Лекция 8. Средства защиты информации в глобальных компьютерных сетях и ОС 1. 2. 3. 4. Средства защиты информации в глобальных компьютерных сетях. Защита от несанкционированной загрузки ОС. Разграничение прав пользователей в ОС Windows. Дискреционное разграничение доступа к объектам.
Сканеры уязвимости Основные функции: p проверка используемых в системе средств идентификации и аутентификации, разграничения доступа, аудита и правильности их настроек с точки зрения безопасности информации в КС; p контроль целостности системного и прикладного программного обеспечения КС; p проверка наличия известных, но неустраненных уязвимостей в системных и прикладных программах, используемых в КС и др.
Сканеры уязвимости Работают на основе сценариев проверки, хранящихся в специальных базах данных, и выдают результаты своей работы в виде отчетов, которые могут быть конвертированы в различные форматы (электронных таблиц Microsoft Excel, баз данных Microsoft Access и т. п. ). .
Классификация сканеров уязвимости Уровня хоста (анализируют защищенность конкретного компьютера «изнутри» ). p Уровня сети (анализируют защищенность компьютерной системы «извне» ). p
Сканеры уязвимости К их недостаткам относятся: p зависимость от конкретных систем; p недостаточная надежность (их применение может иногда вызывать сбои в работе анализируемых систем); p малый срок эффективной эксплуатации (не учитываются новые обнаруженные уязвимости, которые и являются наиболее опасными); p возможность использования нарушителями в целях подготовки к атаке на КС.
Системы обнаружения атак Уровня хоста (обнаружение признаков атак на основе анализа журналов безопасности операционной системы, журналов МСЭ и других системных и сетевых служб). p Уровня сети (инспекция пакетов данных непосредственно в каналах связи), которые могут размещаться последовательно или параллельно с межсетевым экраном, маршрутизатором, коммутатором или концентратором. p
Системы обнаружения атак Используют базы данных с зафиксированными сетевыми событиями и шаблонами известных атак. p Работают в реальном масштабе времени и реагируют на попытки использования известных уязвимостей КС или несанкционированного исследования защищенной части сети организации. p Ведут журнал регистрации зафиксированных событий для последующего анализа. p
Системы обнаружения атак К основным недостаткам относятся: p неспособность эффективно функционировать в высокоскоростных сетях; p возможность пропуска неизвестных атак; p необходимость постоянного обновления базы данных с шаблонами атак; p сложность определения реакции этих средств на обнаруженные попытки атаки.
Системы контроля содержания Предотвращаемые угрозы: p Увеличение расходов на оплату личных Интернет-услуг сотрудников организации. p Снижение производительности труда сотрудников. p Снижение пропускной способности сети организации для деловых нужд. p Утечки конфиденциальной информации. p Репутационный ущерб для организации.
Системы контроля содержания Основные функции: p Анализ входящего и исходящего трафика. p Контроль утечки конфиденциальной информации. p Поддержка и анализ различных форматов представления данных. p Возможность построения гибкой политики безопасности на уровне отдельных пользователей и групп. p Сбор статистики (при необходимости руководство может получить практически любую информацию: кто и когда посещал какие сайты и Web-страницы, отсылал почту через Web-интерфейс, какие файлы какого объема закачивал и пр. ).
Защита от несанкционированной загрузки ОС 1. 2. 3. Защита от загрузки неуполномоченным Защита от загрузки съемного носителя. Защита от загрузки режиме. ОС лицом. другой ОС со ОС в нештатном
Защита от загрузки ОС неуполномоченным лицом На основе пароля, устанавливаемого программой BIOS Setup с помощью функции Set User Password (или аналогичной ей) при выбранном для параметра Security Option (или аналогичного ему) значении System в окне настроек функции Advanced BIOS Features (или аналогичной ей). p Максимальная длина пароля, устанавливаемого программой BIOS Setup, равна 8 символам. p
Защита от загрузки ОС неуполномоченным лицом При использовании этой возможности перед загрузкой операционной системы или при попытке вызвать программу BIOS Setup пользователю будет предложено ввести пароль.
Защита от загрузки ОС неуполномоченным лицом Недостатки: Достоинства: p один пароль для всех работающих p простота пользователей; установки, p сложность замены пароля; p надежность p поскольку хеш-значение пароля защиты (число сохраняется в CMOS-памяти попыток ввода компьютера, нарушитель может пароля перед прочитать его с помощью специальной загрузкой программы после получения доступа к операционной компьютеру после загрузки системы операционной системы; ограничено тремя, что делает p существование так называемых практически «технических» паролей программы невозможным BIOS Setup. подбор пароля).
Защита от загрузки другой ОС со съемного носителя Отмена такой возможности с помощью программы BIOS Setup: p Функция Advanced BIOS Features (или аналогичная в программах других производителей) позволяет установить порядок применения устройств при загрузке операционной системы. p Для обеспечения наибольшей безопасности загрузка должна всегда начинаться (First Boot Device) с жесткого диска (HDD-0), а при невозможности загрузки с жесткого диска продолжаться (Second Boot Device) с дискеты (Floppy) или компакт-диска (CDROM).
Защита от загрузки другой ОС со съемного носителя Доступ к изменению настроек, устанавливаемых программой BIOS Setup, должен быть разрешен только администратору КС: p С помощью функции Set Supervisor Password этой программы (или аналогичной) необходимо установить пароль администратора. p Без ввода этого пароля будет невозможен вызов программы BIOS Setup и изменение ее настроек.
Защита от загрузки ОС в нештатном режиме Нарушитель может попытаться прервать обычную процедуру загрузки операционной системы Windows, чтобы загрузить ее в так называемом режиме защиты от сбоев или в режиме командной строки: p Чтобы отменить эту возможность, необходимо изменить в текстовом файле boot. ini в секции [boot loader] значение параметра timeout на 0 (или сделать это в окне Панель управления | Система | Дополнительно | Параметры загрузки).
Разграничение прав пользователей в ОС Windows Ограничение их прав на использование функций отдельных компонент системы (оснастка Редактор объектов групповой политики, gpedit. msc). p Назначение им прав на использование возможностей системы в целом, напрямую связанных с безопасностью (оснастка Локальная политика безопасности, secpol. msc). p
Ограничение прав на уровне отдельного пользователя запрет использования средств редактирования реестра; p запрет использования Панели управления или ее отдельных функций; p удаление команд «Выполнить» и «Поиск» из меню Пуск; p запрет на выполнение программ в сеансе командной строки; p запрет блокирования компьютера и завершения работы с операционной системой (в том числе ее перезагрузки); p
Ограничение прав на уровне отдельного пользователя возможность запуска только разрешенных приложений из отдельного списка; p запрет на отображение структуры локальной сети; p скрытие дисков в папке «Мой компьютер» и в окне Проводника; p удаление меню «Файл» из Проводника и др. p
Ограничение прав на уровне компьютера установка дополнительных программ или документов, которые Windows будет автоматически запускать или открывать при входе пользователя в систему; p задание обязательного применения дисковых квот и запрещение пользователям изменять этот параметр; p возможность Windows использовать доступ к Интернету для выполнения задач, требующих обращения к ресурсам Интернета и др. p
Информация об ограничении прав p Для локальных учетных записей − в локальных профилях пользователей (разделах реестра HKEY_CURRENT_USER Software Policies (HKEY_CURRENT_USER Software Microsoft Windows Current. Version Policies) и HKEY_LOCAL_MACHINE Software Policies (HKEY_LOCAL_MACHINE Software Microsoft Windows Current. Version Policies)). Поэтому обязательным является запрет на использование средств редактирования реестра и оснастки для редактирования объектов групповой политики непривилегированными пользователями.
Информация об ограничении прав p Для глобальных учетных записей – в перемещаемых профилях пользователей в Active Directory. В этом случае после входа пользователя КС в домен с любого компьютера информация об установленных для него ограничениях из перемещаемого профиля на сервере заместит соответствующие разделы реестра на использованном для входа в систему компьютере.
Назначение прав пользователям и группам Архивирование и восстановление файлов и папок. p Изменение системного времени. p Доступ к компьютеру из сети. p Овладение файлами или иными объектами. p Управление аудитом и журналом безопасности. p Отладка программ и др. p
Назначение прав пользователям и группам Эти права представляют собой права субъектов на выполнение действий, относящихся к системе в целом, а не к отдельным ее объектам. Каждому праву соответствует уникальный локальный идентификатор LUID (locally unique identifier), определяемый строкой символов (например, SE_SYSTEMTIME_NAME). Для отображения пользователю содержания конкретного права с ним также связывается текстовая строка (например, «Изменение системного времени» или «Change the system time» ). Внутреннее представление информации о праве зависит от конкретной реализации и не документировано.
Назначение прав пользователям и группам Информация о правах, назначенных пользователям и группам, содержится в их учетных записях в файле SAM.
Общий недостаток механизма разграничения прав пользователей Отсутствие возможности разграничения доступа пользователей к ресурсам компьютерной системы (отдельным файлам, папкам, разделам реестра, устройствам), т. е. определения правил на применение субъектами различных видов доступа (чтение, запись, выполнение, печать и т. д. ) к объектам.
Дискреционное разграничение доступа p p Все субъекты и объекты компьютерной системы должны быть однозначно идентифицированы; для любого объекта информационной системы определен пользователь-владелец; владелец объекта обладает правом определения прав доступа к объекту со стороны любых субъектов информационной системы; в компьютерной системе существует привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становиться владельцем любого объекта).
Дискреционное разграничение доступа Последнее свойство определяет невозможность существования в компьютерной системе потенциально недоступных объектов, владелец которых отсутствует. Но реализация права полного доступа к любому объекту посредством предварительного назначения себя его владельцем не позволяет привилегированному пользователю (администратору) использовать свои полномочия скрытно от реального владельца объекта.
Дискреционное разграничение доступа Реализуется обычно в виде матрицы доступа, строки которой соответствуют субъектам компьютерной системы, а столбцы – ее объектам. Элементы матрицы доступа определяют права доступа субъектов к объектам. В целях сокращения затрат памяти матрица доступа может задаваться в виде списков прав субъектов (для каждого из них создается список всех объектов, к которым разрешен доступ со стороны данного субъекта) или в виде списков контроля доступа (для каждого объекта информационной системы создается список всех субъектов, которым разрешен доступ к данному объекту).
Дискреционное разграничение доступа К достоинствам относятся: p относительно простая реализация (проверка прав доступа субъекта к объекту производится в момент открытия этого объекта); p хорошая изученность (в наиболее распространенных операционных системах Microsoft Windows и Unix применяется именно эта модель разграничения доступа). Недостатки: p статичность разграничения доступа; p возможность перехода КС в небезопасное состояние; p автоматическое назначение прав доступа субъектам; p недостаточная защищенность от вредоносных программ.
Скачать презентацию Лекция 8 Средства защиты информации в глобальных компьютерных
Лекция 8.ppt