Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfПросмотр событий
Консоль Действие Вид Справка
©Iв nf 0 & d? в
:ПросмоТр~боб^ітий (локальных)
|
Ч| Безопасность |
Дата |
Время |
сточник |
|
|
|
йомле... 24.05.2 |
19:38:52 |
СОМ+ |
|
||
|
Система |
|
(11 |
|||
Просмотр событий |
|
|
|
|
(11 |
|
|
|
|
|
(11 |
||
Консоль |
Действие Вид |
Справка |
|
|
|
|
|
|
|
От |
|||
«- |
© Д gg* 0 |
ш Ш I |
|
|
|
От |
|
|
|
От |
|||
|
|
|
|
|
|
|
Iffj Просмотр событий (локальных) |
|
|
|
От |
||
N1 Приложение |
|
|
|
|
О т - |
И! Безопасность |
Тип |
Дата |
Время |
Источник |
|||
чрУведомле... |
16.08.2008 |
13 21:57 |
Service Control Manager |
||||
|
|||||||
у|] Internet Explorer |
|
Ошибка |
16.08.2008 |
11 |
46:29 |
disk |
|
|
ф |
Ошибка |
16.08.2008 |
И |
42:15 |
ntfs |
|
|
О |
Ошибка |
16.08.2008 |
11 |
42:14 |
ntfs |
|
|
чуУведомле... |
16.08.2008 |
И |
39:01 |
Service Control Manager' |
||
|
г^рУведомле... |
16.08.2008 |
11 |
38:51 |
Service Control Manager |
||
|
ф уведом ле... |
16.08.2008 |
11 |
38:50 |
Service Control Manager |
||
|
ч$)Уведомле... 16.08.2008 |
и |
38:46 |
Service Control Manager |
|||
|
|
__ |
1 е.по ъппа |
11 'Зй-аА |
Qdrvu-o Cr»r>Hrrvl Mananor |
Рис. 3.5. Журнал событий:
1 — события в приложениях; 2 — системные события
•изменения в политике безопасности;
•системные события;
•запуск и завершение процессов.
Для каждого класса событий могут регистрироваться:
•успешные события;
•неуспешные (при выполнении операции произошла ошиб
ка, в том числе отказ в доступе);
•как те, так и другие.
ВWindows считаются опасными следующие привилегии пользователей:
•получать оповещения от файловой системы;
•добавлять записи в журнал аудита;
•создавать маркеры доступа;
•назначать маркеры доступа процессам;
•создавать резервные копии информации, хранящейся на жестких дисках;
•восстанавливать информацию на жестких дисках с резерв ных копий;
•отлаживать программы.
Локальная политика безопасности
Оснастка Локальная политика безопасности применяется для прямого изменения политик учетных записей и локальных политик, политик открытого ключа, а также политик безопасно сти IP локального компьютера (см. рис. 3.3).
Политики учетных записей. Все политики безопасности явля ются политиками безопасности для компьютера. Политики учет ных записей определяются на компьютерах и определяют взаи модействие учетных записей с компьютером и доменом. Суще ствуют три политики учетных записей:
• Политика паролей. Используется для учетных записей до менов и локальных компьютеров. Определяет параметры паролей, такие как соответствие обязательным условиям и срок действия;
• Политика блокировки учетной записи. Используется для учетных записей доменов и локальных компьютеров. Определяет условия и период времени блокировки учетной записи;
• Политика Kerberos. Используется для учетных записей пользователей домена. Определяет параметры Kerberos, та кие как срок жизни билета и соответствие обязательным условиям. Политики Kerberos не входят в состав политики локального компьютера.
Для учетных записей доменов допускается использование только одной политики учетных записей. Политика учетных за писей должна быть определена в политике домена по умолча нию и реализовываться контроллерами домена, образующими этот домен. Контроллер домена всегда получает политику учет ных записей от объекта групповой политики «Политика по умолчанию для домена», даже если имеется другая политика учетных записей, примененная к организационному подразделе нию, которое содержит контроллер домена.
Присоединенные к домену рабочие станции и серверы (та кие как компьютеры-участники) по умолчанию также получают эту же политику учетных записей для локальный учетных запи сей. Однако локальные политики учетных записей могут отли чаться от политики учетных записей домена, например когда политика учетных записей определяется непосредственно для локальных учетных записей.
Локальные политики. Эта группа политик применяется на компьютерах. В ее состав входят три представленные далее по литики:
• Политики аудита. Определяет, какие события безопас ности заносятся в журнал безопасности данного компью тера. Также определяет, заносить ли в журнал безопасно сти успешные попытки, неудачные попытки или и те,
и другие;
•Назначение прав пользователя. Определяет, какие
пользователи и группы обладают правами на вход в систе му и выполнение различных задач;
• Параметры безопасности. Включение или отключение параметров безопасности, таких как цифровая подпись данных, имена учетных записей администратора и гостя, доступ к дисководам гибких и компакт-дисков, установка драйверов и приглашения на вход в систему.
Поскольку возможно применение к компьютеру несколько политик, может возникнуть конфликт между параметрами без опасности. Приоритет имеют политики следующих объектов в указанном порядке: подразделение, домен, локальный компь ютер.
Другие направления повышения безопасности систем
Обеспечение надежного бесперебойного доступа к данным и приложениям. Операционные системы Windows XP/Server 2003 включают следующие компоненты, обеспечивающие высокий уровень надежности работы системы и приложений, а также доступности данных:
•служба теневого копирования;
•увеличение устойчивости к атакам и выводу системы из строя;
•система своевременного обновления;
•средства анализа безопасности системы.
С л у жб а т е н е в о г о к о п и р о в а н и я — механизм, входя щий в состав файловых служб, который создает «мгновенные снимки» состояния томов, обеспечивая архивацию файлов. Дан ная технология позволяет пользователю быстро восстанавливать удаленные файлы или старые версии файлов.
Служба теневого копирования реализуется только на томах NTFS-формата. Она позволяет создавать копии томов по распи санию. При очередном создании копии служба теневого копиро вания записывает на диск не полную копию, а только измене ния, произошедшие после предыдущего копирования, тем са мым экономя место на диске.
У в е л и ч е н и е у с т о й ч и в о с т и к а т а к а м и в ы в о д у с и с т е м ы из строя. В 2002 г. корпорацией Microsoft была проведена интенсивная проверка кода Windows и других прило жений компании на предмет безопасности. Качество программ ного кода возросло за счет устранения стандартных ошибок, приводящих систему к уязвимости. Эти меры позволили суще ственно повысить безопасность системы Windows Server 2003.
С и с те м а с в о е в р е м е н н о г о обновления . Для обеспе чения безопасности сетевой инфраструктуры и отдельных рабо чих мест необходимо устанавливать обновления раньше, чем поя вятся программы, использующие бреши в защите. Система свое временного обновления программного обеспечения обеспечивает быструю установку обновлений и исправлений для обнаружен ных уязвимостей. Система состоит из двух основных служб:
• windows Update — самостоятельная клиентская система установки обновлений, которая использует Web-сайт Windows Update для ручной загрузки пакетов обновлений и оперативных исправлений;
• Software Update Services (SUS) — средство для авто матических обновлений (Automatic Updates), позволяющее использовать сервер Windows Update в локальной сети. SUS предоставляет следующие возможности:
—точно задавать, какие обновления доступны пользова телям;
—максимально и централизованно использовать обновле ния на клиентских машинах;
—сводить к минимуму использование сети Internet для установки обновлений на компьютеры пользователей.
С р е д с т в а а н а л и з а б е з о п а с н о с т и сис те мы. Важ нейшим элементом обеспечения безопасной работы системы яв ляется наличие самых свежих обновлений. Microsoft Baseline Security Analyzer (MBSA) позволяет домашнему и корпоративно му пользователю или администратору сканировать один или бо лее компьютеров с операционной системой Windows на предмет обнаружения основных уязвимостей. MBSA обеспечивает подоб
ную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, содержащей информацию об об новлениях.
Защита от вирусов, спама и внешних атак. В сфере информа ционной безопасности наиболее актуальны проблемы спама, ог раничения доступа к нежелательным сетевым ресурсам и защита от вирусов. Эффективная система информационной безопасно сти должна базироваться только на комплексном решении, что обеспечивает совместное использование Windows Server 2003, Windows ХР Professional, Office 2003 и ISA Server 2000.
Объединение этих систем в единую инфраструктуру обеспе чивает следующие защитные функции:
•межсетевой экран ISA Server 2000;
•усиленные политики безопасности рабочих станций;
•брандмауэр;
•управление доступом в Internet из корпоративной сети;
•безопасность Web-cepeepa.
М е ж с е т е в о й э к р а н ISA S e r v e r 2 0 0 0 . ISA Server 2000 обеспечивает безопасные высокоскоростные соединения с Internet, защищая сетевую инфраструктуру от несанкциониро ванного доступа, попыток взлома, атак злоумышленников и пре дотвращает несанкционированное использование Internet со трудниками. ISA Server 2000 — это межсетевой экран (Firewall), работающий на трех уровнях: сетевом, транспортном и уровне приложений. Он обеспечивает следующие возможности:
•контроль состояния соединений;
•обнаружение вторжений;
•усиление защиты системы;
•интеллектуальные фильтры приложений;
•увеличивает пропускную способность Internet-соединений благодаря кэшированию часто посещаемых Web-сайтов;
•эффективное масштабирование.
Администраторы могут легко задавать правила использова ния Internet, применяя фильтрацию адресов URL, антивирусную проверку, балансировку нагрузки на Internet-соединение, созда вать фильтры для перехвата, анализа и изменения данных, соз давать детализированные отчеты проходящего трафика.
Ус и л е н н ы е п о л итик и б е з о п а с н о с т и р а б о ч и х с т а н ц и й . В состав операционной системы Windows ХР вклю чены специальные шаблоны групповых политик безопасности. В этих шаблонах представлены настройки для низкого, среднего
и высокого уровней безопасности. Политики ограниченного ис пользования программ позволяют администратору предотвра тить исполнение нежелательных приложений, в том числе виру сов, «троянцев» и приложений, после установки которых возни кают конфликты в работе системы.
Б р а н д м а у э р Wi ndows ХР. Межсетевой экран (бранд мауэр) Internet Connection Firewall (ICF) обеспечивает защиту настольных и переносных компьютеров при подключении к Internet, особенно при постоянном подключении. Особенностью ICF является возможность применения групповой политики, учитывающей местонахождение компьютера. Хотя брандмауэр является автономным, его можно использовать при общем под ключении Internet с целью защиты локальной сети. Он блокиру ет все несанкционированные подключения, поступающие через Internet-соединение. Для этой цели в брандмауэре ICF примене на NAT-таблица потоков с проверкой входящего трафика на со ответствие записям в этой таблице.
Уп р а в л е н и е д о с т у п о м в I n t e r n e t из к о р п о р а ти в н о й с е ти . Обозреватель Internet Explorer является средст вом доступа в Internet. Он поддерживает следующие зоны и уровни безопасности, что предоставляет пользователям возмож ность управлять загрузкой информации и элементов управления из каждой зоны:
• з о н а м е с т н о й и н т р а с е т и . В эту зону входят все сете вые подключения, установленные с использованием пути, не содержащем точку (например http: /Microsoft). По умолчанию для этой зоны установлен уровень безопасности «ниже среднего»;
• з о н а н а д е ж н ы х уз лов . В эту зону входят Web-узлы, занесенные пользователем в список надежных узлов, на пример расположенные в интрасети организации или под держиваемые солидными компаниями. Для этой зоны уста новлен низкий уровень безопасности;
• з о н а о г р а н и ч е н н ы х уз лов . К этой зоне относятся узлы, не принадлежащие к числу надежных. Ни один узел не включен в эту зону по умолчанию, для этой зоны уста новлен высокий уровень безопасности;
•з о н а I n t e r n e t . В эту зону входят все узлы, не включен ные в остальные зоны.
Описанные выше средства безопасности помогают защитить пользователей от многих видов атак. Объекты групповой поли
тики и пользовательские параметры, применяемые в Internet Explorer, позволяют администраторам сети настроить безопас ность каждой зоны.
В ы с о к а я б е з о п а с н о с т ь We b - c e p e e p a . Полнофунк циональный Web-cepeep нового поколения Internet Information Services (IIS) 6.0 является частью операционной системы Win dows Server 2003 и обладает достаточной надежностью, эффек тивностью и управляемостью. Средства IIS, в том числе IIS LockDown, эффективно защищают сервер от атак. По умолча нию IIS 6.0 выполняется с минимальными привилегиями, что снижает риск его использования в качестве инструмента для ве роятных несанкционированных действий.
Internet Information Services способен осуществлять изоля цию пользователей ҒТР-сайтов путем выделения им отдельных каталогов, без возможности перехода на более высокий уровень структуры каталогов. Это позволяет избежать несанкциониро ванного доступа к файлам и документам других пользователей ҒТР-серверов.
К о н т р о л ь у д а л е н н о г о доступа . Управление контро лем удаленного доступа осуществляется через групповую поли тику удаленного доступа. Рекомендуется ограничить удаленный доступ определенных групп пользователей к общим сетевым ре сурсам, например, отключить доступ для анонимных пользовате лей (anonymous), гостевой доступ (guest) и доступ для всех
(everyone).
Использование Web-папок. Использование Web-папок для просмотра и переноса на Web-сервер файлов, папок и другой информации дает возможность более безопасной работы на ком пьютере.
При использовании Web-папок перенос информации осуще ствляется путем сетевого подключения к удаленному Web-cepBe- ру, но с помощью протокола Secure Sockets Layer (SSL), обеспе чивающего защиту информации во время передачи. Чтобы ис пользовать SSL для Web-папок, убедитесь, что Web-cepeep также поддерживает SSL*
Web-папки также поддерживают проверку подлинности Windows (метод, позволяющий проверить удостоверение пользо
*Если Web-cepeep поддерживает протокол SSL, URL-адрес этого
сервера начинается с h t t p s : / / вместо h t t p : / /
вателя), что помогает защитить пароль при входе на Web-cepeep (также поддерживающий проверку подлинности Windows).
При передаче файлов с помощью Web-папок рекомендуется включить брандмауэр Windows.
Защита файлов Windows. В версиях Windows, предшествую щих Windows 2000, установка дополнительного программного обеспечения операционной системы может привести к переза писи общих системных файлов, таких как библиотеки динами ческой компоновки (.dll) и исполняемые файлы (.ехе). Это вызывало непредсказуемые изменения системной производи тельности, нестабильную работу программ и сбои операционной системы.
Защита файлов в Windows 2000 и Windows ХР предотвращает замещение защищенных системных файлов, таких как файлы sys, dll, осх, ttf, fon и ехе. Защита файлов Windows выпол няется в фоновом режиме и защищает все файлы, установлен ные программой установки Windows.
Защита файлов Windows определяет попытки других про грамм заменить или переместить защищенные системные фай лы. Защита файлов Windows проверяет цифровую подпись фай ла, чтобы определить правильность версии нового файла корпо рации Майкрософт. Если версия файла является неправильной, защита файлов Windows заменяет файл либо из архива, храняще гося в папке Dllcache, либо с компакт-диска Windows. Если со ответствующий файл найти не удается, предлагается ввести его местоположение. Также в журнал событий заносится запись о попытке замены файла.
По умолчанию защита файлов Windows всегда включена и разрешает замену существующих файлов файлами Windows с цифровой подписью. В настоящее время подписанные файлы распространяются следующими способами:
•в пакетах обновления Windows;
•в пакетах исправлений;
•в составе обновлений операционной системы;
•в обновлениях, полученных с помощью средства Windows Update;
•устанавливаются диспетчером устройств и установщиком классов Windows.
Использование программы проверки подписи файла. Иногда при установке на компьютере новых программ системные файлы и файлы драйверов устройств заменяются несовместимыми вер
сиями или версиями, не имеющими цифровой подписи, что приводит к нестабильной работе системы. Системные файлы и файлы драйверов устройств, поставляемые с Windows ХР, имеют цифровую подпись корпорации Майкрософт, наличие которой указывает, что это оригинальные неизмененные системные фай лы либо что они были одобрены корпорацией Майкрософт для использования в Windows. С помощью программы проверки подписи файла можно находить на компьютере неподписанные файлы и получать следующие сведения о них: имя файла; место положение файла; дату изменения файла; тип файла; номер вер сии файла (рис. 3.6).
С целью обеспечения целостности системных Файлов они п о д п и сав цифровой подписью. Это обеспечивает возможность немедленного обнаружения изменений.
Для изменения параметров проверки нажмите кнопку "Дополнительно” Для начала поиска системных Файлов, не
содержащих цифровой подписи, нажмите кнопку "Начать"
[ Начать ] j |
Закрыть |
j [ Дополнительно [ |
Рис. 3.6. Окно Проверка |
п о д п и с и |
файла |
Чтобы запустить программу проверки подписи файла, сле дует выбрать Пуск\Выполнить, ввести sigverif и нажать кнопку ок.
3 .2 . Обеспечение безопасности в приложениях MS Word и Excel
Защита информации встроенными методами прикладных программ (на примере некоторых компонент MS Office) осуще ствляется в следующих направлениях:
•разграничение доступа к данным;
•криптографическое закрытие;
•борьба с вирусами (макровирусами).
Разграничение доступа
Предусматривается разграничение доступа на двух уровнях:
•уровень файла в целом (книги Excel или документа Word);
•уровень его компонент (листа и пр.).
Защита файла от просмотра и редактирования. Для защиты файла в целом может быть использована защита паролем. Круг пользователей, имеющих возможность открывать файл и ис пользовать содержащиеся в нем данные, можно ограничить, ус тановив пароль на просмотр файла или сохранение внесенных изменений. Можно установить два отдельных пароля, один из которых необходимо будет вводить для открытия и просмотра файла, а другой — для внесения изменений в файл и их сохране ния. Свойства паролей MS Office:
•пароль может включать в себя буквы, цифры и специаль ные символы;
•длина пароля не может быть более 255 символов;
•при указании пароля учитывают точное написание слова и различают строчные и прописные буквы;
•пароль не будет отображен в окне диалога. Вместо каждого символа пароля в окне диалога будет отображен символ подстановки (звездочка);
•при задании пароля всегда появляется второе окно диало га, в котором пароль следует повторить. Пароль восприни мается системой только, если в обоих окнах он введен оди наково.
Сэтой целью можно выполнить следующие действия:
•перейти по меню Сервис\Параметры\Безопасность
(рис. 3.7);
•выполнить одно или оба следующих действия:
—если требуется, чтобы пользователи вводили пароль для возможности просмотра, ввести пароль в поле Пароль для открытия и нажать кнопку ок;
—если требуется, чтобы пользователи вводили пароль для
возможности сохранения изменений, ввести пароль в
поле Пароль разрешения записи и нажать кнопку ОК;
•по запросу ввести пароль еще раз для подтверждения и на жать кнопку Сохранить.
Снять установленную с помощью пароля защиту в дальней шем можно только в случае, если пароль известен. Необходимо открыть файл (рис. 3.8), выбрать команду ФайлХСохранить как.