35480

Локальна політика безпеки

Лабораторная работа

Информатика, кибернетика и программирование

Мета: Навчитися максимально захищати систему від проникнення та відновлення паролю вбудованими методами до системи. Настроювання параметрів на кожнім з перерахованих кроків надають адміністраторам системи визначену волю дій у тому випадку коли співробітники компанії не виконують вимоги парольної політики на якомусь з етапів. Захист системи від несанкціонованого відновлення паролю Хід роботи: 1. За максимальними параметрами налагодити по крокам парольну безпеку системи використовуючи правила при встановленні паролю.

Украинкский

2013-09-15

29.25 KB

3 чел.

Лабораторна робота №7

Тема: Локальна політика безпеки.

Мета: Навчитися максимально захищати систему від проникнення та відновлення паролю вбудованими методами до системи.

Короткі теоретичні відомості

Локальна політика безпеки доступна тільки на комп'ютерах з операційною системою Windows 2000/ХР, що не є контролерами домена. Якщо комп'ютер є членом домена, ці параметри можуть бути перевизначені політиками, отриманими з домена.

Настроювання параметрів на кожнім з перерахованих кроків надають адміністраторам системи визначену волю дій у тому випадку, коли співробітники компанії не виконують вимоги парольної політики на якомусь з етапів. Наприклад, користувачі не хочуть періодично обновляти свої паролі. У такому випадку адміністратор може послабити парольну політику на цьому рівні, але підсилити вимоги безпеки на двох інші.

Захист системи від несанкціонованого відновлення паролю

Хід роботи:

1. За максимальними параметрами налагодити по крокам парольну безпеку системи використовуючи правила при встановленні паролю.

Крок 1. У каталозі \Computer Configuration\Windows Settings\ Security Settings\Account Policies\ Password Policy  чи Пускпанель керуванняадмініструваннялокальна політика безпекиполітики облікових записівполітика пароляправа кнопка миші Безпека необхідно установити значення параметра Minimum password length (мінімальна довжина пароля). Це допоможе створити надійний, труднообчислюваємий пароль.

Крок 2. Використовувати параметр Passwords must meet complexity requirements(паролі повинні відповідати вимогам), що означає, що пароль зобов'язаний містити символи як мінімум із трьох діапазонів: A-Z, a-z, 0-9, а також неарифметичні символи (наприклад, !, $, #, % ). Для встановлення параметру натисніть праву кнопку миші БезпекаВключон.  

Крок 3. Адміністратор може скористатися опцією Maximum password age для регулярної зміни паролів, що перетворює їх у деяку рухливу сутність. Для того щоб користувачі не змогли повторно задати той же самий пароль, коли система зажадає його поміняти, варто використовувати опцію Enforce password history (вимагати неповторності пароля). З її допомогою в системі Windows 2000 будуть запам'ятовуватися вже «відпрацьовані» паролі. При цьому «глибина» історії задається числом попередніх паролів, повторно використовувати які операційна система не дозволить. Я рекомендую установити значення цього параметра рівним 24 (максимально можливе). Однак може відшукатися користувач, що обчислить це значення і, провівши 24 зміни «за один присід», установить свій єдиний і неповторний пароль (система через 24 спроби «забуде» оригінальний пароль). Щоб цього не відбулося, потрібно установити значення параметра Minimum password age(мінімальний термін дії пароля) рівним одному чи двом дням, і користувачу не удасться застосувати описану тактику.

Крок 4. Щоб поставити додаткові перешкоди «зломщикам», потрібно використовувати можливість блокування.    якщо протягом 24 годин буде виявлено п'ять послідовних невдалих спроб реєстрації з неправильним паролем, операційна система заблокує обліковий запис користувача. Оскільки значення параметра Account lockout duration встановлене в 0, обліковий запис залишиться заблокованої доти, поки користувач особисто не попросить адміністратора розблокувати її. Якщо ж потрібно, щоб блокування облікового запису знімалося автоматично через якийсь час, варто вказати часовий період у параметрі Account lockout duration (скидання лічильника блокування).

Для встановлення Пускпанель керуванняадмініструваннялокальна політика безпекиполітики облікових записівПолитика блокировки учетной записи права кнопка миші Блокировка учетной записи.

Крок 5. Виключити запуск будь – яких DOS програм на машині користувача:

заборонити доступ до фалу %System Root%system32/ntvdm.exeСвойстваБезопасностьВстановити потрібні галочки.

Крок6. Заборонити використовування командного рядка –Групповая политика (ПускВыполнитьgpedit.msc)Конфигурация аользователяАдминистративные шаблоныСистемаЗапрет использования коммандной строкипр.кн.. мишіСвойстваВключена.

Крок 7. Дозволити запуск тільки, конкретних програм - Групповая политикаКонфигурация пользователяАдминистративные шаблоныСистемаВыполнять только разрешения принятые для Windowsпр.кн.. мишіСвойстваВключена.

Крок 8. Зробити недоступними засоби для редагування реєструГрупповая политикаКонфигурация пользователяАдминистративные шаблоныСистемаСделать недоступными средства редактирования реестрапр.кн.. мишіСвойстваВключена.

Крок 9.Відключення передачі по мережі LM хешу і його збереження у реєстріГрупповая политика (gpedit.msc)Конфигурация компьютера Конфигурация WindowsПараметры безопасностиЛокальные политикиПараметры безопасностизмінити значення параметру Уровень проверки подлинности LAN Manger вибравши використовування тільки протоколу NTLMv2 і  Network security: Do not store LAN Manager hast value on text password change встановивши для нього Enabled

Крок 10.Відключити “учетную запись гостя”  для Windows XP.

Крок 11. Відкрийте редактор політик безпеки secpol.msc – Локальные политикиПараметры безопасности і встановіть максимально можливі обмеження в мережі:

Наприклад:

  1.  Параметр  Консоль восстановления: разрешить автоматический вход администратора поставити в положення Disabled для того щоб зловмисник не зміг використати можливість відновлення системи.
  2.  Параметр Не отображать последнего шимени пользователя в диалоге входа в положення Enabled.

2. Перевірте створену вами безпеку системи за кроками.

3. Дайте відповіді на контрольні запитання.

Контрольні запитання:

  1.  Які параметри для захисту системи ви вважаєте обовязковими для локального компютера у домашньому використовуванні.
  2.  Які параметри для захисту системи ви вважаєте обовязковими для компютера при використовуванні організацією.
  3.  При перевірці створеної вами безпеки ви задоволені результатом. Поясніть відповідь.

Додаток №1.

Приблизні правила при встановленні паролю.

  1.  Змінюється кожні 45 днів
  2.  Мінімальна довжина 10 символів
  3.  Повинен містити букви, цифри і спец символи
  4.  Містити символи кожної з трьох наступних груп.

Опис

Приклади

Букви (прописні і рядкові)

A, B, C,...; a, b, c,...

Цифри

0, 1, 2, 3, 4, 5, 6, 7, 8, 9

Символи (не стосовні ні до букв, ні до цифр)

` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

  1.  Усі символи задані у змішаному вигляді
  2.  Слово не з словаря, Не повторює попередні паролі,Мінімальний час до зміни 10 днів
  3.  Після невдалих спроб система блокується на декілька днів

Приклад: Мій день народження 3 травня 1987 року @ 2 години                   Мдн3т1987р@2г

Відслідковування дій користувача. Безпека системи Linux.

Відслідковування дій користувача.

  1.  Перегляд користувачів, які знаходяться в даний час у системі.

Використовується утиліта who.

  1.  Перегляд користувачів, які знаходяться в даний час у системі і які вже не працюють у системі.

Використовується утиліта last.

  1.  Перегляд невдалих спроб введення паролю.

Засіб відслідковування  користувачів, які мають нахабство прорватися до компютера. – утиліта переглядає, як часто користувачі вводять некоректні паролі для конкретних учетних записів – lastd

  1.  Виведння на екран переліку всіх користувачів з датами їх останнього підключення до системи. – lastlog (ім’я користувача, порт або термінал, адреса комп’ютера, якщо вхід через мережу, час входу)
  2.  Визначити, які файли і якими користувачами відкриті в даний момент - isof
  3.  Перегляд списку користувачів які у даний момент зареєстровані у системі users
  4.  Виявлення не використовуємих записів.

Використовується коли робітник переходить на іншу роботу для запобігання доступу до системи.

Метод №1.

Зробити неактивного деякого користувача можливо за допомогою команди usermod.

usermod –e 2005–07-04 kecha

Дана команда повідомить системі про те, що час дії запису закінчується 2005.07.04

Метод добрий, коли наперед знаєте про звільнення робітника.

Метод №2.

Менш радикальний метод складається в обмеженні часу дії паролю. При цьому користувач повинен регулярно, наприклад раз у місяць, задавати новий пароль. Вказати, що пароль дійсний лише за обмежений час, можливо за допомогою наступної команди:

chage –M 30 –W5 kecha.

Дана команда повідомить системі, що користувач kecha повинен задавати новий пароль кожні 30 днів і що за 5 днів до закінчення часу дії поточного паролю він повинен отримати повідомлення про це.

Примітка: Деякі учетні записи не мають реєстрацію користувачів, тому в даному випадку потрібно створити завдання для cron і надіслати електронною поштою користувачу повідомлення про закінчення часу паролю.

  1.  Виявлення випадків незаконного використання учетних записів.

Одним з признаків не законного використовування учетних записів можуть бути  незвичайні дії користувачів, зареєстрованих у файлах протоколів /var/log/messages  і /var/log/secure

  1.  Перегляд служб системи.

Для того, щоб захистити свою системи, потрібно знати, які служби в ній запущені. Демон – inetd – процес обробки стандартних служб Internet. Даний процес звичайно запускається при завантаженні системи і налагоджується за допомогою файлу, в якому вказуються які служби повинні бути запущені. Inetd використовує файл /etc/intd.conf. Редагуя файл, можливо вказати системі , які служби повинні бути запущені.

Кожен рядок цього файлу відповідає за одну службу.

Переглянути служби можливо за допомогою наступної утиліти.

КСистемаСлужбы

Способи відключення сервісів:

  1.  подивитися у файлі /etc/inetd.conf, які сервіси надаються через inetd. Щоб виключити усе, що не треба,  закоментуйте відповідні рядки.
  2.  видалити (чи закоментувати) відповідні сервіси у файлі /etc/services.

Примітка: не варто видаляти сервіси, якщо це не приносить додаткового підвищення рівня безпеки. (видаляє пакет команда rpm –e)

сервіси, які  потрібно залишити включеними:

  1.  ftp ,telnet ,mail, такі як pop-3 чи imap ,identd ,time ,
  2.  Перегляд журналів безпеки Файли /var/log/wtmp і /var/run/utmp містять запису реєстрації для всіх користувачів у вашій системі. Їхнє нагромадження повинне підтримуватися постійно, оскільки їх можна використовувати для визначення коли і відкіля користувач (чи потенційний зломщик) ввійшов у вашу систему.
  3.  Використання SUID и SGID

SUID і SGID файли у вашій системі є потенційними носіями ризику вашої безпеки, тому повинні бути під постійним і ретельним спостереженням. Оскільки ці програми надають спеціальні привілеї користувачам, що запускають їх, необхідно переконатися, що небезпечні програми не встановлені. Улюбленим прийомом хакерів є розробка програм з SUID "root", і потім залишити їх у системі як "чорний хід" для одержання доступу наступного разу, навіть якщо споконвічно використана "діра" вже і буде закрита.

Знайдіть усі SUID/SGID програми у вашій системі і подивіться, що вони із себе представляють, у такий спосіб ви будете знати, що будь-яка зміна в них є індикатором можливого злому. Щоб знайти всі SUID/SGID програми у вашій системі використовуйте наступну команду:

               root#  find / -type f \( -perm -04000 -o -perm -02000 \)

Параметри команди find директорія \файл\ -ls

Примітка: Для пошуку файлів можливо скористатися уомандою  locate file

Ви можете забрати всі SUID чи SGID права для всіх підозрілих програм використовуючи chmod(1), а потім поставити назад, якщо ви будете абсолютно упевнені в необхідності цього.

Управління доступом:

Згадайте команду lsla

Для зміни володаря файлу існує команда chown

Наприклад зробимо володарем файлу kecha користувача root

chown root kecha

Для зміни групи використовується команда chgrp

chgrp root kecha

Права за мовчанням

При створенні нового файлу або каталогу за мовчанням встановлюються наступні права -rw-rw-r--

Для того, щоб права були тільки для володаря файлу потрібно змінити маску за замовчуванням

Тобто ввести команду umask 077

Тепер права до файлу за замовчуванням отримаємо такі drwx- --- ---

Примітка: Обрахування маски

Наприклад встановлюємо права 666. Якщо маска дорівнює 002 отримаємо 666-002=644

Для 777 з маскою 077 отримаємо 700 тобто drwx- --- ---

Встановлення sticky біт

Для того, щоб у каталозі видаляли файли тільки володарі потрібно встановити sticky – біт

сhmod +t ім’я файлу.

Перегляньте командою lsal

Замість х ви побачите t. Якщо спробувати видалити файл з директорії, який належить іншому користувачу, то виведеться повідомлення про неможливість видалення.

Взлом системи використовуючи права.

Наприклад маємо доступ до системи під root

  1.  Відкриваємо файл /etc/passwd
  2.  Шукаємо нульовий ID, він як раз і саже нам, що даний користувач root (3, 4 запис)
  3.  Створюємо іншого власника з такими ж правами
  4.  Заходимо до системи під створеним користувачем і ви господарь системи

ТОМУ

  1.  встановлюйте індентифікатор вищий 0, якщо і зайде взломщик під ним, то буде звичайним користувачем.
  2.  Створюйте інщий запис а запис root видаляйте.

Зловмисник може відредагувати будь який інший запис тому потрібно слідкувати  за подібними явищами і припиняти будь які спроби це зробити.

Команда id дозволяє дізнатися індентифікатори користувача.

Завдання на лабораторну роботу:

  1.  Перегляньте кориcтувачів, які знаходяться в даний час у системі.
  2.  Перегляньте користувачів, які знаходяться в даний час у системі і які вже не працюють у системі.
  3.  Перегляньте невдалі спроби введення паролю.
  4.  Перегляньте чи є не використовуємі запити.
  5.  Виявіть чи були випадки незаконного використання учетних записів.
  6.  Перегляньте  служби системи.
  7.  Відключіть не потрібні сервіси:
  8.  Перегляньте журнали безпеки
  9.  Забороніть і перегляньте використання SUID и SGID
  10.  Створіть файл. Перегляньте його права. Встановіть маску. Створіть файд знову та перегляньте його права.
  11.  Встановіть sticky біт для створенного каталогу.
  12.  Взломайте системи найспростішим засобом та захистіть іїї від нього.
  13.  Поверніть все назад.
  14.  Перевірте працездатність вашої роблти на лабораторній роботі.

Контрольні запитання:

  1.  Яким чином перевірити систему на безпеку.
  2.  Способи відключення сервісів
  3.  Використання SUID и SGID
  4.  Яким чином виявити невикористовуємі записи
  5.  Дайте характеристику журналів системи.
  6.  Яким чином відбувається злом системи.

 

А также другие работы, которые могут Вас заинтересовать

80483. УКРАЇНСЬКА ДЕРЖАВА ТА ПРАВО В РОКИ ВИЗВОЛЬНОЇ ВІЙНИ. ЕВОЛЮЦІЯ ДЕРЖАВНО - ПРАВОВОЇ СИСТЕМИ (середина ХVІІ – ХVІІІ ст.ст.) 218 KB
  Політичне та економічне становище України було дуже тяжким. Український історик і юрист Андрій Яковлів підкреслював що українським проектом договору гарантувалася повнота внутрішньої автономії держави й усувалося будьяке втручання влади московського царя у внутрішні справи України. Самостійність України визнавалась і на міжнародній арені. Спочатку і Москва ставилась до України як до вільної держави.
80484. УТВОРЕННЯ УКРАЇНСЬКОЇ РАДЯНСЬКОЇ РЕСПУБЛІКИ. ДЕРЖАВА І ПРАВО УСРР В РОКИ ГРОМАДЯНСЬКОЇ ВІЙНИ І ВОЄННОЇ ІНТЕРВЕНЦІЇ 122.5 KB
  Радянське державне будівництво в Україні в умовах громадянської війни та воєнної інтервенції весна 1918 кінець 1920 рр. в Україні розгорталися в загальному контексті громадянської війни на території Росії. Під час збройної боротьби на політичну арену вийшли різноманітні отамани діяльність яких стала однією з характерних рис громадянської війни в Україні. Більшовики спираючись на допомогу радянської Росії докладали чимало зусиль щоб відновити в Україні радянську владу.
80485. СУСПІЛЬНО-ПОЛІТИЧНИЙ ЛАД І ПРАВО УКРАЇНИ В ПЕРІОД З ПОЧАТКУ XX ст. до 1917 року 27.16 KB
  Кожний стан поділявся на групи становища які мали особливі тільки їм надані законом права та обов\'язки. У Луганську та Катеринославі Ради розпустили міські думи і провели роботу по підготовці виборів нового складу цих органів на засадах загального та рівного виборчого права. Вона містила норми про права підданих яких не було в попередніх редакціях Основних законів. Джерела права.
80486. УКРАЇНСЬКА НАЦІОНАЛЬНА ДЕРЖАВНІСТЬ (листопад 1917 — квітень 1918 рр.) 49.43 KB
  Центральна Рада вважала що в такій ситуації можливий єдиний вихід щоб вона стала дійсною фактичною крайовою владою це утворення Української Народної Республіки. Особливе місце в структурі вищих органів УНР займала Центральна Рада. У III Універсалі міститься конструкція згідно з якою Центральна Рада поставлена українським народом разом з братніми народами України. берегти права здобуті боротьбою а в IV Універсалі сказано: Ми Українська Центральна Рада представниця робочого народу селян робітників і солдатів .
80487. СУСПІЛЬНО-ПОЛІТИЧНИЙ ЛАД І ПРАВО УКРАЇНИ В ПЕРІОД УТВЕРДЖЕННЯ КАПІТАЛІЗМУ (друга половина XIX – поч. ХХ ст.) 43.41 KB
  Сільські і волосні органи самоуправління були підпорядковані не тільки системі державних органів управління селянами мировим посередникам повітовим мировим з\'їздам і губернським по селянських справах присутствіям але й поміщикам. Сфера діяльності нових органів всестанового самоврядування була обмежена господарськокультурними справами: освітою охороною здоров\'я торгівлею будівництвом та ін. Маніфест декларував створення Державної думи як законодавчого органу на основі загального виборчого права а також введення громадянських свобод. У...
80488. ГАЛИЦЬКО-ВОЛИНСЬКЕ КНЯЗІВСТВО — ПРОДОВЖЕННЯ ТРАДИЦІЇ РУСЬКО-УКРАЇНСЬКОЇ ДЕРЖАВНОСТІ (перша пол. XIII — друга пол. XIV ст.) 40.5 KB
  Державний лад та правова система Галицько Волинського князівства. У Новгороді та Пскові утворилися феодальні республіки у ВолодимироСуздальській землі утвердилась одноосібна влада князя в ГалицькоВолинській землі великий вплив на владні відносини мала боярська аристократія. Вершини могутності ГалицькоВолинське князівство досягло під час князювання Романа Мстиславича...
80489. УКРАЇНСЬКА НАЦІОНАЛЬНА ДЕРЖАВНІСТЬ (листопад 1917 — квітень 1921 рр.) 53.6 KB
  Слід звернути увагу й на заяву Ради міністрів Української держави від 10 травня: Гетьман не думає стати самодержцем. 15 жовтня було оприлюднено листа Скоропадського голові Ради Міністрів в якому він вказуючи на завершення першого періоду будування Української держави наголошував на тому що настав вже час приступити до вироблення закону який має завершити нашу планомірну працю по будуванню державності а саме до вироблення закону про вибори до Державного Сейму . На відміну від системи центральних органів Української держави формування...
80490. ДЕРЖАВА І ПРАВО УКРАЇНИ В УМОВАХ НОВОЇ ЕКОНОМІЧНОЇ ПОЛІТИКИ (1921 — початок 1929 рр.) 59.71 KB
  Формально правову основу організації та діяльності державного механізму республіки на початку 20х років визначала Конституція УСРР 1919 р. розпочалася робота з підготовки реформи адміністративнотериторіального устрою УСРР де все ще зберігалися волості повіти і губернії. закладалися правові основи адміністративнотериторіальної реформи УСРР.
80491. ДЕРЖАВА І ПРАВО УКРАЇНИ В ПЕРІОД ТОТАЛІТАРНО-РЕПРЕСИВНОГО РЕЖИМУ (1929-1941 рр.) 208 KB
  Правовий статус України її місце у складі союзної держави Союзу РСР були законодавчо закріплені як в Конституції СРСР 1924 р. Слід мати на увазі що Всеукраїнський з\'їзд керувався директивами Комуністичної партії та постановами Всесоюзних зїздів Рад і ЦВК СРСР. вона мала право: видавати декрети постанови і розпорядження ті з них які визначали загальні норми економічного та політичного життя або вносили докорінні зміни в практику діяльності установ республіки підлягали затвердженню сесією ВУЦВК; припиняти дію і відміняти постанови...