3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ

30

Обліковий запис адміністратора

Обліковий запис користувача з ім'ям «Адміністратор» використовується при першій установці робочої станції або рядового сервера. Цей обліковий запис дозволяє виконувати необхідні дії до того, як користувач створить свій власний обліковий запис. Обліковий запис адміністратора є членом групи адміністраторів на робочій станції або рядовому сервері.

Облікову запис «Адміністратор» не можна видалити (проте її можна відключити) або вивести з групи адміністраторів, що виключає можливість випадкової втрати доступу до комп'ютера після знищення всіх облікових записів адміністраторів. Ця властивість відрізняє користувача «Адміністратор» від інших членів локальної групи "Адміністратори".

Обліковий запис гостя

Обліковий запис гостя використовується тими, хто не має реального облікового запису на комп'ютері. Якщо обліковий запис користувача відключений (але не видалений), він також може скористатися обліковим записом «Гість». Обліковий запис гостя не вимагає пароля. Обліковий запис гостя за замовчуванням відключений.

Обліковому запису «Гість», як і будь-який іншому обліковому запису, можна надавати права і дозволи на доступ до об'єктів. Обліковий запис «Гість» за замовчуванням входить у вбудовану групу «Гості», що дозволяє користувачеві увійти в систему з робочої станції або рядового сервера. Додаткові права, як будьякі дозволи, можуть бути присвоєні групі «Гості» членом групи адміністраторів.

2. Групи

Розглянемо основні групи, що формуються при встановленні операційної системи.

Адміністратори

Користувачі, що входять до групи «Адміністратори», мають повний доступ на управління комп'ютером. Це єдина інтегрована група, якій автоматично надаються всі вбудовані права і можливості в системі.

31

Оператори архіву

Члени групи «Оператори архіву» можуть архівувати і відновлювати файли на комп'ютері, незалежно від усіх дозволів, якими захищені ці файли. Також вони можуть входити на комп'ютер і вимикати його, але не можуть змінювати параметри безпеки.

Досвідчені користувачі

Члени групи досвідчених користувачів можуть створювати облікові записи користувачів, але можуть змінювати і видаляти тільки створені ними облікові записи. Вони можуть створювати локальні групи і видаляти користувачів з локальних груп, які вони створили. Вони також можуть видаляти учасників з груп «Досвідчені користувачі», «Користувачі» і «Гості».

Вони не можуть змінювати групи «Адміністратори» і «Оператори архіву», не можуть бути власниками файлів, не можуть виконувати архівування та відновлення каталогів, не можуть завантажувати і вивантажувати драйвери пристроїв або керувати журналами безпеки і аудиту.

Користувачі

Члени групи користувачів можуть виконувати найбільш поширені завдання, наприклад запуск додатків, використання локальних і мережних принтерів, завершення роботи і блокування робочих станцій. Користувачі можуть створювати локальні групи, але змінювати можуть лише ті, які вони створили. Його користувачі не можуть організовувати загальний доступ до каталогів або створювати локальні принтери.

Гості

Група «Гості» дозволяє випадковим або разовим користувачам увійти в систему з вбудованим обліковим записом гостя робочої станції і отримати обмежені можливості. Члени групи «Гості» можуть тільки припинити роботу комп'ютера.

32

Політики управління паролями та блокіровки облікових записів розташовуються у визначеному вікні «Локальні параметри безпеки» вкладки «Адміністрування». Типове вікно надано на рис. 4.1.

Рисунок 4.1 – Типове вікно Політики паролів та блокіровки облікових записів

Налаштування параметрів здійснюється у відповідних вкладах даного вікна. Основними параметрами, що підлягають налаштуванню у Політиці паролей є:

-максимальний термін дії пароля;

-мінімальна длина пароля;

-мінімальний термін дії пароля;

-вимоги щодо складності пароля;

-вимоги щодо неповорюємості паролів;

-використання зворотнього шифрування для збереження паролів у

домені.

Основними параметрами, що підлягають налаштуванню у Політиці блокіровки облікових записів є:

-час блокування облікового запису;

-кількість невдалих спроб входу в систему, що приводить до блокування облікового запису.

33

ЗАВДАННЯ ДЛЯ ВИКОНАННЯ РОБОТИ

Завдання 1. Управління політекою паролів облікових записів користувачів. У відповідності із індивідуальним завданням, налаштувати Політику

паролів, зокрема:

-максимальний термін дії пароля;

-мінімальна длина пароля;

-мінімальний термін дії пароля;

-складність пароля;

-неповорюємість паролів.

Завдання 2. Управління політекою блокіровки облікових записів користувачів.

У відповідності із індивідуальним завданням, налаштувати Політику блокіровки облікових записів користувачів, зокрема:

-час блокування облікового запису;

-кількість невдалих спроб входу в систему, що приводить до блокування облікового запису.

КОНТРОЛЬНІ ПИТАННЯ

1.Типи облікових записів в операційних системах.

2.Призначення та порядок налаштування параметрів безпеки операційної системи.

3.Можливості по управлюнню політекою паролей.

4.Можливості по управлінню політекою блокування облікових записів.

5.Підходи «кращих практик» щодо налаштування Політик облікових

записів.

34

ПРАКТИЧНЕ ЗАНЯТТЯ №5.

Тема: Шифрування інформації вбудованими механізмами операційних систем. Порядок використання BitLoсker та AppLocker.

Мета заняття: отримання практичних навичок щодо шифрування інформації вбудованими механізмами операційних систем.

ЗАГАЛЬНІ ВІДОМОСТІ ЗА ТЕМАТИКОЮ ЗАНЯТТЯ

Шифрування диска BitLocker є вбудованою функцією безпеки в операційній системі Windows 7, яка дозволяє захистити дані, що зберігаються на фіксованих і знімних дисках, а також на диску операційної системи. BitLocker дозволяє захистити комп'ютер від "атак з виключенням", які проводяться шляхом відключення або обходу встановленої операційної системи або шляхом фізичного видалення жорсткого диска для злому даних автономно.

Для фіксованих і знімних дисків BitLocker забезпечує прочитання і запис даних на диск тільки для користувачів з необхідним паролем, обліковими даними смарт-карти або при використанні диска на комп'ютері з захистом BitLocker і відповідними ключами. Якщо в організації працюють комп'ютери під управлінням попередніх версій Windows, то для читання даних захищених знімних дисків на цих комп'ютерах можна використовувати пристрій читання BitLocker To Go.

Захист BitLocker на дисках операційної системи підтримує двухфакторную перевірку справжності за допомогою модуля TPM (TPM) з персональним ідентифікаційним номером (ПІН) або завантажувальним ключем, а також однофакторну перевірку справжності за допомогою ключа, що зберігається на USB-флеш-пам'яті, або за допомогою довіреного модуля.

Використання BitLocker з довіреним платформним модулем TPM забезпечує розширений захист даних і дозволяє зберегти цілісність завантажувальних компонентів. Для цього варіанту, комп'ютер повинен мати сумісний мікрочіп модуля TPM і сумісну версію BIOS. Сумісна версія BIOS

35

повинна підтримувати довірений платформний модуль і вимір статичного довіреного джерела оцінки відповідно до визначення організації TCG.

Довірений платформний модуль взаємодіє з технологією захисту диска операційної системи BitLocker для забезпечення безпеки при завантаженні системи. Це відбувається непомітно для користувачів, а процес входу в систему не змінюється. Однак, якщо змінені відомості завантаження, то BitLocker переведе комп'ютер в режим відновлення і зажадає введення пароля або ключа відновлення для отримання доступу до даних.

Таким чином, BitLocker або ж BitLocker Drive Encryption — засіб шифрування дисків, який входить до складу операційної системи Windows 7 (версії Ultimate та Enterprise), та вище. BitLocker дозволяє шифрувати логічні диски операційної системи повністю. Окрім цього, починая з Windows 7, з'явилась додаткова можливість шифрувати USB-носії та картки пам'яті.

Можливі варіанти шифрування:

-AES 128

-AES 128 з Elephant diffuser (за замовчуванням)

-AES 256

-AES 256 з Elephant diffuser

За замовчування, для шифрування BitLocker використовує алгоритм шифрування AES зі 128-ми бітним ключем та Elephant diffuser. Обрати який із режимів шифрування використовувати можна за допомогою внесення відповідних змін у групову політику операційної системи.

Принцип роботи BitLocker

BitLocker шифрує том, а не фізичний диск. Том може займати частину диска, а може включати в себе масив з декількох дисків. Для роботи BitLocker'у в разі шифрування системного диска буде потрібно два NTFS - томи, один для ОС і один для завантажувальної частини. Останній повинен бути не менше 1,5 Гб, і не бути зашифрований. Починаючи з Windows Vista SP1 з'явилася можливість шифрувати несистемні томи. Після створення розділів необхідно ініціалізувати TPM -модуль в ПК, де він є, і активувати BitLocker. У Windows 7 з'явився BitLocker To Go, що дозволяє шифрувати змінні носії, а також знижені вимоги для завантажувальної частини, для неї достатньо 100 Мб. При установці Windows 7 на порожній диск завантажувальний розділ створюється автоматично.

36

Існує три механізми перевірки автентичності, які можна використовувати для реалізації Bitlocker-шифрування:

1)Прозорий режим роботи. Цей режим використовує можливості апаратного забезпечення Trusted Platform Module для надання прозорої роботи користувачів. Користувачі входять на комп'ютер з операційною системою Windows в звичайному режимі. Ключ, використовуваний для шифрування диска, закодований в чіп TPM і може бути виданий тільки в коді завантажувача ОС (якщо завантажувальні файли показуються як незмінені). Цей режим вразливий для нападу при холодному завантаженні, так як дозволяє зловмисникові вимкнути комп'ютер і завантажитися.

2)Режим перевірки автентичності користувача. Цей режим передбачає, що користувач пройшов деяку аутентифікацію в передзавантажувальному середовищі у вигляді попереднього введення PIN-коду. Цей режим вразливий до буткіт-атакам.

3)Режим USB-ключа. Для можливості завантаження в захищену операційну систему користувач повинен вставити в комп'ютер пристрій USB, який містить ключ запуску. Зверніть увагу, що для цього режиму необхідно, щоб BIOS на комп'ютері підтримував читання пристроїв USB в завантажувальному середовищі. Цей режим також вразливий до буткіт-нападам.

Окрім BitLocker в операційній системі Windows є ряд додаткових механізмів, що дозволяють підвищити рівень безпеки.

User Account Control (UAC) (cлужба захисту користувачів) — компонент та технологія безпеки Microsoft Windows, що вперше з'явився в Windows Vista та Windows Server 2008. Він намагається покращити безпеку Windows обмежуючи права програм до прав стандартного користувача і надаючи їм збільшені привілеї тільки після дозволу адміністратора. Таким чином, лише програми яким користувач довіряє, отримують адміністративні привілеї, а шкідливе програмне забезпечення ізолюється від системи. Іншими словами, навіть якщо користувач є адміністратором, програми які він запускає запускаються зі звичайними правами, якщо тільки користувач явно не надасть їм такі права. Адміністратор комп'ютера може відключити UAC у панелі управління.

37

Щоб зменшити можливість програмам з нижчими привілеями комунікувати з програмами з вищими привілеями, в поєднанні з технологією UAC використовується технологія User Privilege Isolation.

AppLocker - це функція операційних систем Windows Server 2008 R2 і Windows 7, яка розширює можливості управління додатками і функціональність політик обмеженого використання програм. AppLocker включає нові можливості і розширення, що дозволяють створювати правила дозволу і заборони виконання додатків на основі унікальних посвідчень файлів, а також вказувати осіб чи груп, яким дозволено запускати ці програми.

Encrypting File System (EFS) - система шифрування даних, що реалізує шифрування на рівні файлів в операційних системах Microsoft Windows NT (починаючи з Windows 2000 і вище), за винятком «домашніх» версій (Windows XP Home Edition, Windows Vista Basic, Windows Vista Home Premium, Windows 7 Starter (Home Basic і Premium), Windows 10 Home). Дана система надає можливість «прозорого шифрування» даних, що зберігаються на розділах з файловою системою NTFS, для захисту потенційно конфіденційних даних від несанкціонованого доступу при фізичному доступі до комп'ютера і дискам.

Аутентифікація користувача і права доступу до ресурсів, що мають місце в NT, працюють, коли операційна система завантажена, але при фізичному доступі до системи можливо завантажити іншу ОС, щоб обійти ці обмеження. EFS використовує симетричне шифрування для захисту файлів, а також шифрування, засноване на парі відкритий/закритий ключ для захисту випадково згенерованого ключа шифрування для кожного файлу. За замовчуванням закритий ключ користувача захищений за допомогою шифрування призначеним для користувача паролем, і захищеність даних залежить від стійкості пароля користувача.

Фільтр SmartScreen допомагає виявляти відомі фішингові й зловмисні вебсайти та приймати поінформовані рішення щодо завантажень. Фільтр SmartScreen захищає комп’ютер у три способи:

- під час роботи в Інтернеті він аналізує веб-сторінки на наявність підозрілих ознак. Виявивши підозрілу веб-сторінку, фільтр SmartScreen

38

відображає сторінку попередження з порадою діяти обережно та можливістю залишити відгук;

-фільтр SmartScreen звіряє відвідані сайти з динамічним списком відомих фішингових сайтів і сайтів зловмисних програм. У разі збігу фільтр SmartScreen відображає попередження, повідомляючи, що сайт заблоковано задля вашої безпеки;

-фільтр SmartScreen звіряє файли, завантажені з Інтернету, зі списком відомих небезпечних програм і сайтів зловмисного програмного забезпечення. У разі збігу фільтр SmartScreen відображає попередження, повідомляючи, що завантаження заблоковано задля вашої безпеки. Фільтр SmartScreen також звіряє завантажувані файли зі списком відомих файлів, які завантажували численні користувачі браузера Internet Explorer. Якщо завантажуваний файл відсутній у списку, фільтр SmartScreen відобразить попередження.

UEFI (Unified Extensible Firmware Interface —інтерфейс розширюваної «прошивки») — інтерфейс між операційною системою і мікропрограмами, які керують низькорівневими функціями комп'ютерного обладнання.

Основне призначення UEFI: коректно ініціалізувати обладнання при увімкненні системи і передати управління завантажувачу операційної системи. UEFI призначений для заміни BIOS — інтерфейсу, який традиційно використовується всіма IBM PC-сумісними персональними комп'ютерами.

ЗАВДАННЯ ДЛЯ ВИКОНАННЯ РОБОТИ

У відповідності із індивідуальним завданням, отримати практичні навички при роботі з:

1.Механізмом шифрування томів дисків BitLocker;

2.Механізмом User Account Control;

3.Механізмом AppLocker;

4.Системою шифрування даних Encrypting File System

5.Сторонніми програмами шифрування (наприклад, TrueCrypt).

39

КОНТРОЛЬНІ ПИТАННЯ

1.Який механізм OS Windows дозволяє заборонити несанкціоновані зміни у операційній системі?

2.Вкажіть основний механізм, що використовується для попередження спуфінг-атак?

3.Які дані шифрує BitLocker?

4.Проти яких атак доцільно використовувати BitLocker?

5.Який з механізмів OS Windows передбачає використання віртуалізації?

6.Який з механізмів OS Windows дозволяє забезпечити контроль за додатками, що встановлюються на комп’ютер?

7.Який механізм OS Windows використовується для шифрування окремих папок та файлів?

8.Який механізм OS Windows використовується для захисту від зловмисних веб-сайтів та додатків, що завантажуються з мережі Inernet з використанням служби перевірки репутації додатків та URL-адрес?

9.Які ключи використовуються для шифрування інформації при використанні механизма EFS?

10.Які ключи використовуються для шифрування інформації при використанні механизма BitLocker?