Лекция Сетевая безопасность. План защиты

Вид материала

Лекция

Содержание Rpc netlogon Лекция 11. Доступ к объектам в корпоративной сети. Мастера отзывов полномочий Аудит доступа к объектам Лекция 12. Проектирование защищенной инфраструктуры клиентов. Все запретить вход в систему через Службу терминалов Службу удаленного администрирования Политики ограниченного использования программ

Подобный материал:

• Лекция (4 учебных часа – 2 ч 40 мин) Сетевая безопасность, 592.19kb.
• Безопасность Windows, 757.83kb.
• Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
• План мероприятий по обеспечению защиты пдн На листах, 107.13kb.
• К рабочей программе учебной дисциплины «Программно-аппаратные средства защиты информации», 24.23kb.
• Кыргызко-турецкий университет “манас” силлабус, 117.92kb.
• Грачев Г. В. Информационно-психологическая безопасность личности: состояние и возможности, 1891.38kb.
• Вопросы для подготовки к экзамену по дисциплине «Безопасность и управление доступом, 54.31kb.
• Главы Администрации Ростовской области от 17. 04. 1997 n 170 "О проведении Дней защиты, 74.25kb.
• Протокол заседания Правления, 266.1kb.

отсутствие доверия (применяется по умолчанию в доменах WindowsNT 4.0; делает домен изолированной сущностью; предполагает, что пользователи получат доступ к ресурсам этого домена при наличии в нем соответствующей учетной записи);

доверие между доменами одного леса (все домены WS2003 в одном лесу связаны двухсторонними переходными отношениями. Это значит, что каждый домен, являющийся участником таких отношений доверяет другому домену, который также является участником указанного доверия);

спрямляющее доверие (отношения доверия с доменом из того же леса, является односторонним и не переходным; также отличается от доверия между доменами в одном лесе тем, что позволяет сократить путь доверия. В этом случае запрос сеансовых билетов происходит непосредственно в целевом домене и не проходит полный путь иерархии доменов в лесе.);

внешнее доверие (отношения доверия между доменом WindowsNT 4.0 и некоторым лесом или доменом другого леса. Является односторонним и не переходным. Для установки двухстороннего доверия нужно использовать два разнонаправленных доверия, которыми надо связать все требуемые пары доменов.);

доверие между лесами (это двухсторонние или односторонние отношения доверия между разными лесами, всегда являющиеся переходными. Для их организации оба леса должны работать в режиме WS2003.).

Созданные доверия рекомендуется ограничивать. Доверие в принципе ограничивается автоматически, но можно добавить и созданное вручную ограничение. Автоматически доверие ограничивается: направлением; кругом доверяемых доменов и лесов (по умолчанию доверительные отношения между двумя доменами разных лесов не распространяются на остальные домены); типом доступа (для всех участников безопасности доступ к общим ресурсам в доверительных доменах должен быть определен явно, потому что отношения доверия не отменяют механизм авторизации).

Вообще говоря, злоумышленник может использовать доверие для несанкционированного доступа в другом домене, поэтому необходимо устанавливать дополнительные ограничения на отношения доверия. Во-первых, необходимо использовать фильтрацию SID. Этот механизм включается автоматически и обеспечивает неприменение внешних идентификаторов безопасности при доступе к внутренним ресурсам леса. Если бы такой механизм отсутствовал, получилось бы, что администраторы доверяемого домена становились бы администраторами в доверяющем. Аналогичная ситуация произошла бы и с другими участниками безопасности. Поэтому в доверяющем домене идентификаторы безопасности из других доменов не должны произвольно использоваться. Механизм фильтрации SID можно отключить, но делать это крайне не рекомендуется.

Также с точки зрения безопасности важно понимать, что вновь созданное отношение доверия уязвимо из-за потенциально широкого доступа к объектам группы Все. Любой пользователь из доверяемого домена будет иметь полномочия этой группы в доверяющем домене, даже если ему явно не назначено разрешение на доступ к объектам. Поэтому доступ к важным ресурсам этой группы следует ограничить еще до создания доверительных отношений. То же самое касается группы Сеть. Также доверие следует ограничить следующим образом:

1. отключить список участников доверия домена (не стоит отключать Запись с информацией о домене полностью. Это равносильно запрету использования доверия. Для ограничения нужно использовать запись TopLevelExclusion, которое позволяет исключить часть пространства из доверия.);
   
2. ограничить проверку подлинности (можно явно разрешить проверку на уровне сервера или домена. Без такой проверки ни один пользователь из доверяемого домена обратиться к ресурсам доверяющего.);
   
3. установить разрешение на проверку подлинности (это можно сделать в свойствах безопасности контроллера домена для установления доверия между доменами или лесами или в свойствах безопасности конкретного сервера).
   

Для функционирования доверия также необходимо соблюдение ряда физических условий. Во-первых, домены должны быть физически соединены кабелем, во-вторых, необходима адекватная настройка системы DNS, ведь имена должны разрешаться по обе стороны доверия. Если пространство имен DNS разделено между разными серверами, то они должны быть доступны по обе стороны доверия. В-третьих, если внутренние границы сети соединены между собой брандмауэрами, то на последних необходимо открыть следующие порты: RPC локального администратора безопасности (по умолчанию он динамический, но для уменьшения числа открытых портов его номер необходимо задать в следующем разделе реестра HKLM\system\currentcontrolset\servicies\ntds\parameters – параметр TCP/IP Port); ^ RPC NETLOGON ( он задается в реестре по адресу HKLM\system\currentcontrolset\servicies\netlogon\parameters), а также порты с номерами 88 для аутентификации Kerberos, 135 – для контроля над Action Control Listами объектов.

Внедряя доверие, необходимо руководствоваться следующими рекомендациями:

• для сокращения пути доверия и времени отклика нужно использовать спрямляющее доверие;
  
• для доступа к ресурсам домена WindowsNT 4.0 нужно использовать внешнее одностороннее доверие;
  
• двустороннее доверие между лесами подойдет для лесов WS2003 при условии размещения общих ресурсов в обоих лесах;
  
• если пользователям одного домена WS2003 необходим доступ к ресурсам в разных доменах другого леса необходимо использовать одностороннее доверие между исходным доменом и каждым из целевых;
  
• если используются домены WS2000 нужно использовать попарную связь лесов с двухсторонними довериями.
  

Грамотно настроенные отношения доверия позволят пользователю проходить аутентификацию в своем домене пи доступе к ресурсам другого домена или леса, а это значит, что для обеспечения санкционированного доступа к ресурсам необходимо будет контролировать его не во всей сети, а только в пределах нужного домена. Отношения доверия облегчают труд администраторов и делают систему доступа к ресурсам более прозрачной и контролируемой.

^ Лекция 11. Доступ к объектам в корпоративной сети.

Разграничение доступа к общим ресурсам является одним из важнейших элементов системы сетевой безопасности. Протокол LDAP, на базе которого функционирует Активный каталог, предоставляет гибкую систему управления участниками безопасности путем объединения их в специфические группы, при этом разрешение на доступ к общим объектам могут назначаться как конкретным пользователям, так и целым группам. Один пользователь может быть членом нескольких групп, а группы могут вкладываться друг в друга.

Разберем базовый механизм доступа к объектам. Когда пользователь входит в домен, вводя реквизиты своей учетной записи, последовательно происходит два действия: идентификация и аутентификация. Процесс идентификации заключается в проверке наличия введенных реквизитов учетной записи в базе данных Активного каталога. В случае если идентификация завершилась положительно, начинается процесс аутентификации, смысл которого заключается в назначении пользователю прав доступа к общим ресурсам. В процессе аутентификации создается так называемый маркер доступа. Это специальная функция, с помощью которой можно определить получит пользователь доступ к объекту или нет. Смысл его действия в следующем: каждый объект файловой системы имеет список управления доступом (ACL), представляющий собой список полномочий, делегированный участникам безопасности Активного каталога для доступа к данному ресурсу. Каждое полномочие из этого списка представляет собой логическую функцию, аргументом которой является маркер доступа. Если значение функции истинно, то данное полномочие считается делегированным участнику безопасности и доступ к объекту разрешается. В противном случае доступ к объекту будет запрещен.

В случае если общие ресурсы расположены на томах NTFS, то ACL таких объектов представляет собой пересечение разрешений общего доступа и разрешений NTFS. Причем явные запреты приоритетнее явных разрешений.

Поскольку пользователь может быть членом разных групп, зачастую бывает сложно определить какие права на доступ к тому или иному объекту являются действующими для данного пользователя. Это можно выяснить, используя вкладку Действующие разрешения в свойствах объекта.

Действующие разрешения формируются по следующим правилам: явное разрешение для пользователя приоритетнее разрешений для групп, членом которых он является. Явные запреты приоритетнее явных разрешений. Однако информация на вкладке Действующие разрешения не всегда бывает актуальной, т.к. в ней не учитываются разрешения для встроенных групп безопасности Windows таких как Все, Сеть и прочие. В любом случае, действующие разрешения на доступ к объекту можно определить, используя указанные выше правила и учитывая наследование. По умолчанию разрешения дочерних объектов наследуются от родительских. Однако явно установленные разрешения приоритетнее унаследованных.

По необходимости наследование разрешений можно отключить. Восстанавливать наследование можно двумя способами: от дочернего объекта (явно назначенные разрешения не заменяются родительскими, а отсутствующие разрешения наследуются от родительского объекта), от родительского объекта (при этом явные разрешения, назначенные дочернему объекту, будут заменены разрешениями родительского объекта).

В любом случае, при назначении разрешений на доступ к объектам необходимо пользоваться принципом наименьших привилегий, который заключается в том, чтобы дать пользователю ровно столько прав, сколько ему необходимо для производственных задач.

Обычно при настройке разрешений на доступ к объектам используют следующую схему: в разрешениях общего доступа для группы Все разрешают Полный доступ, конкретные же разрешения настраивают с помощью разрешений NTFS. В случае если необходима более тонкая настройка, разрешения общего доступа также настраивают для конкретных групп или пользователей.

В Windows Server 2003 существуют три группы безопасности (группы распространения мы не рассматриваем, т.к. они используются для рассылки электронных сообщений, а для назначения прав доступа используются группы безопасности): локальная доменная, глобальная и универсальная (указанные группы существуют в доменах, на отдельных компьютерах, также существуют локальные группы. В случае, если доменные учетные записи и учетные записи локального компьютера являются зеркальными, необходимо учитывать разрешения для групп локального компьютера.).

Локальная доменная группа объединяет пользователей из этого домена или других доменов и используется для назначения прав на ресурсы только того домена, в котором они созданы.

Глобальные группы содержат учетные записи пользователей только своего домена, но могут использоваться для назначения прав во всех доменах предприятия.

Универсальные группы содержат учетные записи пользователей из любых доменов на предприятии и могут использоваться для назначения прав на любые общие ресурсы на предприятии.

Группы могут вкладываться друг в друга по следующим правилам: локальные доменные группы и глобальные группы могут быть членами универсальных групп. Глобальные доменные группы могут быть членами локальных групп. Локальные группы могут быть членами локальных групп в этом же домене, универсальные группы могут вкладываться в любые другие. По возможности следует избегать использования универсальных групп.

Также рекомендуется управлять доступом на уровне групп, а не на уровне конкретных пользователей. В этом случае комбинации предустановленных разрешений на доступ к объектам конкретному пользователю может не хватить. Тогда следует использовать механизм делегирования административных полномочий. От имени администратора с помощью Мастера делегирования можно прямо назначить любые из возможных прав на доступ к конкретному объекту.

^ Мастера отзывов полномочий не существует, поэтому отменить делегирование можно только через Мастер делегирования, сняв галочки напротив соответствующих прав.

При назначении или отмене прав следует учитывать один нюанс: изменения ACL-объекта не актуальны для текущей сессии. Маркер доступа создается при входе пользователя в систему и сравнивается с ACL объекта при первом доступе к объекту. Поэтому при изменении ACL нужно разорвать текущую сессию пользователя, чтобы изменения начали действовать немедленно. Сделать это можно из оснастки Общие папки.

Необходимо следить за использованием пользователями общих ресурсов, для этого нужно использовать ^ Аудит доступа к объектам. Сведения о доступе к объектам будут записываться в журнал Система, который можно просмотреть с помощью утилиты Просмотр событий. Для настройки аудита доступа к объектам необходимо две вещи: включить аудит в свойствах безопасности самого объекта и активировать специальную политику аудита на сервере, где расположен общий ресурс (в политике аудита включить параметр Аудит доступа к объектам). При этом необходимо выбрать тип регистрируемых событий: успех или отказ различных действий с общим ресурсом (создание, изменение, удаление). Параметры настройки журнала аудита можно получить в справочной системе Windows.

Для обеспечения безопасности необходимо защищать данные не только при передаче по сети и ограничивать к ним доступ посредством аутентификации, но и защищать их от копирования на переносные устройства локального компьютера. Для этого существует система шифрования файлов EFS. Включить шифрования можно в свойствах безопасности объекта. Принцип работы этой системы таков: пользователь задает специальный пароль, на основе которого данные шифруются специальным сложным функциональным преобразованием. Этот пароль хранится вместе с Идентификатором безопасности пользователя. При доступе к объекту зашифровавшего его пользователя данные автоматически расшифровываются. Прочим пользователям будет предложено ввести пароль. Если пароль будет утрачен, расшифровать информацию может только специальный Агент восстановления – пользователь с соответствующим правом, причем он должен быть создан в системе до того как файл был зашифрован. Пароль Агента восстановления универсален для зашифрованных файлов. В случае утраты пароля и отсутствия в системе Агента восстановления, расшифровать информацию будет невозможно. Поэтому, если пользователи не умеют работать с системой EFS, ее внедрение может причинить больше неудобств, чем выгод. Необходимо помнить, что при копировании зашифрованных файлов на тома под управлением любой файловой системы информация остается зашифрованной в отличие от сохранения разрешений (при копировании файла с тома NTFS на том FAT32 остаются только разрешения общего доступа).

^ Лекция 12. Проектирование защищенной инфраструктуры клиентов.

Клиентские компьютеры корпоративной сети, как и сервера, играют различные роли. Очевидно, что защиту этих компьютеров также можно построить на основе этих ролей. Однако в отличие от сетевых серверов роли клиентских компьютеров не всегда совпадают с функциями пользователей, которые за ними работают. Поэтому, проектируя защиту клиентских компьютеров, необходимо сделать следующее: разработать соответствующую схему подразделений для клиентских компьютеров и пользователей; разработать соответствующие групповые политики и применить их к подразделению. Рассмотрим более подробно оба этих компонента.

Активный каталог хранит не только учетные записи пользователей, но и учетные записи компьютеров со своими именами, свойствами и идентификаторами безопасности. Разрабатывая схему организационных подразделений для пользователей, естественно руководствоваться принадлежностью пользователя к тому или иному структурному подразделению организации и его административной ролью в корпоративной сети.

При разработке юнитов для компьютеров можно разбить их на группы по территориальному принципу (по одному юниту на каждый офис или отдел), в зависимости от операционных систем, которыми управляются компьютеры (один юнит для Windows NT, один для Windows XP и т.д.) или в зависимости от того является ли компьютер переносным или настольным (один юнит для переносных компьютеров, один для настольных, один для серверов).

Наиболее выгодной представляется иерархическая структура юнитов для компьютеров. В этом случае для юнитов верхнего уровня применяется деление в зависимости от операционных систем. На втором уровне юниты разбиваются по географическому принципу, а на третьем – в зависимости от того являются ли компьютеры переносными. При этом групповые политики можно применять к юнитам всех уровней и обеспечить за счет этого более адекватную настройку параметров в зависимости от корпоративных требований. В принципе допускается любая комбинация дочерних и родительских подразделений, т.к. в групповых политиках можно настроить фильтры их применения.

Для защиты клиентских компьютеров как в отдельности, так и являющихся членами подразделений, можно спроектировать шаблон безопасности. Применение шаблонов безопасности к клиентским компьютерам напоминает защиту серверов с помощью шаблонов. Существуют четыре предустановленных шаблона безопасности для клиентов Windows XP, которые предоставляют настройки средней или высокой безопасности для портативных или настольных клиентов. Безусловно, можно разработать свой шаблон безопасности и интегрировать в групповую политику именно его. Если компьютер является членом иерархии организационных подразделений, то рекомендуется разработать базовый шаблон безопасности для юнита верхнего уровня и варьировать настройки в шаблонах для вложенных юнитов.

При разработке шаблонов безопасности нужно следовать рекомендациям, приведенным ниже. Группе ^ Все запретить вход в систему через Службу терминалов. Подобное право нужно выдать только конкретным пользователям, которые в нем нуждаются. Пользователям всех категорий запретить изменять системное время своих компьютеров. Ограничить права на локальный вход в систему, заставляя пользователей аутентифицироваться в домене. Разделить полномочия резервного копирования и восстановления файлов. Последнее право назначить только специальной группе администраторов, чтобы злоумышленники и вредоносные программы не заменяли важные файлы своими. По возможности запретить кэширование учетных данных, используемых для идентификации. Отключить возможность копирования дискет и доступ ко всем дискам из Консоли восстановления, чтобы злоумышленник не мог скопировать локальную базу данных безопасности. Обязательно настройте использование ограниченных групп, это исключит возможность самостоятельного делегирования расширенных прав пользователям.

В шаблоне необходимо оставить включенными только необходимые системные службы, в обязательном порядке отключив ^ Службу удаленного администрирования. В базовом шаблоне безопасности необходимо настроить надежные политики паролей и блокировки учетной записи пользователя. Также в шаблоне можно настроить политику аудита в зависимости от требований на предприятии.

Для большей защиты клиентского компьютера в шаблоне необходимо ограничить удаленный доступ и права пользователей на удаленное выключение компьютера. Также необходимо переименовать учетную запись администратора, запретить отображение последнего имени пользователя. Важно запретить локальное хранение хэша пароля LAN Manager, и использовать для сетевой аутентификации протокол NTLM или NTLMv2. Необходимо также очищать файл подкачки при входе в систему, и отключить возможность входа в Консоль восстановления с автоматическими административными правами.

Вообще говоря, шаблон безопасности состоит из двух частей: базовых элементов безопасности (о которых говорилось выше) и административной части. С помощью последней можно управлять различными настраиваемыми параметрами операционной системы (например, отображением дисков в окне Мой компьютер, видом Панели управления, возможностями Проводника и прочее). Подобных параметров более 200. Таким образом, функциональные возможности клиентской операционной системы можно настроить максимально адекватно пользовательским задачам. Принцип настройки один – оставить пользователю только те функциональные возможности, которые ему действительно нужны. Это преобразованный принцип наименьших привилегий. Настраивать шаблоны безопасности можно с помощью редактора Объекты групповой политики.

Мощным инструментом защиты операционной системы являются ^ Политики ограниченного использования программ. С помощью этого инструмента можно разрешить или запретить запуск исполняемых файлов в операционной системе. При настройке Политик ограниченного использования программ необходимо: выбрать тип файла, который считается программой (существует список расширений исполняемых файлов по умолчанию, который можно редактировать), выбрать возможность запуска файлов из списка (разрешить или запретить), выбрать правило использования.

Правила использования бывают: для путей (распространяются на конкретную папку или файл), для хэша (привязываются к конкретному файлу и действуют для него вне зависимости от переименования или иного изменения файла), для сертификата (ограничивают запуск программ в зависимости от наличия цифровой подписи) и для зоны Интернета (определяют возможность запуска программ, полученных из Интернета). Основного эффекта от применения политик ограниченного использования программ можно добиться следующим образом:

1. запретить запуск программ со сменных носителей, создав правила для путей к соответствующим дискам (таким образом можно защититься от вредоносных программ, запускаемых при старте сменных носителей);
   
2. разрешить пользователям записывать данные только в те папки, для которых установлены запретительные политики использования программ. Исполнение программ для пользователей разрешить только из тех папок, для которых у пользователя нет права на запись (таким образом записанные пользователем вредоносные программы не могут запуститься или перезаписаться в места, из которых возможен запуск).