Лекции_Информационная безопасность

19.10Основные меры защиты.

Вывод однозначен: одна из главных задач системного администратора Windows NT – защита информации, хранящейся в базе данных SAM. Ниже приведены основные меры такой защиты:

ограничение физического доступа к основным серверам сети, прежде всего к контролерам доменов Windows NT;
защита базы данных SAM (а также ее копии) и других источников информации о паролях пользователей от несанкционированного доступа;
дополнительное шифрование паролей в базе данных SAM с целью затруднения их вскрытия;
предотвращение атак с целью выяснения паролей пользователей;
применение средств, вынуждающих пользователей применять «хорошие», то есть трудно раскрываемые программными средствами паролей.

Ограничение на вход в систему.

По сравнению с сетевым доступом при интерактивной работе за компьютером у пользователя гораздо больше возможностей, в том числе и для осуществления действий, направленных на взлом системы безопасности. Интерактивный вход в систему на обычном сервере или рабочей станции Windows NT по умолчанию разрешен всем членам локальной группы пользователей, в том числе и всем пользователям-доменам, если этот компьютер – член домена. В то же время правом интерактивного входа в систему на контролере домена (если администратор домена не менял настройки ОС Windows NT после установки) обладают только члены локальных групп Administrators, Backup Operators, Print Operators, Server Operators и Account Operators. Администратор домена должен быть очень внимателен, формируя группы операторов

Факторы, затрудняющие подбор пароля.

Чем шире используемый для построения пароля набор символов и чем длиннее пароль, тем в среднем больше времени понадобится для его вскрытия. Иллюстрацией этого утверждения может служить следующая таблица, в которой приведены оценки числа комбинаций символов в зависимости от указанных параметров.

Длина пароля	Набор символов
	19.10.1A - Z A - Z, 0 - 9 A - Z, a - z, 0 - 9
5	26⁵~11,9млн. 36⁵ ~ 60,5 млн. 62⁵ ~ 916 млн.
6	26⁶ ~ 309млн. 36⁶ ~ 2,2 млрд. 62⁶~ 56,8 млрд.
7	26⁷ ~ 8 млрд. 36⁷ ~ 78,4 млрд. 62⁷~ 3,52 млрд.
8	26⁸~ 209 млрд. 36⁸~ 2,8 млрд. 62⁸~ 218 млрд.

Может показаться, что эти значения очень велики и оснований для беспокойства нет. Однако современному взломщику даже дома могут оказаться доступными вычислительные мощности, позволяющие осуществлять перебор десятков и сотен тысяч комбинаций символов в секунду. Не правда ли, приведенные в таблице (особенно в ее верхней строке) числа уже не кажутся астрономическими? Кроме того, надо учесть недостаточную устойчивость к вскрытию пароля Lan Manager, хранящегося в базе данных SAM Windows NT. За счет использования в этом пароле половинок, полученных независимо друг от друга, и приведения букв к верхнему регистру максимальное число комбинаций, необходимых для его подбора (даже при длине в 14 символов и при использовании латинских букв в разных регистрах и цифрах), все равно остается величиной порядка 36⁷ , а не 62¹⁴ , как и в случае пароля Windows NT.

Поэтому системный администратор должен обязательно проинструктировать сотрудников, чтобы при вводе паролей они включили в них символы насколько возможно широкого набора, в том числе буквы в верхнем и нижнем регистре, цифры и специальные символы (например, пробел). Запретите пароли, состоящие только из цифр, и пароли, представляющие собой слова того или иного языка. Выполнение последнего требования уменьшит вероятность взлома паролей при поиске по словарю.

Для русскоязычных пользователей удобными паролями могут оказаться слова русского языка (лучше с необычными приставками, суффиксами и не в именительном падеже), набираемые на клавиатуре в режиме ввода латинских букв (в таком режиме, например, слову “ Ключик” будет соответствовать пароль Rk.xbr). Однако отечественные взломщики могут учесть и этот вариант при проведении атаки по словарю.

Содержание