Блог Михаила Калошина
I’m not a Hacker, I’m a «Security Consultant».
ADS 468×60
Pages
2011-11-09
Компрометация пароля
“Если вы скомпрометировали пароль, необходимо незамедлительно его изменить.”
К нашей системе мониторинга, подключен AD, все события происходящие на сервере, передаются на соответствующий модуль для обработки.
Модуль, поступающие событие парсит и обрабатывает согласно заданных параметров (правил). На любой параметр в поступившем событии, можно настроить определенную реакцию, например выпадающие уведомление или отправка сообщения по почте.
В случае если в поле УЗ присутствует только пароль, а имени пользователя нет, для определения имени учетной записи, можно заходить на каждую рабочую станцию и смотреть последний удачный вход но это занимает много времени. Более удобное и быстрое решение это программа PsLoggedOn (не злоупотребляйте поиском УЗ на рабочих станциях).
Для самостоятельной проверки (подтверждения) пароля, не надо выходить из системы, можно воспользоваться стандартной функцией ОС, правая кнопка мыши на ярлыке программы, выбираем запустить программу от имени … (я запускаю FAR), в поле имя УЗ ввожу логин пользователя, в поле пароль ввожу зафиксированный системой мониторинга пароль. Если программа запускается и не выдает ошибок, значит это пароль данного пользователя.
Как только вы убедились, что пароль скомпрометирован, необходимо перезвонить пользователю и порекомендовать изменить пароль в случае отказа заблокировать УЗ.
Для того, чтоб убедиться в смене пароля, нет необходимости повторно производить запуск программы, воспользуйтесь программой LockoutStatus.
Если у вас нет системы мониторинга, могу порекомендовать воспользоваться программой LogParser. Для работы с ней достаточно базовых знаний SQL и Google.
В одной из следующих статей, я расскажу как можно определить компрометацию пароля, если он не был случайно введен в поле имя учетной записи.
Искусство подбирать чужие пароли
Небольшое, но важное предупреждение: если предлагаемым в статье подходом пользоваться не в рамках проектов по тестированию защищенности, то ваши действия легко могут подпасть под статью 272 УК РФ (Неправомерный доступ к компьютерной информации).
Чтобы придумать эффективную стратегию подбора паролей, этичному хакеру надо постараться залезть в головы пользователей и администраторов.
Какие же факторы влияют на наш выбор паролей?
Можно назвать, как минимум, следующие три:
Что пользователи легко могут запомнить?
Рассмотрим те вещи, которые нам легче всего запомнить:
1) То, что перед глазами.
Перед нашим взором чаще всего предстают торговые марки мониторов, ноутбуков, компьютерных мышей и клавиатур, надписи «password:». Говорят, что выбор руководителем предвыборной кампании Хилари Клинтон такого тривиального пароля, как «password», гибельно отразился на результатах американских выборов.
Для человека важны:
3) То, что помнят пальцы:
4) Что за система/сайт:
В 2014-м году произошла большая утечка паролей Gmail, Yandex и Mail.ru. Списки паролей были проанализированы varagian в статье «Анализ утёкших паролей Gmail, Yandex и Mail.Ru» и можно увидеть, что пользователи выбирают пароли именно по рассмотренной схеме.
Как ограничения парольной защиты влияют на выбор паролей пользователями?
Чтобы обезопасить пользователей во многих системах разработчиками предусмотрен механизм парольной политики, который, к сожалению (для этичных хакеров – к счастью), не всегда используется. Рассмотрим ограничения и то, как они выполняются/обходятся креативными пользователями.
Типовые ограничения парольной политики:
Придумать пароль длиной более 8 символов не представляет сложности, а вот использовать символы в различных регистрах – уже сложно, так как нужно помнить, для какого символа в своем пароле был выбран верхний регистр. Самое очевидное и вероятное решение: выбрать первый или последний символ.
Если система заставляет добавить цифры, то здесь пользователи чуть более изобретательные:
Ничто так не раздражает как запрет на использование старого пароля, и пользователи научились обходить это ограничение, внося минимальные изменения, например, увеличивая цифру в конце своего пароля на 1: было «Alexander2018», стало «Alexander2019».
Понимая эти маленькие хитрости пользователей, этичному хакеру довольно просто сузить список слов-кандидатов на пароль.
Количество пользователей пароля
В случае если пароль будет использоваться многими пользователями, например, системными администраторами или слушателями в учебном классе, то его, как правило, специально делают не очень сложным (например, совпадающим с именем учетной записи), а зачастую оставляют таким, каким он был установлен вендором по умолчанию.
Стратегия подбора пароля
Разобравшись с нюансами выбора пароля пользователями, мы можем разработать и стратегию подбора пароля в ходе тестирования на проникновение.
Зафиксируем исходные условия:
Шаг 1. Определение имен учетных записей пользователей
Для успешной авторизации одного пароля, как правило, недостаточно, нужно еще знать и имя учетной записи. Разберемся, как ее получить.
Вариант 1. Получение списка учетных записей, используя уязвимость в системе.
Например, контроллер домена Windows может быть сконфигурирован таким образом, что позволяет анонимному пользователю получать список учетных записей пользователей.
Любой может проверить свой контроллер домена на эту возможность, например, воспользовавшись утилитой командной строки rpcclient из состава «Сканер-ВС»:
Вариант 2. Формирование списка на основе «разведданных» и анализа.
Имена пользователей даже в небольших организациях задаются администраторами на основе некоторого стандарта. Самые распространенные варианты: первая буква имени + фамилии: adorofeev, тоже самое, но через точку a.dorofeev, полное имя + фамилия: alexander.dorofeev. Также часто имена внутренних учетных записей совпадают с учетной записью электронной почты, соответственно правило формирования имени пользователя можно определить просто «погуглив» адреса сотрудников, засветившихся в интернете, а полный перечень сформировать на основе списка сотрудников, который можно получить из внутреннего телефонного справочника, а также социальных сетей. В крайнем случае можно формировать комбинации наиболее часто встречающихся имен и фамилий по наиболее распространенным правилам формирования имен учетных записей.
Вариант 3. Наиболее распространенные учетные записи и записи по умолчанию.
Во многих системах есть учетные записи по умолчанию. Как минимум, это admin или administrator. В некоторых системах их довольно много, так в СУБД Oracle можно встретить SYSTEM, SYS, ANONYMOUS, CTXSYS, DBSNMP, LBACSYS, MDSYS, OLAPSYS, ORDPLUGINS, ORDSYS, OUTLN, SCOTT, WKSYS, WMSYS, XDB. Соответственно, имеет смысл заглянуть в руководства администраторов систем, которые вы хотите тестировать.
Зачастую, в системах появляются учетные записи, которые очень легко вычислить, например, если в компании есть учебный класс, то вероятность наличия учетных записей teacher и student довольно высока. А много ли систем в которых, кто-нибудь да не создал учетную запись test?
Шаг 2. Первичный подбор паролей
Понимая какие учетные записи в каких системах в тестируемой ИТ-инфраструктуре мы планируем скомпрометировать, можем определить последовательность систем для атаки:
| № | Класс систем | Учетные записи | Пароли |
|---|---|---|---|
| 1 | Контроллер домена | Учетные записи сотрудников, административные, типовые. | Самые распространенные. |
| 2 | Бизнес-приложения | Учетные записи сотрудников, административные, типовые. | Самые распространенные. |
| 3 | СУБД | Учетные записи сотрудников, административные, типовые, по умолчанию. | Самые распространенные, по умолчанию |
| 4 | Специальные системы и сервисы: backup, ftp и т.п. | Административные, по умолчанию. | Самые распространенные, по умолчанию. |
| 5 | Активное сетевое оборудование | Административные, по умолчанию. | Самые распространенные, по умолчанию. |
В случае если в системах включена блокировка учетных записей после нескольких неудачных попыток (как правило, выбирают число 5), а время на тестирование ограничено, и мы не можем выставлять таймаут между попытками для сброса счетчика, то имеет смысл «пробежаться» по всем пользователям, проверяя следующие вероятные пароли:
Шаг 3. Расширение зоны влияния
Подобрав пароли к учетным записям, первое что должен сделать этичный хакер, так это авторизоваться и посмотреть, к чему он получил доступ.
В случае, если доступ получен к файловой системе, то необходимо провести поиск следующих файлов:
Инструменты и словари для онлайн-подбора паролей
Классическим инструментом для онлайн-подбора паролей является утилита командной строки thc-hydra, а для этичных хакеров и администраторов, любящих комфорт, данный функционал с интуитивно понятным интерфейсом имеется в нашем комплексе «Сканер-ВС»:
Также ключевым фактором успешного подбора пароля является доступность хорошо составленных словарей, а вот с этим бывают проблемы. Словари, поставляемые вместе с современными отечественными средствами анализа защищенности не всегда содержат действительно полезные наборы слов. Например, включают стандартный словарь, распространяемый с одной бесплатной утилитой. Решение, конечно, простое, но не очень эффективное. Разве можно представить себе российского пользователя, выбравшего такие пароли, как: soccer, cutiepie, maganda или mustang. Как много в среднем российском городе счастливых обладателей Ford Mustang? Иногда включают замечательный словарь, основанный в основном на паролях, оставляемых по умолчанию, но совершенно забывают про обычных пользователей и их любимые пароли.
Мы решили исправить эту досадную ситуацию и составили свои списки паролей, которые теперь доступны не только пользователям нашего комплекса тестирования защищенности «Сканер-ВС», но и всем желающим на сайте нашего решения в разделе «Пароли»:
Списки учетных записей:
Заключение
Хакеру из фильма «Пароль «Рыба-меч» повезло и, несмотря на отвлекающие факторы и хаотичный стиль работы, он смог подобрать пароль и остаться в живых. Пользуясь структурированным подходом, этичные хакеры увеличивают свои шансы на успех в тестировании на проникновение и в меньшей степени полагаются на удачу. Данный подход будет работать, пока пароли будут выбираться людьми.
8 советов для тех, у кого учетные записи оказались скомпрометированы
Мошенничество, фишинг, взлом электронной почты, опустошение банковского счета, сетевое вымогательство может случиться с каждым
Я провел множество семинаров по безопасности для разных организаций, и самый задаваемый мне вопрос: «Как восстановить скомпрометированные учетные записи, которые используются дома?».
Мне позвонил клиент и сказал, что домашний компьютер одного из сотрудников был скомпрометирован, и тот не знает, как поступить в этой ситуации. Мне захотелось помочь. Конечно, в интернете уже написано множество статей, которые я мог бы отправить по почте. Однако материалов, удовлетворяющих всем требованиям – чрезвычайно мало. Либо статьи очень детальные для обычного пользователя, либо упущена суть. Поэтому и был написан этот пост.
Мошенничество, фишинг, взлом электронной почты, опустошение банковского счета, сетевое вымогательство может случиться с каждым. Особо неприятные эмоции возникают при потере денег. Однако ключевой момент – не следует паниковать. А затем предпринять шаги не только для восстановления учетных записей, но и предотвращения ситуаций подобного рода в будущем.
Насколько все плохо?
Сначала нужно оценить сложившуюся ситуацию. Что на самом деле вызвало ваши подозрения о компрометировании?
Друг получил письмо от вашего имени? Был ли взломан один из аккаунтов в социальной сети или электронная почта?
Безусловно эти инциденты являются самыми распространенными и требуют незамедлительных действий.
Менее распространенное явление – компрометирование компьютера. Иногда достаточно посетить веб-сайт, чтобы на компьютере оказался вредонос. Это ваш случай?
… или вы впервые узнали об отклоненном платеже, поскольку ваш банковский счет опустел или оплата ушла не по назначению?
Как все происходит?
В основном компрометирование происходит после кражи учетных записей (credential stuffing). Используете ли вы одинаковые пароли на разных аккаунтах? Хакеры взламывают сайты, получают пароль и адрес электронной почты, а затем тут же проверяют, подходит ли тот же пароль к вашей электронной почте.
Получение спама нельзя отнести к компрометированию. Может надоедать, но существенного влияния не окажет. В самом начале оптимально посмотреть на всех учетных записях время последнего входа и понять, авторизацию проходили вы или кто-то другой.
Однако отследить время последнего входа не всегда удается. Некоторые сервисы оповещают по электронной почте, если авторизация произошла из другого места, а не откуда вы логинитесь обычно. В общем, проверьте электронную почту – при условии, что этот аккаунт не был скомпрометирован.
Хотя этот способ навряд ли поможет, но все же попробуйте воспользоваться прекрасным сайтом https://haveibeenpwned.com и проверьте, стали ли уже жертвой компрометирования. Если ответ положительный, поменяйте пароль на скомпрометированном сайте и в других местах, где используется тот же самый пароль.
В некоторых случаях нужно задействовать правоохранительные органы. Одним из таких инцидентов может стать обман, связанный с push-оплатой, когда вы неосознанно и невольно отправляете деньги незнакомому лицу. Особенно если речь идет о крупных суммах.
Следующие восемь шагов помогут вам решить все возникшие проблемы, связанные со взломом и компрометированием учетных записей.
1. Свяжитесь со службой поддержки
Во-первых, свяжитесь со службой поддержки того сервиса, где произошел взлом. Например, в случае с Фейсбуком есть соответствующая страница. У больших сетевых сервисов не всегда есть телефон, но всегда есть инструменты для восстановления доступа к учетной записи (например, форма обратной связи).
2. Проверьте страховку
Возможно, следует проверить покрытие домашней страховки, поскольку некоторые страховые компании возмещают потери от кибермошенничества.
3. Проинформируйте банк / кредитную организацию
Если у вас украли деньги с банковского счета или кредитной карты, сразу же позвоните в компанию, чтобы предпринять дополнительные меры безопасности и возможно вернуть деньги. Более того, следует позвонить вообще во все финансовые учреждения, где у вас есть учетные записи в случае, если вы не уверены на 100%, что не использовали одни и те же аккаунты в разных сервисах.
Следующий шаг – изменение пароля в скомпрометированном сервисе и в других службах, где использовался та же самая учетная запись и пароль.
Пароли должны быть уникальными для каждого сайта, чтобы не стать жертвой атак credential stuffing. К тому же, нелишним будет сделать ревизию паролей в других важных сервисах: почте, социальных сетях, интернет-магазинах, Apple ID/GoogleID, телефонной компании и так далее. Даже если компрометирования не было.
5. Начните использовать менеджер паролей
Управление паролями от всех сервисов вручную – очень трудно или даже невозможно, поскольку все пароли должны быть длинными и уникальными.
Менеджер паролей значительно упрощает жизнь и повышает вашу безопасность. Настоятельно рекомендуем начать пользоваться приложениями подобного рода.
KeePass – бесплатен, у LastPass – есть бесплатный тариф, за 1Password и Dashlane придется заплатить, чтобы воспользоваться всеми необходимыми функциями.
У каждого приложения есть свои плюсы и минусы, но лучше воспользоваться одним из вышеуказанных, чтобы не заниматься само саботажем.
Не исключено, что возмещение потерь по страховке от киберпреступлений станет нормой, но только при условии, если вы предпринимаете все необходимые меры для своей безопасности.
6. Настройте двухфакторную аутентификацию
После смены паролей в тех же сервисах, где возможно, настройте двухфакторную аутентификацию. Как минимум в почтовом сервисе, AppleID/GoogleID и других местах, где указана личная или финансовая информация.
На сайте https://twofactorauth.org/ есть огромная база, где указано, какие есть возможности для безопасной аутентификации, а также приведены ссылки на статьи по настройке. Найдите сайт, который вам нужен, и в случае наличия в базе будет выдана ссылка на соответствующая статью. Обычно есть несколько видов аутентификации. Старайтесь избегать SMS, поскольку этот метод не очень надежен. Но, конечно же, аутентификация по SMS все же лучше обычного пароля.
7. Используйте антивирус и устанавливайте обновления
На домашнем компьютере пользуйтесь службой обновления и убедитесь, что установлена самая последняя версия операционной системы со всеми патчами. Установите и/или обновите антивирус (включая используемый на Mac’е). Пользуйтесь продукцией проверенных и хорошо известных компаний Kaspersky/Symantec/Sophos//McAfee/FSecure и так далее.
Также следует обновить все уже установленные приложения, как, например, Adobe Reader или Java от компании Oracle. Если вы пользуйтесь множеством программ, обновление может отнимать время, но обновляться – критически важно. Кроме того, есть утилиты, облегчающие управление обновлениями и патчами.
Например, «Patch my PC Updater» бесплатен для обычных пользователей, а «Ninite updater» стоит 9.99 долларов в год.
Стоит также проверить антивирус на предмет встроенного инструмента обновления.
8. Настройте службы мониторинга кредитной информации
Предотвращение повторного компрометирования
Помимо менеджера паролей и двухфакторной аутентификации, рассмотренных выше, подумайте об установке браузерных расширений.
Реклама надоедает, но что более важно – является одним из каналов по установке вредоносов. Предотвратить проблему заранее можно при помощи установки блокировщиков рекламы, которые, к тому же, бесплатны. Поэтому причины не устанавливать отсутствуют.
Вы даже можете подумать о настройке PiHole в Raspberry PI или других поддерживаемых платформах, однако нужно быть более продвинутым в техническом плане. С другой стороны, после корректной установки вы сможете блокировать рекламу во всей сети, включая телефон и другие используемые устройства.
Убедитесь, что на телефоне установлены последние обновления при помощи встроенной функции. На телефонах, как и на стационарных компьютерах, есть уязвимости, которые исправляются при помощи патчей. КАЖДОЕ обновление исправляет бреши. Даже если выглядит как добавление «темного режима» или «адаптивной подсветки», но под капотом находится множество исправлений.
В новых версия Android новые функции появляются редко, и, если вы используете телефон или планшет с этой операционной системой, установите антивирус от известной компании. Возможно, у вас даже возможность установить бесплатную мобильную версию в случае покупки антивируса на настольный компьютер. К сожалению, для iOS антивирус не доступен.
Еще одна мера для повышения безопасности телефона – установить сильный пасскод. Даже если вы используете биометрию для разблокировки, будет запасной пароль, желательно размером 4 или 6 цифр.
Преимущества биометрии позволяют установить более сильный пароль, поскольку вводить этот пароль вы будете редко. Используйте в качестве пина длинное число или еще лучше буквенно-цифровое слово.
Наконец, нужно учитывать, что вы все еще находитесь в списке потенциальных целей, и с высокой степенью вероятности атаки могут повториться, например, через спам или звонки по телефону. Соответственно, нужно быть начеку.
Старайтесь быть как можно более осведомленным по вопросам безопасности. Вам может приходить спам с целью компрометирования учетных записей, могут звонить мошенники, или кто-то может попытаться взломать ваши учетные записи в популярных сетевых сервисах.
Доверяй, но проверяй
Придерживайтесь простого принципа: «Доверяй, но проверяй». Например, если некто звонит вам по телефону, представляется сотрудником Microsoft или другой известной компании и сообщает об обнаружении вируса на компьютере, не думайте в духе «ну, наверное, я был взломан, поэтому мне говорят правду».
Ваш ответ должен быть примерно следующим: «Спасибо за информацию. Я проконсультируюсь со знакомым специалистом». Затем повесьте трубку и обратитесь к приятелю или в какую-либо местную компанию за помощью. При получении фишинговых ссылок вместо кликов по ссылкам, откройте браузер и зайдите на сайт на прямую. Если сайт подлинный, вы сразу поймете, что нужно делать.
Хочу пожелать вам всего самого наилучшего. Непонимание того, что было и не было взломано – один из самых трудных этапов. Следуйте советам, указанным выше, и вы сможете решить свои проблемы и двигаться дальше.
Компрометация пароля это что
(1).jpg)
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Приказ Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97 «Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности»
В целях исполнения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и в соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (СТР-К), утвержденными приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. N 282, приказываю:
1. Утвердить прилагаемое Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности.
2. Директору ФИПС (О.И. Стрелков) в соответствии с указанным Положением обеспечить создание и включение в доменах fips и tz политики паролей в срок до 1 сентября 2015 г.
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Роспатента М.В. Жамойдика.
| Врио руководителя | Л.Л. Кирий |
Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности
(утв. приказом Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97)
I. Общие положения
1.1. Настоящее Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной вычислительной сети Федеральной службы по интеллектуальной собственности, меры обеспечения безопасности при использовании паролей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
1.2. В настоящем Положении используются следующие термины и определения:
1.3. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Роспатенте.
1.4. Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники, и должны применяться для всех средств вычислительной техники, эксплуатируемой в Роспатенте.
1.6. Ознакомление всех работников Роспатента, использующих средства вычислительной техники, с требованиями настоящего Положения проводит Отдел организационной и специальной деятельности. При ознакомлении с настоящим Положением внимание работников акцентируется на предупреждении их о персональной ответственности за разглашение парольной информации.
II. Общие требования к паролям
2.2. Личные пароли пользователей АРМ Роспатента должны выбираться с учетом следующих требований:
— длина пароля должна быть не менее 8 символов;
— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, pa$$w0rd и т.п.);
— при смене пароля новый пароль должен отличаться от старого не менее, чем двумя символами.
III. Безопасность локальных учетных записей
3.1. Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования администратором ЛВС при настройке систем и не предназначены для повседневной работы.
IV. Безопасность доменных учетных записей
4.1. Пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.
4.2. В случае производственной необходимости (командировка, отпуск и т.п.), при проведении работ, требующих знания пароля пользователя, допускается раскрытие значений своего пароля начальникам подразделений. По окончании производственных или проверочных работ работники самостоятельно производят немедленную смену значений «раскрытых» паролей.
4.3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имен и паролей работников (в их отсутствие) допускается изменение паролей администратором ЛВС. В подобных случаях, сотрудники, чьи пароли были изменены, обязаны сразу же после выяснения факта смены своих паролей, создать их новые значения.
4.4. Пароли учетных записей пользователей АРМ должны соответствовать требованиям пункта 2.2 настоящего Положения.
4.5. Полная плановая смена паролей пользователей должна проводиться в срок, не позднее 42 дней после установления предыдущего пароля. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к администратору ЛВС.
4.6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться администратором ЛВС немедленно после окончания последнего сеанса работы данного пользователя с системой.
4.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на работу в другое подразделение внутри Роспатента и другие обстоятельства) администратора ЛВС и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой.
4.8. В случае длительного отсутствия пользователя АРМ (командировка, болезнь и т.п.) его учетная запись блокируется, и, в случае необходимости, изменяются права доступа других пользователей в отношении ресурсов данного пользователя.
4.9. В случае компрометации личного пароля пользователя АРМ либо подозрении на компрометацию должны быть немедленно предприняты меры по внеплановой смене личного пароля самим пользователем с немедленным информированием Отдела организационной и специальной деятельности.
4.10. Смена забытого пользовательского пароля производится администратором ЛВС на основании сообщения пользователя с обязательной установкой параметра «Требовать смену пароля при следующем входе в систему».
4.11. Для предотвращения угадывания паролей администратор ЛВС обязан настроить механизм блокировки учетной записи на 20 минут при пятикратном неправильном вводе пароля.
4.12. При возникновении вопросов, связанных с использованием доменных учетных записей, пользователь АРМ обязан обратиться к администратору ЛВС.
V. Временные учетные записи
5.1. Для предоставления временного доступа (для лиц, не являющихся сотрудниками Роспатента, для сотрудников, которым необходимо получить временный доступ) необходимо использовать процедуру временных учетных записей.
— сотрудник Роспатента через руководителя своего подразделения либо лицо, не являющееся сотрудником Роспатента, через доверенное лицо оформляет соответствующим образом заявку, указав в ней, что требуемая учетная запись временная, определив временные рамки ее использования;
— заявка направляется в Отдел организационной и специальной деятельности для рассмотрения;
— временная учетная запись создается администратором ЛВС;
— пользователь, получивший временную учетную запись, информируется об ограничениях, связанных с ее использованием.
VI. Контроль
6.1. Повседневный контроль за соблюдением требований настоящего Положения заключается в контроле процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей Отделом организационной и специальной деятельности.
6.2. Отдел организационной и специальной деятельности проводит ежеквартальный выборочный контроль выполнения работниками Роспатента требований настоящего Положения. О фактах несоответствия качества паролей или условий обеспечения их сохранности Отдел организационной и специальной деятельности сообщает заместителю руководителя Роспатента в форме служебной записки.
6.3. Контроль за выполнением требований настоящего Положения возлагается на Отдел организационной и специальной деятельности.
VII. Ответственность
7.1. Пользователи АРМ Роспатента несут персональную ответственность за несоблюдение требований по парольной защите.
7.2. Администратор ЛВС, сотрудники Отдела организационной и специальной деятельности несут ответственность за компрометацию и нецелевое использование учетных записей.
7.3. Форма и степень ответственности определяются исходя из вида и размера ущерба, действиями либо бездействием соответствующего пользователя.
Обзор документа
Регламентированы процессы генерации, смены и прекращения действия паролей в локальной вычислительной сети Роспатента.
Приведены требования к паролям. Определены меры обеспечения безопасности при их использовании. В частности, пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещено сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.
Прописан порядок осуществления контроля за действиями пользователей и обслуживающего персонала сети при работе с паролями.
