Методическое пособие 349
.pdf
Рис. 14. Конфигурация пользователей
Контрольные вопросы :
1)В чем заключается задача контроллера домена?
2)Назовите два варианта добавления пользователей
вгрупповую политику безопасности?
3)Как выполнить переход в редактирования групповой политики безопасности?
19
Практическая работа №3 Создание центра сертификации в сети ЭВМ
Цель практической работы заключается в исследовании центра сертификации на основе электронной цифровой подписи.
Задачи практической работы:
изучить свойства центра сертификации;
создать электронную цифровую подпись;
исследовать алгоритмов шифрования и электронного документооборота.
Теоретические сведения
Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.
Задание на практическ ую работ у
Все действия по установке и настройке центра сертификации необходимо проводить под учетной запись локального Администратора. Через панель управления откройте оснастку «Установка удаление программ» и выберете с левой стороны пункт «Установка компонентов Windows». В отрывшемся мастере компонентов Windows отметьте компонент «Службы сертификации». Она состоит из двух компонентов, это «Служба подачи заявок на сертификат через
20
Интернет» и «ЦС служб сертификации». Кстати, перед установкой центра сертификации должна быть установлена служба IIS, которая является WEB сервером для службы подачи заявок на сертификат через Интернет (рис. 15).
Рис. 15. Выбор компонента Windows
Стоит отметить, что после установки центра сертификации, изменить имя компьютера и принадлежность его к домену будет уже невозможно, т.к. имя компьютера будет привязано к данному центру сертификации и при изменении его могут перестать быть доступны сертификаты пользователей. Потому прежде чем продолжить обязательно продумайте имя компьютера и домен, в который будет включен ваш центр сертификации. При нажатии кнопки далее откроется окно настройки центра сертификации и будет предложен выбор одного из четырех вариантов установки центра сертификации (рис. 16).
21
Рис. 16. Выбор типа центра сертификации
В данном окне можно выбрать либо корневой, либо подчиненный центр сертификации. Можно создавать целую иерархию центров сертификации, т.е. несколько центром будут подчиняться центральному (корневому) центру сертификации. Причем сертификаты одного подчиненного центра будут доступны другому, т.е. пользователь получивший сертификат от одного подчиненного центра сертификации и подписавший электронный документ, сможет переслать его другому пользователю, получившему сертификат из другого подчиненного центра сертификации, и этот другой пользователь сможет без труда его проверить. Такая схема построения сети удостоверяющих центров имеет смысл, если у вас есть несколько крупных филиалов, разнесенных по разным городам, и чтобы не загружать каналы передачи данных и ускорить выдачу сертификатов пользователям, в каждом филиале можно поднять подчиненный центр сертификации, который будут подчиняться корневому, расположенному в головном офисе. Изолированный центр сертификации отличается от центра сертификации предприятия тем, что изолированный центр
22
сертификации работает в ручном режиме, а центр сертификации предприятия выдает сертификаты пользователям домена автоматически. В ручном режиме (изолированный центр сертификации) выдача сертификатов имеет смысл, если вы собираетесь использовать сертификаты для электронного документооборота и использования электронной цифровой подписи. Также в мастере установки можно отметить галочкой пункт «Измененные параметры создания пары ключей и сертификата центра сертификации» если вы, например, используете стороннего криптопровайдера (помимо встроенного в операционную систему), или нестандартные алгоритмы криптографического преобразования.
В следующем окне настройки и установки центра сертификации, если вы установили галочку на параметре «Измененные параметры создания пары ключей и сертификата центра сертификации» можно выбрать поставщика CSP
(CryptographyServiceProvider – поставщик криптопровайдера или криптографического алгоритма), алгоритм создания хеша и размер ключа. По каждому возможному криптопровайдеру и алгоритму хеширования можно найти довольно много описания в сети Интернет, но в основные отличия у них могут быть, например, в скорости работы. Также в данном окне можно импортировать уже созданный закрытый ключ, например, если вы поднимаете подчиненный центр сертификации для которого сертификат выпущен корневым центром сертификации (рис. 17).
23
Рис. 17. Выбор алгоритма шифрования
Контрольные вопросы :
1)В чем заключается задача центра сертификации?
2)Как технически реализован центр сертификации?
24
Практическая работа №4 Централизованный контроль подключения USB носителей
с помощью групповых политик домена
Цель практической работы заключается в исследовании центра сертификации на основе электронной цифровой подписи.
Задачи практической работы:
изучить угрозы нарушения конфиденциальности информации;
исследовать службы контроля WindowsServer;
исследовать настройку политики безопасности.
Теоретические сведения
Основной угрозой информационной безопасности, как известно, являются внутренние нарушители. Это, прежде всего, сотрудники организации. Они имеют непосредственный доступ к конфиденциальной информации. Одним из основных каналов утечки конфиденциальной информации с помощью внутренних нарушителей является хранение и перенос той самой конфиденциальной информации с использованием съемных носителей информации (USB, CD). Сотрудники организации могут, например, записывать на съемные носители информации, некую информацию для работы дома, передачи другим сотрудникам или контрагентам. Естественно, существуют риски утери данного носителя информации, а вследствие и нарушения ее конфиденциальности. Кроме того, пользователь может и умышленно скопировать на съемный носитель конфиденциальную информацию, с цель продажи или передачи ее конкурентам. В связи с вышесказанным встает проблема ограничения использования пользователями, которые обрабатывают конфиденциальную информацию, съемных носителей информации. Решения этой проблемы может быть, как и коммерческим, например продукты
25
мировых производителей средств защиты информации Cisco, Касперский, DeviceLock и т.п. позволяют не только блокировать доступ к съемным носителям информации, но и контролировать работу на них с файлами, разрешать использовать только зарегистрированные носители информации, вести централизованный учет использования внешних носителей. В качестве альтернативного решения можно отключить все USB порты в BIOS, но при этом невозможно будет воспользоваться принтером или сканером, или можно воспользоваться встроенными средствами самой операционной системы MS Windows, а в качестве централизованного управления использованием съемных носителей информации можно использовать групповую политику домена.
Задание на практическ ую работ у
За работу со всеми устройствами компьютера в операционной системе MS Windows отвечают службы операционной системы. Если служба запущена, то и устройство будет работать. Если запретить запуск службы, то данное устройство никак не появится в системе. За режим запуска служб отвечают ветки реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services.
Например, за работу USB накопителей отвечает служба
«USBSTOR» (HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR);
за использование CD дисков, соответственно, «Cdrom»
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Cdrom);
за дискеты – «Flpydisk» (HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\Services\Flpydisk).
В настройках данных служб есть такой параметр, который отвечает за режим запуска служб (Start). Установка
26
этого параметра в значение 4 запрещает запуск службы, а значение от 0 до 3 разрешает запуск.
Для централизованного управления данным параметром с использованием групповой политики домена необходимо создать дополнительный административный шаблон и добавить его к оснастке управления групповой политикой. Затем откройте оснастку управления групповыми политиками GPMC и создайте новую групповую политику на организационном юните в котором находятся компьютеры пользователей. Эта политика должна применяться к компьютерам, т.к. эти ветки реестра относятся к настройкам компьютера, а не пользователей. Следовательно, после применения политики к компьютеру, на данном компьютере ни один пользователь не сможет воспользоваться съемными носителями, даже администратор.
Далее в редакторе вновь созданной групповой политики щелкните правой кнопкой мышки на ветке «Административные шаблоны» и выберете в открывшемся меню «Добавление и удаление шаблонов» (рис. 18).
Рис. 18. Настройка управления шаблонами безопасности
27
В открывшемся окне нажмите кнопку «Добавить» и выберете созданный файл stor.adm.По умолчанию в редакторе групповой политики включена фильтрация параметров политики и вновь добавленные параметры не отобразятся в соответствующих ветках. Для отключения фильтрации выберете пункт меню «Вид» и «Фильтрация…» (рис. 19).
Рис. 19. Редактор объектов групповой политики
В открывшемся окне снимите галочки со всех параметров. После этого в настройках групповой политики компьютера появятся соответствующие параметры. Для отключения использования любого из устройств достаточно включить данный параметр групповой политики и выбрать режим его работы «Disabled» или «Enabled». Если будет выбрано «Enabled» то использование данных внешних носителей информации блокируется.
Соответственно после загрузки компьютера и применения на нем данной групповой политики будет невозможно подключение заблокированного устройства и в реестре на данном компьютере произойдут соответствующие изменения (рис. 20).
28