Главная Security, Новое Security
  • Мошенничество в Интернет

    • Рубрика: Security,Новое
    • Автор: Владимир Безмалый
    • Дата: Tuesday 07 Jul 2009

    f2c74ee1e1c9da4fe76f853f3af1f800 Наиболее развитой формой мошенничества в Интернет, без сомнения, является кража персональных данных пользователей (пароли, номера кредитных карт и тп.) именуемая фишинг.

    Типичными инструментами фишинга являются почтовые сообщения (использующие методы социальной инженерии) и специально разработанные web-сайты.

    Бурное развитие IT-технологий, к сожалению, влечет за собой и прогресс интернет- мошенничества, методы атак становятся все изощреннее, повышается уровень подготовленности атак с целью кражи номеров кредитных карт, банковских счетов и прочей конфиденциальной информации.

  • Главная Security, Windows, Новое Active Directory
    • Взлом пароля администратора домена или почему рулит комплексная безопасность.

      SecurityAlert Компания Майкрософт уже довольно давно продвигает на рынок идеологию  обеспечения безопасности “Defence in depth” (эшелонированная оборона). Название  было заимствовано у военных стратегов, а смысл заключается в том, что бороться за безопасность нужно на каждом участке. Сама стратегия делит все рубежи защиты на 7 участков, каждый из которых подразумевает свой комплекс мер. Для тех кто считает, что пароль из 14 символов это верх защиты их корпоративной сети посвящается следующая “пошаговка”. Для выполнения ее необходим уровень знаний продвинутого пользователя, физический доступ к контролеру домена и желание покопаться 15 минут в Google.

      Проще говоря Bitlocker, RODC и физическая безопасность  серверной  “рулят”.

      Для выполнения следующих манипуляций был выбран контроллер домена Windows Server 2008R2 (чего уж скромничать). Естественно я не знаю паролей  учетных записей и допускаю то что они достаточно сложны, а следовательно проверять варианты “sex,god,123,password” смысла особого нет.

      Зайдя в Google и введя в строке поиска “Reset Password Domain Administrator” я первой строчкой попадаю на сайт израильского MVP, который в деталях описывает процесс сброса пароля доменного администратора. Одно но, чтобы использовать данный способ нужно знать пароль администратора DSRM, для тех кто запамятовал поясняю, что это учетная запись хранится на контроллере домена локально и используется в случаях когда вашей службе каталогов “совсем плохо”, т.е для восстановления. Но увы, я этого пароля не знаю.

      Поэтому я отрываю в вторую закладку в браузере и ввожу опять же в Google текст  “linux cd for reset administrator password” и ищу образ загрузочного диска который позволит мне сбросить пароль DSRM. И на сайте опять же американского специалиста Petter Nordahl-Hagen нахожу нужный диск. Скачать его можно отсюда.

      А дальше? Дальше процесс не требующий никакой умственной деятельности.

      1

      Грузим наш сервер с диска скачанного по ссылке.

      2

      Выбираем раздел жесткого диска с системой. У меня на слайде их два и это не удивительно Windows Server 2008 R2 создает раздел в 200 мегабайт на случай включения Bitlocker.

      3

      Выбираю опцию “Password Reset” и нажимаю Enter.

      4

      Дале говорю, что желаю редактировать учетную запись.

      5

      Указываю, что меня интересует учетная запись Administrator.

      6

      И в итоге выхожу на запрос, что сделать с данной учеткой. Я сбрасывал пароль на пустой, хотя можно просто задать свой пароль.

      7

      Не забываю сохранить сделанные изменения, в противном случае от ваших действий толку будет ноль. После сохранения ухожу в перезагрузку и при старте компьютера нажима. F8 дабы попасть на выбор вариантов загрузки.

      1

      Естественно выбираю вариант загрузки “Directory Service Restore Mode”, чтобы зайти под учетной записью DSRM-администратора.

      2

      Выбираю “вход под другой учетной записью” т.е  локальный вход и ввожу если осуществлял смену пароля либо оставляю пусты пароль DSRM-администратора.

      3

      Далее делаю следующее: создаю на диске C: папку с именем “tools”  и копирую в нее содержимое диска, набор утилит позаимствованных у MVP. Скачать можно отсюда. И добавляю в эту папку файл cmd.exe, взятый из  каталога C:\Windows\System32.

      4

      После запускаю командную строку и ввожу “instsrv PassRecovery “C:\tools\srvany.exe””. Это даст мне возможность запустить srvany.exe как сервис с именем PassRecovery, запустится который с привилегиями SYSTEM.

      5

      Остается самая малость. Открыть редактор реестра и раскрыть ветку

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PassRecovery

      Создана данная ветка была при установке службы шагом выше.

      6

      В ней мы создаем папку для наших будущих ключей с именем “Parameters”. Имя только такое.

      7

      Создаю два ключа реестра с именами Application и AppParameters. Application указывает на пусть к командной строке в нашей папке.

      AppParameters описывает, что должно в этой командной строке выполниться. А выполнится там команда “net user” и сбросит пароль учетной записи administrator (на этот раз доменной)  на Pa$$w0rd. Такой чудной пароль был выбрал не случайно, просто он соответствует требованиям сложности, которые будут проверяться при сбросе пароля.

      name: Application

      type: REG_SZ (string)

      value: с:\tools\cmd.exe

      name: AppParameters

      type: REG_SZ (string)

      value: /k net user administrator Pa$$w0rd /domain

      8

      Напоследок нахожу созданную мной  службу PassRecovery и ее свойствах ставлю галочку “Allow Service to interact with desktop”. Можно перезагружаться в нормально режиме.

      9

      Когда я загрузился  и удостоверился, что пароль был сброшен, служба была остановлена и удалена. Следом за ней и все файлы из папки C:\tools.

      Вывод: Способ топорный (+ баянный), но действенный как автомат Калашникова. Год назад  на сайте Павла Нагаева был  продемонстрировано другой вариант получения нужного доступа посему важность физической безопасности вашей серверной и шифрования нисколько не преувеличена.

      MCT Илья Рудь

    • Главная Security, Windows, Новое Security, Windows XP
      • Расчет вероятности взлома парольной защиты Windows XP при условии соблюдения рекомендаций Microsoft по безопасности Windows XP

        Проблему безопасности компьютерных сетей надуманной не назовешь. Практика показывает: чем масштабнее сеть и чем более ценная информация доверяется подключенным к ней компьютерам, тем больше находится желающих нарушить ее нормальное функционирование ради материальной выгоды или просто из праздного любопытства. Идет постоянная виртуальная война, в ходе которой организованности системных администраторов противостоит изобретательность компьютерных взломщиков.

        Основным защитным рубежом против злонамеренных атак в компьютерной сети является система парольной защиты, которая имеется во всех современных программных продуктах. В соответствии с установившейся практикой, перед началом сеанса работы с операционной системой пользователь обязан зарегистрироваться, сообщив ей свое имя и пароль. Имя требуется для идентификации пользователя, а пароль служит подтверждением правильности произведенной идентификации. Информация, введенная пользователем в диалоговом режиме, сравнивается с той, что имеется в распоряжении операционной системы. Если проверка дает положительный результат, то пользователю становятся доступны все ресурсы операционной системы, связанные с его именем.

        Целью настоящей работы являлось:

        • рассмотрение принципов работы парольных взломщиков различных программных продуктов;
        • проверка уровня защиты операционных систем Windows 2000/XP/2003;
        • проведение попыток взлома паролей пользователей операционных систем;
        • расчет вероятности успешного взлома системы парольной защиты при условии соблюдения требований Микрософт по безопасности Windows XP.

        Что такое парольный взломщик?

        Наиболее эффективным является метод взлома парольной защиты операционной системы (в дальнейшем – ОС), при котором атаке подвергается системный файл, содержащий информацию о легальных пользователях и их паролях. Однако любая современная ОС надежно защищает пользовательские пароли, которые хранятся в этом файле, при помощи шифрования. Кроме того, доступ к таким файлам, как правило, по умолчанию запрещен даже для системных администраторов, не говоря уже о рядовых пользователях операционной системы. Тем не менее, в ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. И тогда ему на помощь приходят так называемые парольные взломщики – специализированные программы, которые служат для взлома паролей операционных систем.

        Как работает парольный взломщик?

        Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных ОС, используют необратимое шифрование, что делает невозможным более эффективный алгоритм взлома, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой ОС. Затем они сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные пароли пользователей этой системы. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данный способ позволяет взломать все пароли, если известно их представление в зашифрованном виде, и они содержат только символы из данного набора.

        За счет очень большого числа перебираемых комбинаций, которое растет экспоненциально с увеличением числа символов в исходном наборе, такие атаки парольной защиты ОС могут отнимать слишком много времени. Однако хорошо известно, что большинство пользователей операционных систем особо не затрудняют себя выбором стойких паролей, то есть таких, которые трудно взломать. Поэтому для более эффективного подбора паролей взломщики обычно используют специальные словари, которые представляют собой заранее сформированный список слов, наиболее часто используемых на практике в качестве паролей.

        (Большой набор словарей можно найти на сайте http://www.password.ru)

        К каждому слову из словаря парольный взломщик применяет одно или несколько правил, в соответствии с которыми оно видоизменяется и порождает дополнительное множество опробуемых паролей:

        • производится попеременное изменение буквенного регистра, в котором набрано слово;
        • порядок следования букв в слове меняется на обратный;
        • в начало и в конец каждого слова приписывается цифра 1;
        • некоторые буквы изменяются на близкие по начертанию цифры.

        В результате, например, из слова password получается pa55w0rd).

        Это повышает вероятность нахождения пароля, поскольку в современных ОС, как правило, различаются пароли, набранные заглавными и строчными буквами, а пользователям этих систем настоятельно рекомендуется выбирать такие, в которых буквы чередуются с цифрами.

        Одни парольные взломщики поочередно проверяют каждое слово из специального словаря, применяя к нему определенный набор правил для генерации дополнительного множества опробуемых паролей.

        Другие предварительно обрабатывают весь словарь при помощи этих же правил, получая новый словарь большего размера, из которого затем черпают проверяемые пароли. Учитывая, что обычные словари естественных человеческих языков состоят всего из нескольких сотен тысяч слов, а скорость шифрования паролей достаточно высока, парольные взломщики, осуществляющие поиск по словарю, работают достаточно быстро (до одной минуты).

        Взлом операционных систем (на примере Windows 2000/XP/2003)

        База данных учетных записей пользователей

        Одним из основных компонентов системы безопасности Windows 2000/XP/2003 является диспетчер учетных записей пользователей. Он обеспечивает взаимодействие других компонентов системы безопасности, приложений и служб Windows 2000/XP/2003 с базой данных учетных записей пользователей (Security Account Management Database, сокращенно SAM). Эта база обязательно имеется на каждом компьютере с Windows 2000/XP/2003. В ней хранится вся информация, используемая для аутентификации пользователей Windows 2000/XP/2003 при интерактивном входе в систему и при удаленном доступе к ней по компьютерной сети.

        База данных SAM представляет собой один из разделов (hive) системного реестра (registry) Windows 2000/XP/2003. Этот раздел принадлежит ветви (subtree) HKEY_LOCAL_MACHINE и называется SAM.

        Он располагается в каталоге \winnt_root\System32\Config (winnt_root – условное обозначение каталога с системными файлами Windows 2000/XP/2003) в отдельном файле, который тоже называется SAM. Основная часть информации в базе данных SAM хранится в двоичном виде. Доступ к ней обычно осуществляется с помощью диспетчера учетных записей. Изменять записи, хранящиеся в базе данных SAM, при помощи программ, которые напрямую редактируют реестр Windows 2000/XP/2003(REGEDT или REGEDT32), не рекомендуется. По умолчанию этого и нельзя делать, т. к. доступ к базе данных SAM запрещен для всех без исключения категорий пользователей Windows 2000/XP/2003.

        Хранение паролей пользователей

        Именно в учетных записях базы данных SAM находится информация о пользовательских именах и паролях, которая необходима для идентификации и аутентификации пользователей при их интерактивном входе в систему. Как и в любой другой современной многопользовательской ОС, эта информация хранится в зашифрованном виде. В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых последовательностей, полученных разными методами (Windows 2000/XP/2003 и LAN).

        В методе Windows 2000/XP/2003 строка символов пользовательского пароля хешируется с помощью функции MD4. (В алгоритме хеширования MD4 исходная битовая последовательность дополняется так, чтобы ее длина в битах плюс 64 нацело делилась на 512. Затем к ней приписывается 64-битовое значение ее первоначальной длины. Полученная таким образом новая последовательность обрабатывается блоками по 512 бит с помощью специальной итерационной процедуры. В результате на выходе MD4 получается так называемая «выжимка» исходной последовательности, имеющая длину 128 бит. Алгоритм MD4 оптимизирован для 32-разрядных аппаратных платформ и работает довольно быстро).

        В итоге из введенного пользователем символьного пароля получается 16-байтовая последовательность – хешированный пароль Windows 2000/XP/2003. Эта последовательность затем шифруется по DES-алгоритму, и результат шифрования сохраняется в базе данных SAM. При этом в качестве ключа используется так называемый относительный идентификатор пользователя (Relative Identifier, сокращенно RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM. Для совместимости с другим программным обеспечением корпорации Microsoft (Windows for Workgroups, Windows 95/98 и Lan Manager) в базе данных SAM хранится также информация о пароле пользователя в стандарте Lan Manager.

        Для его формирования все буквенные символы исходной строки пользовательского пароля приводятся к верхнему регистру, и если пароль содержит меньше 14 символов, то он дополняется нулями. Из каждой 7-байтовой половины преобразованного таким образом пароля пользователя (длина пароля в Windows 2000/XP/2003 ограничена 14 символами, ограничение накладывается диспетчером учетных записей), отдельно формируется ключ для шифрования некоторой фиксированной 8-байтовой последовательности по DES-алгоритму. DES-алгоритм является одним из самых распространенных алгоритмов шифрования данных. В США он имеет статус федерального стандарта. Это блочный алгоритм шифрования с симметричным ключом длиной 64 бита, из которых только 56 непосредственно используются при шифровании, а остальные 8 предназначены для контроля четности байтов ключа. При этом в качестве ключа используется PID (персональный идентификатор) пользователя).

        Полученные в результате две 8-байтовые половины хешированного пароля Lan Manager еще раз шифруются по DES-алгоритму и помещаются в базу данных SAM.

        Использование пароля

        Информация о паролях, занесенная в базу данных SAM, служит для аутентификации пользователей Windows 2000/XP/2003. При интерактивном или сетевом входе в систему введенный пароль сначала хешируется и шифруется, а затем сравнивается с 16-байтовой последовательностью, записанной в базе данных SAM. Если эти величины совпадают, пользователю разрешается вход в систему. Обычно в базе данных SAM хранятся в зашифрованном виде оба хешированных пароля. Однако в некоторых случаях ОС вычисляет только один из них. Например, если пользователь домена Windows 2000/XP/2003 изменит свой пароль, работая на компьютере с Windows for Workgroups, то в его учетной записи останется только пароль Lan Manager. А если пользовательский пароль содержит более 14 символов или они не входят в так называемый набор поставщика оборудования (original equipment manufacturer, сокращенно OEM), то в базу данных SAM будет занесен только пароль Windows 2000/XP/2003.

        Возможные атаки на базу данных SAM

        Обычно основным объектом атаки являются административные полномочия. Их можно получить, узнав в хешированном или символьном виде пароль администратора системы, который хранится в базе данных SAM. Поэтому именно на базу данных SAM бывает направлен главный удар взломщика парольной защиты Windows 2000/XP/2003.

        По умолчанию в Windows 2000/XP/2003 доступ к файлу \winnt_root\System32\Config\SAM заблокирован для всех без исключения ее пользователей. Тем не менее, с помощью программы NTBACKUP любой обладатель права на резервное копирование файлов и каталогов Windows 2000/XP/2003 может перенести этот файл с жесткого диска на магнитную ленту. Резервную копию реестра можно также создать утилитой REGBAK из состава Windows NT Resource Kit. Кроме того, несомненный интерес для любого взломщика представляют резервная копия файла SAM (SAM.SAV) в каталоге \winnt_root\System32\Config и сжатая архивная копия SAM (файл SAM._) в каталоге \winnt_root\Repair.

        Также указанный файл можно получить, загрузившись с дискеты или CD-ROM и воспользовавшись программой NTFSDOS или аналогичной. В случае наличия загрузки двух операционных систем (например, Windows 98 и Windows 2000) процесс копирования файла SAM существенно упрощается.

        При наличии физической копии файла SAM извлечь хранимую в нем информацию не представляет большого труда. Загрузив файл SAM в реестр любого другого компьютера с Windows 2000/XP/2003 (например, с помощью команды Load Hive программы REGEDT32), можно детально изучить учетные записи пользователей, чтобы определить их значения PID и шифрованные варианты хешированных паролей. Зная PID пользователя и имея зашифрованную версию его хешированного пароля, компьютерный взломщик может попытаться расшифровать этот пароль, чтобы использовать его для получения сетевого доступа к другому компьютеру. Однако для интерактивного входа в систему одного лишь знания хешированного пароля недостаточно. Необходимо получить его символьное представление.

        Для восстановления пользовательских паролей ОС Windows 2000/XP/2003 в символьном виде существуют специальные парольные взломщики. Они выполняют как прямой подбор паролей, так и поиск по словарю, а также используют комбинированный метод взлома парольной защиты, когда в качестве словаря задействуется файл с заранее вычисленными хешированными паролями, соответствующими символьным последовательностям, которые часто применяются в качестве паролей пользователей операционных систем.

        Однако следует понимать, что программой взлома можно воспользоваться так же и для проверки надежности ваших паролей.

        Для этого необходимо:

        • выбрать пункт меню Вычисление PwDump и Sniff в окне Параметры.
        • Задается имя пользователя. (Имя пользователя Windows 2000/XP/2003 может содержать до 20 символов верхнего или нижнего регистра, за исключением следующих: " / \ [ ] : ; | = , + * ? < > . и пробелов.)
        • Задается пароль, который может содержать до 14 символов.

        После задания имени и пароля следует нажать на кнопку вычислить. Результат можно сохранить в виде PwDump- или Sniff-файла.

        Также существует задание параметров атаки по словарю:

        • Обычное использование словаря;
        • Записанные дважды слова;
        • Обратный порядок символов слов;
        • Усеченные до заданного количества символов слова;
        • Слова без гласных, за исключением заглавной;
        • Транслитерация русских букв латинскими по заданной таблице транслитерации;
        • Замена раскладки локализации латинской раскладкой клавиатуры;
        • Замена латинской раскладки клавиатуры раскладкой локализации;
        • А также множество других параметров взлома.

        Примером взломщика паролей является программа SAMInside (http://www.insidepro.com)

        1

        Рисунок 1 Окно программы SamInside

        Программа SAMInside выполняет следующие функции:

        • Получение информации о пользователях из SAM-файлов Windows 2000/XP/2003.
        • Подбор паролей пользователей из SAM-файлов.
        • Подбор паролей пользователей из SAM-файлов операционных систем Windows’2000/XP/2003, зашифрованных системным ключом Syskey.

        Дополнительно включает в себя следующие возможности:

        • Подбор паролей не только к LMHash, но и к NTHash.
        • Работа с SAM-файлом, который используется в данный момент системой.
        • Импорт хэшей из текстовых файлов, полученных в результате работы других программ (L0phtCrack, pwdump и др.).
        • Генерация LMHash/NTHash по определенному паролю.
        • Проверка введенного пароля на всех пользователях.
        • Перебор по словарю.
        • Отображение найденных паролей с верным регистром букв.
        • Более удобная работа с хэшами пользователей.

        Расчет вероятности взлома пароля Windows 2000/XP/2003 в течение срока жизни пароля, рекомендованного Microsoft

        Согласно рекомендаций по безопасности Windows XP (Державна експертиза

        з технічного захисту інформації операційної системи Windows XP Professional SP2 (шифр – "Експертиза WXP_SP2") время жизни пароля (параметр политики паролей «Требовать неповторяемость паролей» (Enforce password history)) должен составлять 42 дня.

        Согласно того же документа параметр «Минимальная длина пароля» (Minimum password lengths) должен составлять для АС (автоматизированной системы):

        • класс 1 (одиночного компьютера без локальной сети) – 7 символов;

        • класс 2 (локальная сеть без выхода в Интернет) – 8 символов;

        • класс 3 (сеть с выходом в Интернет) – 12 символов.

        Следует обратить внимание что длинные пароли, состоящие из 8 и более символов, как правило, более надежны, однако их применение приводит к увеличению числа ошибок при воде паролей, и, как следствие, увеличению числа заблокированных учетных записей, а следовательно, затрудняет работу службы поддержки сети. Использование длинных паролей фактически приводит к тому, что пользователи начнут записывать их, а следовательно, уровень безопасности будет снижен. Фактическое значение данного параметра должно соответствовать требованиям политики безопасности предприятия.

        Рассчитаем вероятность взлома пароля при условии применения данных параметров для АС классов 1 и 2.

        Исследование проводилось на компьютере с параметрами приведенными в Таблице 1 с помощью программного обеспечения Saminside 2.5.5.1.

        Таблица 1 Параметры ПК

        Элемент Значение
        Имя ОС Microsoft® Windows Vista™ Ultimate
        Версия 6.0.6000 Сборка 6000
        Процессор Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz, 1867 МГц, ядер: 2, логических процессоров: 2
        Полный объем физической памяти 2 046,94 МБ

        При этом скорость перебора паролей составляла 14 524 829 паролей в секунду.

        Таблица 2 Максимальное число вариантов паролей на заданном наборе символов

          Число символов 7 8
        Цифры от 0 до 9 10 10 000 000 100 000 000
        Маленькие (большие) буквы 26 8 031 810 176 208 827 064 576
        Цифры и маленькие буквы 36 78 364 164 096 2 821 109 907 456
        Цифры, маленькие и большие буквы 62 3 521 614 606 208 218 340 105 584 896
        Цифры, буквы и спецсимволы 72 10 030 613 004 288 722 204 136 308 736

        Если перебор паролей осуществляется с указанной выше средней скоростью (паролей в секунду), то соответственно максимальное время, необходимое для взлома соответствующего пароля (в сутках) составляет (Табл.3).

        Таблица 3 Время взлома пароля в сутках

          Число символов Длина пароля в символах
        7 8
        Числа 10 0,0000 0,0001
        Маленькие (большие) буквы 26 0,0064 0,1664
        Числа и маленькие буквы 36 0,0624 2,2480
        Числа маленькие и большие буквы 62 2,8062 173,9838
        Числа, буквы и спецсимволы 72 7,9929 575,4866

        Таким образом, вероятность взлома пароля в соответствии с требованиями параметра «Требовать неповторяемость паролей» (Enforce password history) составляющего 42 дня, будет приведена в Табл. 4 и рассчитана по формуле: P=(A/B)*100%, где P-вероятность взлома пароля в заданный срок, В – время взлома пароля в сутках, А=42 дня.

        В случае если B<=A, P=100%, т.е. если время взлома пароля заведомо меньше 42 дней, пароль считается взламываемым заведомо.

          Число символов 7 8
        Числа 10 100,00% 100,00%
        Маленькие (большие) буквы 26 100,00% 100,00%
        Числа и маленькие буквы 36 100,00% 100,00%
        Числа маленькие и большие буквы 62 100,00% 24,14%
        Числа, буквы и спецсимволы 72 100,00% 7,30%

        Таким образом можно сделать вывод, что с учетом существующих вычислительных мощностей, параметры длины пароля, приведенные в рекомендациях Микрософт на сегодня являются недостаточными.

        Для проведения устойчивой парольной защиты нужна большая длина пароля, что, в свою очередь будет требовать введения систем многофакторной аутентификации типа смарт-карта+PIN-код или аналогичных.

        Большое количество экспертов безопасности скажут, что вам необходимо увеличить длину пароля минимум до 15 символов, чтобы препятствовать взлому паролей. Это сделает весьма затруднительной даже атаку по словарю. Однако вы можете вообразить то, что скажут ваши пользователи, произнеси вы даже число 15?

        В таком случае эта более сильная, казалось бы, политика, приведет к существенному ослаблению защиты. Ведь пользователи простаивают, если забывают пароли. А попробуйте запомнить пароль типа 1@Pwr4%$*IhedYN? Вам не кажется, что даже один такой пароль способен только своим видом вогнать в ступор даже бывалого системного администратора? А что тогда говорить рядовому пользователю? Вы никогда не задавались мыслью, каких запросов в службу поддержки больше всего? Верно, запросов о забытых паролях! В некоторых организациях на это уходит от 15 минут до часа!

        Нам всем пора осознать, что пользовательские пароли – больше не являются лучшим решением!

        На сегодня наиболее безопасное решение – многофакторная аутентификация, которая требует минимум двух методов распознавания. Одним из лучших решений является, пожалуй, комбинация одного или более сертификатов на базе стандарта Х.509 вместе с алфавитно-цифровым PIN-кодом. Великолепно в данном случае то, что вы не должны иметь чересчур сложный для запоминания PIN-код. Ведь PIN-код это только одна часть, а вторая это сама смарт-карта. Ведь в таком случае необходимо вначале похитить саму смарт-карту, а уж затем PIN-код к ней. Смарт-карта не обязательно должна формой напоминать традиционную банковскую карту, она может приобрести вид USB-диска (eToken). В таком случае вы еще и экономите на считывателе для такой карты. Кроме того, так как это пластмассовая деталь – вы можете придать ей индивидуальный облик и использовать ее для физического доступа к помещениям, добавив к смарт-карте RFID-метку.

        Альтернативой данному способу аутентификации могут послужить одноразовые пароли (ОТР) и биометрические системы. Однако не стоит забывать, что данные системы все еще имеют ряд недостатков. ОТР ограничен сценариями типа идентификации клиента и его нельзя использовать для электронной подписи. Технология биометрии когда-то сможет стать серьезной альтернативой. Когда-то, но не сейчас. Уж слишком много ложных срабатываний.

        Вместе с тем вы можете задать вопрос, если эта система настолько хороша, почему она не получила широкого распространения?

        Дело в том, что сама по себе смарт-карта, без наличия продуманной системы поддержки (инфраструктуры открытых ключей, PKI) практически бесполезна. А эту инфраструктуру ввиду ее сложности, многие организации просто отказываются разворачивать!

        Однако пора понимать, что пароли на сегодня – уже защита вчерашнего дня! Время не стоит на месте и рано или поздно, но все поймут, что время паролей уже ушло!

        Литература

        1. Державна експертиза з технічного захисту інформації операційної системи Windows XP Professional SP2 (шифр – "Експертиза WXP_SP2") Киев 2005
        2. Чем нас пытаются взломать (Краткий обзор программ-взломщиков паролей) Безмалый В.Ф. Безмалая Е.В. http://bezpeka.com/ru/lib/sec/gen/anot381.html

        Безмалый Н.В.

        Microsoft Student Partner

      • Главная Security, Новое Security, Видео
        • Видео – Круглый стол «Внутренние угрозы в условиях кризиса»

          • Рубрика: Security,Новое
          • Автор: Владимир Безмалый
          • Дата: Friday 26 Jun 2009

          Количество всегда перерастает в качество. Применительно к вопросам информационной безопасности, возросшее в последнее время количество уволенных сотрудников, «заточивших зуб» на бывших работодателей, потянуло за собой «воспаление» старой проблемы сохранности корпоративных данных. Разумеется, одной этой проблемой ситуация не ограничивается, поэтому мы решили обсудить актуальные вопросы ИБ в формате круглого стола. В нём приняли участие известные на ИТ-рынке специалисты в области информационной безопасности — Виктор Жора и Владимир Илибман. В качестве модератора круглого стола мы пригласили Владимира Безмалого, MVP в области Consumer Security.

          Безмалый В.Ф.

          MVP Consumer Security

        • Главная Security, Windows, Новое Live, Security, Windows 7, Видео
          • Видео – Обеспечение безопасности детей в Интернет. Windows Live Фильтр семейной безопасности.

            images Служба Семейная безопасность Windows Live пришла на смену службе «Семейная безопасность Windows Live One Care. Данная служба предназначена для помощи родителям в настройке параметров безопасности детей.

            С помощью данной службы можно защитить детей от просмотра нежелательного веб- содержимого, управлять списком пользователей, с которыми дети могут обмениваться электронной почтой или мгновенными сообщениями, а также отслеживать посещаемые детьми веб-сайты.

          • Главная Security, Windows, Новое BitLocker, Security, Windows 7, Видео
            • Видео – BitLocker to GO

              image0017 января 2009 года компания Microsoft представила для тестирования очередную версию операционной системы для рабочих станций – Windows 7. В данной операционной системе, как уже стало привычным, широко представлены технологии безопасности, в том числе и ранее представленные в Windows Vista. Сегодня речь пойдет о технологии шифрования Windows BitLocker, претерпевшей значительные изменения после своего появления в Windows Vista.

            • Главная Security, Новое BitLocker, Security, Windows Vista
              • Шифрование информации на мобильных компьютерах

                • Рубрика: Security,Новое
                • Автор: Владимир Безмалый
                • Дата: Thursday 16 Apr 2009

                decrypted Сегодня в организациях все чаще применяется шифрование мобильных устройств. Ведь именно эта мера послужит последней линией обороны в случае, если ноутбук попадет в руки злоумышленников. Но при внедрении шифрования в организации возникает масса вопросов, как правильно организовать данный технологический процесс. В предлагаемой статье я остановлюсь на тех процессах, которые необходимо осуществлять для правильного внедрения шифрования с использованием технологии BitLocker, реализованной в некоторых редакциях Windows Vista, как составной части организации защиты информации в компании.

                 

                Краткий обзор технологии BitLocker

                BitLocker – важная новая технология защиты информации, появившаяся в операционной системе Windows Vista, обеспечивающая шифрование данных на компьютере. С помощью этой технологии вы сможете зашифровать весь жесткий диск и обеспечить его защиту в случае, если ноутбук попадет в руки злоумышленника. Наиболее эффективно применение данной технологии для портативных компьютеров, оборудованных модулем Trusted Platform Module (TPM) версии 1.2 и выше, так как в таком случае вы получите расширенную поддержку и проверку целостности всей системы при загрузке. Кроме того, в случае если компьютер не оборудован TPM, вы сможете использовать в качестве ключа внешний USB-накопитель в качестве устройства для хранения ключа доступа.

                Планирование развертывания

                Для того чтобы грамотно провести развертывание инструментальных средств шифрования в организации, нужно четко представлять себе все потенциальные проблемы, которые могут при этом возникнуть. Для внедрения BitLocker вы должны рассмотреть следующее:

                1. Оценить готовность аппаратных средств к BitLocker;
                2. Определить возможность развертывания;
                3. Выбрать конфигурацию BitLocker;
                4. Создать план восстановления данных в случае чрезвычайной ситуации.

                Постараемся рассмотреть эти вопросы подробнее.

                Оцените готовность аппаратных средств к применению BitLocker

                Для того чтобы вы могли использовать BitLocker, компьютеры компании должны удовлетворять перечисленным ниже требованиям.

                • Операционная система Windows Vista Enterprise или Windows Vista Ultimate;
                • Если вы хотите использовать BitLocker вместе с модулем TPM, материнские платы компьютеров должны быть TPM-совместимы, т.е. оборудованы модулями TPM, соответствующими спецификации Trusted Computing Group TPM v.1.2 или более новыми;
                • Жесткий диск должен содержать два раздела с файловой системой NTFS. Раздел, на который BitLocker будет записывать загрузочные компоненты, должен быть первым и содержать не менее 1,5 Гбайт чистого пространства. Кроме того, это должен быть активный раздел.

                Для того чтобы узнать, удовлетворяют ли ваши компьютеры указанным требованиям, можно использовать сценарии Windows Management Instrumentation (WMI) или PowerShell. Однако гораздо предпочтительнее задействовать Microsoft Systems Management Server (SMS) или аналогичные утилиты от независимых производителей.

                Аппаратные требования BitLocker

                Фактически аппаратные требования для использования BitLocker аналогичны тем требованиям, которые предъявляются к компьютерам для установки Windows Vista.

                Однако если вы решите использовать расширенные возможности, связанные с поддержкой ТРМ, потребуются компьютеры, оборудованные TPM-модулем версии 1.2 или более новым. На сегодняшний день уже многие переносные компьютеры оборудованы соответствующими модулями, однако стоит помнить, что установить эти модули на уже имеющиеся компьютеры невозможно.

                На компьютерах, не оборудованных ТРМ, можно использовать ключи шифрования, размещаемые на USB-дисках. Но такой способ размещения ключей шифрования значительно менее надежен, ведь в данном случае шифрование будет зависеть только от того, как пользователи будут хранить соответствующие USB-устройства. А если учесть, что многие из них будут хранить USB-диски в тех же сумках, в которых хранят ноутбуки, то такой способ хранения ключей шифрования не выдерживает никакой критики.

                Стоит учесть, что для некоторых компьютеров, уже оборудованных ТРМ версии 1.2 может потребоваться обновление BIOS. Как правило, это в первую очередь актуально для компьютеров, выпущенных до 1 января 2007 года.

                Стоит обратить внимание на то, что некоторые BIOS могут загружать систему с USB-дисков. Если вы хотите использовать BitLocker, то эту возможность нужно отключить. Жесткий диск должен быть первым устройством в списке загрузки.

                Каждый компьютер, на котором будет использоваться BitLocker, должен содержать два раздела. Один – для операционной системы и данных, а второй, поменьше, используется только когда компьютер загружен, или для обновлений операционной системы. Оба раздела должны использовать файловую систему NTFS, при этом Microsoft рекомендует, чтобы загрузочный раздел (меньший) содержал не менее 1,5 Гбайт свободного пространства.

                Пользователи Windows Vista Ultimate могут использовать BitLocker Drive Preparation Tool для создания раздела (чтобы использовать BitLocker). Этот инструмент описан в статье Microsoft Knowledge Base номер 930063 «Description of the BitLocker Drive Preparation Tool» (http://support.microsoft.com/kb/930063). Microsoft не рекомендует вручную создавать или изменять размеры разделов, в соответствии с требованиямя BitLocker, хотя в моей практике пришлось создавать разделы именно вручную при помощи программы fdisk из операционной системы Windows 9x.

                Вы можете использовать чистую установку Windows Vista (ведь создание разделов – это составная часть процедуры установки) или задействовать Drive Preparation Tool.

                Trusted Platform Module

                Понимание предназначения этого аппаратного обеспечения является важнейшей частью настройки BitLocker. Для того чтобы больше узнать о технологии TPM и о самой группе Trusted Computing Group, следует прочесть статью Trusted Platform Module (TPM) Specifications https://www.trustedcomputinggroup.org/specs/TPM.

                Доверенный платформенный модуль, так дословно переводится название ТРМ, – это микросхема, установленная на материнской плате, предназначенная в первую очередь для хранения ключей шифрования.

                Фактически компьютеры, на которых установлен ТРМ, создают ключи шифрования таким образом, что они могут быть расшифрованы только с помощью ТРМ. Этот процесс часто называется «сокрытием» (wrapping) или «привязкой» (binding) ключа, что помогает защитить ключ от компрометации. В каждом модуле ТРМ есть так называемый главный ключ (master key), или основной ключ (Storage Root Key, SRK), который никогда не будет доступен другому компоненту системы и который всегда хранится в ТРМ.

                Кроме того, компьютеры, оснащенные ТРМ, также обладают возможностью создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. То есть ключи могут быть расшифрованы только в том случае, если платформа, на которой их пытаются расшифровать, будет полностью совпадать с той, на которой эти ключи создавались. Данный процесс называется «запечатыванием» ключа в модуле ТРМ. Т.е. используя такую технологию и BitLocker Drive Encription, можно сделать так, чтобы ваши данные были разблокированы только в том случае, если они будут считываться с компьютера с подходящей аппаратно-программной конфигурацией.

                Стоит также отметить, что, так как модуль ТРМ не зависит от операционной системы и имеет собственное программное обеспечение, он фактически защищен от возможных ошибок операционной системы.

                Системные требования для установки BitLocker

                Windows Vista поставляется в нескольких редакциях, однако только Enterprise и Ultimate поддерживают технологию BitLocker. Вместе с тем стоит помнить, что Microsoft включает средство обновления Windows Anytime Upgrade, описанное в оперативной подсказке к Windows Vista. Например, вы можете обновить Windows Vista Business Edition до Windows Vista Ultimate Edition с помощью средства Anytime Upgrade. Однако в некоторых случаях вам потребуется повторная установка, например, превращение 32-разрядной версии в 64-разрядную потребует повторной установки 64-разрядной версии Windows Vista.

                Развертывание Windows Vista

                Программное руководство Solution Accelerator for Business Desktop Deployment http://go.microsoft.com/fwlink/?LinkId=91187 обеспечит всесторонний набор руководств и инструментов для внедрения Windows Vista на предприятии. Если вы планируете развертывание Windows Vista, помните, что BitLocker не может быть установлен и настроен удаленно, так как ТРМ не может быть инициализирован удаленно. А кроме того, может потребоваться обновление системы BIOS для полного удовлетворения требованиям установки BitLocker.

                Поскольку BitLocker недоступен пока вы не установите Windows Vista, вы должны решить, хотите ли вы обновлять компьютеры с Windows XP до Windows Vista или предпочтете чистую установку новой операционной системы. Для установки BitLocker нужно разметить жесткий диск особым образом (эти требования описаны в Windows BitLocker Drive Encryption Step-by-Step Guide http://go.microsoft.com/fwlink/?LinkId=83223), и если вы планируете обновить существующие операционные системы Windows XP, то должны запланировать изменение логической структуры жестких дисков компьютеров.

                Вместе с тем инструментальные средства Windows Vista Business Desktop Deployment (BDD) поддерживают автоматическое развертывание BitLocker при некоторых обстоятельствах. В Lite Touch Installation Guide http://go.microsoft.com/fwlink/?LinkId=78607 описано развертывание BitLocker как части операционной системы.

                Определите возможность развертывания BitLocker

                После того, как вы определите наличие аппаратных средств и программного обеспечения, которые поддерживают один или более режимов функционирования BitLocker, следующим шагом будет определение тех компьютеров, на которых будет разворачиваться BitLocker. Для этого вам потребуется ответить на следующие вопросы:

                • Какие компьютеры в вашей организации нуждаются в защите?
                • Нужно ли защищать все ваши мобильные и настольные компьютеры?
                • Какие данные в вашей организации нуждаются в криптографической защите?

                Какие компьютеры нуждаются в защите?

                Как правило, технологии защиты воплощают некий компромисс между защитой и стоимостью, и BitLocker не является исключением. Казалось бы, наилучшее решение – развернуть Windows Vista на предприятии и запустить BitLocker. Однако большинство организаций должно синхронизировать широкое внедрение Windows Vista (и, соответственно, BitLocker) с полным планом развертывания ИТ-технологий.

                Windows Vista и BitLocker необходимо устанавливать на компьютеры, которые подвергаются наибольшему риску. Это такие компьютеры, как:

                • компьютеры, используемые топ-менеджерами, работающими с наиболее важной конфиденциальной информацией;
                • Компьютеры, используемые служащими, которые могут иметь доступ к личным или финансовым данным клиентов, служащих или деловых партнеров;
                • Компьютеры, на которых обрабатывается персональная информация клиентов или служащих;
                • Компьютеры, используемые в тех областях, где они особенно уязвимы (воровство);
                • Портативные компьютеры, используемые служащими вне пределов офиса;
                • Домашние компьютеры служащих, используемые для удаленной работы в сети компании.

                Наиболее простым способом определения компьютеров, которые нуждаются в шифровании, будет использование базы данных компьютеров. Не забудьте перепроверить эти данные из разных источников, чтобы быть уверенным в достоверности полученной информации.

                Какие данные нуждаются в защите с помощью шифрования?

                Примечательно в данной технологии то, что она позволяет шифровать весь системный том, что дает пользователю возможность без особых затрат и раздумий шифровать все файлы и папки. Тем не менее, весьма важно определить данные, которые нуждаются в шифровании. Зная эти данные намного легче определить те компьютеры и тех пользователей, чья информация нуждается в шифровании. Это позволит сэкономить, поскольку не придется шифровать все системные тома всех пользователей. Давайте приведем пример тех данных, которые, прежде всего, будут нуждаться в защите:

                • Конфиденциальная информация, защищаемая законом, включая финансовую, банковскую, кредитную информацию, а также стратегические планы предприятия;
                • Личные данные служащих, уволенных служащих или клиентов (информация, отнесенная к категории персональных данных);
                • Исходные тексты программного обеспечения, базы данных и другая интеллектуальная собственность;
                • Лицензионные материалы, принадлежащие деловым партнерам или клиентам.

                Выбор конфигурации BitLocker

                На данном этапе планирования вы сможете определить, какие конфигурации наиболее соответствуют вашей организации. Доступны следующие режимы BitLocker:

                • BitLocker с TPM;
                • BitLocker с TPM и PIN-кодом;
                • BitLocker с ТРМ и USB устройством;
                • BitLocker без ТРМ (с USB устройством).

                Таблица 1. Конфигурация BitLocker

                tabl

                BitLocker с режимом TPM (без PIN-кода).

                Данный режим обеспечивает защиту без вмешательства пользователя. При загрузке системы все работает автоматически и прозрачно для пользователя. Данный режим не обеспечивает максимальную защищенность, однако может применяться в следующих ситуациях:

                • В случае если вы не нуждаетесь в мультифакторной аутентификации;
                • Если данные, хранящиеся на вашем компьютере, не требуют усиленной аутентификации.

                Внедрение BitLocker с TPM

                Внедрение данной технологии потребует выполнения следующих действий:

                • создание перечня компьютеров в организации и оборудованных ТРМ-модулями;
                • описание цикла обновления (замены) аппаратных средств;
                • определение, существуют ли в организации компьютеры, требующие автоматического запуска, ведь BitLocker с TPM, в отличие от BitLocker с TPM и PIN-кодом, BitLocker с ТРМ и USB устройством, BitLocker без ТРМ (с USB-устройством), позволяет автоматический запуск, остальные режимы требуют физического присутствия пользователя;
                • описание процедур замены жесткого диска, ремонта и списания для защищенных ТРМ-систем, при условии, что зашифрованный с помощью BitLocker диск не может использоваться в качестве срочной замены.

                BitLocker c TPM и PIN-кодом

                BitLocker c TPM и PIN-кодом является наиболее защищенным, так как использует мультифакторную аутентификацию и по существу является последней линией обороны в случае кражи компьютера. А, кроме того, позволяет предотвратить нападения, возможные в случае загрузки системы и до появления окна регистрации. На стадии планирования необходимо изучить, способны ли ваши пользователи запомнить дополнительный PIN-код.

                Внедрение BitLocker с TPM и PIN-кодом

                В случае внедрения этого способа шифрования важно обратить внимание на создание инструкции для пользователей, которая будет предназначена для:

                • обучения пользователей процедуре выбора устойчивого к взлому PIN-кода, удовлетворяющего требованиям политики безопасности организации;
                • рассмотрения процедуры доступа к компьютеру и восстановления данных в случае, если пользователь забыл свой PIN-код;
                • рассмотрения процедуры сброса PIN-кода.

                BitLocker с USB-устройством

                Данный режим шифрования может быть внедрен на тех компьютерах, которые не содержат модуль ТРМ. Этот режим поддерживает основные функциональные возможности, однако не обеспечивает разовую начальную проверку целостности и является менее устойчивым к взлому, так как не обеспечивает мультифакторную аутентификацию. Чаще всего при использовании данного режима на ноутбуках пользователи будут носить ключевое USB-устройство в той же самой сумке, что и ноутбук, и в случае хищения ноутбука вместе с сумкой злоумышленник сможет беспрепятственно прочесть данные.

                Внедрение BitLocker с USB-устройством

                Если же вы все же планируете использовать BitLocker с USB-ключом, то предусмотрите следующие шаги:

                • проверьте компьютеры, на которых собираетесь использовать BitLocker с USB-ключом, чтобы убедиться в том, что они могут распознать USB-ключ во время загрузки;
                • создайте план перемещения данных и приложений с этих компьютеров на компьютеры с поддержкой ТРМ, в случае обновления аппаратного обеспечения.

                BitLocker с ТРМ и USB-устройством

                Если вы примете подобный режим работы, то получите гибрид режимов TPM-ONLY и USB-ONLY, в связи с чем вы должны быть уверены, что ваши компьютеры поддерживают оба названных режима.

                Внедрение BitLocker с ТРМ и USB-устройством

                Внедрение подобного режима потребует от вас рассмотрения вышеизложенных шагов для обоих названных режимов.

                Восстановление данных

                Следует помнить, что шифрование BitLocker является достаточно устойчивым и не имеет никаких «люков». Т.е. нельзя возвратить данные, зашифрованные BitLocker, если не знать пароля восстановления. Это резко усиливает важность планирования процесса восстановления. Стоит помнить, что если у вас нет пароля восстановления, вы не сможете вернуть ваши данные.

                Существуют следующие методики хранения пароля восстановления:

                • Хранение пароля в распечатанном на бумаге виде;
                • Хранение пароля на сменных носителях;
                • Хранение пароля на сетевом носителе;
                • Хранение пароля в Active Directory.

                Не следует останавливаться только на одном методе хранения пароля, так как его утрата повлечет за собой отказ восстановления зашифрованных данных на всех компьютерах.

                Active Directory

                Microsoft рекомендует планировать и разворачивать каталог паролей восстановления BitLocker с использованием Active Directory (AD). Данный метод восстановления имеет следующие преимущества:

                • Процесс хранения автоматизирован и не требует вовлечения пользователя;
                • Информация, необходимая для восстановления, не может быть утеряна или изменена пользователем;
                • AD обеспечивает централизованное управление и хранение информации для восстановления;
                • Информация для восстановления защищена вместе с другими данными AD.

                Вместе с тем, использование AD для хранения паролей восстановления BitLocker выдвигает новые требования:

                • Организация должна иметь устойчивую, хорошо управляемую инфраструктуру AD;
                • AD на базе Windows Server 2003 должна быть расширена для включения атрибутов BitLocker. Подробнее об этом рассказано в статье Extending Your Active Directory Schema in Windows Server 2003 R2;
                • Необходимо иметь политику безопасности для обеспечения безопасного хранения паролей восстановления в AD.

                Печать пароля восстановления (сохранение его в текстовом файле)

                Данный процесс, несмотря на его простоту, имеет важные преимущества:

                • процесс легко осуществим;
                • требуется небольшая инфраструктура;
                • легко осуществим для технически неподготовленных пользователей.

                Наряду с этим имеется целый ряд недостатков:

                • процесс создания и хранения пароля восстановления зависит от пользователя;
                • хранение пароля данным способом не обеспечивает централизованного управления;
                • не существует гарантированной защиты от компрометации (хищения, несанкционированного ознакомления, утраты или повреждения);

                Сохранение пароля восстановления на USB-устройстве

                Данный метод имеет следующие преимущества:

                • вы можете хранить большое количество паролей восстановления на одном USB-устройстве, так как все они хранятся в виде текстовых файлов;
                • легче обеспечить физическую защиту устройства, его безопасное хранение.

                Однако данный способ хранения имеет и недостатки:

                • далеко не все компьютеры на сегодня поддерживают обращение к USB-устройству в процессе загрузки;
                • сбор паролей восстановления для последующего хранения – выполняемый вручную процесс, который не может быть автоматизирован;
                • USB-устройство может быть потеряно или повреждено, и в таком случае все пароли восстановления будут утрачены.

                Политика восстановления

                Для безопасного восстановления данных чрезвычайно важно определить, кто именно будет заниматься их восстановлением. Восстановление данных, зашифрованных с помощью BitLocker, будет требовать физического доступа к восстанавливаемому компьютеру для ввода пароля восстановления. Это требование существенно влияет на процесс восстановления, так как вполне вероятно, что восстановление понадобится в случае, когда пользователь находится вне офиса.

                По умолчанию все администраторы домена могут читать пароли восстановления BitLocker, хранящиеся в AD. Точно так же они могут делегировать эту возможность другим пользователям. Однако порядок этого должен быть описан в политике безопасности.

                Прежде чем начинать процесс восстановления, необходимо гарантировать, что вы предусмотрели любые неожиданности, которые могут возникнуть. Например:

                • в случае восстановления с помощью ключа USB вы должны убедиться, что целевая система может читать данные с USB-устройства во время начальной загрузки. Убедитесь, что ваше USB-устройство работает вместе с целевым компьютером;
                • При использовании дополнительных (сетевых и т.д.) мест хранения паролей восстановления убедитесь до начала процесса восстановления, что они доступны пользователю. Нельзя использовать для восстановления файл, расположенный на жестком диске того же компьютера, так как он будет недоступен пользователю во время загрузки. Не следует использовать сетевые ресурсы, которые вы не можете надежно защитить от доступа ненадежных лиц.
                • В случае если вы хотите распечатать пароль восстановления, при его генерации убедитесь, что сетевой принтер доступен, и вы знаете, как будете хранить напечатанный пароль.

                Как мы видим, внедрение процесса шифрования BitLocker в организации – задача, требующая предварительного создания целого набора политик, процедур и инструкций. Надеюсь, что данная статья поможет вам в этом.

                 

                Владимир Безмалый (Vladimir_Bezmaly@ec.bmsconsulting.com)

                http://osp.ru/win2000/2008/03/5184328/

              • Главная Security, Новое Security, Общее
                • Юридические аспекты информационной безопасности

                  • Рубрика: Security,Новое
                  • Автор: Владимир Безмалый
                  • Дата: Tuesday 07 Apr 2009

                  law Сегодня я хотел бы поговорить с вами о весьма волнующей меня проблеме. Думаю, что в  большинстве предприятий весьма и весьма актуальной является задача контроля электронной переписки своих сотрудников. Тема не простая. Обеспечить ее техническими средствами, создав архив входящих/исходящих писем и обеспечив его целостность, не так уж и сложно.
                  Однако здесь мы с вами упираемся в законность своих пожеланий, а именно. Конституция Украины гарантирует тайну переписки. Заметьте, не частной, а переписки вообще! Что это значит для нас с вами?
                  Формально – мы не можем читать почту сотрудников, так как нарушаем Конституцию. Более того, даже если вы обнаружите доказательства преступлений, то формально это доказательством не является, ведь добыто с нарушением закона. Что делать?
                  На разных форумах предлагают брать расписки с сотрудников, о том, что они не возражают против чтения электронной почты. Простите, но охарактеризовать это другим термином кроме БРЕД, причем в тяжелой форме, я не могу! В любой момент сотрудник может отказаться  от этой бумаги, а так как вы нарушаете Конституцию, то виноваты вы! Это однозначно и в дополнительных доказательствах не нуждается!
                  Однако, а что же все таки делать? Вразумительного ответа украинские, впрочем, и российские юристы, увы, не дают!
                  На мой взгляд, можно в инструкции при приеме на работу указывать, что вся информация, обрабатываемая на компьютерах фирмы информация принадлежит фирме, а следовательно, руководство компании может в любой момент времени ознакомиться с этой информацией само или поручить это соответствующему сотруднику.
                  Таким образом, в любой момент времени компьютер ЛЮБОГО сотрудника может быть изъят на проверку. Соответственно, просмотрено может быть содержимое электронного почтового ящика любого сотрудника.
                  Так как информация принадлежит фирме, то и просматривать СВОЮ информацию руководство может в любой момент времени. А вы как считаете?

                • Главная Security, Новое Security, Инсайд
                  • Внутренние угрозы в период кризиса

                    • Рубрика: Security,Новое
                    • Автор: Владимир Безмалый
                    • Дата: Tuesday 31 Mar 2009

                    Firewall.cpl_I296a_0409 На сегодняшний день в мире сумма ущерба, причиняемого от атак внутренних злоумышленников (инсайдеров), уже давно превышает сумму от внешних атак. Поэтому защита от внутренних угроз уже стала необходимостью. Особенно сегодня, когда проблема инсайдеров накладывается на проблему кризиса и необходимость массовых увольнений сотрудников. Не стоит думать, что все увольняемые, как равно и остающиеся сотрудники будут лояльны по отношению к увольняющим их работодателям! Именно этой проблеме и будет посвящена данная статья.
                    Вначале я хотел бы, чтобы уважаемые читатели сами себе ответили на несколько непростых вопросов. Да-да, именно себе! Итак, вот они:

                    • 1. Вы собираетесь увольнять персонал?
                      2. Если да, то, как вы думаете, будут ли эти сотрудники лояльны к вам?
                      3. Подумайте, не захотят ли ваши (почти бывшие) сотрудники унести информацию, к которой они имеют доступ, с собой?
                      4. Сможете ли вы что-либо этому противопоставить?
                      5. Готова ли ваша служба безопасности к такой постановке вопроса?
                      6. Если вы даже обнаружите, что ваш сотрудник похищает информацию, –  готовы ли вы доказать это в суде?
                      7. Готовы ли вы к рискам, связанным с применением нелицензионного программного обеспечения?
                      8. Полагаю, список вы сможете продолжить сами…

                    Без сомнения, многие предприятия сейчас будут вынуждены сокращать персонал. Некоторые – цивилизованно, с соблюдением законодательства, некоторые просто извещают сотрудников, что с сегодняшнего дня не нуждаются в их работе. Оба подхода тяжело бьют по людям. Но второй подход бьет еще и по организации: таким образом руководство компании  показывает, что оно готово во имя сегодняшней призрачной выгоды не считаться с законом. А следовательно – завтра обойтись так же с партнерами и заказчиками! Это удар по престижу организации, и информация такого рода разносится быстро. Кроме того, тем самым руководство дает увольняемым незаконные, но весомые основания поступить и с предприятием в обход закона. Эту ветвь рассуждений далее можно не детализировать. Перейдем к вынужденному вполне законному процессу сокращения персонала.
                    Если вы приняли решение об увольнениях, придется побеспокоиться, чтобы уходящие не могли «прихватить» с собой конфиденциальную информацию.  Если вы не были готовы к этому – вы существенно проиграли! У вас не было политики безопасности? Не была классифицирована информация по степени конфиденциальности? Более того, у вас не было вообще службы ИТ-безопасности, всем занимались сисадмины? Увы… Но самое печальное, если ваши сотрудники при приеме на работу не подписывали соглашение о неразглашении информации! Тогда – формально — сотрудник, «уводящий» с предприятия, скажем, базу клиентов – ничего не нарушал, и вы не сможете предъявить ему претензии в суде.
                    Но сложная экономическая полоса — это еще и повод (если это не было сделано ранее) выделить если не подразделение, то хотя бы определенного специалиста, который бы занимался ИТ-безопасностью. И этот человек (отдел) должен подчиняться напрямую первому лицу в компании. Как вариант — за аудит и обеспечение ИТ-безопасности может взяться сторонняя компания с большим опытом в этой области… что, впрочем, редко избавляет от необходимости сформировать собственную группу или пригласить доверенного специалиста.
                    Да, если это не сделано ранее, вас ожидают некие дополнительные затраты. Но следует помнить, что общий уровень экономической безопасности предприятия напрямую зависит от безопасности информационной! Ведь любая акция, направленная против экономических интересов хозяйственного субъекта, начинается с этапа сбора информации. Сегодня нельзя представить себе не то что крупные экономические преступления вроде вывода активов предприятия, а даже мелкие противоправные действия без соответствующего информационного обеспечения.
                    Помимо того, что наиболее важной информационной угрозой становится та, что направлена изнутри предприятия,- она все чаще приобретает характер «инициативной вербовки», когда сотрудник сам, по собственной инициативе, собирает те или иные сведения для продажи их конкурентам или иностранным спецслужбам. К счастью, все большее число руководителей компаний начинают осознавать реальный масштаб инсайдерских угроз.
                    Согласно исследованию «Инсайдерские угрозы в России 2009» проведенного с 01 декабря 2008 г. по 23 января 2009 года специалистами аналитического центра Perimetrix:

                    • • Наибольшие опасения вызывают угрозы утечки информации (73%), а также халатность служащих (70%)
                      • Главной причиной актуальности внутренних проблем являются продолжающиеся утечки информации – только 5% компании заявили об отсутствии подобных инцидентов за последний год.
                      • Специалисты по безопасности осознали собственную незащищенность перед утечками – сразу 42% респондентов затруднились назвать точное количество утечек.
                      • Криптографические системы используют 41% компаний, а системы защиты от утечек – 29%.
                      • В подавляющем большинстве случаев нарушители внутренней безопасности не несут практически никакой ответственности. 45% халатных нарушителей наказываются неформальными выговорами, а 51% злонамеренных инсайдеров увольняются из компаний по собственному желанию.

                    Вместе с тем – наблюдается снижение уровня затрат на информационную безопасность ввиду тяжелого финансового положения самих компаний. Это грозит дальнейшим снижением уровня безопасности. Однако сложно ожидать роста этой категории расходов в период вынужденной экономии средств. Следовательно, доступные средства приходится использовать крайне продуманно.
                    Для возможного анализа проблемы внутренних угроз, прежде всего, необходимо ответить на ряд базовых вопросов:

                    • • Почему вы хотите защищаться от внутренних угроз?
                      • Как выглядит портрет возможного нарушителя?
                      • Какие ресурсы вы готовы потратить на защиту от внутренних угроз?

                    Ответ на вопрос «зачем внедрять систему защиты от внутренних угроз?» отнюдь не так очевиден, как это может казаться на первый взгляд. Рассмотрим возможные варианты ответов на этот вопрос.

                    Таблица 1.
                    Цели и методы внедрения системы защиты против внутренних угроз

                    Цель Внедрение
                    Соответствие требованиям нормативов и стандартов Внедрение мер, которые обеспечат соответствие и проверяются при  аудите
                    Сохранность информации Гласное внедрение в сочетании с кадровой работой
                    Выявление канала утечки Открытое внедрение в сочетании с оперативными мероприятиями
                    Подтверждение непричастности Архивация движения данных и сетевых операций для доказательства того, что источник утечки не внутри фирмы

                    Однако прежде чем вы сможете внедрить системы защиты от внутренних угроз, а их разновидностей на рынке сегодня не просто много, а очень много, это целый класс так называемых DLP (Data Loss Prevention) систем, нужно провести классификацию обрабатываемой информации, определить владельцев обрабатываемой информации и т.д.

                    Средства защиты

                    Сегодня к мерам по защите информации от внутренних угроз компании относят технические решения по контролю доступа к ресурсам (Интернет, электронная почта, USB), а также сигнатурную контентную фильтрацию (как правило, это специальным образом настроенный антиспам-фильтр). Однако стоит понимать, что эти методы позволяют противодействовать либо низко квалифицированным, либо неосторожным пользователям.
                    Стоит помнить, что сигнатурная контентная фильтрация легко обходится либо удалением «опасных» слов либо примитивным кодированием, т.е. заменой символов одной кодировки (западноевропейской) другой (кириллической). Легко отметить что слова «секретно» и «ceкpeтно» читаются одинаково, в то время, как во втором слове выделенные буквы набраны в западноевропейской кодировке. Более того, кто или что может мешать заменить букву «о» на цифру «0» или букву «s» на цифру «5»? А сигнатурный анализатор просто пропустит это слово как нераспознанное.
                    Вместе с тем стоит понимать, что принцип «запретить все» неприменим, так как сотрудникам необходимо продолжать работать.
                    То есть стоит понимать, что с одной стороны компании нуждаются в упорядочении системы хранения конфиденциальной информации, а с другой – во внедрении более совершенной системы защиты от внутренних угроз.

                    Положение о конфиденциальной информации в электронном виде

                    После определения цели защиты конфиденциальной информации, которая хранится в корпоративной сети в электронном виде, от внутренних угроз, чрезвычайно важно понять, что именно мы собираемся защищать.
                    Таким образом, в компании необходимо принять документ («Положение о конфиденциальной информации»), который позволит однозначно категорировать информацию по степени конфиденциальности. Вместе с тем необходимо провести категорирование групп пользователей по степени разрешенных действий с данной информацией. Скорее всего, такое положение о конфиденциальности у вас уже существует для бумажных документов. Теперь нужно адаптировать данное положение к электронным документам, т.е. дать определение жизненному циклу документа (определить, кем и при каких условиях создается документ, модифицируется и уничтожается), а также  регламентировать работу с такими отсутствующими у бумажных документов понятиями, как копия документа, часть документа и т.д.

                    Контентное категорирование

                    В процессе разработки «Положения о конфиденциальной информации» (далее Положение) необходимо отметить виды информации, которые запрещено отправлять по электронной почте. Практически во всех компаниях существует стандартный набор, который запрещено отправлять по электронной почте.
                    При этом стоит учесть, что существует набор информации, которую одно подразделение может отправлять, а другое – нет. В качестве примера можно привести письма, в которых упоминаются первые лица компании. Такие письма может рассылать лишь служба по связям с общественностью, а письма с упоминанием банковских реквизитов – лишь бухгалтерия и т.д. При этом стоит отметить, что в каждой компании будут свои нюансы.
                    В Положении необходимо предусмотреть регламенты использования конфиденциальных документов, описание системы хранения подобных документов и организации доступа к ним.
                    Кроме того, необходимо предусмотреть ведение «журнала» работы с подобными документами, в котором отражать основание для обращения к документу, цель использования и т.д. В данном случае ведение журнала облегчено тем, что многие операции могут производиться в автоматическом режиме. Подобный способ ведения журнала в разных источниках называется по-разному. Кроме термина «журналирование» можно встретить термин «логирование». Хотя фактически это один и тот же процесс.
                    В положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы предотвратить возможные противоправные действия.

                    Классификация информации по уровню конфиденциальности

                    Конфиденциальную информацию можно разнести по следующим категориям (пример):

                    • • «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» – к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
                      • «КОНФИДЕНЦИАЛЬНАЯ» – к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему, как собственнику (уполномоченному собственником лицу) информации, действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
                      • «ОТКРЫТАЯ» – к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

                    Иногда в компании вводят больше уровней конфиденциальности. Однако стоит понимать, что чрезмерное увеличение числа категорий влечет за собой увеличение числа документов и усложнение системы защиты.
                    Однако следует учесть, что, так как в организации каждый день создается множество документов, то без механизма их автоматической или полуавтоматической классификации реестр уже через некоторое время потеряет свою актуальность.
                    Также следует категорировать информацию по критериям целостности и доступности.

                    Метки документов

                    Необходимо обратить особое внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по содержанию которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции – публикацию в Интернет, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате MS Office, то в качестве метки может использоваться запись “конфиденциально” в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток – именование файлов по специальной маске. Например, первые 10 символов – тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания и 8-значная дата в формате YYYYMMDD.
                    Следует обратить внимание на то, что процесс внедрения процедуры именования файлов – не какая-то разовая акция, а постоянная работа по обучению персонала именовать файлы именно таким образом. Необходимо понимать, что кроме организационных методов (закрепление приказом только такой формы именования, поддержка способа именования всем топ-менеджментом и инструктаж новых сотрудников), надо привлечь на помощь и технические средства. Самый простой технический способ внедрения этой процедуры – разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в Интранет только те файлы, которые именованы по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и Интранет, будут называться правильным образом.
                    После того, как все файлы документов будут названы по такой маске, документы будут автоматически попадать в поле зрения контролирующих систем и перехватываться при запрещенных с ним действиях пользователя не только средствами контентной фильтрации, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации, этот метод дает практически 100% гарантию. Это удобно и при ведении визуального контроля, ведь даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же не будет лишним еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

                    Хранение информации

                    После того, как реестр конфиденциальных документов будет создан, можно приступить к организации их хранения. Во многих компаниях организационными и техническими методами запрещено хранить на рабочих станциях конфиденциальную информацию. Как правило, такие данные хранятся на специальных клиент-серверных или web-приложениях (корпоративных интранет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые позволяют разделить права пользователей и защитить информацию от попытки сохранить в несанкционированном месте. Несмотря на то, что защита таких данных является многоуровневой (уровни аппаратной платформы, СУБД, приложения), тем не менее, риски утечки такой информации с рабочих станций существуют.

                    Способы хранения конфиденциальной информации

                    Прежде всего, в организации необходимо обеспечить защиту от утечки информации следующих типов:

                    • • сводная информация;
                      • конфиденциальные документы;
                      • интеллектуальная собственность.

                    Сводная информация
                    Структурированные данные в формате базы данных электронных таблиц могут быть отнесены к сводной информации. Как пример, можно привести информацию о продукции, ценах, финансовую информацию и т.д., которая, безусловно, представляет ценность для конкурентов. В случае хищения информации подобного типа злоумышленнику важно сохранить ее полноту, достоверность и структуру информации. В противном случае ее цена резко снижается. Отдельным случаем является «заказ» на хищение конкретных данных, а не всей информации. Однако такой вариант встречается гораздо реже, так как предполагает конкретного заказчика.

                    Интеллектуальная собственность
                    К интеллектуальной собственности может быть отнесена любая информация в электронном виде, обеспечивающая конкурентные преимущества компании, например, шаблоны документов, должностные инструкции, описание бизнес-процессов компании, сведения об изобретениях и т.д. Эта информация может храниться в любом месте и в любом виде. Ценными являются не только сами документы, но и их фрагменты, черновики и т.д.

                    Неструктурированная информация
                    Хищение документов, содержащих неструктурированную информацию, также может привести к моральным и материальным потерям. Защита от утечек подобной информации крайне затруднена.
                    Одним из вероятных путей утечки информации, используя санкционированный доступ, являются клиентские приложения. Большинство используемых в качестве рабочих станций – компьютеры на платформе Intel. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних IT-угроз. Таких угроз практически нет при использовании тонких клиентов.

                    Локальные копии
                    Еще одним потенциальным источником утечки информации являются копии информации на мобильных устройствах. Сегодня часть сотрудников проводит большую часть времени вне офиса. При этом для работы необходимы копии служебных документов, в том числе и конфиденциальных. При этом стоит помнить, что закрытие всех портов ввода-вывода на ноутбуках достаточно сложно технически, а во-вторых – затруднит работу мобильным пользователям, ведь они должны использовать как сменные носители, так и коммуникационные порты.

                    Основные направления защиты

                    Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, то методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.

                    Защита документов
                    Для защиты электронных документов применяются те же методы, что и для работы с бумажными. В этой области активно используется шифрование документов, использование специальных форматов файлов, которые запрещают сохранение в другом формате, редактирование и копирование содержимого в буфер Windows.

                    Защита каналов утечки
                    На сегодняшний день самым эффективным средством является контроль выноса физических носителей с территории компании. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако процесс миниатюризации носителей информации и встраивание флэш-памяти в часы и плееры делают такой контроль все менее эффективным. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.

                    Мониторинг (аудит) действий пользователей
                    Для процесса защиты от внутренних утечек информации крайне важно не только то, кто получил доступ к файлу, но и то, что он делал с документом, ведь разные пользователи будут использовать документы по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке. Это такие как:

                    • • перемещение документа, как единого целого;
                      • копирование информации из документа;
                      • изменение документа с целью обмана следящих систем.

                    К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Интернет, печать.
                    Ко второй – копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п.
                    К третьей группе – переименование файла или его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.
                    Операция с конфиденциальной информацией, которая недопустима для данного пользователя, должна либо блокироваться, либо сведения о такой операции должны поступать к офицеру безопасности. При этом система внутренней безопасности должна быть настроена так, чтобы пользователь (его руководитель) узнавали, что он пытается совершить запрещенную операцию, либо чтобы эта информация была доступна только офицеру информационной безопасности.
                    Однако если вы думаете что это все, что вам нужно сделать – вы ошибаетесь. На самом деле вы должны еще классифицировать потенциального нарушителя, создать его портрет, продумать нетехнические методы защиты. Рассмотрение этих вопросов требует достаточно большого объема информации и не может быть втиснуто в одну статью. Что вам сказать – вам предстоит работать и работать! И учтите, времени у вас нет! Это все должно быть сделано еще на позавчера!
                    Кроме этого можно рекомендовать следующее:

                    • • Создать выделенную структуру ИТ-безопасности (и/или найти организацию, которая поможет в анализе рисков информационной безопасности, написании соответствующих документов и внедрении соответствующих аппаратно-программных средств);
                      • Классифицировать данные и создать каталог конфиденциальной информации;
                      • Разобраться, кто к этой информации имеет доступ;
                      • Закрыть доступ тем сотрудникам, кому эта информация не нужна по служебной необходимости;
                      • Закрыть возможность записи на внешние носители, а в случае недоступности такой меры – организовать теневое копирование информации и контроль действий за соответствующих сотрудников;
                      • Запретить удаление любой информации с дисков общего доступа;
                      • Включить фильтр на почтовом сервере по определённым словам (на исходящую электронную почту);
                      • Запретить использование внешних бесплатных почтовых серверов, ненужных в работе социальных сервисов и средств мгновенного обмена сообщениями;
                      • Для наиболее ответственных рабочих мест предусмотреть средства регистрации действий персонала;
                      • Создать инструкции по использованию ПК, ПО, уже внедренных и новых систем и средств автоматизации управления;
                      • Под роспись ознакомить пользователей с правилами работы по работе с конфиденциальной информацией;
                      • Объединить усилия топ-менеджмента, ответственных за экономическую, физическую и информационную безопасность.

                    Это, конечно, не панацея,- но принимаемые меры позволят если не исключить, то хотя бы минимизировать возможные потери от внутренних угроз в наше непростое время.

                    Безмалый В.Ф.
                    MVP Consumer Security
                    vladb@windowslive.com
                    http://vladbez.spaces.live.com

                  • Главная Security, Windows, Новое Security, Windows Vista
                    • Настройка безопасности Windows Vista

                      Все чаще и чаще дома и на работе мы используем новую ОС от фирмы Microsoft – Windows Vista.

                      И все чаще перед нами встает вопрос, а как правильно настроить данную ОС с точки зрения безопасности. Читая статьи в Интернет можно увидеть как полезные так и откровенно вредные советы. Постараемся разобраться в этом и определить перечень необходимых мероприятий для настройки вашей Windows Vista с точки зрения безопасности. Именно о защите клиентского компьютера (компьютера домашнего или офисного пользователя) и будет идти речь. Не секрет, что любую атаку гораздо проще начинать именно с клиентского рабочего места. Ведь основное внимание в вопросах защиты традиционно уделяется серверам локальных сетей. Несомненно, на рабочих местах необходима и антивирусная защита и усиленные меры идентификации и аутентификации пользователей. Но все же в первую очередь, с моей точки зрения, необходимо обеспечить защиту с помощью встроенных средств операционной системы.

                      С уважением Безмалый Владимир
                      MVP Consumer Security