Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Политика блокировки учетных записей
|
|
В операционной системе Windows XP существует специальный механизм, контролирующий вход пользователей в систему и пытающийся предотвратить попытку проникновения в систему. Для настройки этого механизма следует выбрать пункт Политика блокировки учетных записей (рис.5.).
|
Существует три опции, с помощью которых можно практически исключить возможность проникновения в систему взломщиков, использующих атаку методом перебора пользовательских паролей.
Важнейшим параметром является опция Пороговое значение блокировки, которая определяет, будет ли система безопасности отслеживать неудачные попытки входа в систему пользователями, а также после какого их числа будет предпринимать определенные действия. Это необходимо для того, чтобы отслеживать атаки взломщиков, которые основываются на методе повторного ввода пароля в атакуемую систему до тех пор, пока он не совпадет с тем паролем, который установил пользователь или системный администратор. По повторяющимся ошибочным попыткам входа в систему по одному или нескольким пользовательским учетным записям можно отслеживать проведение атак против операционной системы.
Система безопасности начнет отслеживать неудачные попытки входа пользователей в систему после того, как в значении данной опции будет задано любое положительное значение, определяющее максимальное количество неудачных попыток входа (рис.7.). После достижения этого числа, учетная запись, под которой было осуществлено данное количество неудачных входов, будет заблокирована системой, в соответствии с настройками системы безопасности.
Время блокировки учетной записи зависит от параметра Блокировка учетной записи на, который устанавливается в минутах и по умолчанию имеет значение 30 минут. Таким образом, после определенного количества неудачных попыток входа в систему, заданного параметром Пороговое значение блокировки, произойдет блокировка системы в течение времени, указанного опцией Блокировка учетной записи на. И если значение первого параметра равно 5, а второго – 30, то через каждые пять неправильно введенных паролей, система будет блокироваться на тридцать минут. И в течение этого времени вход в систему будет невозможен для любого пользователя, кроме системного администратора.
|
|
Если пользователь забыл свой пароль и ему нужно срочно войти в систему и сразу начать работать, то он должен обратиться к системному администратору, если сам им не является. Учетная запись системного администратора никогда не блокируется, и ей всегда можно воспользоваться, чтобы снять блокировку с одного или нескольких пользователей. Это делается в свойствах пользователей. Для этого нужно с соответствующих Учетных записей убрать признак выключения учетной записи (см. ЛР_5, материал, описывающий работу администратора с пользовательскими учетными записями).
Возникает вопрос: как быть с учетной записью системного администратора, если она не может быть автоматически отключена системой безопасности как учетные записи простых пользователей в случае подбора паролей? В хорошо настроенных системах подобрать пароль администратора практически невозможно. Во-первых, пароль системного администратора выбирается более длинным и сложным, чем пароли простых пользователей, часто пароль может иметь длину до 20-30 символов и состоять из латиницы, разного регистра, а также самых разнообразных символов. Все это факторы делают подбор пароля совершенно нереальной задачей, даже теоретически. Во-вторых, можно переименовать учетную запись системного администратора со стандартного имени «Administrator» или «Администратор» во что-то более экзотичное и нестандартное. В этом случае, не зная имени учетной записи администратора в системе, начать подбор к ней пароля совершенно невозможно. Таким образом достигается надежная защита учетной записи администратора от атаки методом перебора паролей.
Третий параметр Сброс счетчика блокировки через позволяет «забыть» системе через указанное в данной опции время в минутах о том, что до этого были неудачные попытки входа в нее. Это может быть полезно тогда, когда атаки подбора паролей не происходит, просто пользователь забыл пароль и пытался его вспомнить методом подбора.
Ввод в данной опции меньшего значения, чем Блокировка учетной записи не ухудшает безопасность системы. Это связано с тем, что робот взломщиков, подбирающий пароли системы, обычно работает со скоростью большей, чем одна попытка подбора пароля за одну минуту. Это связано с тем, что у него очень много вариантов, каким может быть пароль, и он должен за приемлемое время испытать все варианты, чтобы найти правильный. Поэтому, даже если поставить значение опции Сброс счетчика блокировки через равное одной минуте, то в подавляющем большинстве случае, система не допустит проведение атак с перебором пароля, но разрешит ошибаться пользователям.