Лабораторная работа № 8 Политика паролей
advertisement
1 Лабораторная работа № 8 1. Теоретическая часть: Политика паролей 1.1. Программа Локальная политика безопасности Разработчики Windows создали несколько простых и эффективны правил политики паролей системы, которые при грамотном использовании системным администратором помогут сделать вход в систему надежным и безопасным. Для настройки локальной политики безопасности следует: - войти в компьютер под администраторской учетной записью; - запустить программу Локальная политика безопасности (рис.1): Пуск\Панель управления\Администрирование\ Локальная политика безопасности - в левой части окна выбрать пункт Политики учетных записей; - выбрать пункт Политика паролей, в котором находятся настройки политики паролей учетных записей пользователей (рис.2). Рис.1.Окно программы Локальная политика безопасности Рис.2. Настройка политики паролей учетных записей пользователя 2 В окне Политика паролей для обеспечения хорошего уровня безопасности следует иметь настройки близкие к тем, которые приведены на рис.2. Параметр Требовать неповторяемости паролей определяет количество паролей, которые будут запоминаться системой, при их смене, для каждого пользователя. После двойного щелчка мышью по параметру появится диалоговое окно (рис.3.). Рис.3. Количество паролей, хранимое системой для каждого пользователя Параметр требуется для того, чтобы пользователи при смене пароля, вводили новые пароли, а не один из старых. Данная настройка значительно увеличивает безопасность системы, если пользователи периодически меняют пароли, так как гарантирует, что каждый раз будут использоваться только новые пароли. Если взломщики узнают старые пароли, то они не смогут войти в систему. Поэтому можно установить значение этого параметра на некоторое число больше нуля, которое и будет определять число запоминаемых паролей, для каждого пользователя. Если пароли у пользователей хорошие, и они их никому не дают, то можно оставить эту настройку без изменения (равную нулю). Периодическая смена паролей всем пользователям практикуется во всех военных организациях и позволяет в случае потери или утраты секретности пароля снова взять ситуацию под контроль, обеспечивая надежную защиту данным. Параметр Максимальный срок действия пароля определяет в днях максимально возможный возраст паролей у пользователей. Рекомендуется ставить данный возраст на величину, равную календарному месяцу. Если вы хотите по каким-либо соображениям запретить регулярную смену пароля кем-либо из пользователей, вы можете это указать в его настройках пользователей, как было показано ранее. Параметр Минимальный срок действия пароля определяет минимальный возраст, который может иметь пользовательский пароль. Параметры Максимальный срок действия пароля и Минимальный срок действия пароля позволяют задавать время жизни пользовательских паролей, которые они будут иметь в системе. И оно буде: всегда больше значения Минимальный срок действия пароля, но меньик значения Максимальный срок действия пароля. Параметр Минимальная длина пароля является одним из важнейших определяющих политик паролей системы. Он позволяет задавать мини- 3 мальную длину пароля, которой должны удовлетворять все пользовательские пароли. Чем больше длина пароля, тем сложнее взломщикам его подобрать. Для практических целей минимальная длина пароля рекомендуется равной (рис.2.). Большая длина пароля еще более повышает его надежность, но и увеличивает неудобства его ввода и запоминания. Если нет достаточно резких причин для увеличения длины пароля более восьми символов, то это делать не стоит, т.к. сочетание восьмисимвольного пароля с правильно установленной следующей опцией делает операцию по его подбору взломщиками практически нереальной. Параметр Пароль должен отвечать требованиями сложности – данная опция должна быть всегда включена (рис.4). Рис.4. Включение использования пользователями сложных паролей Это даст возможность операционной системе требовать от пользователей введения сложных паролей, которые помимо букв, будут содержать и другие символы. Это значительно усложняет подбор паролей взломщиками, т.к. их возможное число резко возрастает за счет использования дополнительного набора символов. Параметр Хранить пароли всех пользователей в домене, используя обратное шифрование. Опция должна быть выключена при условии, что точно неизвестно, что нужно обратное, т.к. ее использование может потребоваться для совместимости со специальным сетевым программным обеспечением. Рис.5. Окно Хранить пароли всех пользователей в домене, используя обратное шифрование. 4 1.2. Политика блокировки учетных записей В операционной системе Windows XP существует специальный механизм, контролирующий вход пользователей в систему и пытающийся предотвратить попытку проникновения в систему. Для настройки этого механизма следует выбрать пункт Политика блокировки учетных записей (рис.5.) . Рис.6. Настройки локальной системы безопасности, которые могут существенно обезопасить вход в систему Существует три опции, с помощью которых можно практически исключить возможность проникновения в систему взломщиков, использующих атаку методом перебора пользовательских паролей. Важнейшим параметром является опция Пороговое значение блокировки, которая определяет, будет ли система безопасности отслеживать неудачные попытки входа в систему пользователями, а также после какого их числа будет предпринимать определенные действия. Это необходимо для того, чтобы отслеживать атаки взломщиков, которые основываются на методе повторного ввода пароля в атакуемую систему до тех пор, пока он не совпадет с тем паролем, который установил пользователь или системный администратор. По повторяющимся ошибочным попыткам входа в систему по одному или нескольким пользовательским учетным записям можно отслеживать проведение атак против операционной системы. Система безопасности начнет отслеживать неудачные попытки входа пользователей в систему после того, как в значении данной опции будет задано любое положительное значение, определяющее максимальное количество неудачных попыток входа (рис.7.). После достижения этого числа, учетная запись, под которой было осуществлено данное количество неудачных входов, будет заблокирована системой, в соответствии с настройками системы безопасности. Время блокировки учетной записи зависит от параметра Блокировка учетной записи на, который устанавливается в минутах и по умолчанию имеет значение 30 минут. Таким образом, после определенного количества неудачных попыток входа в систему, заданного параметром Пороговое зна- 5 чение блокировки, произойдет блокировка системы в течение времени, указанного опцией Блокировка учетной записи на. И если значение первого параметра равно 5, а второго – 30, то через каждые пять неправильно введенных паролей, система будет блокироваться на тридцать минут. И в течение этого времени вход в систему будет невозможен для любого пользователя, кроме системного администратора. Рис.7. Окно Пороговое значение блокировки Рис.8. Окно настройки числа неудачных попыток входа пользователей в систему Если пользователь забыл свой пароль и ему нужно срочно войти в систему и сразу начать работать, то он должен обратиться к системному администратору, если сам им не является. Учетная запись системного администратора никогда не блокируется, и ей всегда можно воспользоваться, чтобы снять блокировку с одного или нескольких пользователей. Это делается в свойствах пользователей. Для этого нужно с соответствующих Учетных записей убрать признак выключения учетной записи (см. ЛР_5, материал, описывающий работу администратора с пользовательскими учетными записями). Возникает вопрос: как быть с учетной записью системного администратора, если она не может быть автоматически отключена системой безопасности как учетные записи простых пользователей в случае подбора паролей? В хорошо настроенных системах подобрать пароль администра- 6 тора практически невозможно. Во-первых, пароль системного администратора выбирается более длинным и сложным, чем пароли простых пользователей, часто пароль может иметь длину до 20-30 символов и состоять из латиницы, разного регистра, а также самых разнообразных символов. Все это факторы делают подбор пароля совершенно нереальной задачей, даже теоретически. Во-вторых, можно переименовать учетную запись системного администратора со стандартного имени «Administrator» или «Администратор» во что-то более экзотичное и нестандартное. В этом случае, не зная имени учетной записи администратора в системе, начать подбор к ней пароля совершенно невозможно. Таким образом достигается надежная защита учетной записи администратора от атаки методом перебора паролей. Третий параметр Сброс счетчика блокировки через позволяет «забыть» системе через указанное в данной опции время в минутах о том, что до этого были неудачные попытки входа в нее. Это может быть полезно тогда, когда атаки подбора паролей не происходит, просто пользователь забыл пароль и пытался его вспомнить методом подбора. Ввод в данной опции меньшего значения, чем Блокировка учетной записи не ухудшает безопасность системы. Это связано с тем, что робот взломщиков, подбирающий пароли системы, обычно работает со скоростью большей, чем одна попытка подбора пароля за одну минуту. Это связано с тем, что у него очень много вариантов, каким может быть пароль, и он должен за приемлемое время испытать все варианты, чтобы найти правильный. Поэтому, даже если поставить значение опции Сброс счетчика блокировки через равное одной минуте, то в подавляющем большинстве случае, система не допустит проведение атак с перебором пароля, но разрешит ошибаться пользователям. 2. Практическая часть 2.1. Вопросы по разделу 1. Что, по Вашему мнению, означает термин «политика паролей»? 2. Перечислите простые правила политики паролей ОС Windows XP? 3. Под какой учетной записью можно производить настройку политики безопасности ОС Windows XP? 4. Напишите полный путь к программе Локальная политика безопасности. 5. Что означает параметр Требовать неповторяемости паролей в программе Локальная политика безопасности? 6. С какой целью используется выше указанный параметр? 7. В каких случаях настройка указанного параметра может значительно увеличить безопасность системы? 8. Для чего требуется периодическая смена паролей пользователям корпоративных информационных систем (КИС)? 9. Какое значение имеют параметры Максимальный срок действия пароля и Минимальный срок действия пароля в программе Локальная политика безопасности? 7 10. Объясните значение параметра Требовать неповторяемости паролей в программе Локальная политика безопасности? 11. Назовите самый важный параметр программы Локальная политика безопасности? 12. Объясните, почему данный параметр является самым важным в программе Локальная политика безопасности? 13. В каком состоянии должна находиться опция Пароль должен отвечать требованиям сложности в КИС? 14. В каком состоянии должна находиться опция Пароль должен отвечать требованиям сложности на Вашем (домашнем) ПК? 15. В каком состоянии должна находиться опция Хранить пароли всех пользователей, используя обратное шифрование в программе Локальная политика безопасности и почему? 16. Какой механизм в ОС Windows XP контролирует вход пользователей в систему? 17. Какие действия данный механизм предпринимает в случае обнаружения подозрительных поступков? 18. Каким образом предотвратить попытку проникновения взломщиков в ОС Windows XP? 19. Назовите самый важный параметр Политики блокировки учетных записей программы Локальная политика безопасности. 20. Объясните, почему данный параметр является самым важным. 21. От какого параметра зависит опция Блокировка учетной записи, и каким образом она устанавливается? 22. Объясните значение параметра Пороговое значение блокировки. 23. Какие действия следует предпринять пользователю, если он забыл свой пароль? 24. Каким образом обезопасить учетную запись системного администратора? 25. Возможно ли практически подобрать пароль системного администратора, если он установлен в соответствии с правилами политики безопасности ОС и почему? 26. Объясните значение опции Сброс счетчика блокировки. 27. Какие значения вышеуказанная опция может принимать? 2.2. Упражнение 1 1.Изучите работу программы Локальная политика безопасности. 2.Проверте соответствует ли пароль, установленный на Вашем компьютере указанной выше Политики безопасности операционной системы Windows XP? 3.Если установленный пароль не соответствует Политики безопасности, то укажите причины, по которым Вы считаете, что установленный Вами пароль может защитить Ваш компьютер от взломщиков. 8 2.3. Порядок отчетности и форма контроля выполнения работы Контроль выполнения задания производится по окончании занятия и на консультациях в форме защиты выполненной работы, предоставленной в электронном и в бумажном виде в форме «Отчет по лабораторной работе …».