МИНИСТЕРСТВО связи и МАССОВЫх КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

государственное образовательное учреждение

высшего профессионального образования

«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»

Факультет Информационных систем и технологий

Кафедра Информационных управляющих систем

ОТЧЕТ

ЗАЩИЩЕН С ОЦЕНКОЙ

ПРЕПОДАВАТЕЛЬ

проф., д.т.н.				Н.Н. Мошак
должность, уч. степень, звание		подпись, дата		инициалы, фамилия
ЛАБОРАТОРНАЯ РАБОТА № 2
«ГРУППОВЫЕЫЕ ПОЛИТИКИ БЕЗОПАСНОСТИ АРМ»
по курсу: Безопасность информационных технологий и систем

РАБОТУ ВЫПОЛНИЛ(А)

СТУДЕНТ(КА) ГР.	ИСТ-012				Ольховский И.А.
			подпись, дата		инициалы, фамилия

Санкт-Петербург

2022

1. Цель работы

Цель – изучить редактор локальной групповой политики и научиться настраивать групповые политики безопасности на автономном автоматизированном рабочем месте (АРМ) пользователя с установленной на нем операционной системой Windows для защиты информации от несанкционированного доступа (НСД).

Используемое программное обеспечение: операционная система Windows XP.Вариант №14

При настройке политик безопасности будут учитываться требования ИБ, предъявляемые соответствующим типами ИС (ИСПДн-С и 1Д).

Требования к классу защищенности 1Д:

Подсистема управления доступом:

должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки входа: успешная или неуспешная - несанкционированная; - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку); - учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).

Подсистема обеспечения целостности:

должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом: - целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; - целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации; - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время; - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД; - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

2. Ход работы

2.1) Узел “Конфигурация Windows”

Поскольку АРМ расположено в «закрытом» контуре, напишем скрипт, который будет выводить на экран и в файл С:\CountFiles.csv информацию о том, сколько содержит файлов каждая папка и подпапки в директории С:\, а также размер этих папок и подпапок.

Сравнение количества файлов при выходе из системы «сегодня» и количества файлов на входе в систему «завтра» позволяет проверить, не были ли внесены какие-то изменения в файловую систему за время отсутствия пользователя, т.е. не получил ли некий злоумышленник доступа к АРМ и не внес ли в него изменения.

В процессе выполнения данного этапа задания были настроены сценарии, которые будут выполняться при автозапуске и завершении работы Windows. Данные скрипты занимаются подсчетом количества файлов и папок в директории С:\, и потом выводят эту информацию в специально созданный для этого файл.

Поскольку АРМ расположено в «закрытом» контуре, то в целях повышения безопасности пользователям не следует выходить в сеть Internet. Поэтому в соответствии с этой политикой запрещаются все запросы пользователя и разрешено только отправлять ответы (серверам предприятия).

При обращении к серверу вначале передается запрос безопасности

Также в целях повышения безопасности для всех видов трафика требуется использование проверки подлинности с помощью протокола Kerberos.

В процессе выполнения данного этапа задания была настроена «Политики безопасности IP на «Локальный компьютер» при учете роли АРМ в предприятии. Даны пояснения применения настроек для каждого пункта политики. Данных настроек должно хватить для обеспечения безопасности АРМ в соответствии с предположением о цели АРМ, указанной в начале задания: данное АРМ представляет ценность для предприятия, системный администратор раз в неделю проверяет состояние АРМ, в целях безопасности пользователям АРМ запрещается выходить в сеть Internet.