А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков

145
Eserv, этот же узел будет являться рабочим местом первого пользователя (u1) для отправки почтовой корреспонденции с использованием программы Out- look Express. Второй узел под управлением ОС Windows Server 2003 будет ра- бочим местом второго пользователя (u2), дополнительно этот узел будет ре- шать задачу по выдаче сертификатов открытых ключей. Шифрование почто- вых сообщений будет осуществляться с помощью алгоритма ГОСТ 28147-89, реализуемого средствами СКЗИ КриптоПро CSP.
Поставленная задача разбивается на несколько этапов: организация поч- тового обмена без применения шифрования, активизация Web-сервера Internet
Information Services (IIS) в ОС Windows Server 2003, установка СКЗИ Крип- тоПро CSP, установка Центра сертификации в ОС Windows Server 2003, полу- чение сертификатов открытых ключей, организация защищенного обмена электронной почтой.
Для работы потребуются виртуальные образы систем Windows 2000 Pro- fessional (с установленным почтовым сервером Eserv) и Windows Server 2003, а также диски с дистрибутивами ОС Windows Server 2003 и СКЗИ КриптоПро
CSP. Дополнительно требуется чистая дискета (может быть использована вир- туальная дискета).
Предварительной операцией является настройка сетевого соединения виртуальных машин, имитирующих оба сетевых узла. Рекомендуется устано- вить виртуальные сетевые адаптеры в режим Bridged и назначить сетевым уз- лам уникальные сетевые адреса, например, 192.168.х.1 и 192.168.х.2, где х — номер компьютера в учебном классе.
ВЫПОЛНИТЬ!
1. Открыть и запустить виртуальные образы, назначить IP-адреса, проверить установку связи с использованием команды ping.
2. С целью анализа сетевого трафика добавить в ОС Windows Server 2003 компонент Network Monitor (Control Panel
⇒ Add or Remove Programs ⇒
Add/Remove Windows Components
⇒ Management and Monitoring Tools ⇒
Network Monitor Tools).
3. Запустить установленную программу Network Monitor, убедиться в воз- можности захвата и анализа сетевого трафика.
5.12.1. Организация почтового обмена
Данный этап предусматривает настройку почтовых программ Outlook
Express на двух узлах для отправки и получения электронной почты по прото- колам SMTP и POP3 с сервера Eserv, установленного на узле с ОС Windows
2000.
4. Запустить сервер Eserv на узле с ОС Windows 2000, для чего выполнить командный файл Run.bat, находящийся на диске C: образа.

146 5. Проверить настройки сервера Eserv и убедиться в наличии учетных запи- сей u1 и u2 (меню Общие настройки
⇒ Пользователи), установить пароли для указанных пользователей (задав и применив значение поля Password), убедиться в наличии настроек, указывающих в качестве локального домена адрес mail.ru (меню Почтовый сервер
⇒ SMTPсервер ⇒ Локальные до- мены).
6. Настроить почтовые программы Outlook Express на обоих узлах, создав учетные записи электронной почты для пользователей u1 (на ОС Windows
2000) и u2 (на ОС Windows Server 2003). В настройках указать адреса электронной почты, соответственно u1@mail.ru и u2@mail.ru, в качестве адресов SMTP- и POP3-серверов указать IP-адрес узла с ОС Windows 2000
(192.168.х.1).
7. Проверить функционирование почтового обмена путем отправки и получе- ния почтовых сообщений. В процессе обмена в ОС Windows Server 2003 выполнить захват сетевого трафика, убедиться, что текст отправляемых и получаемых сообщений передается в открытом виде.
8. Убедиться в настройках учетных записей почты программы Outlook Ex- press (Сервис
⇒ Учетные записи ⇒ Почта ⇒ Свойства ⇒ Безопас- ность) в наличии возможности шифрования с использованием алгоритмов
DES, 3DES, RC2, а также в отсутствии сертификатов открытого ключа для подписи и шифрования.
5.12.2. Активизация IIS
Процесс активизации IIS подробно рассмотрен в разделе «Организация
VPN средствами протокола SSL в ОС Windows Server 2003» учебного посо- бия. Приведем лишь перечень требуемых для выполнения команд.
ВЫПОЛНИТЬ!
9. Установить компонент Internet Information Services (Control Panel
⇒ Ad- ministrative Tools
⇒ Manage Your Server ⇒ Add or remove a role ⇒ Custom
Configuration
⇒ Application servers (IIS, ASP.NET)).
10. Проверить функционирование Web-сервера, обратившись в ОС Windows
2000 с помощью программы Internet Explorer по адресу http://192.168.x.2.
5.12.3. Установка СКЗИ КриптоПро CSP
Установка СКЗИ КриптоПро CSP выполняется на обоих узлах с дистри- бутивного диска. Применяется полнофункциональная версия СКЗИ без реги- страции, что позволяет использовать ее в течение 30 дней. Инсталляция СКЗИ осуществляется стандартным образом. Настройки СКЗИ КриптоПро CSP дос- тупны через Панель управления.

147
ВЫПОЛНИТЬ!
11. Установить СКЗИ КриптоПро CSP в ОС Windows 2000 и Windows Server
2003. Выполнить требуемую перезагрузку. После перезагрузки ОС Win- dows 2000 запустить сервер Eserv.
12. Проанализировать настройки учетных записей почты программы Outlook
Express, выяснить изменения в разделе «Безопасность» свойств учетных записей, произошедшие после установки СКЗИ КриптоПро CSP.
13. Выполнить настройку считывателей программы КриптоПро CSP (Панель управления
⇒ КриптоПро CSP ⇒ Настроить считыватели). В ОС Windows
2000 в качестве считывателя использовать дисковод А:. В ОС Windows
Server 2003 в качестве считывателя добавить реестр пользователя (User reg- istry).
5.12.4. Установка Центра сертификации в ОС Windows Server 2003
В процессе выполнения данного пункта необходимо установить Службу сертификации отдельно стоящего корневого Центра сертификации. Установка
Службы сертификации (Certificate Services) в ОС Windows Server 2003 под- робно описана в разделе «Организация VPN средствами протокола SSL в ОС
Windows Server 2003» учебного пособия.
ВЫПОЛНИТЬ!
14. Установить компонент Certificate Services (Control Panel
⇒ Add or Remove
Programs
⇒ Add/Remove Windows Components). В процессе установки ука- зать имя Центра сертификации (например, «Mycompany»), остальные на- стройки можно оставить по умолчанию.
5.12.5. Получение сертификатов открытых ключей
Одним из доступных способов получения сертификатов открытых клю- чей является обращение от имени каждого из пользователей к Центру серти- фикации через Web-интерфейс. Получение сертификата осуществляется в два этапа – сначала Пользователь обращается к Центру сертификации с запросом, а затем получает готовый сертификат и его инсталлирует в своей ОС. Между этими этапами администратор Центра сертификации должен осуществить об- работку полученных запросов (издание сертификатов). Особенностью данного этапа будет получение сертификата, позволяющего работать с СКЗИ Крипто-
Про CSP. Сертификат должен быть сгенерирован для алгоритма ГОСТ Р
34.11-94.

148
ВЫПОЛНИТЬ!
15. От имени пользователя u1 в ОС Windows 2000 с помощью браузера Inter- net Explorer обратиться по адресу http://192.168.x.2/certsrv. Среди перечня задач выбрать пункт «Request a certificate».
16. При выборе типа запрашиваемого сертификата указать «advanced certificate request» и в следующем окне выбрать пункт «Create and submit a request to this CA».
17. В полученном информационном окне указать параметры пользователя, обязательными являются: имя пользователя (user1), точный адрес элек- тронной почты (u1@mail.ru), тип сертификата «E-Mail Protection
Certificate», настройки ключей (Key options) «CSP: Crypto-Pro Cryptographic
Service Provider». Остальные параметры могут быть введены произвольно.
Обратите внимание на то, что в параметрах алгоритма хэш-функции указан вариант «GOST R 34.11-94».
18. Для выполнения дальнейших действий разрешить выполнение элемента
ActiveX, получаемого от сервера. В качестве носителя выбрать дисковод A: и поместить в него чистую дискету. Указать пароль, защищающий секрет- ный ключ на носителе.
19. Выполнить аналогичный запрос от имени пользователя u2 в ОС Windows
Server 2003, указав адрес почты u2@mail.ru. В качестве носителя выбрать
«User registry». Указать пароль, защищающий секретный ключ в реестре.
20. В ОС Windows Server 2003 с помощью оснастки Certification Authority осу- ществить выдачу сертификатов. Для этого запустить оснастку Certification
Authority (Control Panel
⇒ Administrative Tools ⇒ Certification Authority). В разделе «Pending Requests» найти запросы на получение сертификатов и обработать их, выбрав из контекстного меню записи запросов пункт
«All Tasks
⇒ Issue».
21. Оснастку Certification Authority можно закрыть.
22. Повторно в каждой ОС с помощью Internet Explorer обратиться по адресу http://192.168.x.2/certsrv. В перечне задач выбрать «View the status of a pend- ing certificate request».
23. Инсталлировать полученные сертификаты. В процессе инсталляции потре- буется ввод пароля для доступа к секретным ключам на соответствующих носителях.
24. В каждой из ОС выполнить настройку почтовых учетных записей про- граммы Outlook Express, подключив полученные сертификаты защиты электронной почты в разделе «Безопасность» свойств учетных записей.
5.12.6. Организация защищенного обмена электронной почтой
Для того чтобы два пользователя могли отправлять друг другу зашиф- рованные сообщения, они должны обменяться сертификатами открытых клю- чей. Самым простым способом обмена является отправка писем, подписанных

149
каждым из пользователей. После получения подписанного письма его отпра- витель должен быть добавлен в адресную книгу.
ВЫПОЛНИТЬ!
25. Создать, подписать (Сервис
⇒ Цифровая подпись) и отправить сообщение от имени пользователя u1, адресуемое пользователю u2.
26. Включить захват сетевого трафика. От имени пользователя u2 получить указанное сообщение. Остановить захват трафика.
27. Проанализировать захваченный сетевой обмен по протоколу POP3, убе- диться в передаче открытого текста сообщения и его электронной цифро- вой подписи.
28. Открыть полученное сообщение, добавить пользователя u1 и его сертифи- кат в адресную книгу пользователя u2.
29. Выполнить аналогичные действия, направив подписанное письмо от поль- зователя u2 к пользователю u1.
30. Осуществить обмен зашифрованными сообщениями, выполнив захват се- тевого трафика в процессе отправки либо получения зашифрованного письма. Сделать вывод о том, какие из атрибутов письма передаются в за- шифрованном виде.
31. Проанализировать свойства полученных зашифрованных писем и сделать вывод о том, какие алгоритмы и ключи применяются в процессе отправки зашифрованных сообщений, какие алгоритмы и ключи применяются при прочтении зашифрованных писем.
32. Дать ответ на вопрос, почему при формировании подписи требуется вво- дить пароль для доступа к ключевому носителю, а при отправке зашифро- ванного сообщения пароль вводить не требуется?
33. В ОС Windows 2000 с помощью программы-настройки СКЗИ КриптоПро
CSP в окне «Сертификаты на носителе» выяснить состав сертификата пользователя. Указать назначение и содержимое полей: серийный номер, алгоритм подписи, поставщик, субъект, тип открытого ключа, идентифика- тор ключа субъекта, использование ключа.
34. Проанализировать свойства и содержимое ключевой дискеты. Проанализи- ровать содержимое значений ключей реестра и их параметров в разделе реестра HKLM\Software\Crypto Pro\Setings\USERS\ Идентифика- тор_пользователя\Keys в ОС Windows Server 2003. Сделать вывод о необ- ходимости организационной защиты ключевых носителей.
35. В ОС Windows 2000 с помощью оснастки «Сертификаты – текущий поль- зователь» (mmc
⇒ Консоль ⇒ Добавить/удалить оснастку ⇒ Сертификаты
⇒ Моей учетной записи) найти личный сертификат и сертификаты других пользователей.

150
6. ПРИМЕНЕНИЕ ТЕХНОЛОГИИ ТЕРМИНАЛЬНОГО ДОСТУПА
6.1. Общие сведения о технологии терминального доступа
Изначально терминальный режим работы появился и использовался на мэйнфреймах. Пользователи работали с терминалами, обеспечивавшими связь с терминальным сервером и отображение информации, полученной с главного компьютера. Все вычисления осуществлялись главным компьютером. На се- годняшний день суть терминального доступа не претерпела никаких идейных изменений. В современных схемах организации вычислительных процессов вместо специального аппаратного комплекса используются программы- клиенты, которые обеспечивают взаимодействие с сервером и отображение полученной от него информации. Всю вычислительную нагрузку также несет сервер.
Технология терминального доступа позволяет перенести вычислитель- ные затраты с рабочих станций на сервер, решая ряд проблем:
− вся обработка данных выполняется на сервере, нет необходимости в се- тевой передаче файлов, с сервера на рабочие станции передается лишь изме- ненное содержимое информационных окон текстовых редакторов или СУБД, что упрощает защиту сетевого трафика и позволяет использовать в качестве рабочих станций практически любые компьютеры с любой ОС, в том числе бездисковые станции;
− отсутствует необходимость предоставлять пользователям потенциально опасный сетевой доступ к хранящимся на сервере файлам данных;
− магнитные, а также внешние носители, на которых может оказаться полная или частичная копия защищаемых файлов данных, расположены толь- ко на сервере и могут полностью контролироваться администратором.
Предполагается следующая схема использования технологии терми- нального доступа. На сервере устанавливается служба терминального доступа, развертываются приложения, необходимые для работы пользователей. Сервер терминального доступа не должен выполнять иных сетевых функций кроме обслуживания терминального режима, а именно, исключаются совместно предоставляемые сетевые ресурсы, включая принтеры. Перечень сетевых служб, функционирующих на сервере и доступных из сети, ограничивается только терминальной службой и, при необходимости, службой, обеспечи- вающей шифрование сетевого трафика.
На рабочих станциях пользователей устанавливается клиент терминала и настраивается на подключение к терминальному серверу. Запуск клиента терминала может осуществляться либо из основной ОС, установленной на компьютере пользователя, либо из ОС, запускаемой с внешнего носителя
(дискеты или CD-ROM) или загружаемой с помощью сетевой карты удален- ной загрузки.

151
В первом случае для работы с защищаемыми данными пользователь из основной ОС запускает клиента терминального доступа. При этом на компью- тере могут быть установлены средства защиты информации от несанкциони- рованного доступа. Преимуществом данного способа является возможность организации дополнительной защиты (шифрования) сетевого трафика путем использования протокола IPSec (в ОС Windows XP) либо специализированных
СЗИ.
Во втором случае пользователь для работы с защищаемыми данными загружает компьютер со специально подготовленного носителя (CD-ROM или дискеты), на который записывается ОС Linux с клиентом терминального сер- вера. Может быть применена бездисковая станция, загружаемая с сервера при помощи сетевого адаптера, разрешающего удаленную загрузку. Отрицатель- ным свойством этого решения является невозможность применения дополни- тельных средств шифрования трафика. Причина заключается в том, что не из- вестны сертифицированные средства защиты информации, загружаемые с внешнего носителя или по сети.
Для обработки защищаемых данных пользователь запускает программу- клиента терминала, регистрируется на терминальном сервере с использовани- ем рядовой учетной записи. Особенностью настройки терминального сервера является установка ряда запретов для пользователей, наиболее важным из ко- торых является запрет использования совместного буфера обмена. Благодаря данному запрету решается проблема несанкционированного копирования за- щищаемых данных на носители рабочих станций. Пользователь терминала может выделить и скопировать в буфер обмена терминальной Windows как файл с данными, так и содержимое информационного окна. Однако операцию вставки можно выполнить только в окне терминального сервера. В окне рабо- чей станции возможность вставки из буфера будет заблокирована.
Таким образом, копирование всей защищаемой информации либо ее части может быть осуществлено лишь на носители, физически подключенные к серверу. Это накладывает некоторые ограничения на возможность экспор- та/импорта данных, так как операции экспорта и импорта также осуществля- ются только через носители, установленные на сервере. Основным преимуще- ством является то, что все носители, включая внешние, на которых может ока- заться полная или частичная копия защищаемых данных, расположены только на сервере под контролем администратора. Это упрощает централизованный антивирусный контроль и блокирует возможность появления вредоносных программ.
Проблема образования технологического «мусора» на рабочих станциях также решается автоматически. Для каждого терминального сеанса на сервере создается временный каталог. Если установлены соответствующие настройки, то по окончании сеанса этот каталог будет удален. Таким образом, технологи- ческий «мусор» остается лишь на носителях терминального сервера.

152
Проблема передачи открытого сетевого трафика решается прежде всего тем, что в технологии терминального доступа вся обработка защищаемых данных выполняется на сервере, а на рабочие станции передается лишь изме- ненное содержимое информационных окон соответствующих приложений.
Кроме того, возможно шифрование трафика средствами терминального серве- ра. Терминальный сервер поддерживает несколько уровней безопасности, ка- ждый из которых определяет направление шифруемого трафика и длину клю- ча, используемого при шифровании.
В состав Windows Server 2003 включена служба Microsoft Terminal Ser- vices (MSTS) [18]. Она предоставляет возможность либо удаленно админист- рировать сервер, либо превратить его в сервер приложений (терминальный сервер). Кроме того, существует надстройка над данной службой, разработан- ная компанией Citrix, которая вводит ряд дополнительных возможностей и увеличивает число поддерживаемых платформ.
Следует отметить, что сама реализация MSTS не свободна от недостат- ков, которые потенциально могут быть применены злоумышленниками для нарушения безопасности данных. Так как все пользователи, подключающиеся к серверу в терминальном режиме, по сути, осуществляют интерактивный вход в систему, то они могут зарегистрироваться в системе с консоли сервера.
Следовательно, использование терминального сервера предъявляет повышен- ные требования к администрированию и к выполнению необходимых настро- ек безопасности применяемого программного обеспечения.
Безопасность режима терминального доступа обеспечивается совокуп- ностью настроек ОС Windows Server 2003, серверной части MSTS и протоко- ла терминального доступа — RDP. В каждом из этих компонентов реализова- ны различные механизмы защиты, но в то же время каждый компонент имеет собственные уязвимости, которые могут быть использованы злоумышленни- ками.