Якщо пароль користувача довгий час незмінний, захищеність системи від несанкціонованого доступу значно знижується. Саме тому система повинна примушувати користувача до періодичної зміни пароля. Політика ведення облікових записів дозволяє задати певний термін дії пароля в межах від 1 до 999 днів або призначити пароль постійним. За умовчанням тривалість дії пароля 42 дні.
Якщо адміністратор задав параметр Password never expires для конкретного користувача, той може не міняти пароль. Але така практика рекомендується тільки для службових облікових записів, від імені яких виконуються сервіси в системі.
За умовчанням довжина пароля користувача варіюється від 0 до 14 символів. Зрозуміло, що при підвищених вимогах до захищеності системи пустий пароль недопустимо. У цьому випадку адміністратор системи призначає мінімальну довжину пароля. Створюючи новий обліковий запис для користувача, адміністратор може указати пароль довільної довжини, незалежно від обмеження, заданого політикою ведення облікових записів. Однак якщо пароль змінюється користувачем після реєстрації в системі, то параметри нового пароля повинні точно відповідати політиці ведення облікових записів.
Обмеження мінімально можливого терміну зміни пароля користувачем доцільне, наприклад, якщо в системі працює багато починаючих користувачів. По-перше, певний термін дає користувачам, що недавно познайомилися з Windows NT, можливість звикнути до особливостей захищеної роботи і пересвідчитися в необхідності пам'ятати свій пароль. По-друге, починаючий користувач, змінивши після закінчення терміну дії пароль, може захотіти повернутися до колишнього. Але зробити це і ослабити таким чином захищеність системи не дозволить примусова затримка. Це особливо ефективне, якщо встановити параметр відстеження унікальності пароля.
Мінімальний період для дозволу зміни пароля варіюється в межах від 1 до 999 днів. За умовчанням він не обмежується. Звичайно, досить встановити 14 днів.
Редактор конфігурацій безпеки
Однак при автоматичній установці операційних систем на велике число комп'ютерів, при адмініструванні великих корпоративних мереж всі ці інструменти, незважаючи на свою корисність, стають недостатньо ефективними, що загалом приводить до підвищення вартості адміністрування. Для роботи в таких умовах необхідний принципово інший метод, що об'єднує в собі можливості всіх згаданих інструментів. Тільки так можна гарантувати ефективну політику безпеки і контроль захисту в масштабах великого підприємства.
У ролі такого інструмента успішно виступає редактор конфігурацій безпеки. Питання, пов'язані із забезпеченням безпеки, можна умовно розділити на декілька областей. Microsoft ідентифікував і представив в редакторі конфігурацій безпеки лише деякі області, що ні в якій мірі не обмежує Вас в ідентифікації і доданні в редактор нових областей.
За замовченням підтримуються наступні області безпеки:
• політика безпеки завдання різних атрибутів безпеки на локальному і доменному рівнях; так само охоплює деякі установки на машинному рівні;
• управління групами з обмеженнями дозволяє управляти членством в групах, які, на думку адміністратора, «чутливі» з точки зору безпеки системи;
• управління правами і привілеями дозволяє редагувати список користувачів і їх специфічних прав і привілеїв;
• дерева об'єктів включають три області захисту: об'єкти каталога Active Directory, ключі реєстру, локальну файлову систему; для кожного об'єкта в дереві шаблони безпеки дозволяють конфігурувати і аналізувати характеристики дескрипторів захисту, включаючи власників об'єкта, списки контролю доступу і параметри аудиту;
• системні служби (мережеві або локальні) побудовані відповідним образом дають можливість незалежним виробникам програмного забезпечення розширювати редактор конфігурацій безпеки для усунення специфічних проблем.
Функції редактора конфігурацій безпеки
Редактор конфігурацій безпеки зліпок консолі управління ММС. Розглянемо його основні функції.
• Визначення шаблонів конфігурацій безпеки. Якщо Ви прагнете забезпечити безпеку в масштабах підприємства, що нараховує сотні або тисячі комп'ютерів, найкраще скористатися шаблонами замість індивідуальної настройки кожної машини. Передбачимо, що всі комп'ютери можуть мати десять різних варіантів настройки параметрів захисту. У такому випадку, зручно зробити десять шаблонів, кожний з яких буде відповідати своєму варіанту захисту, і застосовувати ці шаблони відповідно до потреб. Коли Ви застосовуєте шаблон, в реєстр комп'ютера вносяться зміни, які і визначають настройки системи безпеки. Шаблони безпеки в Windows NT це текстові файли, формат яких схожий на формат inf-файлів. У окремих секціях описуються різні параметри безпеки. При завантаженні файла в редактор конфігурацій ці параметри відображаються в зручному для аналізу і редагування вигляді. Редактор також дозволяє створювати нові файли-шаблони.
• Конфігурування системної безпеки. Для конфігурування параметрів системної безпеки можна або вибрати відповідну команду в меню завантаженого зліпка (що приведе до запису параметрів з шаблона в реєстр), або скористатися версією редактора, що виконується з командного рядка. При другому варіанті виклик редактора можна вбудувати в адміністративний сценарій, який буде виконаний або негайний, або в будь-який зручний для Вас час.
• Аналіз системної безпеки. Аналіз параметрів, порівняння їх із заданими, що забезпечують певний рівень захисту, не менш важливий, ніж власне настройка. Так, в Windows NT Resource Kit 4.0 входить утиліта, що дозволяє на основі аналізу настройок системи робити висновок про відповідність захисту рівню С2. Редактор конфігурацій безпеки дає можливість порівнювати настройки з шаблоном. Виконується ця операція або за допомогою відповідної команди меню редактора, або запуском з командного рядка.
• Перегляд результатів аналізу. Редактор дозволяє переглядати результати порівняння існуючої конфігурації з шаблонною, в тому числі з використанням виразних графічних коштів.
Завантажити реферат