35480

Локальна політика безпеки

Лабораторная работа

Информатика, кибернетика и программирование

Мета: Навчитися максимально захищати систему від проникнення та відновлення паролю вбудованими методами до системи. Настроювання параметрів на кожнім з перерахованих кроків надають адміністраторам системи визначену волю дій у тому випадку коли співробітники компанії не виконують вимоги парольної політики на якомусь з етапів. Захист системи від несанкціонованого відновлення паролю Хід роботи: 1. За максимальними параметрами налагодити по крокам парольну безпеку системи використовуючи правила при встановленні паролю.

Украинкский

2013-09-15

29.25 KB

3 чел.

Лабораторна робота №7

Тема: Локальна політика безпеки.

Мета: Навчитися максимально захищати систему від проникнення та відновлення паролю вбудованими методами до системи.

Короткі теоретичні відомості

Локальна політика безпеки доступна тільки на комп'ютерах з операційною системою Windows 2000/ХР, що не є контролерами домена. Якщо комп'ютер є членом домена, ці параметри можуть бути перевизначені політиками, отриманими з домена.

Настроювання параметрів на кожнім з перерахованих кроків надають адміністраторам системи визначену волю дій у тому випадку, коли співробітники компанії не виконують вимоги парольної політики на якомусь з етапів. Наприклад, користувачі не хочуть періодично обновляти свої паролі. У такому випадку адміністратор може послабити парольну політику на цьому рівні, але підсилити вимоги безпеки на двох інші.

Захист системи від несанкціонованого відновлення паролю

Хід роботи:

1. За максимальними параметрами налагодити по крокам парольну безпеку системи використовуючи правила при встановленні паролю.

Крок 1. У каталозі \Computer Configuration\Windows Settings\ Security Settings\Account Policies\ Password Policy  чи Пускпанель керуванняадмініструваннялокальна політика безпекиполітики облікових записівполітика пароляправа кнопка миші Безпека необхідно установити значення параметра Minimum password length (мінімальна довжина пароля). Це допоможе створити надійний, труднообчислюваємий пароль.

Крок 2. Використовувати параметр Passwords must meet complexity requirements(паролі повинні відповідати вимогам), що означає, що пароль зобов'язаний містити символи як мінімум із трьох діапазонів: A-Z, a-z, 0-9, а також неарифметичні символи (наприклад, !, $, #, % ). Для встановлення параметру натисніть праву кнопку миші БезпекаВключон.  

Крок 3. Адміністратор може скористатися опцією Maximum password age для регулярної зміни паролів, що перетворює їх у деяку рухливу сутність. Для того щоб користувачі не змогли повторно задати той же самий пароль, коли система зажадає його поміняти, варто використовувати опцію Enforce password history (вимагати неповторності пароля). З її допомогою в системі Windows 2000 будуть запам'ятовуватися вже «відпрацьовані» паролі. При цьому «глибина» історії задається числом попередніх паролів, повторно використовувати які операційна система не дозволить. Я рекомендую установити значення цього параметра рівним 24 (максимально можливе). Однак може відшукатися користувач, що обчислить це значення і, провівши 24 зміни «за один присід», установить свій єдиний і неповторний пароль (система через 24 спроби «забуде» оригінальний пароль). Щоб цього не відбулося, потрібно установити значення параметра Minimum password age(мінімальний термін дії пароля) рівним одному чи двом дням, і користувачу не удасться застосувати описану тактику.

Крок 4. Щоб поставити додаткові перешкоди «зломщикам», потрібно використовувати можливість блокування.    якщо протягом 24 годин буде виявлено п'ять послідовних невдалих спроб реєстрації з неправильним паролем, операційна система заблокує обліковий запис користувача. Оскільки значення параметра Account lockout duration встановлене в 0, обліковий запис залишиться заблокованої доти, поки користувач особисто не попросить адміністратора розблокувати її. Якщо ж потрібно, щоб блокування облікового запису знімалося автоматично через якийсь час, варто вказати часовий період у параметрі Account lockout duration (скидання лічильника блокування).

Для встановлення Пускпанель керуванняадмініструваннялокальна політика безпекиполітики облікових записівПолитика блокировки учетной записи права кнопка миші Блокировка учетной записи.

Крок 5. Виключити запуск будь – яких DOS програм на машині користувача:

заборонити доступ до фалу %System Root%system32/ntvdm.exeСвойстваБезопасностьВстановити потрібні галочки.

Крок6. Заборонити використовування командного рядка –Групповая политика (ПускВыполнитьgpedit.msc)Конфигурация аользователяАдминистративные шаблоныСистемаЗапрет использования коммандной строкипр.кн.. мишіСвойстваВключена.

Крок 7. Дозволити запуск тільки, конкретних програм - Групповая политикаКонфигурация пользователяАдминистративные шаблоныСистемаВыполнять только разрешения принятые для Windowsпр.кн.. мишіСвойстваВключена.

Крок 8. Зробити недоступними засоби для редагування реєструГрупповая политикаКонфигурация пользователяАдминистративные шаблоныСистемаСделать недоступными средства редактирования реестрапр.кн.. мишіСвойстваВключена.

Крок 9.Відключення передачі по мережі LM хешу і його збереження у реєстріГрупповая политика (gpedit.msc)Конфигурация компьютера Конфигурация WindowsПараметры безопасностиЛокальные политикиПараметры безопасностизмінити значення параметру Уровень проверки подлинности LAN Manger вибравши використовування тільки протоколу NTLMv2 і  Network security: Do not store LAN Manager hast value on text password change встановивши для нього Enabled

Крок 10.Відключити “учетную запись гостя”  для Windows XP.

Крок 11. Відкрийте редактор політик безпеки secpol.msc – Локальные политикиПараметры безопасности і встановіть максимально можливі обмеження в мережі:

Наприклад:

  1.  Параметр  Консоль восстановления: разрешить автоматический вход администратора поставити в положення Disabled для того щоб зловмисник не зміг використати можливість відновлення системи.
  2.  Параметр Не отображать последнего шимени пользователя в диалоге входа в положення Enabled.

2. Перевірте створену вами безпеку системи за кроками.

3. Дайте відповіді на контрольні запитання.

Контрольні запитання:

  1.  Які параметри для захисту системи ви вважаєте обовязковими для локального компютера у домашньому використовуванні.
  2.  Які параметри для захисту системи ви вважаєте обовязковими для компютера при використовуванні організацією.
  3.  При перевірці створеної вами безпеки ви задоволені результатом. Поясніть відповідь.

Додаток №1.

Приблизні правила при встановленні паролю.

  1.  Змінюється кожні 45 днів
  2.  Мінімальна довжина 10 символів
  3.  Повинен містити букви, цифри і спец символи
  4.  Містити символи кожної з трьох наступних груп.

Опис

Приклади

Букви (прописні і рядкові)

A, B, C,...; a, b, c,...

Цифри

0, 1, 2, 3, 4, 5, 6, 7, 8, 9

Символи (не стосовні ні до букв, ні до цифр)

` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

  1.  Усі символи задані у змішаному вигляді
  2.  Слово не з словаря, Не повторює попередні паролі,Мінімальний час до зміни 10 днів
  3.  Після невдалих спроб система блокується на декілька днів

Приклад: Мій день народження 3 травня 1987 року @ 2 години                   Мдн3т1987р@2г

Відслідковування дій користувача. Безпека системи Linux.

Відслідковування дій користувача.

  1.  Перегляд користувачів, які знаходяться в даний час у системі.

Використовується утиліта who.

  1.  Перегляд користувачів, які знаходяться в даний час у системі і які вже не працюють у системі.

Використовується утиліта last.

  1.  Перегляд невдалих спроб введення паролю.

Засіб відслідковування  користувачів, які мають нахабство прорватися до компютера. – утиліта переглядає, як часто користувачі вводять некоректні паролі для конкретних учетних записів – lastd

  1.  Виведння на екран переліку всіх користувачів з датами їх останнього підключення до системи. – lastlog (ім’я користувача, порт або термінал, адреса комп’ютера, якщо вхід через мережу, час входу)
  2.  Визначити, які файли і якими користувачами відкриті в даний момент - isof
  3.  Перегляд списку користувачів які у даний момент зареєстровані у системі users
  4.  Виявлення не використовуємих записів.

Використовується коли робітник переходить на іншу роботу для запобігання доступу до системи.

Метод №1.

Зробити неактивного деякого користувача можливо за допомогою команди usermod.

usermod –e 2005–07-04 kecha

Дана команда повідомить системі про те, що час дії запису закінчується 2005.07.04

Метод добрий, коли наперед знаєте про звільнення робітника.

Метод №2.

Менш радикальний метод складається в обмеженні часу дії паролю. При цьому користувач повинен регулярно, наприклад раз у місяць, задавати новий пароль. Вказати, що пароль дійсний лише за обмежений час, можливо за допомогою наступної команди:

chage –M 30 –W5 kecha.

Дана команда повідомить системі, що користувач kecha повинен задавати новий пароль кожні 30 днів і що за 5 днів до закінчення часу дії поточного паролю він повинен отримати повідомлення про це.

Примітка: Деякі учетні записи не мають реєстрацію користувачів, тому в даному випадку потрібно створити завдання для cron і надіслати електронною поштою користувачу повідомлення про закінчення часу паролю.

  1.  Виявлення випадків незаконного використання учетних записів.

Одним з признаків не законного використовування учетних записів можуть бути  незвичайні дії користувачів, зареєстрованих у файлах протоколів /var/log/messages  і /var/log/secure

  1.  Перегляд служб системи.

Для того, щоб захистити свою системи, потрібно знати, які служби в ній запущені. Демон – inetd – процес обробки стандартних служб Internet. Даний процес звичайно запускається при завантаженні системи і налагоджується за допомогою файлу, в якому вказуються які служби повинні бути запущені. Inetd використовує файл /etc/intd.conf. Редагуя файл, можливо вказати системі , які служби повинні бути запущені.

Кожен рядок цього файлу відповідає за одну службу.

Переглянути служби можливо за допомогою наступної утиліти.

КСистемаСлужбы

Способи відключення сервісів:

  1.  подивитися у файлі /etc/inetd.conf, які сервіси надаються через inetd. Щоб виключити усе, що не треба,  закоментуйте відповідні рядки.
  2.  видалити (чи закоментувати) відповідні сервіси у файлі /etc/services.

Примітка: не варто видаляти сервіси, якщо це не приносить додаткового підвищення рівня безпеки. (видаляє пакет команда rpm –e)

сервіси, які  потрібно залишити включеними:

  1.  ftp ,telnet ,mail, такі як pop-3 чи imap ,identd ,time ,
  2.  Перегляд журналів безпеки Файли /var/log/wtmp і /var/run/utmp містять запису реєстрації для всіх користувачів у вашій системі. Їхнє нагромадження повинне підтримуватися постійно, оскільки їх можна використовувати для визначення коли і відкіля користувач (чи потенційний зломщик) ввійшов у вашу систему.
  3.  Використання SUID и SGID

SUID і SGID файли у вашій системі є потенційними носіями ризику вашої безпеки, тому повинні бути під постійним і ретельним спостереженням. Оскільки ці програми надають спеціальні привілеї користувачам, що запускають їх, необхідно переконатися, що небезпечні програми не встановлені. Улюбленим прийомом хакерів є розробка програм з SUID "root", і потім залишити їх у системі як "чорний хід" для одержання доступу наступного разу, навіть якщо споконвічно використана "діра" вже і буде закрита.

Знайдіть усі SUID/SGID програми у вашій системі і подивіться, що вони із себе представляють, у такий спосіб ви будете знати, що будь-яка зміна в них є індикатором можливого злому. Щоб знайти всі SUID/SGID програми у вашій системі використовуйте наступну команду:

               root#  find / -type f \( -perm -04000 -o -perm -02000 \)

Параметри команди find директорія \файл\ -ls

Примітка: Для пошуку файлів можливо скористатися уомандою  locate file

Ви можете забрати всі SUID чи SGID права для всіх підозрілих програм використовуючи chmod(1), а потім поставити назад, якщо ви будете абсолютно упевнені в необхідності цього.

Управління доступом:

Згадайте команду lsla

Для зміни володаря файлу існує команда chown

Наприклад зробимо володарем файлу kecha користувача root

chown root kecha

Для зміни групи використовується команда chgrp

chgrp root kecha

Права за мовчанням

При створенні нового файлу або каталогу за мовчанням встановлюються наступні права -rw-rw-r--

Для того, щоб права були тільки для володаря файлу потрібно змінити маску за замовчуванням

Тобто ввести команду umask 077

Тепер права до файлу за замовчуванням отримаємо такі drwx- --- ---

Примітка: Обрахування маски

Наприклад встановлюємо права 666. Якщо маска дорівнює 002 отримаємо 666-002=644

Для 777 з маскою 077 отримаємо 700 тобто drwx- --- ---

Встановлення sticky біт

Для того, щоб у каталозі видаляли файли тільки володарі потрібно встановити sticky – біт

сhmod +t ім’я файлу.

Перегляньте командою lsal

Замість х ви побачите t. Якщо спробувати видалити файл з директорії, який належить іншому користувачу, то виведеться повідомлення про неможливість видалення.

Взлом системи використовуючи права.

Наприклад маємо доступ до системи під root

  1.  Відкриваємо файл /etc/passwd
  2.  Шукаємо нульовий ID, він як раз і саже нам, що даний користувач root (3, 4 запис)
  3.  Створюємо іншого власника з такими ж правами
  4.  Заходимо до системи під створеним користувачем і ви господарь системи

ТОМУ

  1.  встановлюйте індентифікатор вищий 0, якщо і зайде взломщик під ним, то буде звичайним користувачем.
  2.  Створюйте інщий запис а запис root видаляйте.

Зловмисник може відредагувати будь який інший запис тому потрібно слідкувати  за подібними явищами і припиняти будь які спроби це зробити.

Команда id дозволяє дізнатися індентифікатори користувача.

Завдання на лабораторну роботу:

  1.  Перегляньте кориcтувачів, які знаходяться в даний час у системі.
  2.  Перегляньте користувачів, які знаходяться в даний час у системі і які вже не працюють у системі.
  3.  Перегляньте невдалі спроби введення паролю.
  4.  Перегляньте чи є не використовуємі запити.
  5.  Виявіть чи були випадки незаконного використання учетних записів.
  6.  Перегляньте  служби системи.
  7.  Відключіть не потрібні сервіси:
  8.  Перегляньте журнали безпеки
  9.  Забороніть і перегляньте використання SUID и SGID
  10.  Створіть файл. Перегляньте його права. Встановіть маску. Створіть файд знову та перегляньте його права.
  11.  Встановіть sticky біт для створенного каталогу.
  12.  Взломайте системи найспростішим засобом та захистіть іїї від нього.
  13.  Поверніть все назад.
  14.  Перевірте працездатність вашої роблти на лабораторній роботі.

Контрольні запитання:

  1.  Яким чином перевірити систему на безпеку.
  2.  Способи відключення сервісів
  3.  Використання SUID и SGID
  4.  Яким чином виявити невикористовуємі записи
  5.  Дайте характеристику журналів системи.
  6.  Яким чином відбувається злом системи.

 

А также другие работы, которые могут Вас заинтересовать

27990. Биогенная нагрузка на агроэкосистему и ее снижение с помощью противоэрозийных инженерно-биологических систем 3.22 KB
  друг с другом и с ОС система приобретает свойства способствующие достижению устойчивости и продуктивности агроландшафта а также охране природы такие системы называют противоэрозионными инженернобиологическими системами водосборов ПИБС. По категориям сложности ПИБС бывают простыми с ложными. Сложные ПИБС подразделяются на определенное число подсистем подсистемы на пахотных природораздельных землях в звеньях гидрографической сети в водоохранных зонах рек и др. Состав формирующихся ПИБС водосборов...
27991. Направления природоохранной деятельности в системе агропромышленного комплекса 2.98 KB
  Алгоритм реализации природоохранной деятельности: 1 природноэкономические особенности хозяйства; 2 прогноз антропогенных изменений природного комплекса и их влияния на развитие хозяйства; 3 система мер комплексной охраны природы на территории хозяйства. Система мер охраны природы на территории хозяйства: сохранение и создание зеленых насаждений в населенных пунктах вдоль рек дорог постройка очистных сооружений предотвращение смыва удобрений в водоемы меры по экономному использованию земель под...
27992. Оптимизация аграрного производства. Баланс биогенных веществ и агробиоценозов 4.71 KB
  Для успешного функционирования данная форма земледелия должна быть дополнена организационными ландшафтноструктурными и законодательными отношениями направленными на создание благоприятных условий хозяйствам решившим перейти на экологическую форму. А именно: обеспечением финансовой поддержки для приобретения необходимого инвентаря биологических средств защиты растений и компенсации потери урожайности в переходный период; оказанием помощи в разработке правовой и нормативной документации и регламентов сертификации...
27993. Оптимизация использования минеральных удобрений и химических средств повышения плодородия 6.59 KB
  Применение органических и минеральных удобрений одно из основных условий повышения урожайности сельскохозяйственных культур а также важное звено технологий их выращивания. Использование удобрений особенно органических позволяет возвращать и вовлекать в круговорот питательные вещества взамен изъятых из агроценозов с основной и побочной продукцией обеспечивая таким образом определенную устойчивость продукционных процессов. Основными причинами загрязнения окружающей среды удобрениями считают несовершенство...
27994. Оптимизация ландшафта с х территорий, как фактор повышения устойчивости агроэкосистем 10.68 KB
  Агроландшафты являются целостными генетически однородными пространственновременными единицами несмотря на то что определенная часть их естественного растительного покрова замена агроценозами Целевая установка сельского хозяйства объективно направлена на получение максимума биологической продукции. Важное условие экологизации сельского хозяйства использование биоценологических экосистемных принципов. В противном случае несоответствие сложившейся специализации сельского хозяйства потенциальным...
27995. Основные виды токсикантов, содержащиеся в пищевых продуктах, тяжелые металлы, остаточное каличество пестицидов, нитриты, радиоактивные элементы, действие токсикантов на человека и теплокровных животных 20.2 KB
  Отравления вызванные живыми микробами попавшими в организм с пищей называют пищевыми токсикоинфекциями. Это сальмонелла кишечная палочка и условно патогенные микроорганизмы. При этих заболеваниях образование микроорганизмами яда токсина происходит в организме. Токсическое действие некоторых соединений на организм человека заключается в способности токсических веществ вызывать отравление организма выражающееся в различных клинико анатомических проявлениях.
27996. Основные с/х ресурсы и их характеристика по зонам Западной Сибири 12.22 KB
  Рациональное использование природноресурсного потенциала с х производства.Для учета и рационального использования климатических ресурсов важно соблюдать соответствие классификаций климата; классификациям сельскохозяйственного производства т. Значение воды на всех стадиях производства сельскохозяйственной продукции общеизвестно. Предотвратить истощение и загрязнение водных ресурсов призваны экологизация промышленного и сельскохозяйственного производства и городского хозяйства очистка природных и сточных вод мелиоративные...
27997. Отрицательное воздействие промышленного животноводства на природные комплексы и их компоненты 3.22 KB
  При переходе животноводства на промышленную основу возникла проблема утилизации навозных стоков и безподстилочного навоза. Вблизи животноводческих ферм образуется огромное скопление навоза происходит нитратное и микробное загрязнение почв растительности поверхностных и грунтовых вод которое в 810 раз превышает естественный фон загрязнения почвенного и снежного покрова. При выборе места для размещения живких комплексов должны быть учтены возможности утилизации навоза и производственных стоков с учетом...
27998. Оценка изменения агроэкологических показателей плодородия почв и их функций: природная сопротивляемость, буферность, способность к биологическому, физическому и химическому самоочищению 5.3 KB
  Это связано со следующими обстоятельствами: охватом антропогенными нагрузками больших площадей иногда практически на 100; малой лесистостью и небольшими площадями луговостепных участков; значительной обнаженностью дефдированностью и эродированностью почвенного покрова; преобладанием определенных видов загрязнения в почве воде и грунтах связанных с удобрениями. Наибольшей буферной емкостью и способностью снижать негативное влияние загрязняющих веществ на растительные и животные организмы обладают почвы с...