Рекомендации по обеспечению безопасности локальных
сетей под управлением Windows NT/2000
Безмалый Владимир Федорович
Данные мероприятия позволят Вам защитить сеть ТОЛЬКО
в случае отсутствия внешних коммуникаций (Internet).
Основной проблемой безопасности Вашей сети является
наличие в ее структуре серверов на базе NT. Их нужно защищать
программно-аппаратными средствами.
Физическая защита сервера:
-
Сервер должен находится в отдельном помещении.
-
Комната должна быть оборудована металлической
дверью с двумя замками. При этом ключ от одного из них должен
находиться у системного администратора, а от другого у офицера
службы безопасности или лица его заменяющего. Ключи никогда
не должны быть одновременно у одного человека.
-
Желательно в этой комнате иметь кондиционер.
-
Идеальный вариант выделить одну комнату для Мини
АТС, серверов, шкафов для хабов, концентраторов и т.д., патч
панели. Если такой комнаты не существует, то необходимо выбить
у начальства шкаф, закрывающийся на ключ, для сервера и оборудования.
-
Чтобы быть уверенным, что сервер в Ваше отсутствие
не вскрывали, опечатайте сервер хотя бы бумажной лентой.
Физическая защита кабельной системы
Защищать кабельную систему нужно, скорее всего, не
от злоумышленников, а уборщиц. Да-да, уборщиц. Помните, уборщицы
- главные враги проводов. Идеальный вариант - короба, но фирменные
короба - дорого. Есть альтернативный вариант - простенькие коробочки
на 4 провода с витой парой. Под них нет специальных розеток. Применяются
в основном при монтаже электропроводки. В крайнем случае - используйте
клеящиеся хомуты или пластмассовые клипсы. Главное - чтобы кабель
был хорошо закреплен, убран от лишних глаз и не валялся под ногами
у Ваших сотрудников.
Физическая защита рабочих станций
-
Чтобы быть уверенным, что "умные" пользователи
не вскрывали и не меняли внутренности компьютера, опечатайте
станции, как и сервер, хотя бы бумажной лентой.
-
Если пользователю нет необходимости пользоваться
дискетами, то отключите дисководы физически. Оставьте дисководы
на одной-двух машинах (у администратора и лица, отвечающего
за безопасность информации). Если кому-то надо переписать файл,
то пусть запишут его на общий диск и переписывают на дискету
и обратно. Вы всегда сможете это отследить, пользуясь аудитом.
-
Особо важную информацию отправляйте на компьютер
офицера безопасности (или лица, его заменяющего) для печати.
Распечатка должна быть вручена отправившему ее лицу под роспись.
-
Отключите или опечатайте последовательные и параллельные
порты с целью защиты от перезаписи на внешние носители большой
емкости.
План действий по защите от входа на
сервер или считывания с него данных
-
Организуйте регулярное (не реже 1 раза в месяц)
изменение паролей на загрузку компьютера через BIOS. В случае
увольнения сотрудника, работавшего на компьютере, пароль меняется
немедленно.
-
Отключите дисковод в Setup или отключите его на
физическом уровне. В случае необходимости вы сможете подключить
дисковод. Rescue Diskette можно не создавать, а переписывать
файлы из каталога winnt\repair на посторонний носитель. В случае
аварии сервера вы сможете переписать их на дискету и восстановить
его. При отключенном дисководе, никто не сможет снять базу с
паролями, загрузившись с дискеты без вскрытия сервера.
-
Отключите загрузку с гибкого и CD диска. Обязательно
все разделы дисков сервера должны быть отформатированы под NTFS.
В противном случае злоумышленнику ничего не стоит прочитать
Ваш FAT-раздел и взять с него Вашу базу данных паролей и пользователей,
а затем вскрыть пароли. (Хотя, откровенно говоря, NTFS – не
панацея).
-
В случае если Вы используете в качестве серверной
ОС Windows 2000, рекомендуется для наиболее ответственных данных
использовать встроенное шифрование.
-
Если у вас диск С: отформатирован под FAT, уберите
из boot.ini строчку: C:="MS DOS", для того чтобы при
загрузке нельзя было выбирать между загрузкой DOS и WINNT. Оставьте
старую копию boot.ini. Она вам может пригодиться при восстановлении
сервера.
-
Установите минимальную длину сетевых паролей не
менее 6 символов (при условии смены паролей не реже 1 раз в
месяц).
-
Количество попыток регистрации пользователя в
сети не более 3. Учетная запись пользователя должна блокироваться
до Вашего прихода. Вход в систему должен быть разрешен только
после выяснения причины неправильного ввода пароля.
-
Все неправильные входы в систему должны фиксироваться
в журнале.
-
Поставьте аудит на общий диск PUBLIC, чтобы иметь
возможность контролировать хождение игрушек и прочих файлов
по офису. Будьте осторожны с аудитом, т.к. если поставить аудит
на все события, то в Вашем лог файле Вы потом ничего не найдете.
-
Для начальников, использующих компьютер большей
частью для игр, но требующих доступ ко всем документам офиса,
лучше сделать доступ READONLY.
План действий по защите рабочих станций.
-
Организуйте регулярное (не реже 1 раза в месяц)
изменение паролей на загрузку компьютера через BIOS. В случае
увольнения сотрудника, работавшего на компьютере, пароль меняется
немедленно.
-
Отключите дисководы в Setup или отключите их на
физическом уровне.
-
Отключите загрузку с гибкого и CD диска.
-
Раз это рабочая станция, то необходимо как можно
меньше программ хранить на локальном диске. Записывайте их на
сервер. Сделайте так, чтобы в любой момент каждый из пользователей
мог работать с любой рабочей станции в Вашей организации.
-
Запретите пользователям сохранять файлы на локальном
диске, а через время все лишнее стирайте без разговоров.
-
Определите список программ и каталогов, которые
должны быть на рабочей станции.
-
Установите на рабочих станциях программное обеспечение
AVP Inspector или аналогичное, которое позволит отслеживать
Вам все изменения на жестких дисках рабочих станций и обнаруживать
все новые файлы и папки.
-
Заведите на каждом компьютере журнал (тетрадь)
установленного программного обеспечения. В нем должна фиксироваться
дата установки, наименование программного продукта, каталог,
в котором он установлен, назначение, фамилия и подпись сотрудника,
который делал установку. Компьютер подлежит проверке соответствия
установленного и записанного в журнал программного обеспечения
не реже 1 раза в месяц с записью в журнале. Проверки должны
осуществляться внезапно.
-
Файлам autoexec.bat и config.sys, а также всем
важным конфигурационным файлам сделайте атрибут ReadOnly.
-
По возможности на рабочих станциях не разрешайте
общий доступ к дискам и принтерам. Помните, у Вас сеть с выделенным
сервером, а не одноранговая.
План действий по защите рабочих станций
DOS.
-
Самый беззащитный вариант. Единственное преимущество
- поставить резидентного шпиона там, где разрешено пользоваться
дискетами.
-
При входе в сеть не забываете про параметр net
logon /SAVEPW:NO, необходимый для того, чтобы не создавались
файлы PWL, хранящие сетевой пароль. При таком запуске придется
вводить пароль два раза, но эти неудобства стоят того.
План действий по защите рабочих станций
Windows for Workgroups 3.11
-
В этом случае возникает такая же проблема, как
и при входе в сеть из-под ДОС. Стандартный клиент Windows сохраняет
пароль в файле *.pwl.
-
Там где разрешено пользоваться дискетами, поставить
шпиона, который будет отслеживать обращения к диску А:, записывать
в запрятанный текстовый файл и опрашивать сервер, если пользователь
подключен, то сбрасывать эту информацию на сервер.
План действий по защите рабочих станций
Windows 9x.
-
Клиент Windows 95 больше защищает сервер от посягательств
"злоумышленников". Обязательно заведите глобальные
группы и положите в Netlogon файл config.pol. В системной политике
(policy) обязательно поставьте галочки на:
-
Пункт из политики Причина "Обязательно проверять
пароль сетью" Необходим для того, чтобы человек без пароля
не мог войти в компьютер.
-
"Отменить кэширование паролей" Чтоб
не создавались файлы PWL. Правда при этом пароль при подключении
к провайдеру не запоминается тоже.
-
"Запретить средства редактирования реестра"
Чтоб пользователи не могли ничего изменять в реестре.
-
"Запуск только разрешенных приложений "
Пропишите сюда то, что пользователям необходимо запускать для
выполнения их обычной работы. Например: MS WORD, MS EXCEL, Калькулятор,
и т.д.
-
"Убрать из меню пункт ' Запуск' " Это
просто лишнее для любого пользователя.
-
Поставьте «хранители экрана» (screen saver) с
паролями, причем в настройках паролей укажите, чтоб использовался
сетевой пароль. Это нужно, чтоб никто не работал на Вашем компьютере,
пока Вы отсутствуете.
-
Установить специальное программное обеспечение
для контроля над действиями пользователей (характером использование
компьютера). (Например, StatWin)
-
Установить программное обеспечение, защищающее
Ваши станции “от дурака”. (Например, WinDefender).
-
В msdos.sys добавьте строчку [Options] BootKeys=0
Это необходимо для того, чтобы нельзя было использовать при
загрузке клавиши F5, F8 и т.д. Устанавливать его можно только
после того, как Вы убедитесь, что Вы можете редактировать реестр
на этой машине и запускать редактор системной политики. А также
в русской OSR2 перепишите scandisk от английской версии. Если,
что-то случится с машиной, то потребуется переустановка системы,
если выше описанные правила не будут соблюдены.
План действий по защите рабочих станций
Windows NT Workstation.
Примерно такой же, как и для Win9x. При этом
помните стандартные рекомендации для Windows NT Workstation.
Жесткие диски должны использовать файловую систему
NTFS, иначе доступ и системы защиты оказываются бессильны. Необходимо
также, в силу вышеизложенного, отказаться от двойной загрузки.
Работа с персоналом.
-
По статистике зарубежных кампаний, 90% всех бед
происходят из-за пользователей. В наше время проще подкупить
человека и он принесет любую информацию. Поэтому необходимо
проводить организационные меры по контролю самих пользователей:
-
При приеме на работу необходимо указать в контракте,
что пользователь не должен разглашать сведения, касающиеся локальной
сети предприятия, а также свой пароль и систему каталогов.
-
Обязательно напишите инструкции с картинками по
работе в локальной сети для клиентов WFW311, WIN95/98 и WNTWS
4.0. Чтобы человек, имеющий малейшие навыки работы на компьютере,
мог после прочтения сесть и работать.
-
Не забудьте указать в инструкции для чего пользователю
выдается пароль.
-
Выделите одного человека и организуйте обучение
Ваших пользователей основным навыкам работы. Если нет такой
возможности, то объясните или заставьте людей посещать курсы.
Ни в коем случае не пытайтесь помочь им, так Вы станете бесплатным
учителем и человеком, который выполняет чужую работу. Давайте
им советы, подсказывайте, как сделать лучше, но ни в коем случае
не делайте за них. Сделав раз, Вы потом будете обязаны это делать.
-
В каждой удаленной группе пользователей старайтесь
выделить для себя нормально думающих и разбирающихся в компьютерах
людей. Многие вопросы можно решить, давая этому человеку советы
по телефону.
-
Время от времени намекайте людям, что знаете,
чем они занимаются на работе, какие файлы используют, но не
говорите, откуда вы это знаете. Это нужно, чтобы человек знал,
что все его действия фиксируются в компьютере и лишний раз никуда
не лез.
Коротко о паролях.
-
Пароль не должен совпадать с идентификатором пользователя.
-
Пароли необходимо держать в тайне, не сообщать
другим лицам, не вставлять в тексты программ, не записывать
на бумагу.
-
Длина пароля должна быть не менее 6 символов.
Желательно использовать цифры и буквы. Наилучший вариант – цифры,
буквы, спецсимволы.
Помните, что в этом случае гораздо труднее подобрать
пароль.
Я буду рад любым замечаниям и пожеланиям, высказанным
Вами. Их можно прислать по адресу wladkerch@mail.ru
|