"SUPER USER”-ИЙН АЮУЛГҮЙ БАЙДЛЫГ ХАНГАХ

 

Super User нь Windows, Linux & Unix үйлдлийн системүүд дээр байдаг хамгийн давуу эрхт хэрэглэгч юм. Super User бидний хэлж заншсанаар Root User гэж Linux/Unix үйлдлүүдэд нэрлэгддэг бол Windows төрлийн үйлдлийн системүүдэд Administrator хэрэглэгч гэдэг. Mac OS үйлдлийн систем ч мөн ижил Root хэрэглэгчийн горимоор ажилладаг.

Эдгээр хэрэгдэгчид нь доор дурдсан бүх үйлдлүүдийг гүйцэтгэх эрхтэй:

Системийн болон бүх төрлийн файл үүсгэх, унших, засварлах

Програм хангамж шинээр суулгаж устгах

Системийн тохиргоонуудыг бүрэн өөрчлөх

Шинэ хэрэглэгч үүсгэх, тухайн систем дээр бүртгэлтэй хэрэглэгчдийг удирдах

Хязгааргүй давуу эрхт Super хэрэглэгчээс гадна Standard User төрлийн хэрэглэгч үүсгэх боломж бүх системүүд дээр байдаг. Энэ нь системийн чухал файлуудруу хандаж чадахгүйгээс гадна, систем дээр нэмэлт програм суулгах болон устгах эрхүүдийг нь хязгаарласан хэрэглэгчид юм.
Байгууллагууд ажилчиддаа ихэвчлэн Standard User эрхийг ашиглуулдаг ч зарим зайлшгүй шаардлагаар, эсвэл аюулгүй байдлын дүрэм, хэрэгжилт муутайгаас шалтгаалан давуу эрхтэй хэрэглэгчдийг хэрэглэсээр байна.

Хэрэв давуу эрхтэй Super User-ийн эрхээ гадна болон дотоодын халдагч этгээдэд алдвал юу болох вэ? Тухайн системд байгаа бүх нь мэдээллээ алдахаас гадна тухайн байгууллагын дотоод системүүдрүү халдах үүд хаалгыг бүрэн нээж өгөх бөгөөд гарах үр дагавар ихээхэн хэмжээний хохирлыг дагуулдаг.

Байгууллагуудын хамгийн түгээмэл гаргадаг алдаанаас дурдвал:

  • Хэрэглэгчдэд шаардлагагүй давуу эрх өгөх
  • Нэг нэвтрэх эрхийг дундаа ашиглах
  • Системрүү нэвтрэх эрхүүдээ документ үүсгэн хадгалах
  • Нууц үгийн бодлогоо үр дүнтэй байлгадаггүй
  • Хяналт, аудит хийх нөхцөлийг бүрдүүлээгүй байх

Тогтмол хугацаанд хэрэглэгчдийн эрхийг эргэн хянадаггүй гэх мэт

 

ДАВУУ ЭРХТ ХЭРЭГЛЭГЧИЙГ ХАМГААЛАХ

Давуу эрхт болон хэрэглэгчийн мэдээлэл, нууц үгийг хамгаалах нь тийм амархан биш ч эсрэгээрээ тийм ч боломжгүй зүйл биш юм. Доорхи 4 зөвлөмжүүдийг бүрэн ашигласнаар аюулгүй байдлаа дээд түвшинд авч ирэх бүрэн боломжтой.

1. Least Privilege Access

Least Privilege Access нь давуу эрхт хэрэглэгчид хязгаарлалт тогтоох юм. Товчхондоо тухайн хэрэглэгч ажлаа хийхэд шаардлагатай эрхийг хамгийн багаар тохируулж өгөх юм. Зарим тохиолдолд зайлшгүй давуу эрх хэрэг болсон ч тухайн эрхийг түр хугацаагаар олгодог байх шаардлагатай. Ямар ч хэрэглэгч Super User эрх ашиглах шаардлагагүйгээр ажлаа хийх боломжтой.
Харин Linux/Unix төрлийн хэрэглэгчид sudo /superuser do/ командаар root түвшний үйлдэл гүйцэтгэх боломжтойг чухлаар анхаарч авч үзэх хэрэгтэй.

2. Сүлжээний хуваалт

Сүлжээний хаяглалт системүүдийг хуваах зайлшгүй шаардлагатай. Сүлжээ бүрийн эрсдэлийн үнэлгээ, шаардлагыг тодорхойлж тухайн үнэлгээнд тохирсон хамгаалалтуудыг хэрэгжүүлэх юм. Мөн ямар нэгэн байдлаар тухайн сүлжээнд халдагч этгээд орж ирсэн ч бусад сүлжээрүү хандах боломжгүй байх нөхцөл байдлыг бүрдүүлэхээс гадна тухайн сүлжээнд ямар ямар системүүд ажиллаж байхыг нарийн төлөвлөх шаардлагатай.

3. Separation of Privileges

Энэ нь хэрэглэгчдийг үүрэг тус бүрээр хуваарилах юм. Жишээ нь: Файлын хувьд зарим хэргэлэгч зөвхөн унших, зарим нь зөвхөн засах, зарим нь зөвхөн шинэ файл үүсгэх гэх мэт ажил үүргийн хуваарийн дагуу ангилах юм. Мөн үйлдэл гүйцэтгэх хэрэглэгчээс гадна Лог уншиж аудит хийх эрхтэй хэрэглэгч үүсгэх шаардлагатайгаас гадна эдгээр аудит эрхтэй хэрэглэгч зөвхөн лог унших эрхтэй байхыг л тохируулж өгөх шаардлагатай.

4. Password Rotation and Security

Нууц үгийг ямар хугацаанд зайлшгүй солих, нууц үг нь ямар шаардлагыг хангасан байх талаар байгууллагууд Password Policy ашиглан хэрэгжүүлдэг. Гэвч ихэнхидээ энэ дүрэм нь нууц үг солих давтамж хол зайтай байхаас гадна Password Complexity буюу нууц үгийг таахаас сэргийлж төвөгтэй байдлаар үүсгэх шаардлагыг бүрэн хангадаггүй.
Эдгээрээс гадна тухайн хэрэглэгчийн хандах эрхийн мэдээллийг хадгалж буй системүүд хүчирхэг шифрлэлт буюу encrypt хийдэг байх шаардлагатай.

Та манай сайтад өмнө нийтлэгдсэн “Password Management -ийн Шилдэг 15 дадал” нийтлэлийг уншиж илүү дэлгэрэнгүй зөвлөмж аваарай.

ДАВУУ ЭРХТ ХЭРЭГЛЭГЧИЙН СИСТЕМ

Privilege Access Management (PAM) буюу Давуу Эрхт Хэрэглэгчийн Менежмент систем нь “Super User”-үүдийг хамгаалах хамгийншилдэг шийдэл юм. PAM шийдэл нь дээр дурдагдсан бүх эрсдэлээс бүрэн сэргийлэх бүрэн боломжтой.