Антихакинг

Для защиты от столь хитроумных любителей чужих секретов прежде всего тре буется создать эффективную политику безопасности, которая, помимо прочегс включала бы меры по ограничению физического доступа к компьютеру. Следуе четко уяснить, что если хакер получит локальный доступ к компьютеру, то ран или поздно все содержащиеся в нем конфиденциальные данные будут раскрыть Если компьютер подсоединен к сети, то следующим шагом хакера будет взлом сетевых серверов. Как вы, наверное, уже поняли, возможностей у него будет предостаточно.

Выработка политики безопасности и настройка системы защиты компьютер-должна производиться постепенно, по мере накопления информации о возможны: угрозах и опыта по их парированию. Однако с самого начала эксплуатации систе мы можно применить средство обеспечения безопасности компьютера, называе мое шаблонами безопасности, впервые появившимися в системах Windows 200C Эти шаблоны представляют собой целые наборы параметров системы защиты подготовленные Microsoft для всеобщего использования, и включающие на стройки политики безопасности для автономного компьютера, рабочей станцш и контроллера домена. В системах Windows ХР шаблоны безопасности получил! дальнейшее развитие и обеспечивают достаточно надежную защиту от широко распространенных атак компьютеров Windows.

Установка и настройка этих шаблонов подробно описана в справочной системе Windows 2000/XP или в книге [7], так что не будем повторяться. Начав с установки шаблона безопасности, далее можно постепенно уточнять эти настройки создав собственную базу данных системы защиты, отражающую ваш личный опыт работы с системой. Прочность своей защиты можно проверять с помощьк сканеров безопасности, например, приложения Retina, о работе с которым можно прочитать в книге [7].

Наилучшим же техническим решением защиты от сетевых атак методом перехвата трафика является во-первых, отказ от использования старых версий протоколов аутентификации. Во-вторых, следует прибегнуть к технологиям криптографической защиты, в частности, к построению сети VPN (Virtual Private Network - Виртуальная частная сеть). Технология VPN заранее предполагает, что кабельная система сети не защищена от хакерских вторжений и все передаваемые данные могут быть перехвачены. Поэтому весь сетевой трафик VPN шифруется надежными алгоритмами, исключающими или сильно затрудняющими перехват расшифровки данных.

Все эти старания, конечно, не пропадут даром, однако, как говорит известный специалист по криптографии Брюс Шнайер (Bruce Schneier), автор бестселлера «Прикладная криптография» (Applied Cryptography), безопасность - это процесс. Нет такого метода защиты, который сможет раз и навсегда обезопасить компьютерную систему - схватка хакера и антихакера не прекратится никогда, по крайней мере, в обозримом будущем этого точно не произойдет. Так что в

крайней мере, в обозримом будущем этого точно не произойдет. Так что в следующей главе мы познакомимся с первым эпизодом этой Великой Виртуальной Войны - локальным вторжением в компьютер, т.е. наиболее эффективным и полноценным способом взлома системы.

Заключение

В этой главе вы познакомились со средствами обеспечения безопасности Windows 2000/XP и узнали о «болевых точках» системы защиты, которые используются хакерами для выполнения наиболее широко распространенных атак. Теперь вас не смутят аббревиатуры SAM, LSA, SRM, ADS, LM, NTLM, Kerberos и так далее. Введенные здесь термины и обозначения будут использоваться при описании орудий взлома систем Windows, к которым мы переходим со следующей главы. Желающие углубить свои познания в сфере средств защиты Windows 2000/XP, сетей TCP/IP и служб ADS могут обратиться к большому числу прекрасных литературных источников, из которых можно выделить серию книг Microsoft Press по серверам Windows 2000.