Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfсостоять только из точек (.) и пробелов, а может содержать до 20 символов в верхнем или нижнем регистре, за исключением следующих:
/ \ [ ] I = + < >.
В поля Пароль и Подтверждение может быть введен пароль, содержащий до 127 символов. Однако если компьютер с Windows 2000/ХР используется в сети, к которой подключены компьютеры, работающие под управлением Windows 95/98, не обходимо предусмотреть использование паролей длиной не бо лее 14 символов.
Чтобы удалить учетную запись пользователя, в дереве консо ли следует выбрать узел Пользователи, щелкнуть правой кноп кой мыши по учетной записи пользователя, которую требуется удалить, и выбрать команду Удалить. Удаленную учетную за пись пользователя восстановить невозможно.
Ограничение доступа к ПК. Другими способами защиты ком пьютера являются его блокировка на время отсутствия пользова теля на рабочем месте и настройка экранной заставки, защи щенной паролем. Нажав комбинацию клавиш <ctrl+Alt+Del>, а затем кнопку Блокировка, можно предотвратить доступ поль зователей, не прошедших проверку, на компьютер. Разблокиро вать его сможет только владелец и члены группы администрато ров компьютера. (Для разблокирования компьютера нужно на жать <ctrl+Alt+Del>, ввести пароль, а затем нажать кнопку ок.) Можно также настроить заставку таким образом, чтобы она открывалась и автоматически блокировала компьютер после того, как он простаивал в течение определенного времени.
Чтобы защитить файлы с помощью пароля экранной застав ки, необходимо выбрать Пуск\Панель управления\Экран
(рис. 3.2, /), а на вкладке Заставка — нужную экранную застав ку и установить флажок Защита паролем (рис. 3.2, 2).
Если установить флажок Защита паролем, то при активиза ции экранной заставки компьютер будет блокироваться. Чтобы разблокировать компьютер и продолжить работу, необходимо будет ввести пароль, который совпадает с паролем пользователя, вошедшего в систему на данном компьютере. Если при входе в систему пароль не использовался, пароль заставки установить нельзя.
Система аутентификации пользователей. Ни один пользова тель не может начать работу с операционной системой, не заре-
f Панель управления
I Файл Правка Вид Избранное Сервис Справка
Свойства; Экран
Темы Рабочий стол Заставка Оформление Параметры
ЗэСТаЬ::
Презентация "Мои рисунки" |
Параметры | I Просмотр |
|
Интервал: |
Г]Защита паролем |
Энергосбережение
Для изменения параметров питания монитора нажмите кнопку "Питание"
Питание...
ѵ о Переход ■^Сканеры и камеры 4^» Специальные возможности
Телефон и модем ^У становка и удаление программ
ЩУстановка оборудования
ЩУчетные записи пользователей Центр обеспечения безопасности Шрифты
Отмена Применить
Рис. 3.2. Зашита паролем входа в компьютер
гистрировавшись в системе. Аутентификация (проверка подлин ности) позволяет пользователю регистрироваться в домене на любом рабочем месте с помощью парольного входа или смарт-карты.
Kerberos ѵ5 — протокол проверки подлинности в сети, реали зующий механизм взаимной аутентификации клиента и сервера. Изначально обмен информацией происходит в незащищенном режиме, учитывая что клиент и сервер находятся в открытой сети, где пакеты могут быть перехвачены и модифицированы. Kerberos ѵ5 обладает высокоэффективным механизмом проверки подлинности, предназначенным для работы в чрезвычайно слож ных сетевых средах. Основная идея протокола состоит в том, что вместо пароля клиент и сервер обмениваются криптографиче скими ключами, предоставляемыми службой управления ключа ми (Key Distribution Center — KDC).
Ау те н ти фи к а ц и я с исполь з ов анием с ма р т- к а р т.
Встроенная в Windows XP/Server 2003 функция аутентификации с использованием смарт-карт позволяет строить сети с высоким
уровнем защиты. Вход в сеть с помощью смарт-карты обеспечи вает строгую проверку подлинности, поскольку в этом случае ис пользуется идентификация на основе криптографии и проверка принадлежности смарт-карты при входе пользователя в домен.
Например, злоумышленник, знающий пароль пользователя, может быть воспринят как этот пользователь, просто воспользо вавшись его паролем. Многие пользователи выбирают легко за поминающиеся пароли, которые в силу этого являются ненадеж ными.
Для входа в систему пользователю не надо нажимать клави ши <ctrl+Alt+Del> и вводить пароль, достаточно просто вста вить смарт-карту в читающее устройство. В случае использова ния смарт-карт злоумышленнику, чтобы выдать себя за како го-либо пользователя, придется заполучить смарт-карту этого пользователя и узнать его личный PIN-код (который может со держать как цифры, так и буквы). Очевидно, эта комбинация яв ляется гораздо более надежной. PIN-код, в отличие от пароля, не передается по сети, поэтому он не может быть перехвачен злоумышленником, что повышает безопасность сети.
Дополнительное преимущество состоит в том, что после вве дения неправильного PIN-кода несколько раз подряд смарт-кар та блокируется. Атаки на смарт-карты не остаются неопределен ными, так как если злоумышленник завладеет смарт-картой, то настоящий владелец заметит ее отсутствие.
Смарт-карта избавляет пользователя от необходимости запо минать сложные пароли или применять простые пароли, что снижает безопасность системы.
С т а н д а р т ы с м а р т - к а р т . Windows XP/Server 2003 ра ботают со стандартными смарт-картами и устройствами для чте ния смарт-карт, поддерживающими спецификацию PC/SC (Personal Computer/Smart Card), определенную рабочей группой PC/SC Workgroup, а также технологию Plug-and-Play. Конструк тивно и по электрическим характеристикам смарт-карта должна соответствовать стандартам ISO 7816-1, 7816-2, 7816-3. Устрой ство чтения смарт-карт подключается к стандартным разъемам, таким как RS-232, PS/2, PCMCIA, USB.
В операционной системе Windows Server 2003 возможна так же аутентификация пользователей по его биометрическим пара метрам.
Политика ограничений на исполнение программ. Политика ог раничений на исполнение программ дает возможность создать
централизованно список допустимых приложений с целью за блокировать выполнение на рабочих станциях неизвестных про грамм или вредоносного кода (рис. 3.3, /). Эта функция, постро-
' Локальные параметры безопасности
Консоль Действие Вид Справка
^
ЬПараметрБт-6еао£іасности ГЭ Политики учет^іУ?
Локальные политики
I CJ Политики открытого ключа
Локальные параметры безопасности
Консоль Действие Вид Справка
SТип объекта.............................
[•_1Уровни безопасности І _ І Дополнительные правила 18¾Принудительным
т
© Ѳ Ш&
Политика ОТКРЫТОГО КГНСЧ*
?г Локальные параметры безопасности
Консогь Действие Вид Справка
¢= |
Ѳ © $ ji iz |
|
Ф Политика аудита |
— |
QS Назначение прав пользователя |
!^Тіар5иетры£езопасности Г і Политики открытого КЛКЙЭ---------___
} Файловая система EFS
Г4'! Политжи ограниченного использования п
Локальные параметры безопасности
Консоль Действие Вид Справка
Тип объекта ^Файловая система EFS
1*ія |
Описание |
§3 Клиент (Ответ толь... |
Установить связь (небезол |
ШСервер (Запрос б;з... Всегда требовать испоіьзс
ШСервер безопасност... Всегда требовать использс
0 В [S
р Параметры безопасности
;ОЭ I юлитики учетных записеи D УФ Политика паролей
иПолитика блокировки учетной з< ■Э Локальные политики
ІМПолитика аудита
Локальные параметры безопасности
Консоль Действие Вид Справка
Политиса ЛЙ Аудит входа в систему
: 5¾ Аудит доступа к объектам І -5¾Аудит доступа к службе катал.. : 5¾ Аудит изменения политики
4я |
|
£) 1¾ |
|
|
|
|
р Параметры безопасности |
Политика |
|
Параиеі * |
|||
1 3 Политики учетных записей |
[ЗДмакс. срок действия пароля |
42 дней |
|
|||
* |
|
Политика паролей |
^ М н н . дп^а пароля |
|
С с |
|
* |
f j |
Политика блок^овки учетной загаси |
срок действия |
|
|
|
J 3 Локальные политики |
W Пароль должен отвечать требо... |
Отключг. |
||||
|
-J9 Политика аудита |
|||||
|
£ £ |
|
С хранѵг |
|
||
|
.■■*u |
ииТребоеать неповторяемое™ па... |
> |
|||
< |
Д Назначение прав пользователя |
$tf|v |
~ |
л |
||
' |
> |
< |
~ |
> |
|
Рис. 3.3. Экраны КОНСОЛИ Локальные параметры безопасности:
1 — создание политик ограниченного использования программ; 2 — определение политики безопасности EFS; 3 — настройка политики безопасности IP; 4 — оп ределение политик аудита; 5 — политика паролей
енная на основе политики для идентификации программного обеспечения, определяет нежелательное или враждебное про граммное обеспечение, запрещает его исполнение на компьюте рах. Политика ограничений на исполнение программ работает только в домене, а значит, не может использоваться в одноран говых сетях на базе Windows ХР и на компьютерах с ОС Win dows ХР Home Edition.
Существует два варианта установки правил ограничения:
•на все программное обеспечение устанавливается запрет исполнения, а затем создается список разрешенных к вы полнению программ;
•разрешается запуск любых программ и создается список запрещенных к исполнению программ. Доступ к програм мам определяется правами пользователя.
При создании файла создается уникальный цифровой «отпе чаток пальцев» файла (хэш), который хранится вместе с файлом. Хэш не меняется при перемещении или переименовании файла. Однако при внесении изменений в файл хэш тоже меняется. Как правило, код программы не меняется и хэш точно иденти фицирует файл. Можно создавать правило для хэша, чтобы идентифицировать разрешаемую или запрещаемую для исполне ния программу.
Кроме того, можно идентифицировать программы по полно му пути, указав папку, программы из которой запускаться не бу дут (или будут, в зависимости от того, какое именно правило не обходимо создать).
Правило для хэша имеет приоритет над правилом для пути. Из двух похожих правил для пути приоритет имеет правило с большим ограничением.
Можно вести журнал примечаний политик ограничений на исполнение программ.
Разрешение на доступ присваивается пользователям, группам пользователей или компьютерам для получения доступа к фай лам, объектам Active Directory или реестру.
Чтобы установить или изменить права доступа к файлу, надо в Проводнике выбрать Свойства файла (папки) и на вкладке Общий доступ и безопасность установить необхо димые права доступа (рис. 3.4). При создании файла создатель получает статус собственника ресурса и обладает правами ад министратора данного файла. Права собственника могут быть переданы.
Свойства: Мои документы
Общие : Доступ
Свойства: Мои документы
\ Общие Доступ
нт,ін общин доступ и безопасное
Чтобы разрешить доступ другим локальным пользовэтелямк; этой папке, переместите ее в папку Общие докчмекгьі
лЧтобы запретить общий доступ к этой папке и е« подпапкам, установите этот флажок.
Д о п о л н и те л ь н ы е а тр и б у ты
Устоі ПЮИТС I іужі іыс поромстрь» для этой попке
При изменении этих параметров будет задан вопрос, следует ли затрагивать вложенные папки и файлы.
Атрибуты индексирования и архивации
Q Папка готова для архивирования
0 Разрешить индексирование папки для быстрого поиска
Атрибуты сжатия и шифрования
О Сжимать содержимое для экономии места на диске
0 Шифровать содержимое для защиты данных
Отмена
Рис. 3.4. Управление разрешениями на доступ
Разные объекты могут обладать различными типами разре шения доступа. Права доступа могут наследоваться в иерархиче ских структурах.
Встроенные средства шифрования
Шифрующая (шифрованная) файловая система (Encrypting File System — EFS) предназначена для защиты файлов, храня щихся на жестких дисках формата NTFS. Шифрование файлов происходит на физическом уровне, и пользователь работает с шифрованными файлами и папками так же, как и с незашифро ванными. При этом неавторизованные пользователи не смогут открыть зашифрованные файлы и папки, даже получив физиче ский доступ к компьютеру (см. рис. 3.3, 2).
Применение шифрующей файловой системы особенно удоб но при работе нескольких пользователей на одном компьютере или для мобильных пользователей, которые сталкиваются с по вышенным риском кражи и потери компьютера. Даже если зло умышленник извлечет жесткий диск и подключит его к другому компьютеру, он не сможет овладеть конфиденциальной инфор мацией.
Шифрующая файловая система не используется при переда че файлов по сети, а отвечает только за безопасное хранение данных. Файл сначала расшифровывается, а затем в обычном виде передается по сети и за безопасную передачу данных по сети отвечают другие службы (например, безопасный протокол IPSec).
Основные возможности EFS. Файловая система EFS обеспе чивает ядро технологии шифрования файлов, используемой для хранения шифрованных файлов на томах файловой системы NTFS. После того как файл или папка зашифрованы, с ними ра ботают так же, как и с другими файлами или папками.
Шифрование является прозрачным для пользователя, за шифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его.
Использование EFS сходно с использованием разрешений для файлов и папок. Оба метода используются для ограничения доступа к данным. Но злоумышленник, получивший несанкцио нированный физический доступ к зашифрованным файлам и папкам, не сможет их прочитать. При его попытке открыть или скопировать зашифрованный файл или папку появиться сооб щение, что доступа нет. Разрешения для файлов и папок не за щищают от несанкционированных физических атак.
Шифрование и расшифровывание файлов выполняется уста новкой свойств шифрования для папок и файлов, как устанав ливаются и другие атрибуты, например Только чтение, Сжатый или Скрытый. Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, также автоматически шиф руются. Файлы и папки могут также быть зашифрованы или расшифрованы с помощью команды cipher.
При работе с зашифрованными файлами и папками следует учитывать следующие сведения и рекомендации:
•могут быть зашифрованы только файлы и папки, находя щиеся на томах NTFS;
•сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия;
•зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являю щийся томом NTFS.
•при перемещении незашифрованных файлов в зашифро ванную папку они автоматически шифруются в новой пап ке. Однако обратная операция не приведет к автоматиче ской расшифровке файлов. Файлы необходимо явно рас шифровать;
•не могут быть зашифрованы файлы с атрибутом Систем ный и файлы в структуре папок системного корневого ката лога;
•шифрование папки или файла не защищает их от удаления. Любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы. По этой причи не рекомендуется использование EFS в комбинации с раз решениями системы NTFS;
•могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование. Однако если зашифрованный файл открывается по сети, передаваемые при этом по сети данные не будут зашифрованы. Другие протоколы, напри мер SSL/TLS или IPSec, должны использоваться для шиф рования данных, передаваемых по сети. Протокол WebDAV позволяет локально зашифровать файл и передать его в за шифрованном виде;
•восстановление данных в EFS — закрытая операция, при которой расшифровываются сами данные, но не ключ пользователя, с помощью которого эти данные были за шифрованы;
•средства резервного копирования Microsoft поддерживают систему шифрования EFS и позволяют копировать и вос станавливать зашифрованные файлы без их расшифровки. Система EFS гарантирует, что все создаваемые копии будут зашифрованы.
Поддержка протокола IPSec. Протокол IP (Internet Protocol) не имеет механизма безопасности, поэтому пакеты, передавае мые по сети, могут быть легко перехвачены и фальсифицирова ны. Протокол IPSec был разработан с целью обеспечить безопас
ность пересылаемых по сети данных и выполняет две основные задачи (см. рис. 3.3, 3):
•защиту ІР-пакетов;
•защиту от сетевых атак.
IPSec — это набор служб защиты и протоколов безопасно сти, основанных на средствах криптографии; этот протокол представляет одно из наиболее перспективных направлений развития средств защиты сетей. Для его внедрения не требует ся вносить какие-либо изменения в приложения или протоко лы, поэтому IPSec легко развертывается в уже существующих сетях.
Для защиты IP-пакетов в IPSec служат криптографические механизмы. Они защищают пакеты путем шифрования, исполь зуя алгоритм и ключ. Секретный ключ создается на каждом ком пьютере локально и никогда не передается по сети. На основе этого ключа, используя специальный алгоритм, компьютеры создают общий ключ, который станет частью политики IPSec. С помощью общего ключа информация шифруется отправите лем и дешифруется получателем.
Тип шифрования определяется так называемым сопоставле нием безопасности IPSec. Сопоставление безопасности — это набор атрибутов, состоящий из адреса назначения, протокола безопасности и уникального идентификатора, называемого ин дексом параметров безопасности. Поддерживаются следующие алгоритмы шифрования:
•DES (Data Encryption Standard), использующий 56-разряд- ный ключ;
•3DES (Triple DES), использующий два 56-разрядных ключа
и предназначенный для среды с высоким уровнем безопас ности.
Помимо зашиты на физическом уровне, IPSec обеспечивает безопасность на основе правил политики. Контроль доступа в IPSec обеспечивается за счет фильтров и указанных для них дей ствий. Действия фильтров определяются требованиями к безо пасности и могут выполнять три основные функции:
•политику сквозного трафика (защита выключена). Данная настройка применима, когда удаленный компьютер не поддерживает IPSec или для сети, не нуждающейся в за щите;
•политику блокировки (запрет соединения), например, если необходимо заблокировать опасный компьютер;
•политику согласования защиты (защита включена частич но). Позволяет соединяться с компьютером, но используя ряд ограничений.
Вправилах могут использоваться различные методы аутенти фикации, например:
•протокол безопасности Kerberos ѵ5;
•сертификаты открытого ключа;
•общий ключ.
Некоторые дополнительные возможности протокола IPSec реа лизованы в операционной среде Windows Server 2003. Среди них:
•фильтрация сетевого трафика в процессе загрузки операци онной системы, вплоть до полной блокировки трафика до тех пор, пока не начнет действовать политика IPSec;
•использование 2048-битовых ключей для протокола ІКЕ (Internet Key Exchange);
•приложение IP SM (I P Security Monitor) позволяющее конфигурировать политику IPSec;
•утилита командной строки Netsh, позволяющая управлять параметрами и правилами протокола IPSec.
Система аудита
С помощью консоли Локальные параметры безопасности
администратор может осуществлять контроль системных собы тий. Аудит позволяет вести контроль таких событий, как неудач ные попытки входа в систему и выхода из нее, обнаружение на рушителей системы безопасности, доступ к объектам, управле ние группами пользователей и учетными записями групп (см. рис. 3.3, 4).
Операционная система регистрирует в специальном журнале потенциально опасные события. С помощью средства просмотра событий можно просматривать журнал безопасности (рис. 3.5). Политика аудита позволяет определять, для каких событий дол жен проводиться аудит.
Windows позволяет регистрировать в журнале аудита события следующих категорий:
•вход-выход пользователя из системы;
•доступ пользователей к объектам;
•использование субъектами доступа опасных привилегий;
•изменения в списке пользователей;