1. Защита информации от несанкционированного доступа в открытых версиях операционной системы Windows.

К открытым версиям операционной системы Windows отно­сятся операционные системы Windows 95/98/ME/XP Home Edition. В этих операционных системах нельзя обеспечить высокую степень защиты от несанкционированного доступа к информации, по­скольку эта цель изначально не ставилась перед началом их про­ектирования. Тем не менее, в силу широкого распространения открытых версий операционных систем Windows не только в до­машних КС, но и в КС организаций необходимо уметь правильно использовать все, хотя и скромные, программно-аппаратные сред­ства защиты информации, которые имеются в этих операцион­ных системах.

Для предотвращения угрозы, связанной с несанкционирован­ной загрузкой операционной системы неавторизованным пользо­вателем, можно применить защиту на основе пароля, устанавли­ваемого программой BIOS Setup с помощью функции Set User Password (или аналогичной ей) при выбранном для параметра Security Option (или аналогичного ему) значении System в окне настроек функции Advanced BIOS Features или аналогичной ей (рис. 3.1). В этом случае перед загрузкой операционной системы или при попытке вызвать программу BIOS Setup пользователю будет пред­ложено ввести пароль. Максимальная длина пароля, устанавлива­емого программой BIOS Setup, равна восьми символам.

К достоинствам защиты информации от несанкционирован­ного доступа с помощью пароля программы BIOS Setup относят­ся простота установки и надежность защиты (число попыток вво­да пароля перед загрузкой операционной системы ограничено тремя, что делает практически невозможным подбор пароля).

Недостатки защиты информации на основе пароля программы BIOS Setup:

• все пользователи, работающие на этой рабочей станции, получают общий пароль, что не позволяет разграничить их права в системе;

сложность замены пароля, если он забыт пользователем (в лучшем случае потребуется отключение энергонезависимой CMOS-памяти компьютера, а в худшем — замена его системной (мате­ринской) платы;

Рис.34. Установка пароля BIOS Setup.

• поскольку пароль, установленной программой BIOS Setup, сохраняется в CMOS-памяти компьютера в незащищенном виде, нарушитель может прочитать его с помощью специальной про­граммы после получения доступа к компьютеру после загрузки операционной системы;

Рис. 35. Установка пароля пользователя открытой версии Windows

• существование так называемых технических паролей програм­мы BIOS Setup, позволяющих осуществить загрузку операцион­ной системы неавторизованному пользователю, знающему подоб­ный пароль.

В открытых версиях операционной системы Windows могут быть установлены пароли на вход в систему (рис. 3.2) функции «Учетные записи пользователей» панели управления Windows. Одна­ко эти пароли фактически служат для разграничения личных про­филей пользователей, в которые входят выбранные для каждого из них настройки аппаратного и программного обеспечения КС, структура рабочего стола пользователя, структура его главного меню в системе, список последних использовавшихся им доку­ментов и другая информация о настройках и действиях пользова­теля.

В открытых версиях операционной системы Windows пользова­тель может начать сеанс работы как «Пользователь с профилем по умолчанию» (Default), нажав кнопку «Отмена» в окне входа в си­стему, или начать сеанс от лица пользователя с произвольным логическим именем с автоматическим созданием для него нового профиля, введя имя и пароль нового пользователя в окне входа в систему. Во втором случае профиль для вновь зарегистрированно­го пользователя будет создан на основе профиля по умолчанию.

При работе в сети ограничения на права отдельного пользователя или группы пользователей сети, а также всех пользователей конкретного компьютера целесообразно поместить в отдельный файл системных правил, который может быть помещен, напри­мер, в папку Netlogon на сервере, работающем под управлением одной из защищенных версий операционной системы Windows. В этом случае после входа пользователя КС в сеть с любого компь­ютера информация об установленных для него ограничениях из файла системных правил на сервере заместит соответствующие разделы реестра на использованном для входа в систему компью­тере. Администратор КС может создавать с помощью обычного текстового редактора файлы шаблонов ограничений для различ­ных категорий пользователей и их групп (adm-файлы), в которых и том числе могут быть отражены и дополнительные ограничения на использование функций не только системных, но и прикладных программ.

Администратор КС может установить максимальные ограниче­ния для пользователя с профилем по умолчанию и тем самым для всех незарегистрированных им пользователей, которые попыта­ются войти в систему.

Нарушитель может попытаться прервать обычную процедуру загрузки операционной системы, чтобы загрузить ее в так назы­ваемом безопасном режиме или в режиме MS-DOS (при этом воз­можен обход установленных администратором ограничений). Что­бы исключить эту возможность, необходимо добавить в тексто­вый файл msdos.sys следующую секцию:

[Options]

BootKeys=0

Тем самым у нарушителя не будет возможности прервать обыч­ную процедуру загрузки операционной системы, нажав опреде­ленную комбинацию клавиш на клавиатуре (Ctrl или F8 для вы­зова меню загрузки либо другую для загрузки в отличном от нор­мального режиме).

Чтобы не дать нарушителю возможности произвести загрузку с собственного носителя (системной дискеты или загрузочного ком­пакт-диска) и обойти установленные для незарегистрированных пользователей ограничения, необходимо исключить такую воз­можность с помощью программы BIOS Setup. Ее функция Advanced BIOS Features (или аналогичная в программах других производи­телей) позволяет установить порядок применения устройств при загрузке операционной системы. Для обеспечения наибольшей безопасности загрузка должна всегда начинаться (First Boot Device) с жесткого диска (HDD-0), а при невозможности загрузки с же­сткого диска — продолжаться (Second Boot Device) с дискеты (Floppy) или компакт-диска (CDROM).

Для повышения безопасности при использовании открытых версий операционной системы Windows можно также использо­вать исключение из состава аппаратных средств компьютера на­копителей на гибких магнитных дисках и компакт-дисках с помо­щью средств программы BIOS Setup (функция Standard CMOS Features или аналогичная).

Доступ к изменению настроек, устанавливаемых программой BIOS Setup, должен быть разрешен только администратору КС. Для этого с помощью функции Set Supervisor Password этой про­граммы (или аналогичной) необходимо установить пароль адми­нистратора. Без ввода этого пароля будут невозможны вызов про­граммы BIOS Setup и изменение ее настроек.

Чтобы заблокировать терминал рабочей станции на период временного отсутствия пользователя, в открытых версиях опера­ционной системы Windows должны использоваться программы-заставки (рис. 3.7) с установленным паролем для возобновления работы после запуска программы-заставки.

Рис. 36. Установка программы-заставки

Поскольку программа-заставка автоматически запускается только по истечении за­данного интервала времени после прекращения работы пользователя с устройствами ввода, необходимо вынести ярлык к уста­новленной программе-заставке на рабочий стол пользователя (про­граммы-заставки имеют расширение «.scr» и размещаются обыч­но в папке System папки с файлами операционной системы Windows).

С помощью организационных мер требуется также обеспечить Применение пользователями этих средств для блокировки терминалов своих рабочих станций.

Пароли пользователей открытых версий операционной систе­мы Windows сохраняются в файлах с расширением «.pwl» и с именем, совпадающим с логическим именем зарегистрированного пользователя КС, в зашифрованном виде. К сожалению, при этом используется нестойкая функция шифрования, поэтому в сети Интернет свободно распространяются программы для расшифрования файлов паролей, которые могут быть использованы нарушителем. Поэтому необходимо, но недостаточно применение следующих мер:

• запрет (с помощью редактора системных правил) запуска непривилегированными пользователями любых программ, кроме необходимых им для выполнения своих служебных обязанностей;

• запрет сохранения паролей привилегированных пользователей на рабочих станциях под управлением открытых версий Windows (с помощью редактора системных правил или организационных мер).

Имеются и другие недостатки рассмотренных средств защиты от несанкционированного доступа к информации в открытых вер­сиях операционной системы Windows:

• влияние ограничений на запускаемые пользователями приложения и отображение дисков распространяются только на приложения компании Microsoft (например, с помощью оболочки Windows Commander пользователь сможет запускать любые установленные на его компьютере приложения), поэтому необходим тщательный и обоснованный выбор устанавливаемого программного обеспечения и накладываемых на его использование ограничений;

• возможен обход установленных ограничений на запуск приложений путем переименования файлов с помощью проводника Windows (например, нарушитель может переименовать файл с программой для несанкционированного доступа к информации в winword.exe). Поэтому необходимо обеспечить скрытие дисков в папке «Мой компьютер» и в окне проводника Windows (для невозможности копирования на жесткий диск компьютера файлов с вредоносным кодом), что может оказаться неудобным и даже невозможным для легальных пользователей;

• для легальных пользователей, зарегистрированных в КС и имеющих доступ к жесткому диску компьютера, и запущенных ими программ невозможно осуществить разграничение доступа к файлам, папкам, принтерам и разделам реестра на этом компьютере (любой вошедший в систему пользователь с подобными правами имеет полный доступ к любым ресурсам этого компьютера, а разграничение возможно только для доступа с других компьютеров локальной сети на основе одного пароля для полного доступа к папке и файлам в ней или двух паролей для чтения и записи соответственно);

• если нарушителю удастся получить доступ к компьютеру с загруженной операционной системой, то он сможет попытаться изменить настройки, установленные программой BIOS Setup, путем прямого редактирования содержимого CMOS-памяти с помощью специальных программных средств.

Отсутствие возможности разграничения доступа пользователей к ресурсам КС в рассматриваемых операционных системах являет­ся главной причиной отнесения их к классу открытых (слабо за­щищенных от несанкционированного доступа к информации) систем. Разграничение доступа к файлам и папкам с защищаемой информацией в такого рода системах возможно только с помо­щью их шифрования.