bunu belki izlemek ve var Bizim sistemlerinin kontrolleri emin olmak için Biz istemeden yapılandırılmamış olması Kötü adamlar ele geçirmesine olanak gidiyor bir şekilde bizim sistem erişim. Bizim sistemlerini sertleşmesine bir yolu herhangi bir hizmet devre dışı bırakmak olduğunu biz sadece gerekmez çalışıyor olabilir. Bunlar gereksiz değil. Bu bir meydan okuma bir parçasıdır. Örneğin, Windows XP, önce onu yüklediğinizde, Yüklü yaklaşık 90 hizmet vardır. Değil hepsi aktif, ama hepsi yüklenir. Bu benim Hizmetler bakış

bir ekran görüntüsü Tüm Windows XP. Bazı başladı. Bazıları değildir. Ama hepsi çalışıyor olması istemeyebilirsiniz, Bu hizmetlerin tüm yaratabilir çünkü kötü adamlar için ek açma. Ama biz hangi olanları anlamaya var belaya potansiyeline sahiptir. Biz endişe olanlar Bilinen güvenlik açıkları var olanlardır. Ama tabii, biz de endişeliyiz Bilinmeyen güvenlik açıkları herhangi bir hizmetleri hakkında. Ama biz hizmetini devre dışı, biz güvenlik açıkları hakkında endişelenmenize gerek yok. Yani devre dışı değer var Bu gereksiz hizmetlerin bazıları. Bu biraz araştırma gerekebilir. Bu hizmetler, Windows, Linux makineleri çalıştıran Unix uzay makineleri, Mac OS X hemen hemen her işletim sistemi çeşit arka planda çalışan hizmetleri var olacak. Web'de gitmek zorunda kalabilirsiniz Yani, Bu özel hizmet olmadığını öğrenmek zorunda kalabilirsiniz Bu özel sunucu üzerinde çalışan Bu özel uygulamaların devre dışı bırakılabilir herhangi bir yan etki olmadan. Açıkçası, biraz karmaşık. Bazen deneme-yanılma var. En kapatmak ve ne görelim. Bazen belirlemek için iyi bir yoldur gerekli bir hizmeti veya değilse. Yani test, izlemek ve emin olmak Eğer özürlü bu hizmetlerin ettik bir kere her şeyin o çalışmaya devam eder. Ve hizmetlerin daha az sayıda Bir bilgisayar üzerinde çalışan var, daha iyi güvenlik duruşu olacak. Pratik olarak her ağ aygıtı orada var dışarı Bir yönetim arayüzü onunla ilişkili. Sizin güvenlik duvarları, yönlendiricilerinizin sizin anahtarlar, IDS, IPS sistemleri, her şey erişmek için bir yol var var dışarı senin yöneticiler bu sistemlere erişimi gerekir çünkü. Yani açıkçası, sen yönetim ön uç gerekir. Ama ne izin vermek istemiyorum kötü adamlar olduğunu Bu yönetim ön uç erişimi için. Bu sistemler onlara hassas verilerin bir sürü var. Onlar bizim için kullanılabilir, bu arabirimler olması lazım. Kurmak gibi Yani biz bazı basit şeyler yapmak istiyorum Bazı şifreleri böylece kimse kazanç erişim yaparsa ya da biz kimlik doğrulaması için kullanacağınız IP adresini bulur Bu cihaza, onlar olmaz erişebilmek için doğru kullanıcı adı veya şifre yok. Bu çok basitleştirilmiş bir yoldur. Çoğu büyük organizasyonlar ek güvenlik ekliyoruz üstüne üstlük. Sadece belirli bir IP'den geliyor zorunda adresi veya IP adresi aralığı bu yönetime erişmek için arayüz, ancak ek günlük-ins gerektirebilir bu arabirim erişmek için. Ve bazı üçüncü taraf kimlik doğrulaması gerektirebilir. Biz bir belirteç nesil aracı olması gerekebilir. Biz bu sistemler bize gönderin olabilir Bunun üzerine bir dizi ile bir metin mesajı biz sonra erişebilmek için yazmak zorunda. Işe tek yolu eğer olduğunu belirteç jeneratör vardı sendin ve bir o telefon taşıyan idi. Bizim tüm sunucuları onlara hesapları var. Onlar adlarını var. Onlar şifreler var. Bu yüzden de bu adları kadar sertleşme düşünmek zorunda ve bu hesaplardaki şifreler. Ama zayıf şifreler çok zor karşı korumak için. Kötü adamlar etkileşimli denemek için çok kolay belirli bir kullanıcı olarak oturum açın. Bu yüzden çok sık, bizim sunucularda politikaları olması Eğer kötü bir şifre ile en fazla beş kez giriş eğer, biz zaman belirli bir miktar için hesabı devre dışı edeceğiz ya da belki tamamen devre dışı. Onlar bu şifreleri tüm veritabanı kazanç ise, parolaları düz metin olarak saklanmaz bile, bunlar, genel olarak karma olarak depolanmaktadır onlar şimdi çevrimdışı bazı kaba kuvvet saldırıları yapabilir Bu sağlamalarının karşı belirlemek için denemek için Bu şifreler ne olabilir. Bu yüzden de bu şifreleri mağaza korumak zorundayım. Ne biz gerçekten istediğimiz şifreleri genellikle değiştirmektir. Ve biz şifreleri nispeten karmaşık olması gerekir. Biz birileri kazanır, eğer emin olmak istiyorum Bu şifre erişim en azından kaba kuvvet dosyaları Saldırı genellikle başarılı olmaz. Biz emin olmak için deneyin ya da olasılığını azaltmak için gidiyoruz O birisi kaba kuvvet mümkün olmaz Bu şifrelerin herhangi. Bu her zaman mümkün olan en iyi bir durum değil. Bazen bu kontrol değiliz. Örneğin, 2009 yılının Aralık ayında, Web sitesi rockyou.com bir güvenlik ihlali vardı. Bir SQL Injection oldu. Ve kötü adam 32 milyon hesap bilgilerini çaldı. Böylece kullanıcı adı ve şifre erişmek mümkün. Ve rockyou.com ile sorun Bu kullanıcı adı ve şifreleri tüm karma olmadığını. Bu sesler Onlar deli gibi net olarak saklandı. Böylece kötü adamlar için çok kolay oldu Bu erişmek için. Ama burada daha da ilginç olan budur. Onlar tüm 32 milyon yayınlanmıştır web hesap veritabanı. Yani şimdi herkes torrent indirmek olabilir, doğrudan dosyayı indirmek ve olmaya Tüm 32 milyon hesapları aracılığıyla bakmak mümkün. Bu, tabii ki rockyou.com için çok utanç verici ve aynı zamanda güvenlik endişeleri bir dizi yarattı herkes, ne yazık ki, bir çok insan, çünkü Aynı kullanıcı adı ve şifre yerde kullanın web üzerinde gidebilir. Ama bu yapmamızı olduğunu izin vermedi neler Bu kullanıcı adı ve şifre bazı analizi gerçekleştirmek için Bu şifre ile biz yaşıyorsanız sorunları görmek için biz yerde var politikaları. Imperva adında bir şirket bu şifreleri bir çalışma yaptım. Ve imperva.com de çalışma kendisi erişebilirsiniz. İşte o PDF dosyası için indirme linki var. Ne bu milyonlarca aracılığıyla gitti buldukları ve milyonlarca ve hesapların milyonlarca şifreleri% 30 altı karakter veya daha az olmasıdır. Ve rockyou.com durumda, asgari şartı beş yaşındaydım. Yani insanlar zar zor asgari şartı üzerinde gidiyorduk. Bunlardan% 30, altı karakter veya daha az. Bir şifre harflerin Açıkçası daha küçük bir sayı, o kadar kolay bir kaba kuvvet saldırısı yapmaktır. Şifreleri% 60 sınırlı bir dizi vardı alfasayısal karakterler. Orada hiçbir özel karakter vardı. Alanının dışında olan bir şey yok ne Eğer dokuz aracılığıyla aracılığıyla z ve sıfır bulur. Ve tabii ki, bu kötü adamlar için daha da kolaylaştırır Bir kaba kuvvet saldırısı yapmak. Şifreleri 50% isimleri, argo, önemsiz şeyler vardı, veya sözlük kelime. Ve bu durumda, son derece olur Bir kaba kuvvet saldırısı yapmak kolay. Bunu ancak bir şey yapmak istiyorum. Çok farklı şifreler var istediğiniz Bir sözlükte bulabileceğiniz kelimelerden daha güçlüdür. En yaygın password-- 123.456. Bu kullanıcıların 290.000, şifre 123456 oldu. O 12345 oldu 79.000 kullanıcı vardı. Bu daha da kötü. Ve tabii ki, 76.000 kullanıcıları onlar were-- 123456789 bu bir çok hard-- yaptı. 61.000 kullanıcıların parola olarak şifrenizi vardı. Oldukça açık görünmüyor yapar. Ve iloveyou, 51622 sonuncusu burada, geldi. Ve tabii ki, çok daha fazla var. Onlar bu indirme PDF kocaman frekansı dışarı listede çok ilginç file--. Ama biz yapma konusunda gayretli olması nasıl işaret etmez emin olun biz güçlü şifreler var ve bizim sistemlerini denetleme konum emin olmak için Bizim şifreleri güçlü olduğunu söyledi. Bu güvenlik ekibi için çok yaygın Onların şifre dosyaları kapmak ve kendi kaba kuvvet yapmak Saldırı. Bize kullanıcı adları ve şifreler bulmak için ne kadar zor olduğunu ve bu sistemler üzerinde gerçekten koyarak belirlemek Güvenli şifreler, çok zor şifreler bulmak için Bizim sistemlerde? Biz bir işletim sistemi yüklediğinizde, genellikle hesapların belirlenen bir varsayılan yükler. Ama bizim sistemde olması bu hesapların tümü istemeyebilirsiniz. Sonuçta, biz bir hesabınız varsa, Birisi bu hesabı kullanabilirsiniz ihtimali var programları çalıştırmak veya bilgisayarınıza oturum açmak için. Biz devre dışı bırakmak veya hatta istemediğiniz hesapları kaldırmak için olsaydı Yani, biz sonra biraz daha sistemlerimizi yapım olacağını sabitlemek ve sadece biraz daha onları sertleşir. Windows'un durumunda, genellikle misafir hesabı var o varsayılan olarak etkin olmasa bile, yüklü olan. Linux veya Unix hesaplarının bir numarası vardır yüklü ya da biz ilk bizim sisteme koymak alabilirsiniz İşletim sistemini yükleyin. Ama bu bütün gereklidir. Biz bu liste üzerinden gitmek isteyebilirsiniz ve devre dışı bırakma başlatmak veya kaldırmaya başlayacaktır bu hesapların bazılarının. Aslında, bazı hesap var belki biz sadece herhangi bir interaktif oturumlar istemiyorum olursa olsun. Farklı toplu çalıştırmak edebilmek için bu hesaba ihtiyacınız olabilir dosyaları veya bilgisayardaki farklı süreçler. Ama emin olmak istiyorum birileri eğer kullanıcı adı ve şifre kazanmak oldu onlar oturum açabileceksiniz olmaz. Böylece ek bir parçası olabilir Eğer işletim yardımcı olmak için ekleyebilirsiniz olduğunu Sistem biraz daha güvenli ve daha biraz sertleşti.