.п;

- ошибки при разработке компьютерных  систем, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в операционных системах (ОС) и в программных средствах защиты информации;

- ошибки пользователей и обслуживающего  персонала. огласно данным Национального Института Стандартов и Технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей иобслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводит к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

4. Каковы основные каналы утечки конфиденциальной информации и компьютерных системах?

-  несанкционированное копирование  конфиденциальной информации на  внешние носители и вынос её  за пределы контролируемой территории  предприятия. Примерами таких  носителей являются флоппи-диски, компакт-диски CD-ROM, Flash-диски и др.;

- вывод на печать конфиденциальной  информации и вынос распечатанных  документов за пределы контролируемой  территории. Необходимо отметить, что  в данном случае могут использоваться  как локальные принтеры, которые непосредственно подключены к компьютеру злоумышленника, так и удалённые, взаимодействие с которыми осуществляется по сети;

- несанкционированная передача  конфиденциальной информации по  сети на внешние серверы, расположенные  вне контролируемой территории предприятия. Так, например, злоумышленник может передать конфиденциальную информацию на внешние почтовые или файловые серверы сети Интернет, а затем загрузить её оттуда, находясь в дома или в любом другом месте;

- хищение носителей, содержащих конфиденциальную информацию – жёстких дисков, магнитных лент, компакт-дисков CD-ROM и др.

5. Насколько средства, изученные при выполнении лабораторной работы, могут перекрыть эти каналы?

Перекрытие каналов утечки конфиденциальной информации в компьютерных системах становится все сложнее и сложнее. Средства, изученные при выполнении лабораторной работы, не могут до конца защитить от утечки информации.