Поэтому для защиты информации, хранящейся в базе данных SAM, необходимо следующее:

• исключить загрузку серверов в DOS-режиме ( все разделы установить под NTFS, отключить загрузку с флоппи- и компакт-дисков, желательно установить на BIOS пароль ( хотя эта мера уже давно устарела, поскольку некоторые версии BIOS имеют “дырки” для запуска компьютера без пароля, все-таки злоумышленник потеряет на этом время для входа в систему);

• ограничить количество пользователей с правами Backup Operators и Server Operators;

• после установки или обновления удалить файл Sam.sav;

• отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре). Используя утилиту Regedt32, добавить в реестр в раздел

• HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:

• Параметр CachedLogonsCount

• Тип REG_SZ

• Значение 0

Один из популярных методов проникновения в систему — подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя (Account Lockout) после определенного числа неудачных попыток входа, используя для этого утилиту User Manager в диалоговом окне Account Policy, доступном через меню Polcies/Accounts (рис. 2);

• необходимо ввести фильтрацию вводимых пользователем паролей, установить Service Pack 2 или 3 ( используется динамическая библиотека Passfilt.dll). Данная библиотека при создании нового пароля проверяет, что:

• длина пароля не менее шести символов;

• содержит три набора из четырех существующих:

• прописные группы латинского алфавита A, B,C,…,Z;

• строчные группы латинского алфавита a,b,c,…,z;

• арабские цифры 0,1,2,…,9;

• не арифметические (специальные) символы, такие, как знаки препинания.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa