logo search
Лекции_Информационная безопасность

19.10Основные меры защиты.

Вывод однозначен: одна из главных задач системного администратора Windows NT – защита информации, хранящейся в базе данных SAM. Ниже приведены основные меры такой защиты:

Ограничение на вход в систему.

По сравнению с сетевым доступом при интерактивной работе за компьютером у пользователя гораздо больше возможностей, в том числе и для осуществления действий, направленных на взлом системы безопасности. Интерактивный вход в систему на обычном сервере или рабочей станции Windows NT по умолчанию разрешен всем членам локальной группы пользователей, в том числе и всем пользователям-доменам, если этот компьютер – член домена. В то же время правом интерактивного входа в систему на контролере домена (если администратор домена не менял настройки ОС Windows NT после установки) обладают только члены локальных групп Administrators, Backup Operators, Print Operators, Server Operators и Account Operators. Администратор домена должен быть очень внимателен, формируя группы операторов

Факторы, затрудняющие подбор пароля.

Чем шире используемый для построения пароля набор символов и чем длиннее пароль, тем в среднем больше времени понадобится для его вскрытия. Иллюстрацией этого утверждения может служить следующая таблица, в которой приведены оценки числа комбинаций символов в зависимости от указанных параметров.

Длина пароля

Набор символов

19.10.1A - Z A - Z, 0 - 9 A - Z, a - z, 0 - 9

5

265 ~11,9млн. 365 ~ 60,5 млн. 625 ~ 916 млн.

6

266 ~ 309млн. 366 ~ 2,2 млрд. 626 ~ 56,8 млрд.

7

267 ~ 8 млрд. 367 ~ 78,4 млрд. 627 ~ 3,52 млрд.

8

268 ~ 209 млрд. 368 ~ 2,8 млрд. 628 ~ 218 млрд.

Может показаться, что эти значения очень велики и оснований для беспокойства нет. Однако современному взломщику даже дома могут оказаться доступными вычислительные мощности, позволяющие осуществлять перебор десятков и сотен тысяч комбинаций символов в секунду. Не правда ли, приведенные в таблице (особенно в ее верхней строке) числа уже не кажутся астрономическими? Кроме того, надо учесть недостаточную устойчивость к вскрытию пароля Lan Manager, хранящегося в базе данных SAM Windows NT. За счет использования в этом пароле половинок, полученных независимо друг от друга, и приведения букв к верхнему регистру максимальное число комбинаций, необходимых для его подбора (даже при длине в 14 символов и при использовании латинских букв в разных регистрах и цифрах), все равно остается величиной порядка 367 , а не 6214 , как и в случае пароля Windows NT.

Поэтому системный администратор должен обязательно проинструктировать сотрудников, чтобы при вводе паролей они включили в них символы насколько возможно широкого набора, в том числе буквы в верхнем и нижнем регистре, цифры и специальные символы (например, пробел). Запретите пароли, состоящие только из цифр, и пароли, представляющие собой слова того или иного языка. Выполнение последнего требования уменьшит вероятность взлома паролей при поиске по словарю.

Для русскоязычных пользователей удобными паролями могут оказаться слова русского языка (лучше с необычными приставками, суффиксами и не в именительном падеже), набираемые на клавиатуре в режиме ввода латинских букв (в таком режиме, например, слову “ Ключик” будет соответствовать пароль Rk.xbr). Однако отечественные взломщики могут учесть и этот вариант при проведении атаки по словарю.