Методическое пособие 227
.pdfФГБОУ ВПО «Воронежский государственный технический университет»
Кафедра систем информационной безопасности
ОСНОВЫ ПОСТРОЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к практическим занятиям по дисциплине «Информационная безопасность распределенных информационных систем» для студентов специальности
090303 «Информационная безопасность автоматизированных систем»
очной формы обучения
+
Воронеж 2015
Составитель канд. техн. наук Е. А. Москалева
УДК 004.4
Основы построения систем обнаружения вторжений. Методические указания для практических занятий по дисциплине «Информационная безопасность распределенных информационных систем» для студентов специальности 090303 «Информационная безопасность автоматизированных систем» очной формы обучения / ФГБОУ ВПО «Воронежский государственный технический университет»; сост. Е. А. Москалева. Воронеж, 2015. 35 с.
Методические указания предназначены для использования на практических занятиях по дисциплине «Информационная безопасность распределенных информационных систем» с целью научить студентов анализировать, предлагать и обосновывать выбор решений по обеспечению требуемого уровня эффективности применения автоматизированных систем.
Методические указания подготовлены в электронном виде в текстовом редакторе MW-2010 и содержатся в файле Москалева_ПЗ2_ИБ_РИС.pdf.
Табл. 1. Ил. 6. Библиогр.: 12 назв.
Рецензент д-р техн. наук, проф. А.Г. Остапенко
Ответственный за выпуск зав. кафедрой д-р техн. наук, проф. А.Г. Остапенко
Издается по решению редакционно-издательского совета Воронежского государственного технического университета
© ФГБОУ ВПО «Воронежский государственный технический университет», 2015
Тема 1. ИСПОЛЬЗОВАНИЕ ПРОГРАММЫ DR. WEB
Цель: овладение навыками настройки антивирусных средств.
Теоретические сведения
Вероятность заражения компьютера вирусами возрастает при использовании каналов связи и обменом информацией компьютера с внешним миром. Использование глобальной сети Интернет, электронной почты, обмен данными с использованием носителей информации (CD, DVD, USBFlesh, карт памяти), использование ресурсов локальной сети приводит к увеличению риска заражения вирусами компьютера.
Для предотвращения заражения компьютера вирусами, существуют антивирусные программы, их достаточно много на российском рынке, как отечественного производства, так и зарубежного [1,2]. Современные операционные системы имеют встроенные антивирусные средства [3,4].
Наличие антивирусной зашиты на компьютере может предотвратить неприятные неожиданности. Антивирусная защита убережет вас от вредоносных программ, потери денег, потери времени, вторжения в вашу личную жизнь. Защита компьютера от вирусов является, прежде всего, задачей пользователя, а антивирус – только инструмент в этой борьбе.
Для эффективного использования средств антивируса, необходимо знать его возможности, компоненты и методы настройки. Все антивирусы имеют сходную структуру, поскольку служат одной цели. Поэтому рассмотрим структуру антивируса на примере Dr.Web.
Задания
1. С сайта компании Dr.Web (http://www.drweb.ru/)
скачать Руководство пользователя:
Скачать Документация Dr.Web® Desktop Security Suite Защита рабочих станций, клиентов терминальных и виртуальных серверов, клиентов встроенных систем
2.Ознакомиться с требованиями лицензии.
3.Ознакомиться с разделом Установка, изменение и удаление программы.
4.Ознакомиться с разделами Начало работы, Инструменты.
Письменно ответить на вопросы:
1.Что такое ключевой файл? Какие сведения в нем
хранятся?
2.Каким образом можно активировать лицензию?
3.Какие данные требуются для регистрации? Где находятся сведения о регистрации?
4.Какие действия необходимо провести перед установкой программы?
5.Какие компоненты входят в состав антивирусного средства Dr.Web?
6.Какие разделы имеет меню средства управления Инструменты?
7.Запишите действия, которые необходимо произвести для проверки эффективности антивирусного средства.
Контрольные вопросы
1.Для чего необходимо ознакомиться с текстом лицензии?
2.Что обеспечивают облачные сервисы антивирусного средства? Являются ли они необходимыми?
3.Какие режимы работы есть у антивируса Dr.Web?
4.Как проверить работоспособность антивирусного средства?
2
Тема 2. НАСТРОЙКА ПРОГРАММЫ DR. WEB
Цель: изучение функций и параметров настройки сканера безопасности.
Теоретические сведения
Сетевые сканеры безопасности [5] – программные средства, позволяющие проверить уровень уязвимости сетей. Они имитируют различные обращения к сетевым узлам, выявляя операционные системы компьютеров, запущенные сервисы, имеющиеся уязвимости. В некоторых случаях сканеры безопасности также имитируют реализацию различных атак, чтобы проверить уровень подверженности им компьютеров защищаемой сети.
Хорошая антивирусная защита – это не только хорошая антивирусная программа, но и грамотное поведение пользователя в сети и за своим компьютером.
Для эффективной защиты компьютера необходимо выполнять следующие правила:
-пользуйтесь самыми последними разработками в области компьютерной антивирусной защиты;
-регулярно обновляйте антивирусные базы;
-регулярно устанавливайте критические обновления для ваших программ и операционной системы. Разработчики операционных систем и программ, использующихся в Интернете, постоянно находят «дыры» в своих разработках, которые способствуют проникновению злоумышленников на ваш компьютер. Эти же разработчики постоянно выпускают «заплатки» для своих программных ошибок.
-пользуйтесь сетевым экраном. (Иногда присутствует в антивирусном пакете, есть в операционной системе.);
-не отключайте антивирусную защиту по просьбе программ или сайтов, антивирус постоянно должен быть в
3
рабочем состоянии и находиться в резидентной памяти компьютера;
-не открывайте незнакомые ссылки, присланные якобы
другом;
-не открывайте знакомые ссылки, присланные незнакомыми людьми или почтовыми роботами, не проверив истинный адрес, куда ведет ссылка (Правая кнопка мыши на ссылки, свойства.);
-скопируйте ссылку из письма и вставьте ее в адресную строку браузера, так безопасней;
-внимательно изучайте обратный адрес отправителя и другие данные почтового сообщения, прежде, чем его открыть и прочитать;
-никогда не открывайте письма, присланные незнакомыми людьми, и не в коем случае не открывайте вложения из этих писем;
-если вам знаком отправитель письма, и вы хотите открыть вложение в нем, сначала сохраните вложение на диск и просканируйте антивирусной программой, а потом открывайте;
-не попадайтесь на бесплатный сыр в мышеловке, бесплатно в Интернете ничего не бывает;
-старайтесь избегать сайтов для взрослых и сайтов с пиратским программным обеспечением (основные разносчики компьютерных вирусов);
-старайтесь работать на компьютере в ограниченной учетной записи, а не под «администратором»;
-не открывайте полный доступ к папкам на вашем компьютере;
-для подозрительных сайтов используйте повышенный уровень безопасности вашего интернет-браузера (Повышенный уровень безопасности: отключено выполнение скриптов на сайтах, динамическое содержимое WEB-страниц.);
-отключите использование макросов в офисных приложениях (Макросы используются очень редко, но на них может быть написан вирус, который не распознает ваша антивирусная защита.);
4
-не устанавливайте на компьютер сомнительные программы;
-не устанавливайте на компьютер программы из сомнительных источников;
-делайте как можно чаще резервные копии важных данных на внешние носители информации;
-разбейте ваш жесткий диск на логические диски, чтобы операционная система была отдельно размещена от важной информации и документов пользователей;
Задания
Пользуясь руководством, пользователя антивируса Dr.Web, письменно ответьте на следующие вопросы:
1.Какие объекты проверяет сканер Dr.Web?
2.Что проверяет сканер в режиме быстрой проверки?
3.Что проверяет сканер в режиме полной проверки?
4.Что проверяет сканер в режиме выборочной
проверки?
5.Какие действия возможны при обнаружении угроз и в чем они состоят?
6.Где хранится подробный отчет о работе программы?
7.Какое действие считается оптимальной реакцией на обнаружение угроз?
8.Какая команда запускает консольный сканер?
9.Перечислите пункты основных настроек.
10.С какой целью создается Зеркало обновлений?
11.Как организовать удаленное управление антивирусной защитой компьютеров, включенных в локальную сеть?
5
Контрольн ые вопросы
1.Какие ограничения существуют на действия при обнаружении угроз?
2.Назовите разделы настройки сканера.
3.В чем отличие консольного сканера от сканера безопасности?
4.В чем заключаются функции самозащиты антивирусного средства?
5.Что такое дампы памяти?
6
Тема 3. СБОР ДАННЫХ ОБ ИНФОРМАЦИОННОЙ СИСТЕМЕ С ПОМОЩЬЮ СРЕДСТВ АДМИНИСТРИРОВАНИЯ ОПЕРАЦИОННОЙ СИСТЕМЫ
Цель: получение навыков сбора данных об установленных на компьютерах операционных системах и предоставляемых в общий доступ файловых ресурсах.
Теоретические сведения
Рассмотрим возможность сбора данных об установленных на компьютере операционных системах на примере предоставляемых средств ОС Windows [6]. Для проведения оценки рисков необходимо провести инвентаризацию активов информационной системы (ИС) [7]. Если в ИС используются домены Windows [8], то для получения данных о системе можно использовать средства администрирования, реализованные в виде оснасток консоли администрирования.
Для ресурсов и выбранных пользователей действуют правила:
o эффективное (действующее) разрешение складывается из разрешений для пользователя лично и разрешений всех групп, в которые пользователь входит;
o запрещение имеет больший приоритет, чем разрешение;
oпри комбинации разрешений для общего ресурса с разрешениями NTFS, приоритетными будут разрешения, максимально ограничивающие доступ.
Основные оснастки, необходимые для системного администратора, перечислены в таблице ниже.
7
Оснастки администрирования
|
Название оснастки |
|
Имя оснастки |
|||
Active Directory Пользователи и компьютеры |
dsa.msc |
|||||
(AD Users and Computers) |
|
|
|
|
||
Диспетчер служб терминалов (Terminal Services |
tsadmm.msc |
|||||
Manager) |
|
|
|
|
|
|
Управление |
компьютером |
(Computer |
compmgmt.msc |
|||
Management) |
|
|
|
|
|
|
Консоль управления GPO (Group Policy |
gpmc.msc |
|||||
Management Console) |
|
|
|
|
||
Редактор объектов локальной политики (Group |
gpedit.msc |
|||||
Policy Object Editor) |
|
|
|
|
||
Результирующая |
политика |
(результат |
rsop.msc |
|||
применения политик) |
|
|
|
|
||
Локальные параметры безопасности |
|
secpol.msc |
||||
Настройка |
терминального |
сервера |
(TS |
tscc.msc |
||
Configuration) |
|
|
|
|
|
|
Маршрутизация и удаленый доступ (Routing |
rrasmgmt.msc |
|||||
and Remote Access) |
|
|
|
|
||
Службы (Services) |
|
|
|
services.msc |
||
Общие папки (Shared Folders) |
|
|
fsmgmt.msc |
|||
Диспетчер устройств (Device Manager) |
|
devmgmt.msc |
||||
Локальные пользователи и группы (Local users |
lusrmgr.msc |
|||||
and Groups) |
|
|
|
|
|
|
Локальная |
политика |
безопасности |
(LocaI |
secpol.msc |
||
Security Settings) |
|
|
|
|
|
|
Управление дисками (Disk Management) |
|
diskmgmt.msc |
||||
Active Directory Домены и Доверие (АD |
domain.msc |
|||||
Domains and Trusts) |
|
|
|
|
||
Active Directory Сайты и Доверие (AD Sites and |
dssite.msc |
|||||
Trusts) |
|
|
|
|
|
|
Политика безопасности домена (Domain |
dompol.msc |
|||||
Secunty Settings) |
|
|
|
|
|
|
Политика |
безопасности |
контроллера |
домена |
dcpol.msc |
||
(DC Security Settings) |
|
|
|
|
||
Распределенная |
файловая |
система |
DFS |
dfsgui.msc |
||
(Distributed File Syslem) |
|
|
|
|
||
8