Полное руководство по Microsoft Windows XP
Шрифт:
Более важной задачей, чем физическая безопасность и защита с применением пароля, являются взаимоотношения с людьми. Недавно я пришел в офис клиента, чтобы выполнить сетевую установку. Он разрешил мне использовать для работы стол одного из его служащих. Прямо передо мной лежал блокнот с записями, в числе которых были не только пароль служащего, но также и пароль его начальника, имена пользователей. Из-за этой халатности любой мог прийти в офис и получить доступ к сети. Иногда хакеры просто звонят в офис фирмы и просят служащего назвать свое имя и пароль.
Этот эпизод напомнил мне о важности человеческого фактора в любом плане защиты. Чтобы осуществить хорошую систему защиты, необходимо рассмотреть следующие уровни:
• защита на физическом уровне. Размещайте
• защита на программном уровне. Использование паролей и других форм программной защиты – следующая линия обороны. Удостоверьтесь, что соблюдены все меры безопасности по правам доступа. Windows XP содержит все функции по обеспечению прав доступа, и вам остается только задавать их;
• защита на корпоративном уровне. Вы не можете защищать сеть в одиночку. Чем крупнее сеть, тем больше вы нуждаетесь в помощи пользователей. Если вы рассчитываете, что пользователь будет сотрудничать с вами, поговорите с ним. Стратегия защиты на корпоративном уровне распространяется и на руководителей. Если вы не встречаетесь с руководителями и не обсуждаете с ними проблемы безопасности, они не смогут оказать вам помощь. Вы также должны убедиться, что руководство знает, какие виды угроз безопасности существуют для вашей сети. Эти меры снизят вероятность появления разного рода неожиданностей;
• обучение. Сотрудники не знают, как использовать средства по защите сети, которые обеспечивает Windows XP. Можно обратиться к средствам защиты на физическом уровне, но пользователь применяет программную составляющую ПО. Необученный сотрудник вряд ли сможет корректно настроить параметры безопасности: скорее всего, он даже не будет знать, что они существуют. Кроме того, неподготовленный человек часто сопротивляется установке средств защиты, потому что не понимает их назначения;
• своевременность. Проще всего установить систему защиты на начальном этапе организации сети. Инсталляция защиты в тот момент, когда все составляющие у вас под рукой, предотвращает добавление отдельных компонентов и возможную перенастройку системы, а также вероятную потерю части сетевой установки;
• создание документации для пользователей по обеспечению безопасности сети. Поскольку ваша сеть становится больше, жизненно важно составлять руководства в письменной форме. Иначе как пользователь узнает, чего ему ожидать или как вести себя в кризисной ситуации? Кроме того, грамотно составленная документация поставит руководство в известность о средствах защиты, которые вы установили в сети.
Может показаться, что установка защиты требует чересчур большого внимания, но когда вы столкнетесь с потерей, которую может вызвать нарушение целостности защиты, эти меры будут нелишними. Злоумышленник (взломщик программной защиты) не позарится на публичное письмо недельной давности; он возьмет что-нибудь более ценное. Чем секретней информация, тем она приятней хакеру. Но даже если взломщик ничего не возьмет, он может кое-что оставить после себя. Как вы думаете, что вирус сделает с сетью? Конечно, разрушит ее.
Ниже рассматриваются три главные зоны защиты, которые поддерживает Windows XP: локальная, сетевая и Internet. Применяя каждое из этих трех колец защиты, вы можете быть уверены, что в вашей системе безопасности не останется крупных брешей.
Настройка локальных параметров безопасности
Основная защита начинается с локальной машины. После того как кто-нибудь получает доступ к вашему компьютеру, система защиты здесь находится в опасности. Например, «троян» способен инфицировать машину, предоставив взломщику несанкционированный доступ к ней. Машина как будто защищена, но хакер может входить в нее в любое время из зоны Internet или другого соединения. Опытные взломщики делают все это так, что вы ни о чем не будете подозревать. Ведь если вы знаете, что существует проблема, вы будете принимать меры, чтобы устранить ее. Профессиональные
Правило Питера Нортона: в каких случаях возникают условия для проникновения злоумышленников в систему?
Когда я посещаю сайт, чтобы дать консультацию по защите сетей, первый знак опасности, который я вижу, – уровень самонадеянности. Если кто-то считает, что взломщик не сможет проникнуть в его систему, я почти уверен, что злоумышленник найдет способ это сделать. Я могу также предсказать, что сетевой администратор даже не догадается о проникновении, пока кто-нибудь не привлечет его внимание.
Вы когда-нибудь думали о самой концепции программного обеспечения по защите сетей? Программист разрабатывает ПО, которое вы используете. Опытный взломщик, знакомый с такими принципами, способен взломать любое программное обеспечение. Все, что ему потребуется, – разгадать ход мыслей программиста при создании ПО и поразмыслить, как это обойти.
Итак, если вы не можете рассчитывать на программное обеспечение по защите сети, зачем оно вообще? Во-первых, ПО действует как прямое средство предупреждения пользователям, которые, по существу, честны и действительно не хотят проблем. Во-вторых, оно может вызвать затруднения даже у искусного взломщика – это даст вам время, чтобы отреагировать и предотвратить серьезные последствия. Наконец, хорошее программное обеспечение по поддержке безопасности сети предоставляет расширенные диагностические средства – и в случае, если система защиты не стала препятствием для взломщика, указанные средства позволят вам вовремя принять необходимые меры. Только в одном программное обеспечение не помогает: оно не в силах предотвратить проникновение взломщика вообще.
Предположите, что кто-то собирается взломать вашу систему. Как только вы это осознаете, начните искать бреши в защите. Качественное программное обеспечение поможет обнаружить промахи или несанкционированный вход (который может выражаться в нарушении чьей-либо нормальной структуры системного доступа или в необычном числе повторений пароля). К сожалению, поиск и анализ ошибок – единственный путь предотвращения повреждения системы.
Windows XP делает больше, чем предыдущие версии данной ОС, чтобы обеспечить безопасность ваших машин. И это несмотря на то, что пользователи Windows 9x, казалось, получили все преимущества новой системы, а пользователи Windows 2000 еще более выиграли от улучшенной локальной защиты. Одной из наиболее важных функций являются параметры настройки локальной политики безопасности. Настройка локальной защиты определяет, как Windows XP будет вести себя в данной ситуации. Если вы сообщаете системе, что каждый пользователь должен иметь пароль длиной не менее пяти символов, Windows XP делает эту установку обязательной.
Примечание
В отличие от Windows 9x, пользователи не смогут легко обходить политику защиты Windows XP. Если они отвергают такую политику, значит, сами хотят этого. В Windows 9x система защиты была слишком формальной; в Windows XP пользователь не сможет обойти защиту, просто оставляя окно входа в систему незаполненным или вводя другое имя: Windows XP разрешает вход только владельцам пароля.
Другой важной победой системы защиты Windows XP является улучшенная защита данных на томах NTFS. (Том – это часть жесткого диска, которая работает как отдельный диск.) Windows XP имеет более новую версию NTFS, чем Windows 2000. Эта новая версия включает расширенные возможности шифрованной файловой системы (Encrypted File Support – EFS). Например, когда вы шифровали файл под Windows 2000, только один пользователь мог открыть его. Версия NTFS для Windows XP позволяет многим пользователям совместно применять зашифрованный файл. Основные действия при работе с файловой системой NTFS не изменились, но некоторые функции защиты были модифицированы, чтобы реализовать требуемую политику и аудит более широко и квалифицированно (см. главу 13).