Vvmebel.com

Новости с мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Глобальные параметры безопасности

Концепция глобального управления безопасностью (GSM)

Концепция позволяет построить эффективную систему иерархического управления безопасностью гетерогенной сети компании. Она разработана компанией TrustWorks Systems.

В основе централизованного управления безопасностью КИС лежит концепция GSM. На основе этой концепции строится комплексная система управления и защиты информационных ресурсов предприятия (КСУЗИРП), обладающая рядом важных свойств.

Свойства КСУЗИРП (слайд)

управление всеми существующими средствами защиты на базе политики безопасности;

определение всех ИР предприятия через единый (распределенный) каталог среды предприятия;

централизованное управление локальными средствами защиты информации;

строгая аутентификация объектов политики в среде предприятия с использованием специальных токенов и инфраструктуры открытых ключей;

расширенные возможности администрирования доступа к определенным в каталоге ресурсам предприятия или частям всего каталога;

обеспечение подотчетности аудита, мониторинга безопасности, тревожной сигнализации;

интеграция с системами общего управления, инфраструктурными системами безопасности (PKI, LAS, IDS).

Согласно данной концепции управление, основанное на политике безопасности – PBM, определяется как реализация набора правил управления, сформулированных для бизнес-объектов предприятия.

Система управления GSM должна удовлетворять следующим требованиям:

· ПБП представляет собой логически и семантически связанную, формируемую, редактируемую и анализируемую как единое целое структуру данных;

· ПБП определяется в едином контексте для всех уровней защиты как единое целое сетевой ПБ и ПБ информационных ресурсов предприятия;

· для облегчения администрирования ресурсов и ПБП число параметров политики минимизируется.

Система управления GSM обеспечивает разнообразные механизмы анализа ПБ за счет средств многокритериальной проверки соответствия ПБ формальным моделям концепции безопасности предприятия.

Политики безопасности

Глобальная политика безопасности (ГПБ) корпоративной сети представляет собой конечное множество правил безопасности, которые описывают параметры взаимодействия объектов корпоративной сети в рамках ИБ:

· необходимый для соединения сервис безопасности (правила обработки, защиты и фильтрации трафика);

· направление предоставления сервиса безопасности;

· правила аутентификации объектов;

· правила обмена ключами;

· правила записи результатов событий безопасности в системный журнал;

· правила сигнализации о тревожных событиях и др.

Объектами ГПБ могут быть как отдельные рабочие станции и подсети, так и группы объектов, которые включают в себя целые структурные подразделения компании или даже отдельные компании, входящие в холдинг.

Задачи защиты бизнес-объектов распределенной корпоративной системы можно сформулировать в виде блоков правил, поскольку сетевое взаимодействие можно представить как простую передачу информации между субъектом Subj и объектом Obj доступа на основе некоторого сетевого сервиса защиты SecSrv, настроенного при помощи параметров P. В результате ГПБ предприятия представляется как набор правил вида:

(Subj, Obj, SecSrv, P).

При этом отсутствие правила для объекта Obj означает запрет любого доступа к данному Obj.

Для простоты определения целей безопасности предприятия в GSM предусмотрено два типа объектов, выступающих в качестве Subj и Obj. Таковыми являются: пользователь (U) и ресурс (R).

Ресурс может быть информационным (IR) или сетевым (NR).

Пользователь и ресурс могут выступать в любой из форм агрегации, поддерживаемых в системе: группы, домены, роли, департаменты, разделы каталога).

Предположим, что существует правило (U, IR, S1), т.е. правило защиты S1, обеспечиваемое при доступе пользователя U к информационному ресурсу IR. Правило (IR1, IR2, S2) означает разрешение сетевого взаимодействия двух информационных модулей (программ) с необходимостью обеспечения свойств защиты S2.

Политика по умолчанию для доступа к любому защищаемому объекту корпоративной системы представляет собой запретительное правило: «ВСЕ, ЧТО НЕ РАЗРЕШЕНО ЯВНО – ЗАПРЕЩЕНО». Такое правило обеспечивает полноту защиты информации в сети предприятия и априорное отсутствие «дыр» в безопасности.

Для обеспечения взаимодействия устройств в сети, для них создается и доставляется стартовая конфигурация, содержащая необходимые правила настройки устройств только для их централизованного управления – стартовая политика безопасности устройства.

Правила ГПБ могут быть распространены как на сетевые взаимодействия, так и на функции контроля и управления самой системы.

Функционально правила ГПБ делятся на группы:

  • правила VPN (реализуются при помощи протоколов IPSec) – (IP1, IP2, VPNRule);
  • правила пакетной фильтрации (stateless и stateful) — (IP1, IP2, PacketRule);
  • proxy-правила, включая антивирусную защиту «на лету» (отвечают за фильтрацию трафика, передаваемого под управлением заданных прикладных протоколов;
  • правила аутентифицированного/авторизованного доступа, включая правила Single Sign-On, которые обеспечивают данному пользователю работу на едином пароле или другой аутентификационной информации (могут комбинированно исполняться агентами различного уровня);
  • правила, отвечающие за сигнализацию и событийное протоколирование (исполнителями правила являются все компоненты системы).

Набор правил ГПБ является логически целостным и семантически полным описанием ПБ в масштабах сети, на основе которой может строиться локальная политика безопасности отдельных подсистем (устройств).

Локальная политика безопасности (ЛПБ) необходима любому средству защиты, реализующему какой-либо сервис ИБ. ЛПБ – точное описание настроек для корректной реализации правил аутентификации пользователей, управления доступом, защиты трафика и т.д.

После формирования ГПБ Центр управления на основе интерпретации ГПБ автоматически вычисляет и, при необходимости, корректирует отдельные ЛПБ для каждого средства защиты и автоматически загружает нужные настройки в управляющие модули соответствующих средств защиты.

В целом, ЛПБ сетевого устройства включает в себя полный набор правил разрешенных соединений данного устройства, исполняемых для обеспечения какой-либо информационной услуги с требуемыми свойствами защиты информации.

Различие между правилами, реализующими ГПБ в сети, и правилами, реализующими ЛПБ конкретного устройства, заключается в том, что в правилах группы ГПБ объекты и субъекты доступа могут быть распределены произвольным образом в пределах сети, а правила группы ЛПБ, включая субъекты и объекты ЛПБ, предназначены и доступны только в пределах пространства одного из сетевых устройств.

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.

Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ — конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой.

Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций.

Архитектура управления средствами сетевой безопасности

16.2.3. Глобальная и локальная политики безопасности

Глобальная политика безопасности корпоративной сети представляет собой конечное множество правил безопасности (security rules), которые описывают параметры взаимодействия объектов корпоративной сети в контексте информационной безопасности:
• необходимый для соединения сервис безопасности (правила обработки, защиты и фильтрации трафика);
• направление предоставления сервиса безопасности;
• правила аутентификации объектов;
• правила обмена ключами;
• правила записи результатов событий безопасности в системный журнал;
• правила сигнализации о тревожных событиях и др.

При этом объектами ГПБ могут быть как отдельные рабочие станции и подсети, так и группы объектов, которые могут включать в себя целые структурные подразделения компании (например, отдел маркетинга или финансовый департамент) или даже отдельные компании (входящие, например, в холдинг). Политика безопасности для каждого объекта в группе автоматически реплицируется всем объектам группы.

Политика по умолчанию для доступа к любому защищаемому объекту корпоративной системы представляет собой запретительное правило: все, что не разрешено явно — запрещено. Такое правило обеспечивает полноту защиты информации в сети предприятия и априорное отсутствие «дыр» в безопасности.

Читать еще:  Принципы объектно ориентированного программирования

Чтобы обеспечить взаимодействие устройств в сети, для них создается и доставляется (в общем случае не по каналам сети) стартовая конфигурация,содержащая необходимые правила настройки устройств только для их централизованного управления — стартовая политика безопасности устройства.

Правила ГПБ могут быть распространены как на сетевые взаимодействия, так и на функции контроля и управления самой системы.

Функционально правила ГПБ разбиты по группам:
правила VPN. Правила данного тира реализуются при помощи протоколов IPSec; агентом исполнения правила является драйвер VPN в стеке клиентского устройства или шлюза безопасности (IPX, IP2, VPNRule);
правила пакетной фильтрации. Они обеспечивают пакетную фильтрацию типа stateful и stateless; исполнение этих правил обеспечивают те же агенты, что исполняют VPN-правила (IP1, IP2, PacketRule);
proxy-правила, включая антивирусную защиту «на лету». Эти правила отвечают за фильтрацию трафика, передаваемого под управлением заданных прикладных протоколов; их исполнительным агентом является proxy-агент, например (User, Protocol, ProxyRule) или (Application, Protocol, Proxy-Rule);
правила ayтентифицированного/авторизованного доступа, включая правила Single Sign-On. Управление доступом Single Sign-On обеспечивает данному пользователю работу на едином пароле или другой аутентификационной информации со многими информационными ресурсами; понятно, что символическая запись правила сетевого доступа легко распространяется на Single Sign-On (User, Application, Authentication Scheme). Правила этой группы могут комбинированно исполняться агентами различного уровня, от VPN-драйвера до proxy-агентов; кроме того, агентами исполнения таких правил могут быть системы аутентификации запрос—отклик и продукты третьих разработчиков;
правила, отвечающие за сигнализацию и событийное протоколирование. Политика протоколирования может оперативно и централизованно управляться агентом протоколирования; исполнителями правил являются все компоненты системы.

Набор правил ГПБ является логически целостным и семантически полным описанием политики безопасности в масштабах сети, на основе которой может строиться локальная политика безопасности отдельных устройств.

Локальная политика безопасности. Любому средству защиты, реализующему какой-либо сервис информационной безопасности, необходима для выполнения его работы ЛПБ — точное описание настроек для корректной реализации правил аутентификации пользователей, управления доступом, защиты трафика и др. При традиционном подходе администратору приходится отдельно настраивать каждое средство защиты или реплицировать какие-то простейшие настройки на большое число узлов с последующей их корректировкой. Очевидно, что это неизбежно приводит к большому числу ошибок администрирования и, как следствие, существенному снижению уровня защищенности корпоративной сети.

После формирования администратором ГПБ Центр управления на основе интерпретации ГПБ автоматически вычисляет и, если это необходимо, корректирует отдельные ЛПБ для каждого средства защиты и автоматически загружает нужные настройки в управляющие модули соответствующих средств защиты.

В целом, ЛПБ сетевого устройства включает в себя полный набор правил разрешенных соединений данного устройства, исполняемых для обеспечения какой-либо информационной услуги с требуемыми свойствами защиты информации.

Различие между правилами, реализующими ГПБ в сети, и правилами, реализующими ЛПБ конкретного устройства, заключается в том, что в правилах группы ГПБ объекты и субъекты доступа могут быть распределены произвольным образом в пределах сети, а правила группы ЛПБ, включая субъекты и объекты ЛПБ, предназначены и доступны только в пределах пространства одного из сетевых устройств.

Эта статья была опубликована Среда, 8 декабря, 2010 at 13:39 в рубрике Защита от вирусов. Вы можете следить за ответами через RSS 2.0 feed.

Глобальная и локальная политики безопасности

Глобальная политика безопасности корпоративной сети представляет собой конечное множество правил безопасности (security rules) (рис. 16.1), которые описывают параметры взаимодействия объектов корпоративной сети в контексте информационной безопасности:

  • • необходимый для соединения сервис безопасности (правила обработки, защиты и фильтрации трафика);
  • • направление предоставления сервиса безопасности;
  • • правила аутентификации объектов;
  • • правила обмена ключами;
  • • правила записи результатов событий безопасности в системный журнал;
  • • правила сигнализации о тревожных событиях и др.

  • • Тип приложения » Правила фильтрации Тип криптосервиса
  • • Правила ведения системного журнала
  • * Правила сигнализации

Описание объекта: /Р[1-агент Застава 3.3

ЫогтасНс-хост Подсеть Группа

Группа доверенного СА Периметр безопасности Любой

Рис. 16.1. Структура правила глобальной политики безопасности

При этом объектами ГПБ могут быть как отдельные рабочие станции и подсети, так и группы объектов, которые могут включать в себя целые структурные подразделения компании (например, отдел маркетинга или финансовый департамент) или даже отдельные компании (входящие, например, в холдинг). Политика безопасности для каждого объекта в группе автоматически реплицируется всем объектам группы.

Задачи защиты бизнес-объектов распределенной корпоративной системы можно сформулировать в терминах правил, поскольку сетевое взаимодействие можно представить как простую

передачу информации между субъектом 8иЬ) и объектом ОЬ) доступа на основе некоторого сетевого сервиса защиты 8ес8гу, настроенного при помощи параметров Р. В результате глобальная политика безопасности предприятия представляется как набор правил вида

При этом отсутствие правила для объекта Obj означает запрет любого доступа к данному Obj.

Для простоты определения целей безопасности предприятия в GSM предусмотрено два типа объектов, выступающих в качестве Subj и Obj. Это — пользователь (U) и ресурс (R).

Ресурс R может быть информационным (IR) или сетевым (NR).

Пользователь и ресурс могут выступать в любой из форм агрегации, поддерживаемых в системе: группы, домены, роли, департаменты, разделы каталога.

Пример: правило (U, IR, 51) представляет собой правило защиты 51, обеспечиваемое при доступе пользователя U к информационному ресурсу IR. Правило (IR, IR2, 52) означает разрешение сетевого взаимодействия двух информационных модулей (программ) с необходимостью обеспечения свойств защиты 52.

Политика по умолчанию для доступа к любому защищаемому объекту корпоративной системы представляет собой запретительное правило: все, что не разрешено явно — запрещено. Такое правило обеспечивает полноту защиты информации в сети предприятия и априорное отсутствие «дыр» в безопасности.

Чтобы обеспечить взаимодействие устройств в сети, для них создается и доставляется (в общем случае не по каналам сети) стартовая конфигурация, содержащая необходимые правила настройки устройств только для их централизованного управления — стартовая политика безопасности устройства.

Правила ГПБ могут быть распространены как на сетевые взаимодействия, так и на функции контроля и управления самой системы.

Функционально правила ГПБ разбиты по группам:

  • правила VPN. Правила данного тира реализуются при помощи протоколов IPSec; агентом исполнения правила является драйвер VPN в стеке клиентского устройства или шлюза безопасности (IP 1, IP2, VPNRule);
  • правила пакетной фильтрации. Они обеспечивают пакетную фильтрацию типа stateful и stateless; исполнение этих правил обеспечивают те же агенты, что исполняют VPN-npa-вила PacketRule);
  • proxy-правила, включая антивирусную защиту «на лету». Эти правила отвечают за фильтрацию трафика, передаваемого под управлением заданных прикладных протоколов; их исполнительным агентом является proxy-агент, например (User, Protocol, ProxyRule) или (Application, Protocol, Proxy-Rule);
  • правила аутентифицированного/авторизованного доступа, включая правила Single Sign-On. Управление доступом Single Sign-On обеспечивает данному пользователю работу на едином пароле или другой аутентификационной информации со многими информационными ресурсами; понятно, что символическая запись правила сетевого доступа легко распространяется на Single Sign-On (User, Application, Authentication Scheme). Правила этой группы могут комбинированно исполняться агентами различного уровня, от VPN-драйвера до proxy-агентов; кроме того, агентами исполнения таких правил могут быть системы аутентификации запрос—отклик и продукты третьих разработчиков;
  • правила, отвечающие за сигнализацию и событийное протоколирование. Политика протоколирования может оперативно и централизованно управляться агентом протоколирования; исполнителями правил являются все компоненты системы.
Читать еще:  Наследование в объектно ориентированном программировании

Набор правил ГПБ является логически целостным и семантически полным описанием политики безопасности в масштабах сети, на основе которой может строиться локальная политика безопасности отдельных устройств.

Локальная политика безопасности. Любому средству защиты, реализующему какой-либо сервис информационной безопасности, необходима для выполнения его работы ЛПБ — точное описание настроек для корректной реализации правил аутентификации пользователей, управления доступом, защиты трафика и др. При традиционном подходе администратору приходится отдельно настраивать каждое средство защиты или реплицировать какие-то простейшие настройки на большое число узлов с последующей их корректировкой. Очевидно, что это неизбежно приводит к большому числу ошибок администрирования и, как следствие, существенному снижению уровня защищенности корпоративной сети.

После формирования администратором ГПБ Центр управления на основе интерпретации ГПБ автоматически вычисляет и, если это необходимо, корректирует отдельные ЛПБ для каждого средства защиты и автоматически загружает нужные настройки в управляющие модули соответствующих средств защиты.

В целом, ЛПБ сетевого устройства включает в себя полный набор правил разрешенных соединений данного устройства, исполняемых для обеспечения какой-либо информационной услуги с требуемыми свойствами защиты информации.

Различие между правилами, реализующими ГПБ в сети, и правилами, реализующими ЛПБ конкретного устройства, заключается в том, что в правилах группы ГПБ объекты и субъекты доступа могут быть распределены произвольным образом в пределах сети, а правила группы ЛПБ, включая субъекты и объекты ЛПБ, предназначены и доступны только в пределах пространства одного из сетевых устройств.

Глобальные параметры безопасности

Для доступа к окну настройки параметров настройки необходимо:

  • Выберите опцию Настройка в главном окне
  • Выберите пункт Глобальные параметры.

Окно параметров настройки

  • Кнопка Да закрывает окно параметров и сохраняет все изменения.
  • Кнопка Отменить закрывает окно параметров и отбрасывает все изменения.
  • Кнопка Помощь показывает окно помощи по параметрам конфигурирования

Эти параметры используются пакетным фильтром и транслятором сетевых адресов. Они состоят из следующих полей:

TCP тайм-аут: Определяет максимальный промежуток времени в секундах, в течение которого TCP соединение при отсутствии трафика считается активными. Это значение может лежать в пределах от 0 до 30000.

Значение по умолчанию: 900 секунд.

UDP тайм-аут: Определяет максимальный промежуток времени в секундах, в течение которого UDP соединение при отсутствии трафика считается активными. Это значение может лежать в пределах от 0 до 30000.

Значение по умолчанию: 180 секунд

Эти поля крайне важны для правильной работы межсетевого экрана. Большие значения этого параметра могут привести к проблемам с безопасностью в сервисах, основанных на UDP протоколе, увеличить занимаемый объем памяти и замедлить работу системы. В то же время низкие значения могут вызвать постоянные прерывания сессий и неправильную работу ряда сервисов.

Source routed IP:Разрешает прохождение пакетов , содержащих опции record route или source route. Если эта опция не установлена, пакеты с этими опциями будут отбрасываться

Значение по умолчанию: Source routed IP пакеты не разрешены.

Важно подчеркнуть, что прохождение таких пакетов может привести к серьезным нарушениям безопасности. Опцию следует оставлять неустановленной, если только нет особых причин пропускать такие пакеты.

Поддержка FTP: Обеспечивает поддержку FTP протокола.

Значение по умолчанию: Поддержка FTP присутствует

Этот параметр позволяет межсетевому экрану использовать прозрачный режим работы для клиентов и серверов FTP протокола. Эта опция должна быть установлена для работы по FTP протоколу через межсетевой экран

Поддержка Real Audio: Разрешает поддержку специфических для протокола Real Audio механизмов.

Значение по умолчанию: Поддержка Real Audio разрешена

Этот параметр разрешает межсетевому экрану использовать прозрачный режим работы с протоколами Real Audio / Real Video для TCP и UDP соединений. Эта опция должна быть включена , когда будет использоваться протокол Real Audio

Статистика трансляции: Включает статистику трансляции сетевых адресов

Значение по умолчанию: Статистика по трансляции не будет собираться

Даже при активизации этой опции будут регистрироваться только пакеты, преобразованные при трансляции адресов клиентских программ. Статистика трансляции адресов серверов фиксироваться не будет.

Включение этой опции носит информативный характер, ее можно использовать только для тестирования или отладки.

Использование Syslog: Включает отправку статистики через демон syslogd.

Значение по умолчанию: Статистика не отправляется через syslogd

При выборе этой опции статистика будет отсылаться через local0 facility, а записи о событиях через local1 facility

Эта опция не меняет внутреннего механизма сбора статистики и сообщений межсетевого экрана.

Срок жизни статистики: Статистика, которую фиксирует межсетевой экран, хранится в циклически обновляемых файлах, и таким образом новые элементы можно добавлять поверх старых. Этот параметр определяет минимальное число дней, в течение которых записи статистики или событий должны храниться в файле без замены. Допустимые значения этой величины составляют от 1 до 30000 дней.

Значение по умолчанию: 7 дней

Этот параметр действителен только для внутренней статистики межсетевого экрана, он не действует для записей, посылаемых через syslogd.

Сообщество для чтения: Этот параметр устанавливает имя сообщества, которое может читать параметры межсетевого экрана по SNMP. Если это поле пустое, ни один хост не получит прав на чтение.

Значение по умолчанию: пустое значение

Сообщество для записи: Этот параметр устанавливает имя сообщества, которое наделяется правами на запись параметров межсетевого экрана по SNMP. Если это поле пустое, ни один хост не получит прав на модификацию данных.

Значение по умолчанию: пустое значение

Даже если определено имя сообщество с правами на запись, по соображениям безопасности могут модифицироваться только некоторые переменные системных групп.

4-2 Использование интерфейса командной строки

Интерфейс командной строки прост в использовании и обладает теми же возможностями, что и графический интерфейс .

Путь к программе: /etc/firewall/fwpar Syntax: Подсказки по команде:

fwpar — просмотр/изменение параметров настройки

show — вывести активную конфигурацию
help — вывести данное сообщение
tcp_timeout — установить тайм-аут для TCP соединений
udp_timeout — установить тайм-аут для UDP соединений
source_routed_ip — разрешить прием IP пакетов с опцией source routed
ftp_support — разрешить поддержку протокола FTP
real_audio_support — разрешить поддержку протокола Real Audio
log_translation — разрешить сбор статистики по трансляции адресов
log_syslog — отправлять сообщения статистики и событий в syslogd
log_lifetime — установить минимальный срок жизни статистики/событий
read_community — имя SNMP сообщества c правами на чтение
write_community — имя SNMP сообщества c правами на запись

Пример 1: (просмотр конфигурации) Пример 2: (разрешить прохождение пакетов с source routed опцией) Пример 3: (определение имени SNMP сообщества с правами на чтение) Example 4: (удаление имени SNMP сообщества с правами на чтение)

Глобальные параметры безопасности

Локальные параметры безопасности

В КГ №40 за 2006 год была опубликована моя статья о средствах безопасности, встроенных в Windows XP. В ней я описал те компоненты и возможности, которые имеет XP для обеспечения приемлемого уровня защиты. Тогда я обошел вниманием такую немаловажную утилиту, как менеджер редактирования локальных политик безопасности. Сегодня я хочу исправить это упущение и рассказать именно про эту утилиту (рис. 1). Естественно, она имеется в стандартном наборе утилит, которые поставляются в любом дистрибутиве Windows, который не редактировался при помощи утилит сборки дистрибутивов и т.п. Ну-с, давайте приступим.

Для начала несколько слов о том, как можно добраться до этой самой утилиты. Наиболее простой способ — воспользоваться командой Выполнить, которая доступна в меню Пуск (сочетание клавиш Win+R). В строке необходимо ввести следующее сочетание: secpol.msc /s. Зная, что таким образом можно вызывать приложения из папки system32, мы находим ответ на следующий вопрос, который относился к месту дислокации утилиты. Для тех, что относит себя к фанатам панели управления, могу сказать следующее: ссылка на консоль находится в пункте меню под названием Администрирование. Рассказывая об утилите, я не буду лезть в дебри и пытаться впихнуть обычным пользователям информацию о настройке политики открытого ключа для Encoding File System (EFS — Файловой системы шифрования), о которой я писал в вышеупомянутой статье. В этом просто нет смысла, т.к. обычному пользователю это просто без надобности, а тому, кто хочет все-таки узнать об этом, можно воспользоваться описанием параметра, который имеется в окне редактирования каждой политики на соседней вкладке, носящей название «Объяснение параметра» (рис. 2). Я же остановлюсь подробнее на политиках учетных записей. Дам некоторые рекомендации, подробнее объясню задачу той или иной политики и выскажу свое мнение по поводу использования/неиспользования оной.

Политики учетных записей делятся на две группы: политика паролей и политика блокировки учетных записей. В каждой из групп находится список политик, которые, собственно, и поддаются редактированию. Первым параметром является максимальный срок действия пароля, который определяет время в днях, в течение которого пароль можно использовать, пока система не потребует от пользователя смены пароля. Это очень удобно, т.к. время для взлома ограничивается, соответственно и злоумышленнику придется попотеть, чтобы уложиться и успеть что-либо сделать с документами пользователя. По умолчанию значение равно 42, я бы советовал оставить значение по умолчанию, т.к. для локальной машины конечного пользователя политика не является критичной. Следующая на очереди политика носит название «минимальная длина пароля». Для локальной машины она будет актуальна в редких случаях. Задача политики сводится к ограничению минимального размера пароля. Если вы работаете на компьютере одни, то политика, как говорилось выше, не имеет смысла. Другой вопрос — если локальный компьютер используется разными пользователями. В таком случае стоит настроить политику, чтобы не использовались пароли, скажем, в два символа. Минимальный срок действия пароля — политика, которая определяет, через сколько пользователь сможет сменить пароль на другой. Как и в случае первой политики, время считается днями. Стандартное значение равно 0 и означает, что пользователь может поменять пароль в любое удобное ему время. Политика «пароль должен отвечать требованиям сложности» во включенном режиме требует от пользователя пароль, который будет отвечать следующим требованиям:

. Пароль не должен содержать имя учетной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
. Пароль должен состоять не менее чем из шести символов.
. Пароль должен содержать символы, относящиеся к трем из следующих четырех категорий:
. латинские заглавные буквы (A-Z);
. латинские строчные буквы (a-z);
. цифры (0-9);
. отличные от букв и цифр символы (например, !, $, #, %).
. Проверка соблюдения этих требований выполняется при изменении или создании паролей.

На локальных машинах по дефолту политика отключена, однако на контроллерах домена работает.

Следующая политика позволяет контролировать неповторяемость паролей, при этом она может запоминать прежние пароли от 1 до 24 включительно. На локальной машине она отключена (значение хранимых паролей равно 0) по умолчанию, но на контроллерах домена, опять же, включена, и значение равно 24-м. Она также позволяет хранить пароли, используя обратимое шифрование. Этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge-Handshake Authentication Protocol) в средствах удаленного доступа или службах IAS (Internet Authentication Services). Она также необходима при использовании краткой проверки подлинности в службах IIS (Internet Information Services).

Название следующей политики, которая уже находится в группе политик блокировки учетных записей, говорит сама за себя: Блокировка учетной записи на. Естественно, политикой определяется время блокировки учетной записи при определенном количестве неверно введенных паролей. Значение можно выставлять от 0 (учетная запись не блокируется) и до 99 999 минут. Она имеет смысл только при работающей следующей политике, которая называется Пороговое значение блокировки. Это количество неудачных попыток входа в систему перед блокировкой учетной записи. Значение принимается в диапазоне от 0 (как обычно, значение, при котором политика пассивна) и до 999. После блокировки, если не активирована политика блокировки учетной записи, восстановить аккаунт может только администратор. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью сочетания клавиш Ctrl+Alt+Del или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему. Сброс счетчика блокировки через — параметр, который позволяет сбрасывать счетчик неудачных входов в систему через определенное время (1 — 99 999 минут), удобная вещь, чтобы не получилось, что за месяц вы таки наберете «черное» число, равное пороговому значению блокировки. Параметр напрямую зависит от Блокировки учетной записи на.

Вот, собственно, и все. Коротенький обзор политик учетных записей, изменение которых доступно из утилиты Локальные параметры безопасности, подошло к концу. В статье было рассмотрено всего одно из направлений политик безопасности. Тем, кто заинтересовался, скажу, что имеется возможность настройки локальных политик, среди которых — политика аудита, назначение прав пользователя, параметры безопасности. Я бы советовал просмотреть параметры безопасности, т.к. настройки там наиинтереснейшие и весьма полезные. Можно настроить политики ограниченного пользования программ и политики безопасности IP. Таким образом, покопавшись в локальных параметрах безопасности, можно довольно неплохо поднять уровень защиты на вашем компьютере, но будьте осторожны: читайте внимательно описания политик и не трогайте параметры, назначение которых вам непонятно.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector