Получение доступа к учетной записи администратора и соответственно к его правам. Защита учетных записей в корпоративных сетях

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ

Кафедра Вычислительной Техники

Лабораторная работа №5

по курсу: ”Технология защиты корпоративных сетей связи”

“Учетные записи”

Преподаватель:  профессор

Составили студенты гр. 5111:

Санкт-Петербург,

2009

Довольно часто совершаются атаки на учетные записи, с целью получить доступ к учетной записи администратора и соответственно к его правам. Поэтому защита учетных записей, особенно в корпоративных сетях имеет очень большое значение.  В данном случае мы будем рассматривать удаленный, локальный ПК не входящий в состав сети. При установке ОС Windows создаётся гостевая учетная запись, которая сама по себе никак не улучшает безопасность компьютера. Соответственно её следует отключить. Название учетной записи администратора всегда стандартно, что имеет как свои плюсы, так и минусы. Всего 2 возможных варианта (”Администратор” или “Administrator”).  Но это можно использовать в качестве уловки, переименовав  учетную запись действительного администратора на другую, а под  именем ”Администратор” создать запись с ограниченными возможностями. Что создаст дополнительные сложности атакующему. В действительности же, с каждой учетной записью сопоставляется SID, и по нему можно спокойно узнать какой из пользователей действительно администратор. Что делает подобные уловки довольно простыми.

Для защиты учетных записей существуют политики, которые можно редактировать (secpol.msc). Здесь мы  можем редактировать как политику паролей, так и политику блокировки учетных записей.  При помощи политики паролей мы можем усложнить пароль пользователя: длину, алфавит, запрет повторений, срок действия. Политика блокировки позволяет блокировать учетную запись после N-ного числа неудачных попыток ввода пароля. Но, к сожалению, эти политики бесполезны, если нет других средств защиты. Поскольку загрузившись с накопителя можно запустить программу сбрасывающую пароль администратора, что сведет на нет все политики безопасности учетных записей. Таким образом надо использовать её вместе с защитой BIOS, которая будет заключаться не просто в установке пароля на него. Разбиение пользователей на несколько групп вполне логичный ход, поскольку позволяет применять созданный шаблон к пользователям с необходимыми правами и ограничениями. Что существенно упрощает задачу администрирования. Но возможность смены пароля администратора другим пользователем, входящим в группу администраторов настораживает, потому как сделать это крайне просто, а последствия могут быть печальными.

Сама идея учетных записей устарела, поскольку время, когда на одном ПК работали несколько пользователей уже прошли. В данный момент практически любая организация способна предоставить своему сотруднику персональное рабочее место.  И большее внимание следует уделять не пользователю, а процессам и приложениям, которые запускаются. Поскольку к каждому рабочему месту пользователей фактически необходим индивидуальный подход.

В качестве заключения, хотел бы сказать, что для пользователя, работающего на своем домашнем ПК, учетные записи и политики не столь актуальны, в отличие от корпоративных пользователей. Где необходимо классифицировать пользователей, давать им определенные права на доступ к каким либо ресурсам или права администрирования локальной сети. Использование политик учетных записей в качестве единственного средства защиты для рабочего ПК неприемлемо, поскольку необходим комплекс мер для обеспечения безопасности.