Межсетевое экранирование



              

Конфигурирование аутентификации пользователя в ОС - часть 3


авторство – кому разрешено изменять или переустанавливать пароли и какого типа доказательство требуется перед началом любых изменений.

  • Сконфигурировать компьютеры для запрещения входа после небольшого числа неудачных попыток. Следует помнить, что может быть относительно легко для неавторизованного пользователя получить доступ к компьютеру, используя автоматические программные средства, которые перебирают все пароли. Чтобы ОС не предоставляла такую возможность, ее следует сконфигурировать таким образом, когда она будет запрещать вход после трех неудачных попыток. Обычно аккаунт блокируется на определенное время (например, 30 минут) или до тех пор, пока пользователь с соответствующими полномочиями не активирует его.

    Это пример ситуации, когда от web-администратора требуется принятие решения о балансе между безопасностью и удобством. Реализация данной возможности может помочь предотвратить некоторые типы атак, но может также позволить злоумышленнику выполнить неудачные попытки входа для недопущения доступа пользователя, т.е. выполнить DoS-атаку для конкретного пользователя.

    Неудачные попытки сетевого входа не должны запрещать вход с консоли пользователя и тем более администратора. Заметим также, что все неудачные попытки по сети или с консоли должны регистрироваться. Также, если удаленное администрирование не предусмотрено, следует запретить возможность входа по сети аккаунтам уровня администратора или root.

  • Инсталлировать и сконфигурировать другие механизмы безопасности для усиления аутентификации. Если информация на web-сервере требует этого – рассмотреть использование других аутентификационных механизмов, таких как токены, сертификаты клиента и сервера или системы одноразовых паролей. Хотя они могут быть более дорогими и трудными в реализации, это, возможно, оправдается в некоторых случаях. Когда используются подобные механизмы аутентификации и устройства, политика организации должна быть пересмотрена и в ней отражен наилучший способ их применения.

  • Создавать и распространять отчеты об использовании аккаунтов пользователей.Для того чтобы гарантировать, что все неиспользуемые аккаунты удаляются своевременно, важно установить в организации систему, которая создает отчеты о пользовательских аккаунтах, включающие информацию, необходимую для определения того, должен ли аккаунт оставаться активным. Эти отчеты должны распространяться соответствующим пользователям и управляющему персоналу для определения индивидуумов, которым более не требуется иметь аккаунт.

  • Как отмечалось ранее, нарушитель, используя сетевые сниферы, может легко перехватить переиспользуемые пароли, передаваемые по сети в явном виде. Вместо этого следует использовать менее уязвимые технологии аутентификации и шифрования, такие как SSH и SSL/TLS.




    Содержание  Назад  Вперед