Операционные системы - статьи

Рекомендации администраторам


Продуманная конфигурация системы - чрезвычайно важный аспект защиты учетных записей с административными привилегиями. Однако не менее важно выработать строгую систему правил применения административных учетных записей.

Я не рекомендую использовать встроенную учетную запись Administrator в ежедневной работе. Поскольку эта запись - первая цель злоумышленников, ею лучше пользоваться для отслеживания попыток проникновения в систему. Если активизировать аудит регистрации пользователей и воздерживаться от применения учетной записи Administrator, можно быстро обнаружить активное зондирование этой учетной записи в журнале безопасности системы (Event ID 528 - успешная регистрация, Event ID 529 - ошибка регистрации).

Еще один повод не использовать в работе учетную запись Administrator - необходимость идентификации самих администраторов системы. Если несколько человек работают с учетной записью Administrator (или любой другой учетной записью), нет возможности идентифицировать самого человека. С помощью аудита в этом случае нельзя определить, кто чем занимался. Следовательно, имеет смысл создавать для каждого администратора системы отдельную учетную запись. Многие полагают, что увеличение числа административных учетных записей повышает вероятность "взлома" системы. Но, в конце концов, используется ли одна учетная запись Administrator или несколько с эквивалентными полномочиями, все равно число пользователей, которые могут случайно раскрыть свой пароль, одно и то же. А это означает, что создание отдельных учетных записей позволяет, не ослабляя защиту, проследить активность отдельно взятого злоумышленника и тем самым избежать проблем, возникающих в том случае, если секрет известен многим. И, кроме того, когда человек перестает быть администратором, нет нужды изменять общий пароль и вспоминать, кого об этом нужно известить - достаточно просто блокировать или удалить учетную запись данного сотрудника.

Еще одно важное правило для администраторов: зарегистрировавшись в системе по учетной записи с административными полномочиями, не следует запускать программу, к которой нет полного доверия.
Администратор, запускающий такую программу, подобен офицеру, выполняющему приказ на запуск баллистической ракеты без проверки подлинности приказа. Однако претворить эту рекомендацию на практике куда сложнее, чем ее декларировать, если принять во внимание постоянно изменяющуюся вычислительную среду и повсеместный доступ в Internet. Web-браузер, к примеру, вовсе не та программа, которой следует безоговорочно доверять, а значит, зарегистрировавшись с правами администратора, надо быть начеку. К сожалению, электронная почта - также небезопасное средство с этой точки зрения. Некоторые недавние случаи наглядно продемонстрировали способность злоумышленников выполнить произвольный код на чужой машине с помощью простого электронного письма. В одном случае злоумышленник спровоцировал переполнение буфера в среде Microsoft Outlook 98 при обработке присоединенных к письму файлов. Аналогичные последствия могут возникнуть и в таких приложениях, как Microsoft Word и Microsoft Excel, в связи с быстрым распространением макровирусов.

Чтобы реально защитить учетные записи администраторов, следует создать две записи для каждого администратора - одну с административными привилегиями, а другую без них. Свои повседневные обязанности администраторы могут выполнять, используя учетную запись с обычными полномочиями, а запись с полномочиями администратора будет служить исключительно для выполнения административных функций, например для создания учетных записей пользователей или изменения их полномочий. Кроме того, следует своевременно вносить рекомендованные изменения в приложения и избегать запуска загружаемых файлов без соблюдения соответствующих мер предосторожности. Современная вычислительная среда слишком сложна и динамична, и лишь такой принцип работы может надежно защитить систему.

Вероятно, читатели удивлены: как же можно отказаться от использования Web-браузера, электронной почты и других приложений и продолжать выполнять свою работу. Многие администраторы то и дело переключаются между окном User Manager for Domains и программой электронной почты или другими приложениями.


А значит, довольно сложно следовать обозначенному выше правилу: никогда не запускать ненадежные программы. К счастью, в состав программного пакета Resourсe Kit входит замечательная утилита SU, диалоговое окно которой показано на Экране 1. Она позволяет запускать любую программу от имени любой указанной учетной записи, так что можно зарегистрироваться в системе по одной учетной записи, а приложения запускать от имени другой. Для защиты своих административных привилегий стоит взять за правило регистрироваться в системе по непривилегированной учетной записи и запускать обычные приложения - текстовый редактор, Web-браузер - привычными значками рабочего стола. Тогда любой опасный для системы злонамеренный код будет выполняться от имени ограниченного в правах непривилегированного пользователя. Кроме того, нужно создать значки для таких приложений, как User Manager for Domains и Server Manager, которые следует запускать от имени пользователя с привилегиями администратора, и воспользоваться утилитой SU для запуска соответствующих приложений. Единственное неудобство, с которым предстоит столкнуться, заключается в необходимости каждый раз вводить пароль для регистрации с правами привилегированного пользователя.


Содержание раздела