Информационная безопасность



     уточкина 2 1 монеты |          

Защита Windows NT/2000/ХР от парольных взломщиков


Вывод однозначен: одна из главных задач системного администратора Windows NT/2000/ХР состоит в защите информации, которая хранится в базе данных SAM, от несанкционированного доступа. С этой целью ему необходимо:

  • ограничить физический доступ к компьютерам сети и, прежде всего, - к контроллерам доменов;

  • установить пароли BIOS на включение компьютеров и на изменение их настроек BIOS;

    рекомендуется отключить загрузку компьютеров с гибких и компакт-дисков;

    для обеспечения контроля доступа к файлам и папкам Windows NT/2000/ХР системный раздел жесткого диска должен иметь формат NTFS;

    каталог \winnt_root\repair средствами ОС необходимо закрыть для доступа всех пользователей, включая администраторов, и разрешать к ней доступ только во время работы утилиты RDISK, которая создает в этом каталоге архивные копии системного реестра Windows NT/2000;

    следить за тем, где и как хранятся дискеты аварийного восстановления (Emergency Repair Disks) и архивные копии на магнитных лентах, если на последних присутствует дубликат системного реестра Windows NT/2000/ХР.

Дополнительно можно порекомендовать следующее:

Если компьютер с Windows NT/2000/ХР входит в домен, то по умолчанию имена и хешированные пароли последних десяти пользователей, регистрировавшихся на этом компьютере, сохраняются (кэшируются) в его локальном системном реестре (в разделе SECURITY\Policy\Secrets раздела HKEY_LOCAL_MACHINE). Чтобы отменить кэширование паролей на компьютерах домена, нужно с помощью утилиты REGEDT32 в раздел Microsoft\WindowsNT\CurrentVersion\Winlogon раздела HKEY_LOCAL_MACHINE добавить параметр CashedLogonsCount, установив его значение равным нулю, а тип - REG_SZ.

Для защиты базы данных SAM можно применить утилиту SYSKEY. Эта утилита позволяет включить режим дополнительного шифрования информации о паролях, которая хранится в базе данных SAM. Уникальный 128-битовый ключ для дополнительного шифрования паролей (так называемый ключ шифрования паролей - Password Encryption Key, сокращенно - PEK) автоматически сохраняется в системном реестре для дальнейшего использования.




Содержание  Назад  Вперед