Автор: Павел Нагаев
Тема , волнующая
всех администраторов и их "хозяев".
Идеальной защиты не бывает, но есть
набор правил , которые должен сделать у
себя каждый администратор.
По словам "Permyakov R." sten@ignis.cs.nstu.ru
"Здесь описывается 0 (нулевой) цикл
подготовки к мероприятиям по защите
корпоративных ресурсов с довеском основ
работы системного администратора.
Данные мероприятия позволят Вам
защитить сеть ТОЛЬКО в случае отсутствия
внешних коммуникаций (Internet). А
основной проблемой безопасности
Вашей сети является наличие в ее
структуре серверов на базе NT. Их
нужно защищать программно-аппаратными
средствами, а не путем отключения
дисководов и написания досовских
программок.." Так что просьба
прислушаться к этому мнению.
Физическая защита
сервера:
-
Сервер должен
находится в отдельном помещении , куда
имеет доступ ограниченный круг лиц.
Хорошо в этой комнате иметь
кондиционер. Идеальный вариант
выделить одну комнату для МиниАтс,
серверов, шкафов для хабов,
концентраторов и т.д., патч панели.
Если такой комнаты не существует, то
попробуйте выбить у начальства шкаф
закрывающийся на ключик, для
сервера и оборудования. Ну а если даже
этого не пробить, то поставьте его
поближе к себе.
-
Опечатайте сервер, хотя бы
бумажной лентой. Чтобы быть уверенным
, что сервер в Ваше отсутствие не
вскрывали. В Москве сейчас делают
прекрасные наклейки, которые
наклеиваются только один раз,
предназначенные специально для
опечатывания техники.
Физическая защита
кабельной системы:
Защищать кабельную систему нужно скорее
всего не от злоумышленников, а уборщиц.
Да, да уборщиц. Помните, уборщицы -
главные враги проводов. Идеальный
вариант - короба, но фирменные короба -
дорого. Есть альтернативный вариант -
простенькие коробочки на 4 провода с
витой парой. Под них нет специальных
розеток. Применяются в основном при
монтаже электропроводки. На крайний
случай можно использовать клеющяеся
хомуты или пластмассовые клипсы.
Главное - чтобы кабель был хорошо
закреплен, убран от лишних глаз и не
валялся под ногами у ваших юзеров..
Физическая защита
рабочих станций:
-
Опечатайте
станции как и сервер, хотя бы бумажной
лентой. Чтобы быть уверенным , что "умные"
пользователи не вскрывали ее и не
меняли внутренности компьютера . В
Москве сейчас делают прекрасные
наклейки, которые наклеиваются только
один раз, предназначенные специально
для опечатывания техники.
-
Если
пользователю нет необходимости
пользоваться дискетами , то отключите
дисководы физически. Хуже от этого
никому не будет. Оставьте дисководы на
пару машинах, если кому-то надо
переписать файл, то пусть кидают его
на общий диск и переписывают на
дискету и обратно. Вы всегда сможете
это отследить пользуясь аудитом.
-
А также
отключите или опечатайте
последовательные и параллельные
порты.
План действий по
защите от входа на сервер или считывания
с него данных:
-
Отключите
дисковод в Setupе или отключите его на
физическом уровне. Если сервер умрет,
то Вы дисковод подключите, также
как и отключали. А Rescue Diskette можно не
создавать, а переписывать файлы из
каталога winnt\repair скажем на ваш FAT диск
C:. Когда сервер сдохнет, перепишите их
на дискету и восстановите его. При
отключенном дисководе, никто не
сможет снять базу с паролями
загрузившись с дискеты без вскрытия
сервера.
- Отключите загрузку с
флопов и CD диска.
-
Если у вас диск
С: отформатирован под FAT, уберите из
boot.ini строчку: C:="MS DOS", для того
чтобы при загрузке нельзя было
выбирать между загрузкой DOS и WINNT.
Оставьте старую копию, boot.ini. Она вам
может пригодиться при восстановлении
сервера.
- Установите минимальную
длину пароля не менее 6 символов.
-
Количество
попыток регистрации не более 3, и чтобы
учетная запись блокировалась до
вашего прихода и проверки, почему
неправильно набирается пароль..
-
Поставьте аудит
на общий диск PUBLIC, чтобы иметь
возможность контролировать хождение
игрушек по офису. Будьте осторожны с
аудитом, т.к. если поставить аудит на
все события, то в вашем логе вы потом
ничего не найдете.
-
Для начальников,
у которых стоит на столе супер крутой
комп, на котором он играется и должен
быть доступ ко всем документам офиса,
лучше сделать доступ READONLY.
План действий по
защите рабочих станций:
- Отключите дисководы в Setupе
или отключите их на физическом уровне.
- Отключите загрузку с
флопов и CD диска.
-
Раз это Workstation,
то постарайтесь как можно меньше
программ хранить на локальном
диске. Засовывайте все на сервер и
пусть люди радуются. Т.е. сделайте так,
что в любой момент каждый из
пользователей мог работать с любой
рабочей станции в вашей организации.
-
Запретите
пользователям сохранять файлы на
локальном диске, а через время все
лишнее стирайте без разговоров.
-
Определите
список программ и каталогов, которые
должны быть на рабочей станции,
сделать бы еще прогу, которая все
новые и лишние файлы удаляла.
-
Файлам autoexec.bat и
config.sys, а также всем важным
конфигурационным файлам сделайте
аттрибут только на чтение. Чтоб
поменьше народу в config.sys вставляли
строки типа PATH=dfg;dfgfg;fdgdf;
-
Не расшаривайте
диски и принтеры по возможности на
рабочих станциях. Помните у вас сеть с
выделенным сервером, а не
одноранговая сетка.
План действий по
защите рабочих станций DOS:
-
Самый
беззащитный вариант. Единственное
преимущество - поставить
резидентного шпиона там где разрешено
пользоваться дискетами.
-
При входе в сеть
не забываете про параметр net logon /SAVEPW:NO,
необходимый для того, чтобы не
создавались файлы PWL и все знали Ваш
пароль. При таком запуске придется
вводить пароль два раза, но можно
написать симпатичную программу входа
в сеть и избежать этого.
План действий по
защите рабочих станций Windows for Workgroups 3.11:
-
Здесь возникает
такая же проблема, как и при входе в
сеть из под ДОС. Стандартный клиент
Windows сохраняет пароль в файле *.pwl.
Приходится от него отказаться. Мы с
коллегами придумали два варианта
входа в сеть. Первый - пароль и имя
пользователя запрашивает программка
на бейсике при входе, которая в свою
очередь вызывает bat файл . В bat файле
находятся следующие команды:
@echo off
net logoff /Y
echo %2|net logon %1 %2 /SAVEPW:NO /DOMAIN:MYDOMAIN /DISCONNECTED
net use LPT1: \\myserver\6P56561 /Y
Вобщем то не
плохо, но знающий человек вытянет
пароль из bat файла быстрее, чем из pwl.
Выход нашли заменив bat файл на
досовскую прогу. Сейчас она находится
на испытаниях, хотя это тоже не
преграда даже для юного хакера.
-
Там где
разрешено пользоваться дискетами,
поставить шпиона, который будет
отслеживать обращения к диску А: ,
записывать в запрятанный текстовый
файл и опрашивать сервер, если
пользователь подключен, то сбрасывать
эту информацию на сервер.
План действий по
защите рабочих станций Windows 9x:
Клиент Windows 95 больше
защищает сервер от посягательств "злоумышленников".
- Обязательно заведите
глобальные группы и положите в Netlogon
файл config.pol. В полиси обязательно
поставьте галочки на:
Пункт из полиси
|
Причина
|
"Обязательно
проверять пароль сетью" |
Необходим
для того, чтобы человек без пароля
не мог войти в компьютер. |
"Отменить
кэширование паролей" |
Чтоб
не создавались файлы PWL. Правда
при этом пароль при подключении к
провайдеру не запоминается тоже. |
"Запретить
средства редактирования реестра" |
Чтоб
пользователи не могли ничего
изменять в реестре |
"Запуск
только разрешенных приложений
" |
Пропишите
сюда то, что пользователям
необходимо запускать для
выполнения их обычной работы.
Например : MS WORD, MS EXCEL, Калькулятор,
и т.д |
"Убрать
из меню пункт ' Запуск' " |
Это
просто лишнее для любого
пользователя |
- Поставьте скринсейверы с
паролями, причем в настройках паролей
укажите, чтоб использовался сетевой
пароль. Это нужно, чтоб никто не
работал на вашем компе, пока вы пьете
кофе.
- В msdos.sys добавьте строчку
[Options]
BootKeys=0 |
Это необходимо для того,
чтобы нельзя было использовать
при загрузке клавиши F5, F8 и т.д.
Устанавливать его можно только
после того, как Вы убедитесь, что
Вы можете редактировать реестр на
этой машине и запускать полиси
эдитор. А также в русской OSR2
перепишите scandisk от английской
версии. Если , что то случиться с
машиной, то потребуется
переустановка системы, если выше
описанные правила не будут
соблюдены.
|
План действий по
защите рабочик станций Windows NT Workstation:
Примерно такой же как и для
Win9x.
Работа с персоналом:
Все беды
происходят как всегда из за
пользователей. В наше время проще
подкупить человека и он принесет
информацию какую угодно, чем воровать
сервера с предприятий и пытать
администратора. Поэтому необходимо
проводить организационные меры
относительно самих пользователей:
-
При приеме на
работу указывать в контракте, что
пользователь не должен разглашать
сведения касающиеся локальной
сети предприятия, а также свой
пароль и систему каталогов.
-
Обязательно
напишите инструкции с картинками по
работе в локальной сети для клиентов
WFW311, WIN95 и WNWS 4.0. Чтобы человек имеющий
малейшие навыки работы на компьютере ,
мог после прочтения сесть и работать.
Это сэкономит Вам кучу времени. Пришел
новый человек на работу -
инструкцию в зубы и вперед.
-
Не забудьте
указать в инструкции для чего
пользователю выдается пароль. У нас
был случай, когда одна девица утром
входила в сеть, а вечером выходила из
нее. А на ее компе работали еще 2
человека. В ее отсутствие на сервер
переписали игрушки пораженные OneHalf. В
другой комнате их уже успели
запустить и вызвали нас, т.к. WFW311 с этим
вирусом не работает. Мы глянули в лог,
заходим к этой девушке в комнату и
видим, как она играется в эти игрушки.
Она их запускала с дискеты. Мы на нее
набросились, а она говорит, что ничего
не переписывала на сервер и
переписывать не умеет. Мы обьяснили,
что все это понимаем, но вошли под ее
именем, значит она виновата. В общем
довели девченку до слез и нервного
курения сигарет. Делалось это все в
показательно-воспитательных целях,
преступник потом сам признался. Зато
теперь, когда я выдаю пользователю
пароль и он предлагает мне ввести 123456 ,
я рассказываю ему эту историю. После
этого он придумывает обалденный
пароль и не оставляет машину под своим
именем без надзора.
-
Выделите одного
человека и организуйте обучение ваших
пользоваетелей основным навыкам
работы. Если нет такой возможности , то
объясните или заставьте людей
посещать курсы. Ни в коем случае не
пытайтесь помочь им, так Вы станете
бесплатным учителем и человеком,
который выполняет чужую работу.
Давайте им советы, подсказывайте как
сделать лучше, но ни в коем случае не
делайте за них. Сделав раз, Вы потом
будете обязаны это делать.
-
В каждой
удаленной группе пользователей
старайтесь выделить для себя
нормально думающих и разбирающихся в
компах людей. Многие вопросы можно
решить по телефону , давая этому
человеку команды по телефону .
-
Время от
времени намекайте людям, что знаете
чем они занимаются на работе, какие
файлы используют, но не говорите
откуда вы это знаете. Это нужно , чтобы
человек знал, что все его действия
фиксируются в компьютере и лишний раз
никуда не лез.
|