Занятие 7. Средства безопасности и защиты информации Microsoft Windows.
Курс "Системный администратор компьютерной сети".
vsit, Friday 05 May 2006 - 00:00:00
[newpage=Понятие безопасности] Средства безопасности и защиты информации Microsoft Windows.
За последнее время корпорация Microsoft предприняла кардинальные шаги для того, чтобы ее продукты стали более защищенными и безопасными. Еще в начале 2002 года была приостановлена работа более чем 8,5 тысяч инженеров-разработчиков Microsoft с целью проведения интенсивной проверки безопасности исходного кода Windows. Среди мероприятий по повышению безопасности Windows можно назвать следующие:
Этим и многим другим технологиям, значительно повышающим надежность и безопасность Windows посвящено это занятие.
Понятие информационной безопасности и угрозы безопасности.
Информационная безопасность любой автоматизированной системы обработки информации (в том числе и рабочих станций под управлением любой ОС) - это состояние, в котором она:
Под угрозой вообще обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Соответственно угрозой информационной безопасности считается возможность реализации воздействия на информацию, обрабатываемую в компьютерной системе, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты системы, приводящего к утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления.
В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности, насчитывающий сотни пунктов. Для удобства их группируют в зависимости от свойств информации, которые могут быть нарушены в результате их реализацию. Обычно выделяют три группы:
Обычно причинами возникновения угроз безопасности могут быть:
Разрушающие программные воздействия.
В настоящее время достаточно важным разделом компьютерной безопасности является борьба с так называемыми разрушающими программными воздействиями (РПВ). Под разрушающим программным воздействием понимается программа, реализующая угрозы безопасности. В настоящее время существуют три типа РПВ:
С точки зрения рядовых пользователей, не занимающихся обработкой информации высокой стоимости, проникновение в систему разрушающих программных воздействий, особенно компьютерных вирусов, является основной проблемой безопасности.
[newpage=Организация защиты информации.]
Организация защиты информации.
В настоящее время выделяют три уровня средств обеспечения защиты:
Юридические средства защиты.
Под юридическими средствами понимается нормативно-законодательный комплекс, включающий в себя документы и акты различных, регламентирующие вопросы защиты информации: мирового и межгосударственного, федерального (для Российской Федерации) и уровня субъекта Федерации. В частности, в Уголовном Кодексе Российской Федерации имеются следующие статьи:
Наряду с УК РФ федеральными актами, регулирующими от части вопросы информационного права, являются "Закон об авторском праве и смежных правах" и "Закон о правовой охране программ для ЭВМ и баз данных".
Административные средства.
Административные средства, как правило, включают в себя комплекс мер, действующих в рамках организаций и предприятий и направленных на снижение ущерба, нанесенного реализацией какой-либо угрозы безопасности, например, заражением компьютерными вирусами. При разработке административных средств обычно планируют две группы мер:
Меры, направленных на предупреждения угроз безопасности. Обычно к этой группе относятся меры следующего характера:
Меры по выявлению фактов реализации угроз безопасности. Наиболее значимые среди них:
Технические средства.
В настоящее время существует большое разнообразие технических средств защиты. К числу таких средств относятся программные, аппаратные и программно-аппаратные комплексы, обеспечивающие выполнение различных функций защиты информации.
К ним относятся:
В следующих разделах более подробно рассматриваются средства защиты информации, встроенные в Windows.
Оценка защищенности операционных систем.
Для оценки защищенности операционных систем используются стандарты, разработанные для компьютерных систем вообще. Рассмотрим две наиболее часто применяемые в России системы стандартов такого рода.
"Оранжевая книга". Наиболее известным стандартом безопасности компьютерных систем является документ под названием "Критерии безопасности компьютерных систем" (Trusted Computer System Evaluation Criteria), разработанный Министерством обороны США в 1983 г. Этот документ более известен под неформальным названием Оранжевая книга. Согласно "Оранжевой книге" все защищенные компьютерные системы делятся на семь классов от D1 (минимальная защита, фактически отсутствие всякой защиты) до A1 (максимальная защита).
Руководящие документы Гостехкомиссии. В 1992 г. Гостехкомиссия при Президенте Российской Федерации опубликовала пять руководящих документов, посвященных вопросам защиты компьютерных систем. В документе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" установлено семь классов защищенности средств вычислительной техники. Самые низкие требования предъявляются к классу 7, самые высокие - к классу 1. Требования этих классов в основном соответствуют аналогичным требованиям "Оранжевой книги".
[newpage=Система безопасности Windows ]
Система безопасности Windows XP Professional и Windows Server 2003.
Полная, надежная и защищенная инфраструктура на основе Windows Server 2003, ISA Server 2000, Windows XP Professional, Office 2003 обеспечивает максимальную безопасность корпоративной сети. На данном занятии мы рассмотрим основные решения по обеспечению безопасности на серверной платформе Windows Server 2003 и рабочих станциях Windows XP Professional.
Защита локальной сети и данных от несанкционированного доступа.
Защита локальной сети и данных актуальна на всех уровнях корпоративной инфраструктуры, т.к. затрагивает безопасность серверов и рабочих станций. Microsoft предлагает целостное решение по построению информационной системы, основанной на серверной платформе Windows Server 2003 и рабочих станциях Windows XP Professional.
В систему защиты сети и данных от несанкционированного доступа входят следующие технологии:
[newpage=Система управления доступом.]
Система управления доступом.
Система управления доступом распределяет полномочия пользователей в сети, устанавливает права доступа к приложениям и файлам на основе шаблонов и правил.
Основными компонентами системы являются:
Разрешение на доступ.
Разрешение на доступ присваивается пользователям, группам пользователей или компьютерам для получения доступа к файлам, объектам Active Directory или реестру.
Чтобы установить или изменить права доступа к файлу надо в Проводнике выбрать Свойства файла (папки) и на вкладке Безопасность установить необходимые права доступа. При создании файла создатель получает статус собственника ресурса и обладает правами администратора данного файла. Права собственника могут быть переданы.
Разные объекты могут обладать различными типами разрешения доступа. Права доступа могут наследоваться в иерархических структурах.
Таблица фактического доступа.
С помощью таблицы фактического доступа (Effective Permissions tab) администратор может контролировать фактический доступ к папкам и файлам для отдельных пользователей и групп. Для того, чтобы открыть вкладку Фактического доступа щелкните кнопку Дополнительно окна свойств файла (папки).
Контроль удаленного доступа.
Управление контролем удаленного доступа осуществляется через групповую политику удаленного доступа. Рекомендуется ограничить удаленный доступ определенных групп пользователей к общим сетевым ресурсам, например, отключить доступ для анонимных пользователей (anonymous), гостевой доступ (guest) и доступ для всех (everyone).
Система аудита.
С помощью консоли Локальная политика безопасности администратор может осуществлять контроль системных событий. Аудит позволяет вести контроль таких событий, как неудачные попытки входа в систему и выхода из нее, обнаружение нарушителей системы безопасности, доступ к объектам, управление группами пользователей и учетными записями групп
Операционная система регистрирует в специальном журнале, потенциально опасные события. С помощью средства просмотра событий можно просматривать журнал безопасности. Политика аудита позволяет определять, для каких событий должен проводиться аудит.
Windows позволяет регистрировать в журнале аудита события следующих категорий:
Для каждого класса событий могут регистрироваться
B Windows считаются опасными следующие привилегии пользователей:
Система аутентификации пользователей.
Ни один пользователь не может начать работу с операционной системой, не зарегистрировавшись в системе. Аутентификация позволяет пользователю регистрироваться в домене на любом рабочем месте при помощи парольного входа или смарт-карты.
В терминологии Windows процесс аутентификации довольно часто называется проверкой подлинности.
Kerberos v5 - протокол проверки подлинности в сети, реализующий механизм взаимной аутентификации клиента и сервера. Изначально обмен информацией происходит в незащищенном режиме, учитывая что клиент и сервер находятся в открытой сети, где пакеты могут быть перехвачены и модифицированы. Kerberos v5 обладает высокоэффективным механизмом проверки подлинности, предназначенном для работы в чрезвычайно сложных сетевых средах.
Основная идея протокола состоит в том, что вместо пароля клиент и сервер обмениваются криптографическими ключами предоставляемыми службой Key Distribution Center, KDC.
Аутентификация с использованием смарт-карт.
Встроенная в Windows XP и Windows Server 2003 функция аутентификации с использованием смарт-карт, позволяет строить сети с высоким уровнем защиты. Смарт-карты позволяют хранить входные пароли, открытые и личные ключи и другую конфиденциальную информацию. Смарт-карта избавляет пользователя от необходимости запоминать сложные пароли или применять простые пароли, что снижает безопасность системы.
Для входа в систему пользователю не надо нажимать сочетание клавиш Ctrl-Alt-Del и вводить пароль, достаточно просто вставить смарт-карту в читающее устройство. Однако, пользователь должен ввести PIN-код для аутентификации по отношению к смарт-карте. PIN-код, в отличие от пароля, не передается по сети, поэтому он не может быть перехвачен злоумышленником, что повышает безопасность сети.
В качестве дополнительного средства защиты применяется блокировка смарт-карты после нескольких неудачных попыток ввести PIN-код.
Стандарты смарт-карт.
Windows XP и Windows Server 2003 работают со стандартными смарт-картами и устройствами для чтения смарт-карт, поддерживающими спецификацию PC/SC (Personal Computer/ Smart Card), определенную рабочей группой PC/SC Workgroup, а также технологию Plug-and-Play. Конструктивно и по электрическим характеристикам смарт-карта должна соответствовать стандартам ISO 7816-1, 7816-2, 7816-3. Устройство чтения смарт-карт подключается к стандартным разъемам, таким как RS-232, PS/2, PCMCIA, USB.
В операционной системе Windows Server 2003 возможна также аутентификация пользователей по его биометрическим параметрам.
[newpage=Политика ограничений ]
Политика ограничений на исполнение программ.
Политика ограничений на исполнение программ дает возможность создать централизованно список допустимых приложений, с целью заблокировать выполнение на рабочих станциях неизвестных программ или вредоносного кода. Эта функция построенная на основе политики для идентификации программного обеспечения. Она определяет нежелательное или враждебное программное обеспечение запрещает его исполнение на компьютерах. Политика ограничений на исполнение программ работает только в домене, а значит не может использоваться в одноранговых сетях на базе Windows XP Professional и на компьютерах с ОС Windows XP Home Edition.
Существует два варианта установки правил ограничения:
При создании файла, создается уникальный цифровой "отпечаток пальцев" файла (хеш), который хранится вместе с файлом. Хеш не меняется при перемещении или переименовании файла. Однако, при внесении изменений в файл, хеш тоже меняется. Как правило код программы не меняется и хеш точно идентифицирует файл. Можно создавать правило для хеша, чтобы идентифицировать разрешаемую или запрещаемую для исполнения программу.
Также можно идентифицировать программы по полному пути, указав папку, программы из которой запускаться не будут (или будут, в зависимости от того, какое правило необходимо создать).
Правило для хеша имеет приоритет над правилом для пути. Из двух похожих правил для пути, приоритет имеет правило с большим ограничением.
Можно вести журнал примечаний политик ограничений на исполнение программ.
Служба управления правами.
Служба управления правами (Rights Management Services, RMS) поможет пользователям контролировать и защищать электронную информацию. Используя политику безопасности, служба RMS дает пользователям возможность назначать доступ к данным, включая закрытую деловую информацию и другие жизненно важные ресурсы сети. Например, можно разрешить использовать файл с данными только для просмотра. Такой файл нельзя распечатать, скопировать или вставить данные в другую программу. То же правило можно применить и к сообщениям электронной почты. В качестве дополнительной меры предосторожности можно указать, что электронное сообщение невозможно редактировать и переадресовывать. Так же можно установить ограничение по времени, и спустя указанный срок документ станет недоступен.
Компоненты Службы управления правами (RMS):
Для повышения уровня защиты в Службе управления правами используется язык XrML (Extensible Rights Markup Language), являющийся новым стандартом языка с поддержкой прав доступа. Язык XrML, основанный на языке XML, представляет простое в использовании средство создания прав и политик при работе с электронными документами.
Центр сертификации.
Центр сертификации, встроенный в Windows Server 2003, объединяет службы сертификации и средства управления сертификатами, и предназначен для организации защищенного документооборота с использованием электронных цифровых подписей. Используя инфраструктуру открытого ключа (PKI), центр сертификации может реализовывать следующие технологии:
Операционная система Windows XP Professional хранит сертификаты в персональном хранилище, расположенном в папке Documents and Setting\<имя_пользователя>\ApplicationData\Microsoft\SystemCertificates\My\Certificates. При каждом входе в систему компьютера сертификаты записываются в локальном реестре.
Встроенные средства шифрования.
Приложения Microsoft Office XP и Office 2003 для защиты документов используют встроенные средства шифрования. Пользователи могут шифровать файлы с данными, используя пароль в качестве ключа. Такое шифрование отличается от использования шифрующей файловой системы (EFS) тем, что здесь файл передаваемый по сети остается зашифрованным, тем самым позволяя гарантировать защиту информации пользователя как во время хранения, так и во время пересылки.
Применяя эту модель обеспечения безопасности в Microsoft Outlook 2002 и Outlook 2003, пользователи могут обмениваться безопасными сообщениями электронной почты, как через Интернет, так и внутри организации.
Шифрующая файловая система EFS.
Шифрующая файловая система (Encrypting File System, EFS) предназначена для защиты файлов, хранящихся на жестких дисках формата NTFS. Шифрование файлов происходит на физическом уровне, и пользователь работает с шифрованными файлами и папками так же, как и с незашифрованными. При этом неавторизованные пользователи не смогут открыть зашифрованные файлы и папки, даже получив физический доступ к компьютеру.
Применение шифрующей файловой системы особенно удобно при работе нескольких пользователей на одном компьютере или для мобильных пользователей, которые сталкиваются с повышенным риском кражи и потери компьютера. Даже если злоумышленник извлечет жесткий диск и подключит его к другому компьютеру, он не сможет овладеть конфиденциальной информацией.
Шифрующая файловая система не используется при передачи файлов по сети. Файл сначала расшифровывается, а затем в обычном виде передается по сети. За безопасную передачу данных по сети отвечают другие службы (например, протокол IPSec), шифрующая файловая система EFS отвечает только за безопасное хранение данных.
Основные свойства EFS:
Усовершенствованная система шифрования EFS в Windows Server 2003 позволяет выполнять авторизацию дополнительных пользователей для доступа к зашифрованным данным, шифровать автономные файлы, а также хранить зашифрованные файлы в веб-папках.
Поддержка протокола IPSec.
Протокол IP не имеет механизма безопасности, поэтому пакеты, передаваемые по сети, легко перехватывать и фальсифицировать. Протокол IPSec был разработан с целью обеспечить безопасность пересылаемых по сети данных и выполняет две основные задачи:
Для защиты IP-пакетов в IPSec служат криптографические механизмы. Они защищают пакеты путем шифрования, используя алгоритм и ключ. Секретный ключ создается на каждом компьютере локально и никогда не передается по сети. На основе этого ключа, используя специальный алгоритм, компьютеры создают общий ключ, который станет частью политики IPSec. С помощью общего ключа информация шифруется отправителем и дешифруется получателем.
Помимо защиты на физическом уровне, IPSec обеспечивает безопасность на основе правил политики. Контроль доступа в IPSec обеспечивается за счет фильтров и указанных для них действий. Действия фильтров определяются требованиями к безопасности и могут выполнять три основные функции:
политику сквозного трафика (защита выключена). Данная настройка применима когда удаленный компьютер не поддерживает IPSec или для сети не нуждающейся в защите.
*политику блокировки (запрет соединения), например, если необходимо заблокировать опасный компьютер.
*политику согласования защиты (защита включена частично). Позволяет соединяться с компьютером, но используя ряд ограничений.
В правилах могут использоваться различные методы аутентификации, например:
Новые возможности протокола IPSec реализованы в операционной среде Windows Server 2003. Среди них:
Безопасность беспроводных соединений.
Повышенный уровень безопасности в беспроводных сетях (стандарт 802.1х) обеспечивается за счет поддержки автоматического управления ключами, а также проверки подлинности и авторизации пользователей перед доступом к локальной сети. При использовании подключений с длительным временем ожидания быстрая восстанавливаемость практически исключает возможность повреждения пакетов и разъединения.
Операционная система Windows XP позволяет подключить к компьютеру различные переносные устройства (сотовые телефоны, компьютеры, и т.д.) благодаря встроенной поддержке средств беспроводной передачи данных.
Организация виртуальных частных сетей (VPN).
С помощью виртуальной частной сети (VPN) можно предоставить пользователю безопасный доступ к локальной сети используя сеть Интернет.
Операционная система Windows Server 2003 реализует два типа VPN-технологий:
[newpage=Обеспечение надежного бесперебойного доступа к данным и приложениям.]
Обеспечение надежного бесперебойного доступа к данным и приложениям.
Операционные системы Windows Server 2003 и Windows XP Professional обеспечивают высочайший уровень надежности работы системы и приложений, а также доступности данных. Этому способствуют следующие компоненты:
Служба теневого копирования.
В операционной системе Windows Server 2003 реализован новых механизм, входящий в состав файловых служб - Служба теневого копирования томов. Эта служба создает мгновенные снимки состояния томов, обеспечивая архивацию файлов. Данная технология позволяет пользователю быстро восстанавливать удаленные файлы или старые версии файлов.
Служба теневого копирования реализуется только на томах NTFS-формата. Она позволяет создавать копии томов по расписанию. При очередном создании копии, служба теневого копирования записывает на диск не полную копию, а только изменения, произошедшие после предыдущего копирования, тем самым экономя место на диске.
Снижение времени простоев.
Windows Server 2003 отличается тщательной оптимизацией и отладкой системного кода, в нем значительно усилена защита ядра и улучшены алгоритмы работы с памятью. Увеличение надежности удалось добиться за счет снижения времени плановых простоев:
Все драйверы в Windows Server 2003 проходят тестирование на совместимость и подписываются, что снижает количество неплановых простоев системы из-за неработающего драйвера. Так же поддерживается возможность автоматического возврата к предыдущей версии драйвера, если вновь установленный драйвер отрицательно влияет на производительность сервера.
Увеличение устойчивости к атакам и выводу системы из строя.
В 2002 году была корпорацией Microsoft была проведена интенсивная проверка кода Windows и других приложений компании на предмет безопасности. Качество программного кода возросло за счет устранения стандартных ошибок, приводящих к уязвимости систему. Эти меры позволили существенно повысить безопасность системы Windows Server 2003.
Система своевременного обновления.
Для обеспечения безопасности сетевой инфраструктуры и отдельных рабочих мест необходимо устанавливать обновления раньше, чем появятся программы, использующие бреши в защите. Система своевременного обновления программного обеспечения обеспечивает быструю установку обновлений и исправлений для обнаруженных уязвимостей. Система состоит из двух основных служб Windows Update и Software Update Services (SUS).
Windows Update является самостоятельной клиентской системой установки обновлений. Она использует веб-сайт Windows Update для ручной загрузки пакетов обновлений и оперативных исправлений.
Software Update Services (SUS) - это новое средство для автоматических обновлений (Automatic Updates), позволяющее использовать ваш собственный сервер Windows Update в локальной сети. SUS предоставляет следующие возможности:
Установку обновлений и исправлений, а так же настройку автоматического обновления клиента, можно осуществлять посредством сервера SMS. Это более мощное, по сравнению с SUS, средство автоматического обновления, использующее множество дополнительных возможностей.
Средства анализа безопасности системы.
Важнейшим элементом обеспечения безопасной работы системы является наличие самых свежих обновлений. Microsoft Baseline Security Analyzer (MBSA) позволяет домашнему и корпоративному пользователю или администратору сканировать один или более компьютеров с операционной системой Windows на предмет обнаружения основных уязвимостей. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, содержащей информацию об обновлениях.
[newpage=Защита от вирусов, спама и внешних атак.]
Защита от вирусов, спама и внешних атак.
В сфере информационной безопасности наиболее актуальны проблемы спама, ограничения доступа к нежелательным сетевым ресурсам и защита от вирусов. Эффективная система информационной безопасности должна базироваться только на комплексном решении, что обеспечивает совместное использование Windows Server 2003, Windows XP Professional, Office 2003 и ISA Server 2000.
Объединение этих систем в единую инфраструктуру, обеспечивает следующие защитные функции:
Межсетевой экран ISA Server 2000.
ISA Server 2000 обеспечивает безопасные высокоскоростные соединения с Интернетом, защищая сетевую инфраструктуру от несанкционированного доступа, попыток взлома, атак злоумышленников и предотвращает несанкционированное использование Интернета сотрудниками. ISA Server 2000 - это межсетевой экран (Firewall), работающий на трех уровнях: сетевом, транспортном и уровне приложений. Он обеспечивает следующие возможности:
Администраторы могут легко задавать правила использования Интернета, применяя фильтрацию адресов URL, антивирусную проверку, балансировку нагрузки на интернет-соединение, создавать фильтры для перехвата, анализа и изменения данных, создавать детализированные отчеты проходящего трафика.
Усиленные политики безопасности рабочих станций.
В состав операционной системы Windows XP Professional включены специальные шаблоны групповых политик безопасности. В этих шаблонах представлены настройки для низкого, среднего и высокого уровней безопасности. Политики ограниченного использования программ позволяют администратору предотвратить исполнение нежелательных приложений, в том числе вирусов, "троянских коней" и приложений после установки которых возникают конфликты в работе системы.
Брандмауэр Windows XP.
Межсетевой экран (брандмауэр) Internet Connection Firewall (ICF) обеспечивает защиту настольных и переносных компьютеров при подключении к Интернету, особенно при постоянном подключении. Особенностью ICF является возможность применения групповой политики, учитывающей местонахождение компьютера. Хотя брандмауэр является автономным, его можно использовать при общем подключении Интернета с целью защиты локальной сети. Он блокирует все несанкционированные подключения, поступающие через интернет-соединение. Для этой цели в брандмауэре ICF применена NAT-таблица потоков с проверкой входящего трафика на соответствие записям в этой таблице.
Управление доступом в Интернет из корпоративной сети.
Обозреватель Internet Explorer 6.0 является усовершенствованным средством доступа в Интернет. Он поддерживает зоны и уровни безопасности, что предоставляет пользователям возможность управлять загрузкой информации и элементов управления из каждой зоны.
Краткая характеристика зон безопасности:
Описанные выше средства безопасности помогают защитить пользователей от многих видов атак. Объекты групповой политики и пользовательские параметры, применяемые в Internet Explorer, позволяют администраторам сети настроить безопасность каждой зоны.
Высокая безопасность веб-сервера.
Полнофункциональный веб-сервер нового поколения Internet Information Services (IIS) 6.0 является частью операционной системы Windows Server 2003 и обладает повышенной надежностью, эффективностью и управляемостью. Новые средства IIS, в том числе IIS LockDown, эффективно защищают сервер от атак. По умолчанию IIS 6.0 выполняется с минимальными привилегиями, что снижает риск его использования в качестве инструмента для вероятных несанкционированных действий.
Internet Information Services 6.0 способен осуществлять изоляцию пользователей FTP-сайтов, путем выделения им отдельных каталогов, без возможности перехода на более высокий уровень структуры каталогов. Это позволяет избежать несанкционированного доступа к файлам и документам других пользователей FTP-серверов.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.113 )
Курс "Системный администратор компьютерной сети".
vsit, Friday 05 May 2006 - 00:00:00
[newpage=Понятие безопасности] Средства безопасности и защиты информации Microsoft Windows.
За последнее время корпорация Microsoft предприняла кардинальные шаги для того, чтобы ее продукты стали более защищенными и безопасными. Еще в начале 2002 года была приостановлена работа более чем 8,5 тысяч инженеров-разработчиков Microsoft с целью проведения интенсивной проверки безопасности исходного кода Windows. Среди мероприятий по повышению безопасности Windows можно назвать следующие:
- Были изменены методы разработки ПО.
- Создана клиент-серверная служба Software Update Services (SUS), позволяющая быстро устанавливать обновления на серверы и рабочие станции.
- Windows Server 2003 теперь поставляется в конфигурации "безопасности по умолчанию", с максимально отключенными службами.
- В состав обозревателя Internet Explorer включена технология, расширяющая возможности пользователя по созданию необходимого ему уровню безопасности.
Этим и многим другим технологиям, значительно повышающим надежность и безопасность Windows посвящено это занятие.
Понятие информационной безопасности и угрозы безопасности.
Информационная безопасность любой автоматизированной системы обработки информации (в том числе и рабочих станций под управлением любой ОС) - это состояние, в котором она:
- способна противостоять угрозам (как внешним, так и внутренним) на обрабатываемую информацию;
- не является источником угроз для собственных элементов и окружающей среды.
Под угрозой вообще обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Соответственно угрозой информационной безопасности считается возможность реализации воздействия на информацию, обрабатываемую в компьютерной системе, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты системы, приводящего к утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления.
В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности, насчитывающий сотни пунктов. Для удобства их группируют в зависимости от свойств информации, которые могут быть нарушены в результате их реализацию. Обычно выделяют три группы:
- Угроза нарушения конфиденциальности. Заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней, т.е. угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".
- Угроза нарушения целостности. Предполагает любое незапланированное и несанкционированное изменение информации, хранящейся в системе или передаваемой из одной системы в другую. Санкционированными изменениями считаются те, которые сделаны уполномоченными лицами с обоснованной целью (например, запланированное изменение документов или базы данных). Целостность может быть нарушена в результате преднамеренных действий человека, а также - в результате возникновения случайной ошибки программного или аппаратного обеспечения.
- Угроза нарушения доступности (или угроза отказа служб). Возникает всякий раз, когда в результате некоторых событий (преднамеренных действий или ошибки) блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоянным - запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку выдачи ресурса, достаточно долгую для того, чтобы он стал бесполезным.
Обычно причинами возникновения угроз безопасности могут быть:
- целенаправленные действия злоумышленника;
- объективные воздействия со стороны среды эксплуатации, например, перепады напряжения в сети электропитания, природные явления и т.п.;
- стихийные бедствия и чрезвычайные ситуации;
- ошибки человека:
- разработчика - ошибки в реализации алгоритмов функционирования программного и аппаратного обеспечения;
- администратора - ошибки в настройке системы;
- пользователя - неквалифицированнее действия.
- разработчика - ошибки в реализации алгоритмов функционирования программного и аппаратного обеспечения;
Разрушающие программные воздействия.
В настоящее время достаточно важным разделом компьютерной безопасности является борьба с так называемыми разрушающими программными воздействиями (РПВ). Под разрушающим программным воздействием понимается программа, реализующая угрозы безопасности. В настоящее время существуют три типа РПВ:
- Компьютерные вирусы (computer virus) - деструктивные программы, которые способны в определенном окружении (например, под управлением конкретной ОС или другого ПО) создавать свои копии и внедрять их в объекты информационной системы, например файлы программ или документов. При этом термин "копия" употребляется весьма условно, поскольку на уровне последовательности выполняемых команд созданная "копия" может существенно отличаться от "оригинала-родителя". Важно, что сохраняется общая функциональная эквивалентность, а также способность к дальнейшему "размножению". Вирусы обычно классифицируются по управляющей среде. Выделяют следующие типы:
- загрузочные вирусы - вирусы, поражающие загрузочные области дисков (например, MBR) и работающие под управлением BIOS; как правило, функциональность таких вирусов определяется системой команд микропроцессора;
- файловые вирусы - вирусы, заражающие исполняемые файлы ОС и работающие под управлением ОС; функциональность этих вирусов также определяется системой команд микропроцессора и зависит от структуры исполняемых файлов ОС;
- макровирусы, скрипт-вирусы и т.п. - вирусы, написанные на макроязыках или скрипт-языках и управляемые пользовательскими приложениями (например, Microsoft Word); функциональность вирусов этого типа вирусов определяется мощностью макроязыка (скрипт-языка) и не зависит от ОС.
- загрузочные вирусы - вирусы, поражающие загрузочные области дисков (например, MBR) и работающие под управлением BIOS; как правило, функциональность таких вирусов определяется системой команд микропроцессора;
- Программы типа "червь" (worm) - программы, которые используют для своего распространения сеть. В отличие от вируса, классический "червь" не сохраняет своих копий на носителях и не внедряет их в такие объекты, как программы, документы или почтовые сообщения, копии передаются на удаленный компьютер и сразу исполняются в памяти. Весьма плодотворной средой для распространения "червей" некоторое время назад были сети под управлением ОС UNIX. В настоящее время, особенно в сетях Windows, где обычно не используется полноценная распределенная обработка классические "черви" не распространяются, но при этом достаточно "популярны" сетевые вирусы, использующие в качестве носителя передаваемые по сети файлы и сообщения электронной почты. Поэтому в настоящее время в понимании большинства пользователей размываются границы между двумя типами РПВ - "червями" и "сетевыми вирусами".
- Программы типа "троянский конь" (trojan) - программы, которые наряду с объявленными (документированные) разработчиками функциями выполняют недокументированные. Такого рода программы представляют собой обычное прикладное или системное программное обеспечение, например текстовый редактор, драйвер какого-либо устройства и не имеют средств самораспространения.
С точки зрения рядовых пользователей, не занимающихся обработкой информации высокой стоимости, проникновение в систему разрушающих программных воздействий, особенно компьютерных вирусов, является основной проблемой безопасности.
[newpage=Организация защиты информации.]
Организация защиты информации.
В настоящее время выделяют три уровня средств обеспечения защиты:
- юридические средства;
- административные средства;
- технические средства.
Юридические средства защиты.
Под юридическими средствами понимается нормативно-законодательный комплекс, включающий в себя документы и акты различных, регламентирующие вопросы защиты информации: мирового и межгосударственного, федерального (для Российской Федерации) и уровня субъекта Федерации. В частности, в Уголовном Кодексе Российской Федерации имеются следующие статьи:
- Статья 272 (Неправомерный доступ к компьютерной информации), устанавливает ответственность за "неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
- Статья 273 (Создание, использование и распространение вредоносных программ для ЭВМ) устанавливает ответственность за "внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации".
- Статья 274 (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети) предусматривает ответственность за "нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред". Понятие "существенности" вреда является оценочным и в каждом конкретном случае определяется индивидуально.
Наряду с УК РФ федеральными актами, регулирующими от части вопросы информационного права, являются "Закон об авторском праве и смежных правах" и "Закон о правовой охране программ для ЭВМ и баз данных".
Административные средства.
Административные средства, как правило, включают в себя комплекс мер, действующих в рамках организаций и предприятий и направленных на снижение ущерба, нанесенного реализацией какой-либо угрозы безопасности, например, заражением компьютерными вирусами. При разработке административных средств обычно планируют две группы мер:
Меры, направленных на предупреждения угроз безопасности. Обычно к этой группе относятся меры следующего характера:
- меры по внедрению и активному использованию технических средств предупреждения;
- правила, ограничивающие свободу действий пользователей;
- обучение неквалифицированных пользователей;
- меры по упорядочиванию информационных потоков в корпоративной сети и прав доступа.
Меры по выявлению фактов реализации угроз безопасности. Наиболее значимые среди них:
- внедрение, постоянная эксплуатация и обновление технических средств выявления фактов реализации угроз;
- обучение пользователей.
Технические средства.
В настоящее время существует большое разнообразие технических средств защиты. К числу таких средств относятся программные, аппаратные и программно-аппаратные комплексы, обеспечивающие выполнение различных функций защиты информации.
К ним относятся:
- Системы разграничения доступа и аудита доступа, обеспечивающие упорядочивание и отслеживание операций, производимых пользователями над объектами (файлами и папками). Подсистема безопасности ОС Windows обеспечивает разграничение доступа и аудит.
- Криптографические средства, обеспечивающие шифрование информации и механизмы проверки подлинности (цифровая подпись и сертификаты). Windows содержит ряд средств, обеспечивающих криптографическую защиту.
- Антивирусные мониторы, фильтры, сканеры.
- Межсетевые экраны (брандмауэры) и шлюзы. Службы удаленного доступа (RRAS) и обеспечения общего доступа для подключения к Интернету (ICS) Windows выполняют функции межсетевых экранов.
- Средства обеспечения отказоустойчивости и резервного копирования. В Windows имеется встроенная поддержка резервного копирования и отказоустойчивых дисковых массивов.
В следующих разделах более подробно рассматриваются средства защиты информации, встроенные в Windows.
Оценка защищенности операционных систем.
Для оценки защищенности операционных систем используются стандарты, разработанные для компьютерных систем вообще. Рассмотрим две наиболее часто применяемые в России системы стандартов такого рода.
"Оранжевая книга". Наиболее известным стандартом безопасности компьютерных систем является документ под названием "Критерии безопасности компьютерных систем" (Trusted Computer System Evaluation Criteria), разработанный Министерством обороны США в 1983 г. Этот документ более известен под неформальным названием Оранжевая книга. Согласно "Оранжевой книге" все защищенные компьютерные системы делятся на семь классов от D1 (минимальная защита, фактически отсутствие всякой защиты) до A1 (максимальная защита).
Руководящие документы Гостехкомиссии. В 1992 г. Гостехкомиссия при Президенте Российской Федерации опубликовала пять руководящих документов, посвященных вопросам защиты компьютерных систем. В документе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" установлено семь классов защищенности средств вычислительной техники. Самые низкие требования предъявляются к классу 7, самые высокие - к классу 1. Требования этих классов в основном соответствуют аналогичным требованиям "Оранжевой книги".
[newpage=Система безопасности Windows ]
Система безопасности Windows XP Professional и Windows Server 2003.
Полная, надежная и защищенная инфраструктура на основе Windows Server 2003, ISA Server 2000, Windows XP Professional, Office 2003 обеспечивает максимальную безопасность корпоративной сети. На данном занятии мы рассмотрим основные решения по обеспечению безопасности на серверной платформе Windows Server 2003 и рабочих станциях Windows XP Professional.
- Защита локальной сети и данных от несанкционированного доступа:
Аутентификация и контроль доступа- Система управления доступом распределяет полномочия пользователей в сети, устанавливает права доступа к приложениям и файлам на основе шаблонов и правил.
- Система аудита позволяет выявлять нежелательные события, например, несанкционированный вход в систему или попытку фальсифицировать данные.
- Система аутентификации пользователей обеспечивает однократную регистрацию в сети по протоколу Kerberos.
- Аутентификация с использованием смарт-карт, встроенная в Windows XP и Windows Server 2003, обеспечивает дополнительную защиту сети от несанкционированного доступа.
Защита данных- Политика ограничений на исполнение программ дает возможность централизованной установки списка допустимых приложений, с целью заблокировать выполнение на рабочих станциях неизвестных программ.
- Служба управления правами (Digital Rights Management System, DRMS) дает пользователям возможность назначать доступ к данным определенным пользователям и предоставлять им права доступа. На уровне сервера выполняются функции администрирования правами и политиками. Пользователи могут назначать правовые политики для клиентских приложений, например электронного письма или текстового документа.
- Центр сертификации, встроенный в Windows Server 2003, предназначен для построения инфраструктуры открытых ключей. Использование цифровых подписей обеспечивает дополнительную безопасность документооборота.
- Встроенные средства шифрования Windows XP обеспечивают защиту документов и конфиденциальных сведений (подпись и шифрование).
- Шифрующая файловая система (Encrypting File System, EFS) позволяет защитить данные, расположенные на жестком диске (только для формата NTFS).
- Поддержка протокола IPSec повышает уровень безопасности передачи данных как в интрасети, так и через Интернет.
- Безопасность беспроводных соединений (протокол 802.1х) обеспечивается благодаря поддержке автоматического управления ключами, реализованной как в Windows Server 2003, так и в Windows XP.
- Организация виртуальных частных сетей (VPN) обеспечивает безопасную передачу данных через каналы Интернет.
- Система управления доступом распределяет полномочия пользователей в сети, устанавливает права доступа к приложениям и файлам на основе шаблонов и правил.
- Обеспечение надежного бесперебойного доступа к данным и приложениям:
Надежность- Служба теневого копирования позволяет восстанавливать старые версии файлов данных или удаленные файлы.
- Снижение времени незапланированных простоев из-за сбоев и некорректной работы операционной системы.
- Увеличение устойчивости к атакам и выводу системы из строя за счет улучшения программного кода.
Безопасность
Система своевременного обновления (Windows Update; Office Update и Software Update Services, SUS) обеспечивает быструю установку обновлений и исправлений для обнаруженных ошибок. - Служба теневого копирования позволяет восстанавливать старые версии файлов данных или удаленные файлы.
- Средства анализа безопасности системы, в частности Microsoft Baseline Security Analyzer (MBSA), служит для обнаружения основных уязвимостей программного обеспечения компьютеров.
- Защита от вирусов, спама и внешних атак:
- Межсетевой экран ISA Server 2000 надежно защищает локальную сеть на трех уровнях: сетевом, транспортном и уровне приложений.
- Усиленные политики безопасности рабочих станций Windows XP Professional позволяют предотвратить исполнение нежелательных приложений, в том числе вирусов и "троянских коней".
- Брандмауэр Internet Connection Firewall (ICF), встроенный в Windows XP, обеспечивает защиту компьютеров при подключении к сети Интернет.
- Управление доступом в Интернет из корпоративной сети позволяет защитить компьютеры от исполнения вредоносного кода и объектов ActiveX.
- Высокая безопасность веб-сервера Internet Information Services (IIS) 6.0, являющегося частью Windows Server 2003, обеспечивает его надежную работу и защиту сервера от атак.
- Межсетевой экран ISA Server 2000 надежно защищает локальную сеть на трех уровнях: сетевом, транспортном и уровне приложений.
Защита локальной сети и данных от несанкционированного доступа.
Защита локальной сети и данных актуальна на всех уровнях корпоративной инфраструктуры, т.к. затрагивает безопасность серверов и рабочих станций. Microsoft предлагает целостное решение по построению информационной системы, основанной на серверной платформе Windows Server 2003 и рабочих станциях Windows XP Professional.
В систему защиты сети и данных от несанкционированного доступа входят следующие технологии:
- Система управления доступом
- Система аудита
- Система аутентификации пользователей
- Аутентификация с использованием смарт-карт
- Политика на ограничение использования программ
- Служба управления правами
- Центр сертификации
- Встроенные средства шифрования
- Шифрующая файловая система EFS
- Поддержка протокола IPSec
- Безопасность беспроводных соединений
- Организация виртуальных частных сетей (VPN)
[newpage=Система управления доступом.]
Система управления доступом.
Система управления доступом распределяет полномочия пользователей в сети, устанавливает права доступа к приложениям и файлам на основе шаблонов и правил.
Основными компонентами системы являются:
- Разрешение на доступ.
- Таблица фактического доступа.
- Контроль удаленного доступа.
Разрешение на доступ.
Разрешение на доступ присваивается пользователям, группам пользователей или компьютерам для получения доступа к файлам, объектам Active Directory или реестру.
Чтобы установить или изменить права доступа к файлу надо в Проводнике выбрать Свойства файла (папки) и на вкладке Безопасность установить необходимые права доступа. При создании файла создатель получает статус собственника ресурса и обладает правами администратора данного файла. Права собственника могут быть переданы.
Разные объекты могут обладать различными типами разрешения доступа. Права доступа могут наследоваться в иерархических структурах.
Таблица фактического доступа.
С помощью таблицы фактического доступа (Effective Permissions tab) администратор может контролировать фактический доступ к папкам и файлам для отдельных пользователей и групп. Для того, чтобы открыть вкладку Фактического доступа щелкните кнопку Дополнительно окна свойств файла (папки).
Контроль удаленного доступа.
Управление контролем удаленного доступа осуществляется через групповую политику удаленного доступа. Рекомендуется ограничить удаленный доступ определенных групп пользователей к общим сетевым ресурсам, например, отключить доступ для анонимных пользователей (anonymous), гостевой доступ (guest) и доступ для всех (everyone).
Система аудита.
С помощью консоли Локальная политика безопасности администратор может осуществлять контроль системных событий. Аудит позволяет вести контроль таких событий, как неудачные попытки входа в систему и выхода из нее, обнаружение нарушителей системы безопасности, доступ к объектам, управление группами пользователей и учетными записями групп
Операционная система регистрирует в специальном журнале, потенциально опасные события. С помощью средства просмотра событий можно просматривать журнал безопасности. Политика аудита позволяет определять, для каких событий должен проводиться аудит.
Windows позволяет регистрировать в журнале аудита события следующих категорий:
- вход/выход пользователя из системы;
- доступ пользователей к объектам;
- использование субъектами доступа опасных привилегий;
- изменения в списке пользователей;
- изменения в политике безопасности;
- системные события;
- запуск и завершение процессов.
Для каждого класса событий могут регистрироваться
- успешные события;
- неуспешные (при выполнении операции произошла ошибка, в том числе отказ в доступе);
- и те, и другие.
B Windows считаются опасными следующие привилегии пользователей:
- получать оповещения от файловой системы;
- добавлять записи в журнал аудита;
- создавать маркеры доступа;
- назначать маркеры доступа процессам;
- создавать резервные копии информации, хранящейся на жестких дисках;
- восстанавливать информацию на жестких дисках с резервных копий;
- отлаживать программы.
Система аутентификации пользователей.
Ни один пользователь не может начать работу с операционной системой, не зарегистрировавшись в системе. Аутентификация позволяет пользователю регистрироваться в домене на любом рабочем месте при помощи парольного входа или смарт-карты.
В терминологии Windows процесс аутентификации довольно часто называется проверкой подлинности.
Kerberos v5 - протокол проверки подлинности в сети, реализующий механизм взаимной аутентификации клиента и сервера. Изначально обмен информацией происходит в незащищенном режиме, учитывая что клиент и сервер находятся в открытой сети, где пакеты могут быть перехвачены и модифицированы. Kerberos v5 обладает высокоэффективным механизмом проверки подлинности, предназначенном для работы в чрезвычайно сложных сетевых средах.
Основная идея протокола состоит в том, что вместо пароля клиент и сервер обмениваются криптографическими ключами предоставляемыми службой Key Distribution Center, KDC.
Аутентификация с использованием смарт-карт.
Встроенная в Windows XP и Windows Server 2003 функция аутентификации с использованием смарт-карт, позволяет строить сети с высоким уровнем защиты. Смарт-карты позволяют хранить входные пароли, открытые и личные ключи и другую конфиденциальную информацию. Смарт-карта избавляет пользователя от необходимости запоминать сложные пароли или применять простые пароли, что снижает безопасность системы.
Для входа в систему пользователю не надо нажимать сочетание клавиш Ctrl-Alt-Del и вводить пароль, достаточно просто вставить смарт-карту в читающее устройство. Однако, пользователь должен ввести PIN-код для аутентификации по отношению к смарт-карте. PIN-код, в отличие от пароля, не передается по сети, поэтому он не может быть перехвачен злоумышленником, что повышает безопасность сети.
В качестве дополнительного средства защиты применяется блокировка смарт-карты после нескольких неудачных попыток ввести PIN-код.
Стандарты смарт-карт.
Windows XP и Windows Server 2003 работают со стандартными смарт-картами и устройствами для чтения смарт-карт, поддерживающими спецификацию PC/SC (Personal Computer/ Smart Card), определенную рабочей группой PC/SC Workgroup, а также технологию Plug-and-Play. Конструктивно и по электрическим характеристикам смарт-карта должна соответствовать стандартам ISO 7816-1, 7816-2, 7816-3. Устройство чтения смарт-карт подключается к стандартным разъемам, таким как RS-232, PS/2, PCMCIA, USB.
В операционной системе Windows Server 2003 возможна также аутентификация пользователей по его биометрическим параметрам.
[newpage=Политика ограничений ]
Политика ограничений на исполнение программ.
Политика ограничений на исполнение программ дает возможность создать централизованно список допустимых приложений, с целью заблокировать выполнение на рабочих станциях неизвестных программ или вредоносного кода. Эта функция построенная на основе политики для идентификации программного обеспечения. Она определяет нежелательное или враждебное программное обеспечение запрещает его исполнение на компьютерах. Политика ограничений на исполнение программ работает только в домене, а значит не может использоваться в одноранговых сетях на базе Windows XP Professional и на компьютерах с ОС Windows XP Home Edition.
Существует два варианта установки правил ограничения:
- На все программное обеспечение устанавливается запрет на исполнение, затем создается список разрешенных к выполнению программ.
- Разрешается запуск любых программ и создается список запрещенных к исполнению программ. Доступ к программам определяется правами пользователя.
При создании файла, создается уникальный цифровой "отпечаток пальцев" файла (хеш), который хранится вместе с файлом. Хеш не меняется при перемещении или переименовании файла. Однако, при внесении изменений в файл, хеш тоже меняется. Как правило код программы не меняется и хеш точно идентифицирует файл. Можно создавать правило для хеша, чтобы идентифицировать разрешаемую или запрещаемую для исполнения программу.
Также можно идентифицировать программы по полному пути, указав папку, программы из которой запускаться не будут (или будут, в зависимости от того, какое правило необходимо создать).
Правило для хеша имеет приоритет над правилом для пути. Из двух похожих правил для пути, приоритет имеет правило с большим ограничением.
Можно вести журнал примечаний политик ограничений на исполнение программ.
Служба управления правами.
Служба управления правами (Rights Management Services, RMS) поможет пользователям контролировать и защищать электронную информацию. Используя политику безопасности, служба RMS дает пользователям возможность назначать доступ к данным, включая закрытую деловую информацию и другие жизненно важные ресурсы сети. Например, можно разрешить использовать файл с данными только для просмотра. Такой файл нельзя распечатать, скопировать или вставить данные в другую программу. То же правило можно применить и к сообщениям электронной почты. В качестве дополнительной меры предосторожности можно указать, что электронное сообщение невозможно редактировать и переадресовывать. Так же можно установить ограничение по времени, и спустя указанный срок документ станет недоступен.
Компоненты Службы управления правами (RMS):
- Серверная часть Службы управления правами, устанавливается на платформе Windows Server 2003 и обрабатывает основные функции лицензирования, активации оборудования, регистрации и администрирования.
- Клиентская часть Службы управления правами будет доступна для пользователей Windows 98 Second Edition и более поздних версий операционных системы Microsoft. Пользователи могут назначать правовые политики для клиентских приложений.
Для повышения уровня защиты в Службе управления правами используется язык XrML (Extensible Rights Markup Language), являющийся новым стандартом языка с поддержкой прав доступа. Язык XrML, основанный на языке XML, представляет простое в использовании средство создания прав и политик при работе с электронными документами.
Центр сертификации.
Центр сертификации, встроенный в Windows Server 2003, объединяет службы сертификации и средства управления сертификатами, и предназначен для организации защищенного документооборота с использованием электронных цифровых подписей. Используя инфраструктуру открытого ключа (PKI), центр сертификации может реализовывать следующие технологии:
- поддержку входа со смарт-картой,
- проверка подлинности клиента с использованием SSL (Secure Sockets Layer) и TLS (Transport Layer Security),
- безопасная электронная почта,
- цифровые подписи,
- защита сетевого трафика с помощью IPSec (Internet Protocol Security).
Операционная система Windows XP Professional хранит сертификаты в персональном хранилище, расположенном в папке Documents and Setting\<имя_пользователя>\ApplicationData\Microsoft\SystemCertificates\My\Certificates. При каждом входе в систему компьютера сертификаты записываются в локальном реестре.
Встроенные средства шифрования.
Приложения Microsoft Office XP и Office 2003 для защиты документов используют встроенные средства шифрования. Пользователи могут шифровать файлы с данными, используя пароль в качестве ключа. Такое шифрование отличается от использования шифрующей файловой системы (EFS) тем, что здесь файл передаваемый по сети остается зашифрованным, тем самым позволяя гарантировать защиту информации пользователя как во время хранения, так и во время пересылки.
Применяя эту модель обеспечения безопасности в Microsoft Outlook 2002 и Outlook 2003, пользователи могут обмениваться безопасными сообщениями электронной почты, как через Интернет, так и внутри организации.
Шифрующая файловая система EFS.
Шифрующая файловая система (Encrypting File System, EFS) предназначена для защиты файлов, хранящихся на жестких дисках формата NTFS. Шифрование файлов происходит на физическом уровне, и пользователь работает с шифрованными файлами и папками так же, как и с незашифрованными. При этом неавторизованные пользователи не смогут открыть зашифрованные файлы и папки, даже получив физический доступ к компьютеру.
Применение шифрующей файловой системы особенно удобно при работе нескольких пользователей на одном компьютере или для мобильных пользователей, которые сталкиваются с повышенным риском кражи и потери компьютера. Даже если злоумышленник извлечет жесткий диск и подключит его к другому компьютеру, он не сможет овладеть конфиденциальной информацией.
Шифрующая файловая система не используется при передачи файлов по сети. Файл сначала расшифровывается, а затем в обычном виде передается по сети. За безопасную передачу данных по сети отвечают другие службы (например, протокол IPSec), шифрующая файловая система EFS отвечает только за безопасное хранение данных.
Основные свойства EFS:
- Пользователи Windows 2000, Windows XP и Windows Server 2003 могут зашифровать каталоги NTFS томов, при этом все файлы в закрытых каталогах будут зашифрованы.
- Система EFS поддерживает шифрование удаленных файлов, даже при их совместном использовании.
- При необходимости зашифрованные данные могут быть восстановлены при помощи EFS.
- Политика восстановления данных для каждой группы пользователей может быть сконфигурирована своя, а контроль за соблюдением этой политики может делегироваться другим пользователям.
- Восстановление данных в EFS - закрытая операция, при которой расшифровываются сами данные, но не ключ пользователя, при помощи которого эти данные были зашифрованы.
- Шифрование и расшифрование происходит незаметно для пользователя, в процессе записи и считывания данных с диска.
- Средства резервного копирования от Microsoft поддерживают систему шифрования EFS и позволяют копировать и восстанавливать зашифрованные файлы без их расшифровки.
- Система EFS гарантирует, что все создаваемые копии будут зашифрованы.
Усовершенствованная система шифрования EFS в Windows Server 2003 позволяет выполнять авторизацию дополнительных пользователей для доступа к зашифрованным данным, шифровать автономные файлы, а также хранить зашифрованные файлы в веб-папках.
Поддержка протокола IPSec.
Протокол IP не имеет механизма безопасности, поэтому пакеты, передаваемые по сети, легко перехватывать и фальсифицировать. Протокол IPSec был разработан с целью обеспечить безопасность пересылаемых по сети данных и выполняет две основные задачи:
- защита IP-пакетов
- защита от сетевых атак
Для защиты IP-пакетов в IPSec служат криптографические механизмы. Они защищают пакеты путем шифрования, используя алгоритм и ключ. Секретный ключ создается на каждом компьютере локально и никогда не передается по сети. На основе этого ключа, используя специальный алгоритм, компьютеры создают общий ключ, который станет частью политики IPSec. С помощью общего ключа информация шифруется отправителем и дешифруется получателем.
Помимо защиты на физическом уровне, IPSec обеспечивает безопасность на основе правил политики. Контроль доступа в IPSec обеспечивается за счет фильтров и указанных для них действий. Действия фильтров определяются требованиями к безопасности и могут выполнять три основные функции:
политику сквозного трафика (защита выключена). Данная настройка применима когда удаленный компьютер не поддерживает IPSec или для сети не нуждающейся в защите.
*политику блокировки (запрет соединения), например, если необходимо заблокировать опасный компьютер.
*политику согласования защиты (защита включена частично). Позволяет соединяться с компьютером, но используя ряд ограничений.
В правилах могут использоваться различные методы аутентификации, например:
- протокол безопасности Kerberos v5
- сертификаты открытого ключа
- общий ключ
Новые возможности протокола IPSec реализованы в операционной среде Windows Server 2003. Среди них:
- Фильтрация сетевого трафика в процессе загрузки операционной системы, вплоть до полной блокировки трафика до тех пор, пока не начнет действовать политика IPSec
- Использование 2048-битных ключей для протокола IKE (Internet Key Exchange)
- Приложение IP SM (IP Security Monitor) позволяющее конфигурировать политику IPSec.
- Утилита командной строки Netsh, позволяющая управлять параметрами и правилами протокола IPSec.
Безопасность беспроводных соединений.
Повышенный уровень безопасности в беспроводных сетях (стандарт 802.1х) обеспечивается за счет поддержки автоматического управления ключами, а также проверки подлинности и авторизации пользователей перед доступом к локальной сети. При использовании подключений с длительным временем ожидания быстрая восстанавливаемость практически исключает возможность повреждения пакетов и разъединения.
Операционная система Windows XP позволяет подключить к компьютеру различные переносные устройства (сотовые телефоны, компьютеры, и т.д.) благодаря встроенной поддержке средств беспроводной передачи данных.
Организация виртуальных частных сетей (VPN).
С помощью виртуальной частной сети (VPN) можно предоставить пользователю безопасный доступ к локальной сети используя сеть Интернет.
Операционная система Windows Server 2003 реализует два типа VPN-технологий:
- протокол PPTP (Point-to-Point Tunneling Protocol), применяющий методы проверки подлинности PPP (Point-to-Point Protocol) на уровне пользователя и шифрование данных MPPE (Microsoft Point-to-Point Encryption);
- протокол L2TP (Layer Two Tunneling Protocol) с IPSec. L2TP применяет методы проверки подлинности PPP на уровне пользователя и сертификаты с шифрованием данных IPSec на уровне компьютера.
версия Windows | количество одновременных VPN-подключений | |
Windows Server 2003 Enterprise Edition Windows Server 2003 Datacenter Edition | неограниченное число | |
| Windows Server 2003 Standard Edition | 1000 | 100 портов PPTP 100 портов L2TP |
| Windows Server 2003 Web Edition | 1 | |
[newpage=Обеспечение надежного бесперебойного доступа к данным и приложениям.]
Обеспечение надежного бесперебойного доступа к данным и приложениям.
Операционные системы Windows Server 2003 и Windows XP Professional обеспечивают высочайший уровень надежности работы системы и приложений, а также доступности данных. Этому способствуют следующие компоненты:
- Служба теневого копирования
- Снижение времени простоев
- Увеличение устойчивости к атакам и выводу системы из строя
- Система своевременного обновления
- Средства анализа безопасности системы
Служба теневого копирования.
В операционной системе Windows Server 2003 реализован новых механизм, входящий в состав файловых служб - Служба теневого копирования томов. Эта служба создает мгновенные снимки состояния томов, обеспечивая архивацию файлов. Данная технология позволяет пользователю быстро восстанавливать удаленные файлы или старые версии файлов.
Служба теневого копирования реализуется только на томах NTFS-формата. Она позволяет создавать копии томов по расписанию. При очередном создании копии, служба теневого копирования записывает на диск не полную копию, а только изменения, произошедшие после предыдущего копирования, тем самым экономя место на диске.
Снижение времени простоев.
Windows Server 2003 отличается тщательной оптимизацией и отладкой системного кода, в нем значительно усилена защита ядра и улучшены алгоритмы работы с памятью. Увеличение надежности удалось добиться за счет снижения времени плановых простоев:
- все необходимые обновления выполняются всего с одной перезагрузкой, более того, 40% критических обновлений устанавливаются без перезагрузки.
- Windows Server 2003 поддерживает "горячее" добавление и удаление PCI-устройств и оперативной памяти.
- Нет необходимости перезагружать сервер, чтобы выгрузить из памяти зависшее приложение. Неиспользуемые приложения автоматически выгружаются по истечении определенного периода времени.
Все драйверы в Windows Server 2003 проходят тестирование на совместимость и подписываются, что снижает количество неплановых простоев системы из-за неработающего драйвера. Так же поддерживается возможность автоматического возврата к предыдущей версии драйвера, если вновь установленный драйвер отрицательно влияет на производительность сервера.
Увеличение устойчивости к атакам и выводу системы из строя.
В 2002 году была корпорацией Microsoft была проведена интенсивная проверка кода Windows и других приложений компании на предмет безопасности. Качество программного кода возросло за счет устранения стандартных ошибок, приводящих к уязвимости систему. Эти меры позволили существенно повысить безопасность системы Windows Server 2003.
Система своевременного обновления.
Для обеспечения безопасности сетевой инфраструктуры и отдельных рабочих мест необходимо устанавливать обновления раньше, чем появятся программы, использующие бреши в защите. Система своевременного обновления программного обеспечения обеспечивает быструю установку обновлений и исправлений для обнаруженных уязвимостей. Система состоит из двух основных служб Windows Update и Software Update Services (SUS).
Windows Update является самостоятельной клиентской системой установки обновлений. Она использует веб-сайт Windows Update для ручной загрузки пакетов обновлений и оперативных исправлений.
Software Update Services (SUS) - это новое средство для автоматических обновлений (Automatic Updates), позволяющее использовать ваш собственный сервер Windows Update в локальной сети. SUS предоставляет следующие возможности:
- Точно задавать, какие обновления доступны пользователям,
- Максимально и централизовано использовать обновления на клиентских машинах,
- Сводить к минимуму использование сети Интернет для установки обновлений на компьютеры пользователей.
Установку обновлений и исправлений, а так же настройку автоматического обновления клиента, можно осуществлять посредством сервера SMS. Это более мощное, по сравнению с SUS, средство автоматического обновления, использующее множество дополнительных возможностей.
Средства анализа безопасности системы.
Важнейшим элементом обеспечения безопасной работы системы является наличие самых свежих обновлений. Microsoft Baseline Security Analyzer (MBSA) позволяет домашнему и корпоративному пользователю или администратору сканировать один или более компьютеров с операционной системой Windows на предмет обнаружения основных уязвимостей. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, содержащей информацию об обновлениях.
[newpage=Защита от вирусов, спама и внешних атак.]
Защита от вирусов, спама и внешних атак.
В сфере информационной безопасности наиболее актуальны проблемы спама, ограничения доступа к нежелательным сетевым ресурсам и защита от вирусов. Эффективная система информационной безопасности должна базироваться только на комплексном решении, что обеспечивает совместное использование Windows Server 2003, Windows XP Professional, Office 2003 и ISA Server 2000.
Объединение этих систем в единую инфраструктуру, обеспечивает следующие защитные функции:
- Межсетевой экран ISA Server 2000
- Усиленные политики безопасности рабочих станций
- Брандмауэр
- Управление доступом в Интернет из корпоративной сети
- Высокая безопасность веб-сервера
Межсетевой экран ISA Server 2000.
ISA Server 2000 обеспечивает безопасные высокоскоростные соединения с Интернетом, защищая сетевую инфраструктуру от несанкционированного доступа, попыток взлома, атак злоумышленников и предотвращает несанкционированное использование Интернета сотрудниками. ISA Server 2000 - это межсетевой экран (Firewall), работающий на трех уровнях: сетевом, транспортном и уровне приложений. Он обеспечивает следующие возможности:
- контроль состояния соединений
- обнаружение вторжений
- усиление защиты системы
- интеллектуальные фильтры приложений
- увеличивает пропускную способность Интернет-соединений благодаря кэшированию часто посещаемых веб-сайтов
- эффективное масштабирование
Администраторы могут легко задавать правила использования Интернета, применяя фильтрацию адресов URL, антивирусную проверку, балансировку нагрузки на интернет-соединение, создавать фильтры для перехвата, анализа и изменения данных, создавать детализированные отчеты проходящего трафика.
Усиленные политики безопасности рабочих станций.
В состав операционной системы Windows XP Professional включены специальные шаблоны групповых политик безопасности. В этих шаблонах представлены настройки для низкого, среднего и высокого уровней безопасности. Политики ограниченного использования программ позволяют администратору предотвратить исполнение нежелательных приложений, в том числе вирусов, "троянских коней" и приложений после установки которых возникают конфликты в работе системы.
Брандмауэр Windows XP.
Межсетевой экран (брандмауэр) Internet Connection Firewall (ICF) обеспечивает защиту настольных и переносных компьютеров при подключении к Интернету, особенно при постоянном подключении. Особенностью ICF является возможность применения групповой политики, учитывающей местонахождение компьютера. Хотя брандмауэр является автономным, его можно использовать при общем подключении Интернета с целью защиты локальной сети. Он блокирует все несанкционированные подключения, поступающие через интернет-соединение. Для этой цели в брандмауэре ICF применена NAT-таблица потоков с проверкой входящего трафика на соответствие записям в этой таблице.
Управление доступом в Интернет из корпоративной сети.
Обозреватель Internet Explorer 6.0 является усовершенствованным средством доступа в Интернет. Он поддерживает зоны и уровни безопасности, что предоставляет пользователям возможность управлять загрузкой информации и элементов управления из каждой зоны.
Краткая характеристика зон безопасности:
- Зона местной интрасети. В эту зону входят все сетевые подключения установленные с использованием пути не содержащем точку (например http://microsoft). По умолчанию для этой зоны установлен уровень безопасности "ниже среднего" (для Internet Explorer версий 5 и 6).
- Зона надежных узлов. В эту зону входят веб-узлы, занесенные пользователем в список надежных узлов, например расположенные в интрасети организации или поддерживаемые солидными компаниями. Для этой зоны установлен низкий уровень безопасности.
- Зона ограниченных узлов. К этой зоне относятся узлы, не принадлежащие к числу надежных. Ни один узел не включен в эту зону по умолчанию, для этой зоны установлен высокий уровень безопасности.
- Зона Интернета. В эту зону входят все узлы, не включенные в остальные зоны.
Описанные выше средства безопасности помогают защитить пользователей от многих видов атак. Объекты групповой политики и пользовательские параметры, применяемые в Internet Explorer, позволяют администраторам сети настроить безопасность каждой зоны.
Высокая безопасность веб-сервера.
Полнофункциональный веб-сервер нового поколения Internet Information Services (IIS) 6.0 является частью операционной системы Windows Server 2003 и обладает повышенной надежностью, эффективностью и управляемостью. Новые средства IIS, в том числе IIS LockDown, эффективно защищают сервер от атак. По умолчанию IIS 6.0 выполняется с минимальными привилегиями, что снижает риск его использования в качестве инструмента для вероятных несанкционированных действий.
Internet Information Services 6.0 способен осуществлять изоляцию пользователей FTP-сайтов, путем выделения им отдельных каталогов, без возможности перехода на более высокий уровень структуры каталогов. Это позволяет избежать несанкционированного доступа к файлам и документам других пользователей FTP-серверов.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.113 )