Современные информационные технологии/4.Информационная
безопасность
Лисенко О.Д. Лисенко Д.І.
ПНТУ ім. Ю.Кондратюка
Інформаційна безпека – проблеми
і шляхи рішення
Будь-які
організації зіштовхуються зі значними правовими і нормативними труднощами в
таких областях, як інформаційна безпека, конфіденційність. Рішення цих проблем
може зажадати серйозних змін у системах по всій організації.. На сьогоднішній
день у мережі існує сотні, а можливо і більше облікових записів адміністратора.
Якщо ви є адміністратором мережі, то ваша увага повинна бути спрямована на
корпоративний Active Directory enterprise, це питання щодо безпеки контролерів
домену, серверів, служб, додатків і підключень до Internet. Причин, по яких
необхідно контролювати ці облікові записи безліч. По-перше, у великих або
середніх мережах потенційно може існувати тисячі таких облікових записів, тому
велика імовірність того, що ці облікові записи можуть вийти з під контролю.
По-друге, більшість компаній дозволяють звичайним користувачам мати доступ до облікового
запису локального адміністратора, що може стати причиною неприємностей.
По-третє, з оригінальним обліковим записом адміністратора необхідно звертатися
дбайливо, правило обмеження привілеїв є чудовим запобіжним заходом. З усіх
ваших серверів вам необхідно виділити сервера, що виконують наступні задачі:
збереження даних, сервер для печатки, сервер додатків, поштовий сервер, офісний
сервер . У кожного з цих серверів мається локальна SAM, і тому є обліковий
запис локального адміністратора. Цей обліковий запис може використовуватися не
дуже часто, але це може бути ще більш важливою причиною, по якій необхідно
контролювати її права. І нарешті, ви повинні розглянути контролери домену. Тут
у вас є дуже важливий обліковий запис адміністратора – це обліковий запис, що
контролює Active Directory. Цей обліковий запис адміністратора не тільки
контролює Active Directory, але також керує кореневим доменом, також як і
обліковий запис корпоративного адміністратора. Якщо у вас більш одного домену,
то у вас повинен бути один обліковий запис адміністратора для кожного домену.
Відповідний обліковий запис адміністратора має силу лише в тім домені, у якому
вона розміщається, але все рівно це дуже важливий обліковий запис. Існує не так
багато можливостей по фізичному обмеженню привілеїв на вхід для цих облікових
записів адміністратора. Однак, ці облікові записи не повинні використовуватися
щодня. Тому необхідно почати деякі міри для обмеження їхнього використання.
Очевидний вибір полягає в тім, щоб обмежити кількість користувачів, що знають
паролі для цих облікових записів. Для облікових записів адміністратора,
зв'язаних з Active Directory, непогано було б розробити процес для призначення
паролів, коли жоден користувач не знає цілий пароль. Це можна легко зробити в
тому випадку, коли два різних адміністратори вводять частина пароля .
Не можна забувати і про права локального адміністратора та про
його обмеження доступу до облікового запису. Два простих способи полягають у
зміні імені облікового запису локального адміністратора і частої зміни пароля
для неї. Існує об'єкт політики групи для кожного з цих параметрів. Перший
параметр знаходиться в Computer Configuration Windows Settings Security
Settings Local Policies Security Options. Політика, яку необхідно настроїти
називається Accounts: Rename Administrator Account. Друга політика, що вам
необхідно настроїти, є частиною нового комплекту настроювань політик (suite of
policy settings), політика є частина комплекту за назвою Policy Maker suite, і
розташовується в Computer Configuration Windows.
У напрямку перспектив безпеки не
забуваємо про розвиток хакерської технології. Аналіз різних XSS-атак свідчить
про те, що, незважаючи на постійний розвиток інтернет-технологій, безпека
додатків залишається на колишньому рівні. Провівши ретельний пошук, можна
знайти багато історій про те, як сайти великих корпорацій були зламані з
використанням XSS-атак; у звітах наслідку таких атак завжди описуються як украй
серйозні. Через уразливість сторінки до XSS, стало можливим створити підроблену
форму реєстрації, яка можна використовувати для збору параметрів доступу
користувача. Тут хакер може визначити, куди підроблена форма реєстрації буде
відсилати параметри доступу для подальшого використання в злочинних цілях. Хакер також може впровадити даний код,
пропустивши його через поле адреси броузера. Аналізуючи випадки недавніх атак,
можна прийти до висновку, що сайти корпорацій зламуються точно так само, як і
сайти невеликих фірм. Це наочно демонструє те, що проблема безпеки полягає не в
недоліку засобів, а у відсутності розуміння суті погрози в більшості компаній
різного розміру. Що можна порадити
(хоча б на найближчий час)? Контроль шифрованої файлової системи (Encrypting
File System – EFS) за допомогою групової політики. Шифрована файлова система (EFS)
– це могутня опція для захисту даних, що зберігаються на комп'ютерах Windows.
Перший рівень установлений на комп'ютерному рівні, що визначає, чи буде
підтримуватися ця файлова система, і чи буде вона доступна. Другий рівень – це
рівень папок і файлів, цей рівень виконує шифрування даних. Логістика являє
собою дозвіл користувачам шифрувати дані. Оскільки всі комп'ютери підтримують
шифрування даних за замовчуванням, і кожен користувач може їх зашифрувати, дані
можуть бути зашифровані на локальному комп'ютері, так само як і дані, що
спільно використовуються в мережі. EFS є дуже могутньою і корисною опцією. Вона
може шифрувати дані, що зберігаються на комп'ютерах. Шифрування допоможе
захистити дані від користувачів або хакерів, що намагаються одержати до них
доступ, але не спроможних розшифрувати ці дані.
Література:
1. Литвиненко О.В., Бінько І.Ф.,
Потіха В.М. Інформаційний простір як чинник забезпечення національних інтересів
України. –К: «Чорнобильінтерінформ», 1998, 47с.
2 Расторгуев С.П. Проблемы информационной
безопасности самообучающихся систем // Тезисы конференции «Информационная
безопасностть регионов Россиии (ИББР-99)», СпБ, 13-15 октбря 1999 года, Часть
2.— СпБ.: 1999.— стр. 52-53.