Компьютерные советы (сборник статей) - [28]

2. Архитектура LAN в обязательном порядке должна предусматривать наличие DMZ — демилитаризованной зоны, контролируемой межсетевым экраном.

3. Крайне желательно наличие NAT (система переадресации выполняет функцию сокрытия адресов внутренних систем).

4. Установка самых последних обновлений строго обязательна.

Даже если ваша система имеет самые последние обновления, расслабляться все равно не стоит: с момента обнаружения новой уязвимости и до момента выхода заплатки «умные люди» успевают написать эксплоит или создать червя.

5. Разумеется, как на сервере, так и на рабочих станциях должно быть установлено антивирусное ПО со свежими базами.

6. Если у вас до сих пор файловая система FAT32, смените ее на NTFS. NTFS de facto более безопасна: она позволяет разграничить доступ к ресурсам вашего ПК и значительно усложнит процесс локального и сетевого взлома паролей базы SAM.

7. В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. «Службу доступа к файлам и принтерам сети Microsoft» необходимо отключить (касается машин, не предоставляющих SMS-доступ), чтобы не облегчать задачу всем любителям «дефолтовых» C$, D$, ADMIN$ и т. д.

8. Все неиспользуемые сервисы желательно выключить. Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов (рис. 3):

9. Удалите лишние учетные записи (такие, как HelpAssistant и SUPPORT_388945a0), а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине.

10. Пользователя «Администратор» лучше переименовать (через оснастку gpedit.msc).

11. Открытые по умолчанию ресурсы C$, D$, ADMIN$ желательно отключить (созданием параметра DWORD по адресу

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters):

12. В локальной сети не стоит забывать и о снифферах, с помощью которых ваши пароли могут стать «общественным достоянием» (не секрет, что пароли таких сервисов, как FTP и Telnet, передаются по LAN в открытом виде). Используя сниффер (например, Cain&Abel), даже зашифрованные пароли легко взломать.

Выход — построение локальной сети не на хабах (сетевые пакеты, которые получает хаб, распределяются по всем адресам независимо от места назначения), а на свитчах (используется технология доставки пакетов «по адресу»). Применение свитчей значительно усложняет процесс перехвата сетевых паролей и делает злоумышленника «видимым» (перехват паролей возможен даже при использовании свитчей(!), но в этом случае машина злоумышленника вынуждена генерировать ARP-пакеты — технология ARP-poizoning), используя стандартный набор для антисниффинга.

13. Минимальная сеансовая безопасность должна подразумевать использование криптостойкого алгоритма — NTLMv2:

Использование NTLMv2-механизма вместо уязвимого LM или NT значительно повышает криптостойкость паролей (включается через оснастку «Локальные параметры безопасности») и снижает возможные риски, связанные с перехватом и расшифровкой хэшей. Перечисленные способы защиты/построения безопасной сети — отнюдь не панацея против всех, кто всерьез решил взломать вашу сеть. Соблюдение вышеперечисленного минимума значительно снижает вероятность взлома, делая вашу сеть более безопасной к внешним и внутренним угрозам.

100 % защиты нет, к ней можно лишь приблизиться…

Автор: Евгений Кучук

Источник: © компьютерная газета

Думаю, что у каждого при чтении специализированной литературы возникали вопросы по поводу тех или иных терминов. Но, как правило, поблизости обычно нет того, кто может объяснить их значение. Проблемы возникают из-за непонимания простых вещей. Ведь неправильная трактовка или неправильное понимание может косвенным образом повлиять на многие важные вещи. Поэтому я предлагаю попробовать разобраться в некоторых мелочах мира информационной безопасности.

Очень интересно, как работает антивирусная программа, а особенно кикам образом используется антивирусная база? Из чего она состоит, насколько можно доверять результатам сканирования?

Все намного проще, чем вы думаете. Антивирусная база (а если более точно, то вирусная) складывается из вирусных сигнатур, которые при процессе проверки сравниваются с кодом проверяемого файла. Насколько можно доверять результатам? Это зависит от качества движка и эвристики. Поскольку при сканировании коды некоторых файлов могут быть очень и очень похожими на одну из сигнатур, то ложные срабатывания вполне объяснимы и присутствуют.

До тех пор, пока не подцепил первого вируса, вопрос безопасности не беспокоил вообще. После стал обращать на нее больше внимания. Хотелось бы спросить вашего совета по выбору сетевого экрана. На что следует обращать внимание при его выборе?

В отличие от программы-антивируса, net-экран требует тонкой настройки. Поэтому пользователь должен четко знать, какие сервисы ему необходимы, и, соответственно, какие порты закрывать. Именно поэтому плохих файрволлов не бывает — бывают только плохо настроенные. И все же они делятся на профессиональные и пользовательские. Отличаются они тем, что у профессиональных огромное количество настроек, и при этом ручных, а в пользовательских все максимально автоматизировано. Пользовательский экран не может максимально защитить пользователя просто потому, что он представляет собой что-то общее, а каждый пользователь имеет свои запросы, у каждой системы свои уязвимые места. Поэтому я советую использовать профессиональные. Из конкретных могу посоветовать ZoneAlarm, Outpost, Norton Internet security. Будьте готовы к тому, что придется убить кучу времени, прежде чем net-экран заработает нормально.