Средства защиты информации в глобальных компьютерных сетях и ОС. (Лекция 8) презентация

защиты информации в глобальных компьютерных сетях.
Защита от несанкционированной загрузки ОС.
Разграничение прав пользователей в ОС Windows.
Дискреционное разграничение доступа к объектам.

разграничения доступа, аудита и правильности их настроек с точки зрения безопасности информации в КС;
контроль целостности системного и прикладного программного обеспечения КС;
проверка наличия известных, но неустраненных уязвимостей в системных и прикладных программах, используемых в КС и др.

и выдают результаты своей работы в виде отчетов, которые могут быть конвертированы в различные форматы (электронных таблиц Microsoft Excel, баз данных Microsoft Access и т.п.)..

защищенность компьютерной системы «извне»).

может иногда вызывать сбои в работе анализируемых систем);
малый срок эффективной эксплуатации (не учитываются новые обнаруженные уязвимости, которые и являются наиболее опасными);
возможность использования нарушителями в целях подготовки к атаке на КС.

журналов безопасности операционной системы, журналов МСЭ и других системных и сетевых служб).
Уровня сети (инспекция пакетов данных непосредственно в каналах связи), которые могут размещаться последовательно или параллельно с межсетевым экраном, маршрутизатором, коммутатором или концентратором.

известных атак.
Работают в реальном масштабе времени и реагируют на попытки использования известных уязвимостей КС или несанкционированного исследования защищенной части сети организации.
Ведут журнал регистрации зафиксированных событий для последующего анализа.

пропуска неизвестных атак;
необходимость постоянного обновления базы данных с шаблонами атак;
сложность определения реакции этих средств на обнаруженные попытки атаки.

производительности труда сотрудников.
Снижение пропускной способности сети организации для деловых нужд.
Утечки конфиденциальной информации.
Репутационный ущерб для организации.

информации.
Поддержка и анализ различных форматов представления данных.
Возможность построения гибкой политики безопасности на уровне отдельных пользователей и групп.
Сбор статистики (при необходимости руководство может получить практически любую информацию: кто и когда посещал какие сайты и Web-страницы, отсылал почту через Web-интерфейс, какие файлы какого объема закачивал и пр.).

загрузки другой ОС со съемного носителя.
Защита от загрузки ОС в нештатном режиме.

Setup с помощью функции Set User Password (или аналогичной ей) при выбранном для параметра Security Option (или аналогичного ему) значении System в окне настроек функции Advanced BIOS Features (или аналогичной ей).
Максимальная длина пароля, устанавливаемого программой BIOS Setup, равна 8 символам.

операционной системы или при попытке вызвать программу BIOS Setup пользователю будет предложено ввести пароль.

пароля перед загрузкой операционной системы ограничено тремя, что делает практически невозможным подбор пароля).

Недостатки:
один пароль для всех работающих пользователей;
сложность замены пароля;
поскольку хеш-значение пароля сохраняется в CMOS-памяти компьютера, нарушитель может прочитать его с помощью специальной программы после получения доступа к компьютеру после загрузки операционной системы;
существование так называемых «технических» паролей программы BIOS Setup.

помощью программы BIOS Setup:
Функция Advanced BIOS Features (или аналогичная в программах других производителей) позволяет установить порядок применения устройств при загрузке операционной системы.
Для обеспечения наибольшей безопасности загрузка должна всегда начинаться (First Boot Device) с жесткого диска (HDD-0), а при невозможности загрузки с жесткого диска продолжаться (Second Boot Device) с дискеты (Floppy) или компакт-диска (CDROM).

устанавливаемых программой BIOS Setup, должен быть разрешен только администратору КС:
С помощью функции Set Supervisor Password этой программы (или аналогичной) необходимо установить пароль администратора.
Без ввода этого пароля будет невозможен вызов программы BIOS Setup и изменение ее настроек.

процедуру загрузки операционной системы Windows, чтобы загрузить ее в так называемом режиме защиты от сбоев или в режиме командной строки:
Чтобы отменить эту возможность, необходимо изменить в текстовом файле boot.ini в секции [boot loader] значение параметра timeout на 0 (или сделать это в окне Панель управления | Система | Дополнительно | Параметры загрузки).

отдельных компонент системы (оснастка Редактор объектов групповой политики, gpedit.msc).
Назначение им прав на использование возможностей системы в целом, напрямую связанных с безопасностью (оснастка Локальная политика безопасности, secpol.msc).

Панели управления или ее отдельных функций;
удаление команд «Выполнить» и «Поиск» из меню Пуск;
запрет на выполнение программ в сеансе командной строки;
запрет блокирования компьютера и завершения работы с операционной системой (в том числе ее перезагрузки);

отдельного списка;
запрет на отображение структуры локальной сети;
скрытие дисков в папке «Мой компьютер» и в окне Проводника;
удаление меню «Файл» из Проводника и др.

будет автоматически запускать или открывать при входе пользователя в систему;
задание обязательного применения дисковых квот и запрещение пользователям изменять этот параметр;
возможность Windows использовать доступ к Интернету для выполнения задач, требующих обращения к ресурсам Интернета и др.

пользователей (разделах реестра HKEY_CURRENT_USER \ Software \ Policies (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies) и HKEY_LOCAL_MACHINE \ Software \ Policies (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies)). Поэтому обязательным является запрет на использование средств редактирования реестра и оснастки для редактирования объектов групповой политики непривилегированными пользователями.

пользователей в Active Directory. В этом случае после входа пользователя КС в домен с любого компьютера информация об установленных для него ограничениях из перемещаемого профиля на сервере заместит соответствующие разделы реестра на использованном для входа в систему компьютере.

времени.
Доступ к компьютеру из сети.
Овладение файлами или иными объектами.
Управление аудитом и журналом безопасности.
Отладка программ и др.

выполнение действий, относящихся к системе в целом, а не к отдельным ее объектам. Каждому праву соответствует уникальный локальный идентификатор LUID (locally unique identifier), определяемый строкой символов (например, SE_SYSTEMTIME_NAME). Для отображения пользователю содержания конкретного права с ним также связывается текстовая строка (например, «Изменение системного времени» или «Change the system time»). Внутреннее представление информации о праве зависит от конкретной реализации и не документировано.

содержится в их учетных записях в файле SAM.

ресурсам компьютерной системы (отдельным файлам, папкам, разделам реестра, устройствам), т.е. определения правил на применение субъектами различных видов доступа (чтение, запись, выполнение, печать и т.д.) к объектам.

идентифицированы;
для любого объекта информационной системы определен пользователь-владелец;
владелец объекта обладает правом определения прав доступа к объекту со стороны любых субъектов информационной системы;
в компьютерной системе существует привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становиться владельцем любого объекта).

недоступных объектов, владелец которых отсутствует. Но реализация права полного доступа к любому объекту посредством предварительного назначения себя его владельцем не позволяет привилегированному пользователю (администратору) использовать свои полномочия скрытно от реального владельца объекта.

субъектам компьютерной системы, а столбцы – ее объектам. Элементы матрицы доступа определяют права доступа субъектов к объектам. В целях сокращения затрат памяти матрица доступа может задаваться в виде списков прав субъектов (для каждого из них создается список всех объектов, к которым разрешен доступ со стороны данного субъекта) или в виде списков контроля доступа (для каждого объекта информационной системы создается список всех субъектов, которым разрешен доступ к данному объекту).

к объекту производится в момент открытия этого объекта);
хорошая изученность (в наиболее распространенных операционных системах Microsoft Windows и Unix применяется именно эта модель разграничения доступа).

Недостатки:
статичность разграничения доступа;
возможность перехода КС в небезопасное состояние;
автоматическое назначение прав доступа субъектам;
недостаточная защищенность от вредоносных программ.