Операционные системы - статьи


Рекомендации администраторам


Продуманная конфигурация системы - чрезвычайно важный аспект защиты учетных записей с административными привилегиями. Однако не менее важно выработать строгую систему правил применения административных учетных записей.

Я не рекомендую использовать встроенную учетную запись Administrator в ежедневной работе. Поскольку эта запись - первая цель злоумышленников, ею лучше пользоваться для отслеживания попыток проникновения в систему. Если активизировать аудит регистрации пользователей и воздерживаться от применения учетной записи Administrator, можно быстро обнаружить активное зондирование этой учетной записи в журнале безопасности системы (Event ID 528 - успешная регистрация, Event ID 529 - ошибка регистрации).

Еще один повод не использовать в работе учетную запись Administrator - необходимость идентификации самих администраторов системы. Если несколько человек работают с учетной записью Administrator (или любой другой учетной записью), нет возможности идентифицировать самого человека. С помощью аудита в этом случае нельзя определить, кто чем занимался. Следовательно, имеет смысл создавать для каждого администратора системы отдельную учетную запись. Многие полагают, что увеличение числа административных учетных записей повышает вероятность "взлома" системы. Но, в конце концов, используется ли одна учетная запись Administrator или несколько с эквивалентными полномочиями, все равно число пользователей, которые могут случайно раскрыть свой пароль, одно и то же. А это означает, что создание отдельных учетных записей позволяет, не ослабляя защиту, проследить активность отдельно взятого злоумышленника и тем самым избежать проблем, возникающих в том случае, если секрет известен многим. И, кроме того, когда человек перестает быть администратором, нет нужды изменять общий пароль и вспоминать, кого об этом нужно известить - достаточно просто блокировать или удалить учетную запись данного сотрудника.

Еще одно важное правило для администраторов: зарегистрировавшись в системе по учетной записи с административными полномочиями, не следует запускать программу, к которой нет полного доверия.


Начало  Назад  Вперед



Книжный магазин