4.7.4. Пароли по умолчанию

Нет, я не буду повторяться про сложность пароля. Это уже и так ясно. Я хочу сказать, что в системе не должно быть имен пользователя и паролей по умолчанию. Например, в MS SQL Server есть системная учетная запись с именем sa (system administrator) и без пароля. Если администратор не изменил ее параметры, то любые шаги на усиление безопасности бесполезны.

Компания Microsoft создала эту учетную запись для нашего удобства и во время установки сервера баз данных настоятельно рекомендует менять пароль. Но администраторы игнорируют любые предупреждения, а когда система оказывается взломанной из-за неряшливости администратора, все начинают винить производителя. Такая же проблема была и в MySQL.

В Windows 7 есть гостевая учетная запись, и слава богу, что по умолчанию она отключена. Не вздумайте включать ее без особой надобности, а если решите использовать, то никогда не давайте больших прав, особенно на запись данных на диск или создание чего-либо.

Допустим, что ваш знакомый захотел вам переслать по сети некий файл. Вы доверяете ему и открываете доступ на запись, и вроде бы ничего страшного нет. А если через эту учетную запись работает 1000 человек? Где гарантия, что кто-то из них не удалит все каталоги? Даже среди двух пользователей один может оказаться злоумышленником, шутником или просто мною :).

4.7.5. Обновления

Я уже упоминал, что ошибки есть везде, просто в некоторых ОС их находят, а в других даже не ищут. ОС Windows — самая распространенная, и в ней работает большинство пользователей, поэтому хакеры именно здесь ищут ошибки и стараются взломать именно ее. Когда найдена прореха, появляется возможность проникнуть на чужой компьютер.

Корпорация Microsoft в последнее время много внимания уделяет безопасности системы и старается свести к минимуму нежелательные последствия от своих ошибок. Для этого регулярно выкладываются обновления и исправления для ОС и всех продуктов фирмы.

Повторю, что процедура обновления программ помогает защититься от проникновения вирусов (см. разд. 4.1.3). Точно так же она приходит на выручку и при попытке вторжения со стороны хакеров. Безопасность — она и в Африке безопасность, и чаще всего не имеет значения, от чего вы защищаетесь — от вирусов или от хакеров.

Некоторые отключают обновления системы потому, что используют нелицензионное ПО. Подумайте, а этот риск того стоит?

Когда мы работаем в сети, то хочется обмениваться информацией, не отходя от мо-

нитора. Старый дедовский способ путешествия от компьютера к компьютеру с дискетой уже никого не устраивает, тем более что эти носители информации абсолютно ненадежны, и постоянно возникают ошибки чтения.

Начиная с Windows 2000, ресурсы стали труднее досягаемыми. Microsoft, наконец, запретила безымянный доступ по сети. Теперь можно подключиться к удаленному компьютеру, только зная имя пользователя и пароль, или если кто-то специально откроет гостевую учетную запись, чего я настоятельно не рекомендую делать.

Да и диски открывать уже нельзя. Но многие умудряются пускать на свой компьютер любых пользователей под одной и той же учетной записью (чаще всего уже существующей гостевой записью Гость (Guest)) и открывать доступ к папкам, указывая возможность полного доступа для всех. Эти действия мотивируются тем, что никогда не знаешь, что может пригодиться. Это невероятно глупо.

Вы должны четко разграничивать права, и для каждого пользователя, который входит в систему, заводить свою учетную запись. Открывая доступ к папке, разрешайте к ней обращаться только определенным пользователям и группам, а не всем. На моем рабочем компьютере есть только одна папка с полным доступом для всех. Я ее называю Babrujsk, где находится общедоступный мусор, не представляющий для меня никакой ценности. Другие папки я открываю исключительно для чтения и только конкретному человеку. Если кому-то нужен доступ на запись, то он помещает файл сначала в общую папку, а я сам его переношу, куда надо.

В моей домашней сети, к которой могут подключиться только те, кто знает не очень простой пароль для Wi-Fi-маршрутизатора, тоже нет никаких открытых ресурсов. У меня на компьютере есть несколько открытых папок, но при этом нет учетных записей для гостей или других пользователей. Заводить учетную запись для того, чтобы ко мне могли подключиться жена или дети, бессмысленно. Они и так знают мой локальный пароль. Вот именно его они и используют.

То имя пользователя, которое вы используете при входе в систему, точно также можно использовать и при подключении удаленно через сетевое окружение. Я своей жене и детям доверяю, поэтому жена знает мой пароль и может подключиться к моему компьютеру в любой момент, поэтому для них учетные записи я не заводил.

А вот если нужно обменяться данными с кем-то другим, кто приходит ко мне домой, я просто на время активирую учетную запись гостя, для которой установлен пароль 11 и есть доступ к одной только папке, или использую передачу файлов через Windows Live Messenger (в Северной Америке это самый популярный клиент), почту или даже флешки.

Старайтесь не предоставлять лишних прав на доступ даже во временное пользование. Тут же вспоминается случай, когда мне удалось получить у лучшего провайдера города почти круглосуточный выход в Интернет всего за 4 доллара в месяц. Уже много лет назад, когда я учился в институте, оптимальным способом доступа был ночной Интернет. Всего 12 долларов — и неограниченное присутствие с 0:00

Скоро выяснилось, что пользоваться Интернетом можно всем троим одновременно, и на сервере нет проверки на доступ нескольких человек с одного аккаунта. Но и этого оказалось мало. В конце рабочего дня администратора провайдера (в 17:00) я обратился в службу поддержки и попросил проконсультировать по поводу плохого дозвона. Меня долго инструктировали, а потом дали возможность проверить качество доступа. Для этого ограничение с 8:00 было продлено до 18:00. После этого уставший администратор забыл вернуть время на место, и в течение двух месяцев у троих человек был неограниченный доступ с 0:00 до 18:00. Потом мы упустили из виду продление договора, и нашу учетную запись просто закрыли.

Мораль достаточно проста — нельзя открывать ресурсы, а если вынуждены это сделать, то не забывайте закрыть. В моем случае не было взлома, и провайдер не мог ничего мне сказать, а вот администратор, скорее всего, лишился работы.

О том, как управлять пользователями и ресурсами, написано уже много книг. Если вы являетесь администратором сети или в ваши обязанности входит распределение прав доступа хотя бы на одном компьютере, то обязательно ознакомьтесь со специализированной литературой. Я же дал только общие рекомендации, исходя из личного опыта, который не может быть всесторонним.

4.7.7. Закройте ворота

Допустим, что у вас есть локальная сеть и для обмена информацией вы открыли папку, которая будет видна не только соседним компьютерам, но и в Интернете. Чтобы ограничить проникновение извне, нужно запретить доступ к файлам из Интернета.

Простейший способ попасть в настройки сети — это щелкнуть правой кнопкой мыши по значку сетевого соединения в области уведомлений панели задач (в районе часиков) и выбрать в появившемся меню Центр управления сетями и общим доступом (Open Network and Sharing Centre). Если у вас значка соединения нет, то придется щелкать мышью или нажимать клавиши чуть больше. Рекомендую воспользоваться клавиатурой. Нажмите кнопку Пуск (Start) и в строке поиска набери-

те центр управления сетями и общим доступом (в английском варианте все намного

короче — Network; если Windows не найдет этот Центр с первого введенного слова, то набирайте это название, пока поиск не приведет к нужному результату). В этом окне щелкните по вашему соединению и потом в появившемся окне нажмите кноп-

ку Свойства (Properties) — рис. 4.19.

В списке Отмеченные компоненты используются этим подключением (This connection uses the following items) перечислены все протоколы и сервисы, через которые можно получить доступ к сети (для некоторых типов подключения этот список находится на вкладке Сеть (Networking)). Сбросьте флажок Служба досту-

па к файлам и принтерам сетей Microsoft (File and Printer Sharing for Microsoft