Менеджер Мафии. Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов - [12]

Тем не менее если у тебя есть совершенно секретные файлы; которые ты ни под каким видом не хочешь никому показывать — тогда храни их на своём локальном компьютере в защищённом виде (как это сделать — мы обсудим) и сам обеспечивай их архивирование.

Поставить сервер и заставить всех пользователей размещать документы только на нём — am в лучшем случае половина дела. Важно ещё грамотно сделать разделение достyпа. Админ без тебя это всё не решит. Ты (или, например, твой референт) должен составить список пользователей (сотрудников) и расписать, кто к каким документам имеет доступ. Причем сначала нужно аккуратно нарисовать дерево (каталог) всех документов офиса, а потом уже отметить, какие сотрудники (компьютеры сотрудников) имеют виды доступа (полный, только чтение) к соответствующим веткам этого каталога.

Ну да, я знаю, что задача не только не простая, но и утомительная. Но выполнить её — совершенно необходимо. Это неотъемлемая часть стратегии твоего биэнеса. Составленный тобой или при твоем участии каталог офисных документов, тебе же многое объяснит. Кроме того, если дерево каталога стратегически будет составлено правильно, оно в дальнейшем начнет расти вверх и вширь так, как полагается, превращаясь в гордый дуб с развесистой кроной. Если же каталог изначально заложен неверно, то вместо гордого дуба ты получишь карликовую берёзу страдающую всеми видами злокачественныx наростов на своём теле.

Кроме того, когда ты будешь расписывать виды доступа сотрудников к той или иной информации, ты также поймёшь, что и как происходит у тебя в офисе. Вполне возможно, после этого тебе захочется скорректировать должностные обязанности многих подчинённых, ведь ты выяснишь, что они имеют доступ к таким данным, к которым ты бы вовсе не хотел их допускать...

Когда админ получит подробные указания о том, как создать каталог офисных документов и каким образом разделить доступ пользователей, он должен будет задать так называемые политики пользователей. С одной стороны, сам админ должен напрягать мозги на тему того, как это всё сделать корректно и грамотно. Но с другой — хорошо бы и тебе понимать, что это такое, потому что если админ решит сильно упростить себе и пользователям задачу это чревато ситуацией, как в том старом анекдоте:

— Скажи пароль!

— Пароль.

— Проходи.

Что толку, если ты потратил кучу денег на хороший сервер, который стоит в наглухo закрытом помещении но доступ важным документам на сервeре или вообще не закрыт или закрыт паролем, который знает весь офис? Никакого толка в этом нет! Поэтому от каждого пользователя в обязательном порядке нужно требовать создания и запоминания его собственного пароля, который подчиняется всем тем рекомендациям, приведённым в соответствующей главе этой книге. Причём, что интересно, это всё можно сделать на программном уровне — c помощью операционной системы.

Именно это и называется администраторской политикой пользователей и политикой паролей этих пользователей Админ может много чего заставить делать пользователей, причем заставить так, что они не отвeртятся, ибо в противном случае вообще не получат доступа к серверу и не смогут работать... Вот эти средства:

1. Ограничение максимального срока действия пароля

Очень интересная возможность. Если задать, например, 30 дней, то ровно через тридцать дней сервер от каждого попьзователя (или определенной группы пользователей) потребует поменять пароль. Причём пользователь об этом будет предупреждён заранее, чтобы; так сказать, иметь возможность морально подготовиться к подобному непростому действу.

2. Ограничение минимальной длины пароля

Как мы уже говорили, если задать пароль в 2-3 символа -- так лучше его вообще не задавать, чтобы, не позориться. Пароль должен быть не менее 5-6 символов, и от пользователей нужно этого требовать неукоснительно. Ну так и нет проблем! Сервер (а точнее, политика паролей) может отказаться принимать у пользователей пароли менее заранее заданного числа символов (пускай будет 5 — это по-божески).

3. Неповторяемость паролей

Хитрый пользователь может придумать два пароля — «Серёжа» и «Наташа», — после чего и будет менять один на другой. Конечно, такая комбинация будет довольно легка для запоминания, однако с точки зрения безопасности — это полное безобразие. Но если в политике паролей задать неповторяемость — второй «Серёжа» и вторая «Наташа» не пройдут, однозначно, так что пользователю придется всё-таки напрячь фантазию.

4. Проверка на соответствие требованиям сложности

Часть из того, о чем я говорил в разделе, посвящённом паролям, можно заставить проверять сам сервер. Если включить дополнительную проверку на соответствие пароля требованиям сложности, сервер уже не разрешит вводить никаких «Серёж» или «Наташ», а заставит пользователя при вводе пароля выполнить мои рекомендации: использование различных регистров (прописные и строчные буквы), десятичных цифр и символов, не принадлежащих алфавитно-цифровому набору Пользователи при этом, конечно, скажут много-много горьких, а иногда даже нецензурных слов, но их пароли будут соответствовать хоть каким-то требованиям безопасности. Другой вопрос — как добиться от пользователей, чтобы они не писали пароль у себя на лбу или на стикере, прилепленном к монитору, но этому будет посвящена отдельная глава.