Renat's Middle E@st and Afric@ blog

Just random IT related thoughts (ok, not exactly "random", but please excuse some lack of structure :))

Blogs

Паранойя и пароли

  • Comments 7
  • Likes

Сегодня в родном офисе имел возможность пообщаться тет-а-тет с ИТ менеджером Одного Большого Российского Банка (ОБРБ :)). Всё про ту же скучную тему безопасности, и куда всё катится. И что бы вы думали? Да, ОБРБ очень масштабно потерзал Conficker. Причем, по признаниям самого ИТ-менеджера, причин заражения было 2 - апдейты (в каких-то ветвях могучей структуры банка самые осторожные админы всё тестировали и тестировали и тестировали обновление перед тем как его установить, а потом как-то и забыли, наверно...) и пароли. Про пароли чуть подробнее. Вот ну что ты будешь делать, если не может большая часть начальствующей популяции придумать и запомнить сильный пароль, удовлетворяющий грамотно настроенной политике безопасности? Правильно, разрешишь ему либо записать пароль (ну он вообще-то и разрешения-то не спросит), либо разрешишь использовать пароль попроще. Короче, это я всё к тому, что, пожалуйста, будьте аккуратнее, когда создаете политику паролей для домена – почему-то может оказаться, что у критической массы пользователей пароли из ТОП10 хит-парада самых распространенных (читай бесполезных) паролей.

Чтобы история была не только поучительная, но и познавательная вот интересный доклад на TechDays про Fine-Grained Password Policy в AD на Windows Server 2008. Правильное использование этого инструмента могло бы реально помочь ОБРБ и многим-многим-многим другим...

Comments
  • Проблема паролей стара, как мир. :) Но ничего не меняется...

  • вариант со смарткартами и прочими аппаратными ключами, очевидно, никого не устраивает по стоимости?

  • Смарт карты это хорошо, но вот допустим очень простая ситуация, я даже не буду скрывать вендров.

    1. Windows Vista SP1

    2. eToken PKI Client 5.0 SP1.

    Все великолепно, работало на XP SP2, но после прехода на висту, начались большие проблемы, ну нет нормальной работающей стабильной версии PKI Client. В итоге от смарт карт пришлось отказаться.

  • Странно... А у меня на Vista отлично работает. А кое-что даже и на W7... =)

    Но это так - к слову... =)

    А по делу - смарткарты не особо помогают тоже, потому что смарткарта, на которой приклеен ее ПИН - не редкость, а суровая правда жизни. =(

  • На рабочем столе кликаю на ярлык,Internet Explorer.открывается страничка,и тут же в маленьком,слева в верху окне в новом!Запрашивает пароль!Но какой пароль?Такого ни где я не в водил что бы делал запрос на открытие странички,по моему запросу!ГДЕ МНЕ НАЙТИ ОТВЕТ,ПАРОЛЬ КАКОЙ,ОТКУДА ЗАПРОС ИДЕТ?ПОМОГИТЕ!СПОСИБО!

  • Здравствуйте!

    Такой вопрос. Применена политика Account Lockout, в результате при подборе паролей вирусом с зараженной происходит массовая блокировка учеток. Что можно с этим сделать?

    Из очевидного:

    1) Отменить или ослабить политику блокировки. Не хотелось бы.

    2) Внедрить смарт-карты и обязать их использовать - видимо да, но за 1 день это не делается.

    3) Задавать в Logon to... у критичных пользователей компьютеры, куда им можн�� входить. Кстати, поможет или нет?

    4) Не допускать заражения вирусом. Ну это понятно :)

    Что я пропустил? Есть ли какие-либо средства, сторонние наверное, позволяющие ограничить число неверных логонов, в идеале, с одной машины или ip? NAP пока внедрять рановато, что-нибудь попроще бы, да и не факт что поможет.

    Спасибо!

  • Дырявое ПО было и будет всегда, как и апдейты к нему. Радует, что работа у Айтишников никогда не переведется.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment