Использование паролей в качестве защитного механизма для повышения безопасности Windows (часть 1)

Эта методическая система соответствует принципам хорошего корпоративного управления и сослужит вам хорошую службу в любой ситуации, связанной с паролями. Надежность любой хорошей системы паролей зависит от того, как применяется политика паролей. Системы Windows имеют автоматические политики паролей на основе домена, которые обеспечивают плавное и надежное применение политики.

Пароли обычно используются в качестве процесса проверки личности пользователя при доступе к ресурсу. Должны существовать формальные процессы и процедуры для управления управлением паролями. Биометрия — это пароли нового поколения, которые рассматриваются как более личный способ проверки пользователя. Со временем биометрия станет единственным способом проверки, но до этого дня мы застряли с паролями. Ниже приведены некоторые рекомендации, которые следует включить в вашу политику безопасности, чтобы обеспечить безопасность ваших паролей.

странице подписки на рассылку

20 лучших советов по паролям, которые обеспечат хорошую практику паролей и безопасность Windows.

1.       Убедитесь, что в вашей политике безопасности ИТ/ИС указано, что личные пароли всегда должны храниться в тайне.  Некоторые организации включают это в условия найма и могут рассматривать несоблюдение требований как серьезное дисциплинарное нарушение.

2.       Не позволяйте пользователям продолжать использовать временные пароли по умолчанию. Обеспечьте немедленную смену временных паролей и убедитесь, что пароль не известен никому, включая сотрудника отдела ИТ/ИС.  При использовании Windows крайне важно, чтобы, когда пользователь забывает свой пароль или пароль, ИТ-персонал мог точно идентифицировать пользователя, прежде чем разблокировать учетную запись с паролем по умолчанию.

3.       Проверьте всех пользователей на надежность пароля и убедитесь, что политики соблюдаются, активно отслеживая ситуацию.  Многие пользователи хранят свои пароли в заметках, прикрепленных к их мониторам.  С этой практикой следует строго бороться, поскольку злоумышленники знают об этом, и мы используем это как ворота к сетевой информации.

4.       Убедитесь, что никакие пароли не хранятся в электронном виде.  В случае успешного вторжения дальнейший ущерб может быть нанесен, если злоумышленник наткнется на список паролей.

5.       Созвонитесь с пользователями и протестируйте политику.  После того, как пользователь подписывает условия найма организации, он обязан соблюдать эту политику, но большинство пользователей по-прежнему с энтузиазмом раздают пароли компьютерному персоналу.  Проверьте это, так как я лично обнаружил, что после того, как пользователь подписал документ, даже через пять минут у меня уже есть его новый пароль.

6.       Убедитесь, что только администраторы и соответствующие пользователи имеют возможность изменить соответствующий пароль.

7.       При появлении признаков нарушения безопасности измените системные пароли.

8.       Убедитесь, что пользователи выбирают качественные пароли и что не используются типичные пользовательские атрибуты, такие как детские имена, собачьи клички и другие пользовательские имена.  Пароли должны быть легко запоминаемыми, не содержать личных данных и не должны содержать последовательных символов, таких как qwerty, 12345, [email protected]#$ и abcd.

9.       Убедитесь, что частота смены пароля является политикой, согласно которой смена пароля является принудительной.  Этот метод гарантирует, что пользователи изменят свой пароль, однако это основная причина, по которой пользователи записывают свои пароли.

10.   Убедитесь, что пароли не включены в какой-либо макрос скрипта автоматического входа в систему или функциональную клавишу, если злоумышленник завладеет любой из этих технологий, будет очень легко найти пароли.

11.   Не позволяйте пользователям использовать пароли, аналогичные предыдущим месяцам.  Если злоумышленник получит пароль пользователя, злоумышленник попытается получить доступ к сети, используя логический шаблон, это может быть предыдущий пароль, усеченный цифрой в конце.  12-месячные приращения оказались приемлемыми.

12.   Избегайте приложений, которые отображают информацию о пароле на экране.

13.   Проверьте наличие кейлоггеров и убедитесь, что ваш антивирус имеет наиболее распространенные кейлоггеры в своем списке шаблонов.

14.   Убедитесь, что четко указано, что пароли нельзя сохранять при использовании приложений и при подключении к сети, как показано на рисунке ниже.  Злоумышленники могут использовать эти приложения для получения доступа к системам, не зная паролей.  Некоторые брандмауэры имеют эту функцию, и я считаю, что это удобство, а не безопасность.  Люди, которые автоматически сохраняют пароли на брандмауэрах, не должны работать в отделе безопасности. На приведенной ниже диаграмме показан флажок, который следует снять.

15.   Убедитесь, что пароли по умолчанию изменены после установки приложений и оборудования, в которых могут быть сохранены пароли поставщиков по умолчанию.

16.   Избегайте систем, использующих мастер-пароли.  IE Некоторые приложения имеют бэкдор-пароли, которые могут быть использованы, если вы забудете свой пароль. Производители Bios известны такой практикой, и ее следует избегать, поскольку она ставит под угрозу данные компьютера и пользователя.

17.   Не позволяйте пользователям делиться паролями.  Ресурсы, защищенные паролями, не подпадают под действие этого правила, но администратор должен изменить пароль ресурса в соответствии с частотой смены пароля.

18.   Убедитесь, что проверка пароля требуется через три минуты после того, как пользователь не находится на своей рабочей станции.  Злоумышленниками могут быть любые риски, которые можно свести к минимуму, автоматически блокируя рабочий стол и требуя проверки по возвращении пользователя.  На приведенной ниже диаграмме показано, где это можно установить, просто установив флажок, обведенный красным.

19.   Упростите проверку пароля, чтобы требовать только один пароль, чем больше паролей требуется, тем больше требуется управления и безопасности.  Упрощение проверки пароля до одного пароля обеспечивает более высокий уровень защиты.  Процедуры администрирования освобождены от этих правил, так как для дополнительных уровней безопасности может потребоваться много качественных паролей.

20.   Используйте операционные системы Windows, которые не хранят пароли локально и в незашифрованном виде.  Обычно это любая операционная система выше NT4.0 включительно.  Windows 95/98 хранит пароли в файлах, которые легко расшифровать.  Windows 95/98 использует файл *.pwl для хранения пароля, и этот файл можно расшифровать с помощью простых утилит для взлома, доступных в Интернете.

Знайте о других возможностях.

Если ваша машина не разблокирована, злоумышленник может попытаться создать диск для сброса пароля. Этот диск работает с забытым мастером паролей, который позволяет вам создать диск для сброса пароля, который можно использовать на более позднем этапе для восстановления вашей учетной записи пользователя и персонализации. настройки компьютера, если пароль забыт. В зависимости от того, находится ли машина в домене или рабочей группе, процедура отличается. Это очень опасно и может быть использовано против организации. Диск сброса пароля должен храниться в корпоративном сейфе или в безопасном месте, недоступном для злоумышленника. С этими дисками следует обращаться так же конфиденциально, как и с паролями, поскольку они могут использоваться для восстановления машины и как способ для злоумышленника получить несанкционированный доступ к конфиденциальным данным. Каким бы сложным ни казался запуск приложения в фоновом режиме в режиме входа в систему, недавно было обнаружено, что это возможно. Проверка сетевых компьютеров на наличие приложений и оборудования для регистрации ключей становится тенденцией в средах, требующих высокого уровня безопасности. Приложения, которые отслеживают изменения программного и аппаратного обеспечения, бесценны для этой цели и рекомендуются в средах с высоким уровнем безопасности. Аппаратные кейлоггеры могут быть подключены к вашей клавиатуре для записи нажатий клавиш. Версия программного обеспечения — это приложение, которое запускается в фоновом режиме как служба после входа в систему.

Используя следующие рекомендации, вы будете:

1. Обеспечение ответственности в случае любых мошеннических действий или вторжений.

2. Защита сети от злоумышленников, так как пароли очень востребованы.

3. Применение надежных паролей является частью надлежащего корпоративного управления в соответствии со стандартом ISO/IEC 17799:2000(E)

В среде Windows для любой попытки доступа к ресурсу требуется тип аутентификации. Система на основе разрешений широко распространена в большинстве сетевых сред Windows, и если предоставлены неверные учетные данные, доступ к ресурсу будет запрещен. Злоумышленник может использовать этот факт против корпорации. В этом сценарии злоумышленник может распознать, что может существовать политика паролей, которая блокирует 3-5 попыток входа в систему. Затем злоумышленник найдет ресурс, к которому у пользователя есть доступ, и запустит атаку методом перебора или алгоритмом против защищенного разрешения ресурса. Учетные данные будут легко найдены вовремя, и ваш сетевой ресурс больше не будет в безопасности.

Пароли подобны ключам к замкам, если у злоумышленника есть копия вашего ключа, вы обычно перекодируете замок, чтобы использовать новый ключ. Механизм блокировки остался прежним. Это отражает и систему паролей компьютера. Если оставить ключ в месте, к которому злоумышленник может получить доступ или скопировать ключ, это сделает замок бесполезным. Защищайте пароль так же, как вы защищаете ключи от вашего сейфа. Убедитесь, что ваш ключ нелегко скопировать, выберите ключ, который не так легко запомнить другим людям, кроме вас. Примером может быть s3cur1t13, если он написан из буквенно-цифрового кода, он будет читаться как безопасность. Написание его слова намеренно написано таким образом, чтобы отпугнуть злоумышленников. Это также облегчает пользователю запоминание, поскольку оно имеет личную ссылку.

Резюме

Пароли теперь используются как дополнительный уровень безопасности, а не как единственный метод безопасности, как в предыдущие годы. Времена изменились, и были разработаны новые инструменты для взлома паролей. В части B статья будет посвящена домену и локальному компьютеру пользователя, а также важности обеспечения соблюдения политик паролей пользователей. По мере развития технологий мы увидим, что другие более безопасные методы проверки пользователей, такие как биометрия, будут занимать лидирующие позиции в мире информационных технологий. Затем цифровой интеллект начнет играть большую роль при проверке пользователя, и станут очевидными новые методы взлома системы путем использования уязвимостей новых передовых систем. В этом случае поможет надежный контроль и обнаружение вторжений.