Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Защита данных в Windows 95

Джон Яконо

Система защиты Windows 95 имеет множество изъянов в области безопасности, угрожающих потерей ценных данных. В этой статье вы найдете несколько советов о том, как уберечь информацию от злоумышленников.

Если вам придется парковать автомобиль в сумерках на пустынной улице, оставите ли вы его с незапертыми дверьми и багажником? А с опущенными боковыми стеклами? Конечно, нет! Почему же тогда вы миритесь с уровнем защищенности Windows 95, допускаете совместное использование файлов и принтеров, пренебрегаете загрузкой утилит из Service Pack и оставляете без внимания кэширование паролей, которое Windows 95 использует по умолчанию? Если хоть что-то из перечисленного относится к вам, то будьте готовы к неприятностям. Однако не стоит расстраиваться — мы владеем замками, ключами, потайными дверцами и сиренами, так необходимыми для защиты данных.

Microsoft на все жалобы по поводу защиты данных в Windows 95 всегда дает типовой ответ: “Если хотите получить более высокий уровень защиты для своего ПК, переходите на Windows NT”. Однако не имеет смысла расставаться с Windows 95 и переходить на Windows NT только из-за проблем с безопасностью данных.

ПО к вашим услугам

Режим разделения файлов и принтеров — полезное средство для предоставления членам рабочей группы доступа к общим ресурсам. Но ошибки в ПО могут уничтожить даже существующую слабую защиту данных в сети, так что будьте осторожны с разделением ресурсов. Первая неприятность проявляется при совместном использовании режима разделения файлов и принтеров в сети NetWare и удаленного администрирования или службы удаленной регистрации. Так, если администратор занимался вашей системой, а затем вдруг отключился от сети, то ваши файлы становятся доступными для всех пользователей сети.

Проблемы могут возникнуть и в том случае, если вы в одно и то же время установили разделение файлов и принтеров для сетей Microsoft и ввели защиту на уровне разделения. Работая в среде Unix, с помощью условно-бесплатного клиента SMBCLIENT компании Samba мошенники могут получить доступ к жесткому диску “защищенной” таким образом системы, независимо от того, находятся ли они внутри компании или проникают из Internet.

К счастью, эти проблемы легко устраняются с помощью пакета Service Pack для Windows 95 фирмы Microsoft. Его можно загрузить с Web-сервера Microsoft (http://198.105.232.7/ kb/ softlib/mslfiles/SETUP.EXE).

Пакет Service Pack также исправляет в Windows 95 ошибку, относящуюся к OLE. Если с помощью редактора Notepad вы открываете документ, созданный в редакторе Word, электронной таблице Excel или графическом редакторе PowerPoint, то можете обнаружить фрагменты, удаленные из оригинального файла в процессе редактирования. Например, вы написали на имя начальника заявление с критическими замечаниями в его адрес, а затем одумались и, вместо того, чтобы закрыть этот документ и начать новый, просто удалили текст заявления, набросав вместо него план работы на неделю. Если начальник просмотрит ваше произведение из редактора Notepad, то можете собирать вещички.

Тайник не нужен

Service Pack решает также проблемы шифрования файла, хранящего пароли. По умолчанию Windows 95 хранит закодированные пароли в файле с расширением .PWL. Используемый в Windows 95 для шифрования этих файлов 32-байтовый код легко раскрыть. Первые 20 байт содержат имя пользователя (обычно оно совпадает с именем файла), набранное прописными буквами и дополненное до 20 байт специальным символом.

Но проблема не в алгоритме, а в его реализации. Тот же самый ключ используется для кодирования пароля каждого ресурса (включая имена, присваиваемые разделяемым дискам или принтерам). Это облегчает злоумышленникам разгадку алгоритма кодирования. Неудивительно, что в Internet уже сейчас можно найти по крайней мере одну утилиту, которая расшифровывает файлы *.PWL .

Наилучший способ покончить с кражами паролей — это избавиться от файлов с паролями вовсе, чтобы никто не смог скопировать их на дискету. Чтобы отменить кэширование, используйте редактор Policy Editor. Его можно найти на компакт-диске с Windows 95 либо загрузить с сервера Microsoft (http://www.microsoft. com/windows/software/admintools.htm).

Запустите Policy Editor, набрав poledit в диалоговом окне команды “Выполнить” (Run) меню “Пуск” (Start). Выполните команду Open Registry из меню File, дважды щелкните по кнопке Local Computer, выберите Network, затем Passwords и поставьте галочку в окне Disable Password Caching. Чтобы завершить процедуру, удалите все *.PWL файлы.

Если вы не можете отказаться от кэширования паролей, воспользуйтесь пакетом Service Pack, чтобы обновить процедуру шифрования, предварительно убедившись, что вам известны все пароли. Иногда файлы *.PWL содержат неправильные ссылки на ресурсы и Service Pack может исказить пароль при переносе его в новую систему.

Раздача привилегий

Есть несколько способов использования Policy Editor с целью компенсации недостатков Windows 95, связанных с безопасностью данных. Щелкните по пиктограмме “Пароли” (Passwords) на Панели инструментов (Control Panel), затем на закладке “Конфигурации” (Profiles) и выберите режим “Пользователи могут настраивать свои параметры входа в “Windows” (Users Can Customize Their Preferences). Теперь с помощью Policy Editor установите свои привилегии и лимитируйте действия “гостей” (особенно непрошеных). Например, ограничьте доступ к определенным устройствам или запретите запуск некоторых программ.

“Заприте” ваш электронный почтовый ящик

Защита ПО Microsoft Exchange оставляет желать лучшего, главным образом, потому, что Microsoft недооценила ее важность и сделала упор на простоту использования. Даже с блокированным кэшированием паролей установленные по умолчанию параметры позволяют любому постороннему заглянуть в ваш компьютер под собственными именем, сетевым и почтовым паролями и прочитать вашу почту. Это происходит потому, что Microsoft Exchange устанавливает локальный файл почтовых отправлений (так называемую “персональную папку” с расширением .PST) без какой-либо защиты.

Чтобы исправить этот просчет, откройте меню “Инструменты/Службы” (Tools/Services) в Microsoft Exchange, выберите строку “Личные папки” (Personal Folders), а затем нажмите кнопку “Свойства” (Properties). После этого щелкните по кнопке “Сменить пароль” (Change Password) и введите его. Теперь вы защищены паролем. Однако файл .PST по-прежнему находится в системе и может быть легко скопирован на дискету. Поговорите с администратором вашей сети о переносе .PST-файла на сетевой диск, где он будет в большей безопасности.

Разделение ресурсов не всегда удобно

Под Windows 95 контроль доступа на уровне пользователя обеспечивает лучшую защиту, чем на уровне разделения ресурсов. Если вы входите в систему в режиме удаленного доступа или разделяете ресурсы (такие как диски или файлы) с другими пользователями, то предпочтителен контроль доступа на уровне пользователя.

В режиме разделения ресурсов идентификацией пользователя занимается ПК. Если взломщик получит доступ к системе, он найдет слабое место в защите и попытается преодолеть его. В режиме доступа на уровне пользователя идентификацию осуществляет корпоративный сервер безопасности. Тот факт, что этот сервер, как правило, физически недоступен, обеспечивает более высокий уровень защиты. Чтобы узнать, по какому сценарию защиты данных работает ваша машина, откройте окно “Сеть” (Network) из Панели управления и щелкните по кнопке Access Control. Если вы хотите установить доступ на уровне пользователя, то у администратора сети следует узнать имя сервера списка пользователей.

Спасительная заставка

Защищенная паролем заставка является удобным способом защиты от любопытных взглядов. Взломщик может перехитрить 16-разрядную заставку командой “Control+Alt+Delete”, так что рекомендуем применять 32-разрядные программы, например Blank screen из Windows 95. Чтобы установить пароль, используйте окно “Заставка” (Screen Saver), которое можно вызвать из меню Панели управления, щелкнув по пиктограмме “Экран” (Screen).

Если заставка покажется слишком навязчивой, попробуйте запустить ее в нерезидентном (runtime) режиме. Тогда она будет запускаться только один раз при загрузке системы и в нее сможет проникнуть только тот взломщик, который знает, что нужно перезагрузиться в режиме DOS. А если ваша система защищена еще и паролем BIOS, то вообще никто из посторонних в нее не войдет.

Для того чтобы установить режим запуска заставки, запустите Registry Editor (набрав regedit в диалоговом окне команды меню) и найдите раздел My Computer\HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\, а в нем — параметр с именем Runservices. (Если вы не нашли такого параметра, создайте его в CurrentVersion, последовательно выбрав “Новый” (New) и “Ключ” (Key) из меню “Редактирование” (Edit) и набрав имя Runservices.) Создайте строковую переменную в разделе Runservices последовательным выбором “Новая” (New) и “Строка” (String) из меню. Дайте этой новой строке имя и выберите “Изменить” (Modify) из меню Edit. В поле “Значение” (Data value) введите C:\Windows\System\Blank Screen.scr /S. В режиме “Экран” на Панели управления выберите заставку “Чистый экран” (Blank screen), назначьте пароль и отключите заставку.

Как защитить данные на сервере удаленного доступа

Если ваш компьютер выполняет функцию сервера удаленного доступа, вам следует отключать его от сети, когда вас нет поблизости. Однако это условие необязательно, если ваша система загружает оболочку Remote Network Access, прежде чем появляется диалоговое окно подключения к сети. Для того чтобы реализовать эту процедуру, войдите в Registry Editor и добавьте строковый параметр в раздел My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices. Дайте ей имя наподобие Remote Access и введите значение Data, равное C:\Windows\System\RNAAPP.EXE. Таким же образом можно справиться с проблемой отключения питания. Когда после аварии питание восстановится, ПО удаленного доступа загрузится автоматически.

За пределами ОС

Для защиты данных можно предпринять и другие действия. Возможно, лучший способ — запирать офис на время вашего отсутствия. С помощью замка на системном блоке компьютера следует “закрыть” мышь и клавиатуру (при условии, что вы еще не потеряли ключи, как это часто случается).

Одна из самых надежных мер по защите данных в компьютере — это введение пароля на уровне BIOS, если такая возможность предусмотрена (чтобы проверить это, зайдите в программу установки BIOS и, заодно, введите пароль). Теперь только вы сможете перезапустить компьютер. Однако материнские платы с такого рода защитой часто содержат перемычки для сброса пароля. К тому же такую машину нельзя перезагрузить дистанционно, используя коммуникационные программы типа LapLink95 или pcAnywhere32.

Если и эти способы защиты вас не устроят, то хотя бы выньте дисковод гибких дисков. Несмотря на то что жесткий диск ПК останется доступным, кража данных в этом случае будет затруднена, поскольку вору придется подключиться к последовательному или параллельному порту компьютера или использовать для передачи сеть (при условии, что компьютер к ней подключен).

С учетом времени и денег, затраченных на создание данных, рекомендованные действия по защите системы окажутся совсем нелишними.


распечатать статью

Сейчас возможностей купить турбину в Нижневартовске хоть отбавляй, многие фирмы ими торгуют.




  
10 '1996
СОДЕРЖАНИЕ

колонка редактора

• Лучше меньше да лучше

локальные сети

• Гонки по дорогам Fast Ethernet: обзор коммутаторов и концентраторов

• Основы построения структурированной кабельной системы. Часть II

• Ручные анализаторы ЛВС

корпоративные сети

• Мосты, маршрутизаторы, коммутаторы: здравый смысл и “собака”, которая не лаяла

• На границе с АТМ

• Серверы протокола DHCP

• Когда мы едины, мы непобедимы

услуги сетей связи

• Сеть управления электросвязью (TMN)

• АТМ и Frame Relay: обещания и реалии

• Выбор технологии для сельской системы связи

интернет и интрасети

• Портативные аппаратные средства узла Web

• Совместное использование файлов в Windows 95 через Internet

приложения клиент-сервер

• Windows 95 и системы управления документами

• Организация доступа к СУБД через Web-сервер

защита данных

• Организация резервного копирования в локальных и корпоративных сетях

• Беспатные советы по защите от пиратов

• Защита данных в Windows 95

новые продукты

• Цифровая телефонная станция Introworks, Synthesis: “чистота” и эффективность, BusinessPhone фирмы Ericsson, SMC представляет новые продукты Fast Ethernet, Осенняя коллекция IBM, Новые продукты Cabletron



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх