Искусство обмана


              

Удаленный доступ для сотрудников внешних организаций


Правило: Сотрудники внешних организаций (производители программного обеспечения или обсуживающий персонал поставщиков оборудования) не имеют права удаленного доступа к ресурсам компании без проверки личности и удостоверения соответствующих привилегий. Если поставщик нуждается в административном доступе к локальной сети для обеспечения поддержки, то непосредственно после выполнения работ пароль должен быть изменен.

Аргументация и примечания: В целях получения доступа к корпоративной сети атакующий может выступать от лица поставщика. Именно поэтому сотрудник внешней организации всегда должен проходить процедуру верификации и подтверждения полномочий на работу с системами или сервисами компании. Более того, после выполнения работ, «дверь» должна быть закрыта с помощью изменения пароля, которым пользовался поставщик.

Ни один поставщик или сотрудник внешней службы поддержки не имеет права устанавливать свой пароль, пусть даже временный, на доступ к системам компании. Некоторые поставщики пользуются одинаковыми паролями при доступе к системам разных клиентов. Например, одна известная информационная компания устанавливает одинаковый пароль административного доступа ко всем своим клиентским системам и даже не блокирует Telnet-доступ!



Содержание  Назад  Вперед