Министерство образования и науки Российской Федерации

ФГБОУ ВПО

«Тульский государственный университет»

Технический колледж имени С.И.Мосина

Кафедра “Информационной безопасности автоматизированных систем”

“УТВЕРЖДАЮ” Заведующая кафедрой ______________________ “____” января 2014 г.

ТЕМА №2. Анализ защищаемых объектов в автоматизированных системах

Занятие №10. Программирование и настройка системы защиты информации средствами операционной системы.

ЛАБОРАТОРНАЯ

Учебно-методический материал

Обсуждено на заседании кафедры (ПМК) «___»____________2014 г. Протокол №____

г. Тула, 2014 г.

Содержание

1. Введение

2. Программирование и настройка системы защиты информации средствами операционной системы

3. Заключение

Время: 270 минут

Обучаемые: студенты 4 курса

Техническое и программное обеспечение занятия: аудитория, АРМ преподавателя, LСD-проектор, экран/интерактивная доска, прикладные программы Microsoft PowerPoint

Литература

Основная:

1. Положение № 912-51 "О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам". Утв. от 15 сентября 1993 г.

2. Торокин, А.А. Инженерно-техническая защита информации : учеб.пособие для вузов / А.А.Торокин .— М. : Гелиос АРВ, 2005 .— 960с.

3. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. – М., 2001. – 352 с.

Дополнительная:

1. Алексеев Е.Г., Богатырев С.Д. Информатика. Мультимедийный электронный учебник. URL: http://inf.e-alekseev.ru/text/toc.html (дата обращения 12.09.2013 г)

Введение

Лабораторная 2.10 по дисциплине «Эксплуатация подсистем безопасности автоматизированных систем» проводится после изучения второй темы. Лабораторная сугубо прикладная, основной задачей является практическое выполнение технологического алгоритма по настройке учётных записей пользователей в операционной системе.

В качестве повышения мотивации обучаемых к углубленному изучению дисциплины, а так же поощрения части аудитории проявившей активность в ходе опроса, отметить баллы к оценке за занятие.

Программирование и настройка системы защиты информации средствами операционной системы

Здесь будем рассматривать как можно настраивать работу Win только с помощью политик разрешений для пользователей.

Учитывая, что данная тема не рассматривается в книгах для чайников, а в серьёзных книгах она размазана, я надеюсь, что она будет интересна для многих.

Сначала немного теории.

Основа концепции – разделение прав пользователей и разделение разрешений на файлы. Это если очень и очень упрощено.

Смысл в том что каждая программа (точнее будет сказано программа порождает процесс), запускается с теми правами, которые есть у пользователя, который ее запустил. Или по логике, процесс не может иметь больше прав, чем пользователь, от имени которого она запущена.

Ведь что должен фактически сделать вирус (троян), для выполнения своей задачи (в большинстве случаев). Изменить, удалить, заменить собой какой-то системный файл. Но для этого необходимо иметь права root. А на машине работают только под учетной записью обычного пользователя. Значит и вирусу запуститься и выполнить свою задачу намного сложнее. Точнее написать такой вирус будет намного сложнее.

Иными словами, создать простого пользователя с ограниченными правами, и прекрасно работать под данной учетной записью, и уже таким образом улучшить защиту машины.

1. Сначала нужно проверить, какая файловая система на дисках. Необходима NFTS, если все-таки FAT, то необходимо перевести диски на файловую систему NFTS, без потери данных. (тип файловой системы проверяется через Проводник, в Свойствах дисков).

2. Сначала создадим простого пользователя.

Пуск-Настройка-Панель управления-Учетные записи пользователей-Создать пользователя.

Вариант первый: сразу создать пользователя с ограниченными правами.

Вариант второй: создать пользователя с правами администратора, и только потом создать второго пользователя с ограниченными правами.

3. Создайте двух пользователей: 1-го - с правами администратора (по умолчанию назовите «админ»), 2-го – пользователя с ограниченными правами (назовите его «юзер»). Пароли ставить пока что не надо.

4. Перезагрузка. Заходите под ново созданными пользователями и настраиваете внешний вид под себя.

5. Перезагрузка. Входите под «админом».

Настройте внешний вид, посмотрите что получается, какие программы запускаются, как запускаются и что можно делать, а что нельзя.

Примечание - пользователя с ограниченными правами надо создавать нового, а не переделывать существующего администратора. Такая переделка сильно ослабевает защиту, так как переделанный администратор может иметь полные права доступа к системным папкам как владелец

2 Часть занятия.

Важно понимать, что разрешения на доступ к файлам и выполнение отдельных действий пользователей над файлом, почти в полном объёме производится средствами файловой системы. Windows даёт только инструмент для управления. Поэтому нет отдельного файла, в котором бы были записаны все права доступа к файлам и на действия пользователя. Все права и пользователи пишутся в свойствах каждого файла в самой файловой системе. Поэтому управление правами доступа можно только в определённых файловых системах. Для Windows это файловая система NFTS, FAT не сохраняет в полном объёме свойства файла и не даёт управлять правами.

Управление правами доступа достигается это путём запрета на запуск или изменение определённого файла. И это даёт защиту. Все действия, которые выполняются операционной системой – это результат работы отдельных файлов или группы файлов. Отсюда можно сделать вывод о том, что запрещая или разрешая средствами файловой системы, пользователю работать с тем или иным файлом, можно добиться запрета или разрешения на выполнение определённых действий в самой операционной системе.

Понятно что, управляя разрешениями и запретами можно создать любой профиль пользователя с любыми нужными комбинациями по запрету и разрешению, для чего воспользоваться готовыми шаблонами, предоставляемыми самой Windows XP. Шаблоны представлены в виде групп учётных записей.

Создание пользователя – введение его в определённую группу учётных записей и получение на выходе готового пользователя с заранее определёнными правами.

1. Группы учетных записей их можно просмотреть по Пуск-Настроки-Панель управления-Администрирование - Управление компьютером-Локальные пользователи-Группы. (данное действие можно выполнить только под учетной записью «Админ»). Или пуск-выполнить-control userpasswords2.

Администраторы, дело даже не в том, что они имеют доступ ко всем папкам. Важно другое. Все, кого включили в эту группу, имеют полные права на выполнение всех действий на ПЭВМ. Могут изменять параметры, настройки, вносить изменения, ставить, удалять и т.д. Т.е. закрыть пользователю из этой группы доступ к папкам можно, но возможность выполнять множественные действия по изменению параметров машины пользователю из этой группы запретить нельзя. Он может сделать сам себе доступ к закрытым тобой папкам и файлам. Отсюда вывод: в эту группу должен в идеале входить только один пользователь.

Опытные пользователи. Обычному пользователю нет возможности работать с сервером в домене. Вот и вынуждены были создать Опытных пользователей. Опасная группа. Они нечто среднее по возможностям между Обычными пользователями и Админами. При наличии возможность работать в этой группе и наличии некоторых знаний, пароль админа ломается на раз. Даже перезагрузку делать не придется. Поэтому вывод: в эту учетную группу никого не ставить, а если ПЭВМ не работает в домене, то можно вообще отключить всю группу.

Гость. Это вынужденно создаваемая учетная группа. Гость фактически может немного. При определенной настройке смотреть, копировать, удалять в отдельных папках, немного изменять в сетевых настройках.

Далее учётная группа Все. Войти и работать на ПЭВМ могут только пользователи, для которых есть запись на ПЭВМ. К данной учетной группе необходимо относиться очень осторожно и думать, какие права стоит ей предоставлять.

Пользователь. При правильной настройке под этой учетной группой и необходимо работать.

Далее: Операторы архивов, операторы настройки, репликаторы и т.д. Обычно эти учетки необходимы только при работе в сети. И их можно спокойно удалить на локальном компе, особенности, если он управляется не «админом» сети, а «админом» локальной ПЭВМ. Или как минимум никого в них не ставить.

System. Это учетная запись самой операционной системы. Некоторые системные сервисы, антивирусы получают данные права. Их список определяет Windows сама.

Примечания:

1. Если зарегистрирован «Админ» домена (сетевой) на ПЭВМ, и его настройки отличаться от настроек «Админа» локального, то при подключении к сети приоритет имеют сетевые настройки и доступы. Т.е. настройки и права доменного «Админа».

2. Важно различать Учетные записи пользователей и Группы пользователей.

Учетные записи пользователей – это «учетки» тех кто зарегистрировался и имеют право работать на ПЭВМ. Они имеют имя и какие-то права, определенные администратором.

Группы пользователей. Это просто шаблоны настроек. При создании пользователя и регистрации, ему необходимо установить какой-то уровень доступа, наделить правами. Это достаточно сложно сделать вручную, потому и существуют шаблоны. При включении созданной учетной записи в состав какой-то стандартной группы, или шаблон. Учетная запись получает стандартные, определенной для данной группы, права.

Права Групп пользователей тоже можно настроить. Через администрирование компьютера. Пуск-Настройка-Панель управления-Администрирование-Локальная политика безопасности, здесь все интересно но в частности – Локальные политики – Назначение прав пользователей.

Замечание по учётной записи Все.

В одних дистрибутивах это может быть "Все пользователи, кроме, зарегистрированных на данном компе", а может быть "Все пользователи, в том числе и зарегистрированные пользователи". Следует оставлять эту запись, но не предоставлять ей никаких прав.

Все изменения в группой политике, изменения в составе пользователей, входящих в ту или иную группу и т.д., может только пользователь входящий в группу Администраторы (или группу наделённую полномочиями Администратора).