- •Аннотация
- •Реферат
- •Содержание
- •Перечень графического материала
- •Введение
- •1 Анализ технического задания
- •2 Характеристика лвс (локальной вычислительной сети) отдела воинской части 03113
- •2.1 Состав лвс
- •2.2 Структура лвс и расположение элементов лвс в помещении
- •2.3 Информационные потоки
- •3 Анализ угроз безопасности сети
- •3.1 Внешние угрозы
- •3.1.1 Сервер электронной почты
- •3.1.2 Телекоммуникационный сервер
- •3.1.3 Рабочее место вызова (рм вызова)
- •3.2 Угрозы внутри сети
- •4 Система защиты информации вс в отделе воинской части
- •5 Рекомендации по улучшению системы защиты информации в вс отдела
- •5.1 Рекомендации по настройкам безопасности в ос Windows nt 4.0 и ms sql
- •5.2 Реализация и описание программы централизованного управления настройками по безопасности Windows nt и ms sql
- •5.2.1 Параметры безопасности
- •5.2.1.1 Настройки файловой системы
- •5.2.1.2 Настройки, хранящиеся в реестре
- •5.2.1.3 Настройки локальной политики безопасности
- •5.2.1.4 Настройки ms sql сервера
- •5.2.2 Программная реализация
- •5.2.3 Руководство пользователя
- •5.3 Защищенная операционная система мсвс 3.0
- •6 Безопасность и экологичность проекта
- •6.1 Анализ условий труда, степени тяжести и напряженности трудового процесса
- •6.2 Разработка мероприятий по улучшению условий труда
- •6.3 Пожарная безопасность помещения
- •6.4 Охрана окружающей природной среды
- •7 Технико-экономическое обоснование проекта
- •7.1 Постановка задачи и цель разработки
- •7.2 Маркетинговые исследования по разработке
- •7.3 Выбор и обоснование аналога для разработки
- •7.4 Обоснование критериев для сравнения и расчет интегрального показателя качества
- •7.5 Расчет экономического эффекта
- •7.5.1 Ожидаемый экономический эффект
- •7.5.2 Состав эксплуатационных расходов
- •7.5.3 Расчет экономии от увеличения производительности труда пользователя
- •7.5.4. Расчет затрат на этапе проектирования
- •7.6 Определение цены программного продукта
- •7.7 Годовые эксплуатационные расходы потребителя
- •Заключение
- •Список использованных источников
- •Приложение а Листинг программы
- •Приложение б Рекомендации по обеспечению защиты локальной сети отдела
5 Рекомендации по улучшению системы защиты информации в вс отдела
В предыдущих главах данного дипломного проекта был описан состав и структура сети отдела, проанализированы угрозы и рассмотрена существующая система защиты информации. Как уже упоминалось, данная система справляется с большинством указанных угроз, но существует некоторые недостатки в установленном ПО, которые связаны, в основном, с уязвимостями этого ПО (например, в MS Exchange Server 5.5 или в самой ОС Windows NT 4.0 Service Pack 6), с отсутствим строгой политики разграничения доступа, необходимой для военных организаций (например, мандатная модель управления доступом), а также с использованием устаревшего ПО (например, ОС Windows 95, MS Exchange Server 5.5). Поэтому возникает необходимость качественного изменения уровня безопасности сети посредством установки более нового и защищенного ПО. В данном случае рекомендуется установить в локальной сети отдела ОС МСВС 3.0. Но из-за невозможности быстрого перехода на новую операционную систему предлагается провести усовершенствование существующей системы защиты информации ВС отдела в два этапа. Первый этап (“этап минимальных затрат”) заключается в максимальном использовании настроек по безопасности в ОС Windows NT 4.0 и MS SQL. Для осуществления этого даются рекомендации по улучшению безопасности сети средствами Windows NT 4.0 и MS SQL, и на основе данных рекомендаций разрабатывается специальное ПО для администратора системы - “Центральная консоль управления настройками по безопасности Windows NT и MS SQL”. Поскольку данное ПО предназначено для качественного управления параметрами безопасности операционной системы Windows NT 4.0, то оно должно не только предоставлять администратору удобный интерфейс, быстрый доступ к системным настройкам и возможность их изменения, но и отображать рекомендуемые параметры. Очевидно, что на первом этапе проводятся изменения на базе установленного в отделе ПО и, поэтому не предоставляют возможности для общего повышения уровня безопасности сети. Таким образом, первый этап – это временная мера, предпринятая для плавного перехода ко второму этапу усовершенствования системы безопасности сети отдела. Этот этап, как упоминалось выше, заключается в переходе отдела на новую ОС, а именно на ОС МСВС 3.0, которая позволит повысить качество системы защиты информации в отделе.
5.1 Рекомендации по настройкам безопасности в ос Windows nt 4.0 и ms sql
Для повышения защищенности компьютеров с установленной ОС Windows NT 4.0 Service Pack 6 в отделе рекомендуется предпринять следующие меры [3], [7].
-
С использованием утилиты User Manager необходимо переименовать бюджет administrator. Наиболее распространенная атака на него заключается в использовании атаки по словарю или подбор пароля. Обычные бюджеты могут быть сконфигурированы на автоматическую (и временную) блокировку после нескольких неудачных попыток подбора пароля. Однако эта возможность не применима для бюджета administrator, потому что это делает возможными атаки "отказ в обслуживании" (т.е. помешать администрированию компьютера путем блокировки этого бюджета).
Также с помощью той же утилиты можно создать новый бюджет с именем administrator для фиксации попыток вторжения и сделать недоступным бюджет guest.
-
При инсталляции запрещается устанавливать все программные продукты в директорию C:\WINNT. Иногда нарушители получают доступ к файлам, если они знают название файла. Рекомендуется сначала все инсталлировать в C:\WINNT, а затем переинсталлировать в какую-нибудь другую директорию и запускать аудит внутри директории C:\WINNT, предупреждающий, когда кто-либо будет получать доступ к инсталлированным файлам.
-
Также при инсталляции загрузочный раздел (boot partition) должен использоваться только для загрузочных и системных файлов. А данные и приложения размещаются на отдельном логическом диске.
-
На панели управления функциию Password Protected рекомендуется сделать доступной для Screensaver (используется Blank Screen). "Хранители экранов" не всегда запускаются в процессе ожидания, поэтому даже можно улучшить характеристику сервера, используя Blank Screen. Это также снижает потребление мощности монитора, особенно для тех, которые обнаруживают Blank Screen и самостоятельно отключаются. И, наконец, некоторые Screensaver (например, PointCast) сами являются уязвимыми для атак.
-
С помощью утилиты REGEDT32 необходимо отключить автоматическое включаемое совместное использование ADMIN$, C$, D$, и т.д. через параметр AutoShare в реестре. Этот параметр находится в ключе "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters", и представляет AutoShareServer для Windows NT Server или AutoShareWks для Windows NT Workstation. Он имеет тип DWORD со значением "1" — доступно (default), или значением "0" – недоступно.
Также с помощью этой же утилиты отключается информация о бюджетах и разделяемых ресурсах через анонимный доступ. Необходимо добавить RestrictAnonymous типа DWORD со значением "1" к ключу "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA".
-
Постоянно контролировать процессы, запущенные в системе. Администратору необходимо знать каждый процесс и для чего он запускается. Например, постановка программы-кейлоггера (отслеживает нажатия клавиш и записывает их в файл) часто не требует для установки прав администратора, а между тем анализ лог-файла за месяц наверняка позволит узнать пароли и логины всех пользователей.
Также нужно отметить еще одну удобную возможность защиты Windows NT. Например, вход в систему Windows NT осуществляется с помощью последовательности Ctrl+Alt+Del. Это защита от программ, которые пытаются перехватить пароли путем подстановки себя вместо нормальной программы входа в систему. Последовательность Ctrl+Alt+Del всегда непосредственно вызывает подпрограмму входа в систему в программе Windows NT . Эта область Windows NT не может быть модифицирована пользователями или злоумышленниками.
Что же касается MS SQL, то помимо существующих в отделе настроек, рекомендуется:
-
изменить номер слушающего порта (по умолчанию для MS SQL Server 1433) для доступа клиентов к серверу баз данных на любой другой;
-
отключить использование расширенной хранимой процедуры (extended stored procedure) xp_cmdshell, которая позволяет выполнять приложения с корневыми правами.
Итак, выше были рассмотрены рекомендуемые дополнительные настройки по безопасности в Windows NT 4.0 и MS SQL. Для удобного управления ими необходимо разработать соответствующее ПО.