"Построение закрытого контура"

В данной лабораторной работе приводится пример реализации задачи построения на учебном стенде системы обеспечения информационной безопасности (закрытого контура) на базе ВМ ARM2, см. рис. 7, с соблюдением ряда заданных защитных мер и требований безопасности (см. ниже). При этом предлагается использовать только механизмы защиты SNS.

Shared

Folder

DC-SNS ServerSNS

ARM1

Рис. 7. Схемапостроения закрытого контура

Предлагается следующий порядок выполнения лабораторной работы:

1.Ознакомьтесь с формулировкой задачи, составом защитных мер и требований к организации закрытого контура (см. ниже). По каждому из перечисленных требований указывается инструмент SecretNetStudio для его реализации, а также пункты лабораторной работы с соответствующим описанием настроек.

2.Попробуйте самостоятельно, без обращения к указанным пунктам с описанием, настроить предлагаемые механизмы защиты в соответствии с приведенными требованиями.

3.Если самостоятельно провести нужные настройки не удалось, перейдите к п. 6.

4.Протестируйте полученный по факту сделанных вами настроек результат на соответствие требованиям защиты.

5.Если в результате сделанных вами настроек все требования защиты соблюдены, ознакомьтесь с описанием лабораторной работы и сравните ваши настройки с предлагаемыми в тексте. Сделайте соответствующие выводы. Выполнение лабораторной работы завершено.

6.Если самостоятельно настроить механизмы защиты SNSв соответствии с заданными требованиями не удалось, выполните лабораторную работу от начала до конца и протестируйте результат.

Задача: обеспечить обработку конфиденциальной информации (например, персональных данных) на одном АРМ (ВМ ARM2) в сети организации при условии неизменности сетевой инфраструктуры. Для этого необходимо изолировать указанную ВМ от основной сети с соблюдением ряда защитных мер и требований безопасности.

Состав мер по обеспечению безопасности с указанием требований для реализации поставленной задачи:

1.Контроль и управление доступом к защищаемым данным. Требования:

обеспечить обработку конфиденциальной информации только на ВМ ARM2 для пользователя закрытого контура user2 –в SNSмеханизмполномочного управления доступом, см. в лабораторной работе пп. 1–3;

запретить возможность авторизации на ВМ ARM2 всем, кроме пользователя закрытого контура (user2), – в SNSмеханизм замкнутой программной среды, см. в лабораторной работе п. 14.

2.Контроль вывода информации за пределы контролируемой зоны (закрытого контура, который в нашем случае ограничивается ВМ ARM2).Требования:

обеспечить невозможность вывода из ARM2 конфиденциальной информации через внешние носители (USB-флеш-накопители) – в SNS механизм контроля устройств с включенным режимом контроля потоков в конфиденциальных сессиях, см. пп. 4–6 и 15–17;

обеспечить невозможность печати на ВМ ARM2 конфиденциальной информации – в SNS механизм контроля печати с включенным режимом контроля потоков вконфиденциальных сессиях, см. пп. 7–8 и 15–17.

3.Контроль запуска программ. Требование:

предоставить пользователю закрытого контура возможность запуска на ARM1 ограниченного набора приложений, например, Проводник, MS Wordpad, MSWord, MSExcel, Корзина – в SNS механизм замкнутой программной среды, см. в лабораторной работе пп. 9–13.

4.Ограничение межсетевого взаимодействия защищаемого АРМ и остальной сети. Требования:

изолировать ВМ ARM2 без возможности доступа к ней по TCPи RDP-протоколам, за исключением каналов взаимодействия с контроллером домена и сервером безопасности SNS,

– в SNS механизм "Межсетевой экран" с настроенными системными правилами, см. в лабораторной работе пп. 18–21;

обеспечить невозможность передачи конфиденциальной информации из ARM2в общедоступные сетевые ресурсы открытого контура – механизм "Межсетевой экран" с настроенным прикладным правилом на протокол SMB, см. в лабораторной работе пп. 20–21.

Описание последовательности выполнения поставленной задачи

1.Для разграничения доступа к конфиденциальной информации в закрытом контуре запустите на ВМ ARM2 программу "Управление пользователями"и измените настройки уровней доступа и привилегий в соответствии с представленной ниже таблицей (доступ к конфиденциальной информации только для пользователя user2).

2.Для хранения на ВМ ARM2 конфиденциальной информации создайте папки:

общедоступную папку "С:\user_files" с максимальными разрешениями (permissions) на уровне ОС Windows;

в папке "user_files" создайте подпапку "Секретно" и установите для нее уровень допуска "секретно". В этой папке создайте файл любого формата, например, MicrosoftWord, с произвольным содержанием.

3.Убедитесь, что к созданному на ВМ ARM2 секретному файлу:

возможен доступ по сети с ВМ ARM1 для пользователя user2;

невозможен ни локальный, ни сетевой доступ для пользователя user1.

На ВМ ARM2 под УЗ dadminsns1 запустите программу "Центр управления".

4.Для последующей локальной установки запрета вывода конфиденциальной информации с ARM2 на USB-флеш-носители убедитесь, что соответствующие групповые политики сервера безопасностиотключены. В программе управления выберите объект СБ, откройте раздел настроек "Контроль устройств" и проверьте, что в таблице "Устройства" отключеныгрупповые политики: "Устройства USB /Устройства хранения" и "Политика устройств включена". В данный момент подключениеUSB-флеш-накопителей на подчиненных серверу безопасности компьютерах разрешено.

Если в групповых политиках были сделаны изменения, примените их для объектов ARM1

и ARM2.

5.Для ARM2 задайте для всех подключаемых USB-флеш-накопителей категорию "Неконфиденциально". В таблице "Устройства" для политики "Устройства USB /Устройства хранения" установите:

в графе "Параметры контроля" удалите отметку из поля "Наследовать настройки контроля от родительского объекта" и установите флажок "Подключение устройства разрешено";

в графе "Параметры доступа" удалите отметку из поля "Для новых устройств использовать настройки категории с родительского объекта" и установитеопцию "Неконфиденциально".

6.Примените сделанные изменения. Теперь, после включения режима контроля потоков, подключение USB-флеш-накопителей будет возможно только в неконфиденциальных сессиях.

7.Для запрета вывода на печать конфиденциальных документов выберите объект СБ и в разделе настроек "Политики /Контроль печати" измените настройки групповой политики "Настройка по умолчанию":

в графе "Категория конфиденциальности" оставьте отметку только для категории "Неконфиденциально";

в графе "Теневое копирование" снимите отметку.

8.Примените сделанные изменения. Теперь, после включения режима контроля потоков, на подключаемых принтерах будет возможно печатать документы только в не конфиденциальныхсессиях.

9.Чтобы установить для пользователя user2авторизацию на ARM1 с возможностью запуска ограниченного набора приложений (Проводник, MS Wordpad, MSWord, MSExcel,Корзина), следует провести на данной ВМ настройку для этого пользователя механизма ЗПС (см. описание лабораторной работы №4 лабораторного модуля №3).

В окне программы "Центр управления" выберите объект ARM1 и на вкладке его настроек раскройте раздел "Политики /Локальная защита / Замкнутая программная среда". Чтобы действие ЗПС не распространялось на доменного пользователя user1, добавьте его с помощью

кнопки "Добавить" в группу привилегированных пользователей, а затем сохраните внесенные в политики изменения, используя кнопку "Применить".