2915
.pdf
установленного на нем системного ПО (ОС и СУБД), а также их соответствия установленным стандартам безопасности. Поэтому далее будут рассматриваться программные средства, дополняющие или заменяющее штатные средства безопасности системного ПО в таких сферах, как аутентификация, разграничение доступа к объектам ОС, защита целостности ОС и работа в Интернет. Основной упор при этом будет сделан на СЗИ для Windows 95/98, поскольку данная ОС является самой незащищенной среди используемых в настоящее время.
Наиболее полный набор средств защиты ПК предлагает компания Symantec. Это: комплект системных утилит Norton Utilities, программа создания защищенных папок и логических дисков Norton Your Eayes Only, комплекс обеспечения безопасности при работе в Интернет Norton Internet Security. Кроме решений компании Symantec будут рассмотрены также и другие программы, в том числе и отечественного производства.
16.1. Программы для аутентификации доступа к компьютеру
СЗИ этого класса блокируют штатный (незащищенный) процесс старта ОС W95/98 и заменяют его процессом авторизованного входа в систему. Существует большое количество профессиональных и кустарных разработок для реализации данной функции. Как правило, они блокируют возможность загрузки ОС с системных дискет и CD и навязывают пользователям прохождение процедур идентификации и аутентификации, обойти которые более или менее трудно.
Рассмотрим в качестве примера, одну из наиболее удачных – программу Access Denied. При старте ПК она:
-перехватывает управление процессом загрузки до старта W- 95/98;
-блокирует все варианты загрузки, кроме жесткого диска; -заставляет пользователя ввести имя и пароль и проверяет их
подлинность.
237
Впроцессе работы ПК программа может блокировать доступ
к―Рабочему столу‖ после заданного периода неактивности или по команде и возвращать его по предъявлению пароля.
Администратор программы может:
-создавать и удалять пользователей, менять их пароли; -управлять параметрами начальной загрузки и ―хранителя
экрана‖; -работать с журналами аудита процессов начальной загрузки,
хранителя экрана и администрирования.
Приведем еще два примера подобных программ:
Boot Drive Lock (CrashCourse Software) – программа контроля доступа к жесткому диску. Она модифицирует содержимое первого жесткого диска в системе таким образом, что он становится недоступным при его извлечении и установке на другой компьютер. Boot Drive Lock запрещает
доступ к диску |
при загрузке с дискеты, а также |
||
несанкционированное |
изменение |
процесса |
загрузки |
(загрузочных файлов DOS или Windows 95/98). Поэтому доступ к диску (или расположенным на нем логическим устройствам) возможен только при стандартной загрузке, либо с использованием специальной загрузочной дискеты, защищенной паролем. Boot Drive Lock следит за изменениями содержимого MBR во время загрузки и сообщает об изменениях контрольной суммы. Эта функция позволяет предотвратить заражение компьютера бутовыми вирусами. Программа управляется через Control Panel и не требует каких-либо аппаратных изменений или настроек на уровне
BIOS.
Protector2 (Jan Dolinay) - служит для задания списка пользователей, имеющих доступ к компьютеру, описания их привелегий на доступ к папкам или файлам. Protector2 реализует средства защиты Windows NT для операционных систем Windows 9.х. С помощью этой программы можно также отменять доступ к реестру, окну MS-DOS, элементам Control Panel и т.п. Поддерживается протокол попыток доступа к защищенным ресурсам. Protector2 поставляется в виде двух
238
системных драйверов и одной программы, обеспечивающей пользовательский интерфейс. Во время загрузки, Protector2 проверяет полномочия того или иного пользователя и, в соответствии с ними, предоставляет или запрещает доступ к тем или иным ресурсам компьютера.
16.2. ПО для защиты от НСД ПК и объектов ОС
Данная категория программ обеспечивают дифференцированный доступ пользователей к устройствам ПК и объектам ОС (файлам, папкам, логическим дискам) и решают задачи защиты конфиденциальных информационных ресурсов пользователей, а также несанкционированных записи/считывания информации и активизации исполняемых программ.
К ним можно отнести три класса программ:
-программы для контроля доступа на системном уровне
ОС;
-программы для кодирования (шифрования) объектов
ОС;
-программы для удаления ―хвостов‖, оставшихся после работы программ и осуществления различных операций с файлами.
Программы для контроля доступа на системном уровне
ОС
Данный класс программ позволяет разграничить доступ к устройствам, сервисам и объектам ОС из стандартных интерфейсов путем нестандартного использования ее системных функций. К ним относятся:
Windows Security Officer (Eugene Mihailov) позволяет управлять доступом к различным компонентам компьютера. Используя эту программу можно задавать различные уровни доступа, описывать привелегии, запрещать доступ к некоторым элементам Control Panel, включая Display, Network, Passwords, Printer и System. Можно запретить доступ к меню Start, окну MS-DOS, сделать "невидимыми" жесткие диски, иконки на рабочем столе и т.п. Поддерживаются функции
239
временного доступа (Working Time Restriction) – можно указать когда и как долго можно пользоваться теми или иными сервисами и возможность задания списка программ, которые разрешены для выполнения. Windows Security Officer
обеспечивает контроль доступа к приводу CD-ROM с помощью специальной функции CD-ROM Spy, а также может быть сконфигурирована таким образом, что некоторые окна не могут быть активированы (функция Windows Spy).
CDLock 2000 (Jonathan Lovatt) позволяет установить парольную защиту на привод CD-ROM или DVD-ROM. Среди основных функций: защита различных логических устройств, защита доступа к устройству при загрузке Windows Startup, управление программой из System Tray, мощная парольная защита.
Folder Guard Jr. (WinAbility) - предоставляет функции для ограничения доступа к файлам, расположенным в той или иной папке. После того как для папки выполнена команда Hide, папка становится невидимой в Windows Explorer, диалоговых панелях Open/Save As и других стандартных Windows-приложениях, а также для DOS-программ, запущенных из-под Windows. Для получения доступа к папке выполняется команда Reveal – после этого с файлами, находящимися в данной папке можно выполнять все обычные функции – до тех пор, пока снова не будет выполнена команда Hide. Folder Guard Jr. не шифрует и не изменяет саму папку или находящиеся в ней файлы. Защита выполняется динамически за счет перехвата системных обращений к файловым функциям и отмены тех функций, которые пытаются обратиться к защищенной папке.
Программы для кодирования (шифрования) объектов ОС Данные программы используют для ограничения
доступа к таким объектам ОС, как логические диски, папки и |
|
файлы, |
различные алгоритмы преобразования информации. К |
наиболее распространенным программам этого класса можно |
|
отнести |
различные архиваторы (ZIP, ARJ, RAR) с |
возможностью |
парольной |
защиты |
архивов. |
Из |
|
240 |
|
|
|
специализированных программ для шифрования объектов ОС рассмотрим следующие.
Secret Disk (Alladin Software).
При установке системы Secret Disk образуется новый виртуальный логический диск (один или несколько). Все что на него записывается - автоматически шифруется, а при чтении - расшифровывается. Содержимое этого логического диска находится в специальном контейнере - зашифрованном файле. Файл секретного диска может находиться на жестком диске компьютера, на сервере, на съемных носителях типа Zip, Jaz, CD-ROM или магнитооптике.
Secret Disk обеспечивает защиту данных даже в случае изъятия такого диска или самого компьютера. Использование секретного диска равносильно встраиванию функций шифрования во все запускаемые приложения.
Подключение секретного диска и работа с зашифрованными данными возможны только после аппаратной аутентификации пользователя и ввода пароля. Для аутентификации используется электронный идентификатор - смарткарта, электронный ключ или брелок.
Secret Disk имеет открытый интерфейс для подключения внешних крипто-средств. В зависимости от потребностей, может использоваться один из реализованных алгоритмов. Встроенный алгоритм, входящий в базовую версию, обеспечивает высокую криптостойкость, которой в большинстве случаев хватает для защиты конфиденциальной информации. Для особых задач (например, для защиты информации в государственных организациях) можно пользоваться версией Professional с сертифицированным крипто-модулем (ГОСТ 28147-89) фирмы "АНКАД" - производителя семейства известных плат Криптон, сертифицированных ФАПСИ для защиты государственной тайны.
Основные возможности:
-защита конфиденциальных данных с помощью профессиональных алгоритмов шифрования (возможно подключение внешних криптографических библиотек);
-генерация ключей шифрования самим пользователем;
241
-аппаратная аутентификация пользователя с использованием электронных брелков, смарт-карт, PCMCIA-карт или электронных ключей;
-каждый секретный диск защищен личным электронным идентификатором пользователя и паролем доступа к этому диску;
-предоставление доступа к одному секретному диску
нескольким |
пользователям |
с |
разными |
электронными |
||
идентификаторами и паролями; |
|
|
|
|
||
-ведение журнала обращений к секретному диску; |
|
|||||
-работа с зашифрованными архивами; |
|
|
||||
-резервное |
копирование |
|
файлов-контейнеров |
для |
||
предотвращения случайной потери информации; -функция "Красная кнопка" для мгновенного отключения всех
секретных дисков и стирания памяти электронного идентификатора в случае экстренной необходимости;
-блокировка экрана и клавиатуры при отключении электронного идентификатора, при нажатии заданной комбинации клавиш или длительной неактивности пользователя;
-активизация режима работы под принуждением путем ввода аварийного пароля с дальнейшим уничтожением ключа шифрования в электронном идентификаторе и имитацией сбоя операционной системы.
Norton Your Eyes Only (Symantec).
Основные характеристики:
-Интерфейс пользователя полностью основывается на расширениях к Проводнику Windows 95.
-Можно выбрать алгоритм шифрования с симметричным ключом из RC4, RC5, Triple DES или Blowfish. Секретный ключ зашифровывается на основе открытого.
-Постановка цифровой подписи не обеспечивается. -Автоматизация шифрования и расшифровки файлов -
все файлы, хранящиеся на диске в определенных пользователем каталогах (папках) шифруются при записи и расшифровываются при чтении.
-Аутентификация пользователя при загрузке ОС. |
|
|
-Программа-администратор |
генерирует |
ключи, |
242 |
|
|
поддерживает базы данных пользователей и сертификатов. PTS StrongDisk (PhysTechSoft, Ltd) позволяет располагать
данные на защищенном или вирутальном диске. Защищенный диск (CD-ROM, Jaz, Zip и т.п.) или виртуальный диск функционируют как обычное устройство, но вся информация при записи на них шифруется. PTS StrongDisk поддерживает надежные алгоритмы,
среди которых - Triple DES 112, CAST 128, SAFER 64 и Blowfish 128
для шифрования данных и MD5 и SHA для парольной защиты. На защищенных дисках могут располагаться файлы любого типа – документы, таблицы, базы данных и т.п.
Encryption Plus for Folders Lite (PC Guardian) автоматически шифрует файлы и предохраняет их содержимое от просмотра, копирования и удаления. Для шифрования используется алгоритм Blowfish 56. Помимо поддержки папок на жестком диске, Encryption Plus Folders позволяет шифровать данные на сменных носителях – дискетах, носителях Zip и Jaz.
Программы для удаления ―хвостов‖ информации. Основные функции:
-удаление временных файлов, оставшихся после работы различных программ;
-безвозвратное стирание удаленных файлов; -перезапись проивольной информации в ―свободных‖
дисковых областях.
К программам данного класса относятся:
Norton WipeInfo (Symantec):
- полностью и бесследно удаляет файлы и папки на дисках; -очищает свободное дисковое пространство.
Window Washer — автоматически очищает всю предысторию сеанса работы на компьютере. Можно настроить систему таким образом, что она будет проводить «дезинфекцию» при запуске или выходе из Windows.
BCWipe (Jetico, Inc.) полностью удаляет файлы с жесткого диска, делая невозможным их последующее восстановление. Утилита перезаписывает содержимое файла случайными данными. Она интегрируется в контекстное меню Windows Explorer. Поддерживается одноили семи-проходное
243
Примечание [1]: <!--EndFragment-->
уничтожение информации, соответствующее рекомендациям Министерства Обороны США (DoD 5200.28-STD), возможность уничтожения содержимого свободного пространства для жестком диске, стирание по расписанию и возможность уничтожения swap-файлов Windows.
East-Tec Eraser (EAST Technologies) использует рекомендации Министерства Обороны США (DoD 5200.28STD) и уничтожает содержимое удаленных дисковых файлов. Поддерживается несколько методов уничтожения информации, различающиеся по скорости выполнения и надежности удаления. Программа может использоваться как в пакетном режиме, так и через удобный пользовательский интерфейс. Поддерживаются функции автоматического удаления временных файлов, включая кэш Web-браузера, cookies, список посещавшихся сайтов, список документов и т.п.
East-Tec FormatSecure предотвращает попытки восстановления информации после форматирования диска. Она не только форматирует диск, но и надежно удаляет все предыдущее содержимое диска, делая невозможным его последующее восстановление. Поддерживаются файловые системы FAT12, FAT16, FAT32 и NTFS.
16.3. Программы для защиты целостности ОС
Функции программ данного класса:
-тестирование и восстановление файловой системы; -проверка и исправление ошибок в системных файлах; -резервирование системных и пользовательских файлов; -восстановление удаленной информации.
Наиболее известным и универсальным средством данного класса является комплекс программ ―Norton Utility‖. В него входят программы:
Disk Doctor – осуществляет тестирование и восстановление загрузочного сектора, FAT, структуры каталогов, структуры файлов, нахождение и исправление
244
сбойных цепочек кластеров, а также проверку дисковой поверхности и перенос информации из поврежденных секторов в нормальные.
WinDoctor – находит и исправляет нарушения в системных файлах Windows, ошибки в реестре и другие системные проблемы.
Unerase Wizard – позволяет восстанавливать удаленные файлы.
Image – создает образ системных файлов для их последующего восстановления в случае повреждения или удаления.
Rescue Disk – создает системную дискету, позволяющую восстановить работоспособность ОС.
Registry Tracker – делает ―снимок‖ системных файлов и обеспечивает возможность ―отката‖ к последнему (или произвольному) устойчивому состоянию системы.
Кроме ―NU‖ многофункциональным пакетом является также комплекс ―Nuts&Bolts‖.
Известнотакже множество разнообразных узкоспециализированных утилит, среди которых:
Q-Recovery 2000 (Hyper-Q Software) – утилита,
предназначенная для восстановления критической инфомации в случае системных сбоев. Утилита в предопределенные интервалы времени (функция SmartSave) автоматически сохраняет жизненно важные системные и конфигурационные файлы, включая настройки меню Start, файлы закладок, содержимое почтовых ящиков, а также файлы autoexec.bat, config.sys, config.dos, protocol.ini и ряд других. При возникновении проблем с загрузкой Windows, специальный модуль DOS Restore позволяет быстро восстановить системные файлы. Используя входящий в состав программы "мастер" Rescue Disk Wizard, можно создавать загрузочные флоппи-диски.
Recover98 (LC Technology International, Inc.) - позволяет восстановить удаленные данные, даже если повреждена файловая система. Утилита поддерживает файловые системы
245
FAT12, FAT16, FAT32, FAT32x, NTFS, VFAT, сжатые диски,
зашифрованные диски и т.п. Recover98 позволяет работать с сетевыми устройствами, поддерживая протоколы IPX/SPX и TCP/IP. За счет использования уникальной виртуальной файловой системы (Virtual File System) утилита отображает только удаленные файлы и каталоги, делая более простым нахождение данных.
Revival - позволяет легко восстановить файлы, удаленные из Recycle Bin. Утилита не только восстанавливает данные на уровне кластеров, но и повторно собирает оригинальный файл, позволяя извлекать файлы с дисков с поврежденной файловой системой. Список удаленных файлов содержит имя файла, размер, дату создания, возможные повреждения и вероятность восстановления. Утилита поддерживает файловые системы FAT и NTFS и возможность восстановления данных на сетевых устройствах и через Internet. Совместно с утилитой поставляется специальный сервер Dossrvr, который можно использовать для восстановления устройств, недоступных Windows. Этот сервер использует протокол IPX/SPX.
16.4. Программы для защиты ПК от вторжений из глобальных сетей
Основная задача этих программ - защита от вторжений из глобальных сетей, преследующих цели нарушения работы ПК или несанкционированного получения из него конфиденциальной информации.
К ним относятся:
-ПСБ стандартных броузеров (IE Explorer, Mozilla, Opera...);
-персональные брандмауэры ( ); -антивирусные средства (AVP, Doctor WEB...);
-программы поиска ―шпионов‖ и ―закладок‖(AD-Aware...). Что и от чего следует защищать
Обычно домашний компьютер использует протокол PPP для подключения к Интернет. Такой компьютер подвергается наибольшему риску, так как на нем могут быть запущены
246