Локальная политика безопасности. Лабораторная работа №7 - Локальная политика безопасности. Управление правами пользователей в ос windows Локальная политика безопасности Пенза, 2014
Скачать 1.64 Mb.
|
Принудительное изменение названия сетей для пользователей, находящихся в домене Как в рабочих группах, так и в доменах пользователи могут самостоятельно изменять имя сети. Для этого нужно выполнить следующие действия: Открыть окно «Центр управления сетями и общим доступом»; В группе «Просмотр активных сетей» щёлкнуть на значке сети, имя которой необходимо изменить; В диалоговом окне «Настройка свойств сети», в текстовом поле «Сетевое имя» изменить имя сети. Нужно сделать так, чтобы пользователи домена не могли изменить название сети в «Центре управления сетями и общим доступом». Для этого нужно выполнить следующие действия: Так как действие этой групповой политики должно распространяться на все компьютеры этого домена, в оснастке «Управление групповой политикой», в дереве консоли, развернуть узел «Лес: имя домена\Домены\имя домена» и выбрать объект групповой политики «Default Domain Policy»; Нажать правой кнопкой мыши на этом объекте групповой политики и из контекстного меню выбрать команду «Изменить»; В открывшейся оснастке «Редактор управления групповыми политиками» в дереве консоли развернуть узел «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей» и открыть политику «Все сети». В открывшемся окне политики безопасности, в группе «Имя сети» установить переключатель на опцию «Пользователь не может изменить имя» и нажать на «ОК»; Открыть политику, именем которой назначено имя домена. На вкладке «Имя сети», в группе «Имя» установить переключатель на опцию «Имя» и указать название. В группе «Разрешёния пользователя» можно установить переключатель на опцию «Пользователь не может изменить имя», но в этом нет крайней необходимости, так как подобная операция была выполнена на предыдущем шаге для всех сетей компьютеров организации. Закрыть «Редактор управления групповыми политиками» и, при необходимости, обновить политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке. Принудительное изменение профиля брандмауэра Windows в неопознанных сетях В последние годы всё больше пользователь используют мобильные компьютеры. Используя свои мобильные компьютеры, пользователи могут подключаться к сети Интернет даже находясь в кафе, аэропортах или просто сидя на скамейке в парке. Именно в таких случаях их компьютеры находятся под более существенным риском нападения злоумышленниками, нежели в корпоративной среде или у себя дома. Когда пользователь подключается к беспроводной сети, операционная система Windows автоматически определяет такую сеть как общедоступную. Для того чтобы настройки безопасности брандмауэра Windows применялись к компьютеру в зависимости от пользовательского места нахождения были разработаны профили брандмауэра. В том случае, если соединение проходит проверку подлинности на контроллере домена, то сеть классифицируется как тип доменного размещения сети. Если компьютер используется дома или в офисе – обычно применяется домашняя сеть с частным профилем брандмауэра. В местах общего пользования принято использовать общий профиль брандмауэра. Часто случается, что пользователи, находясь в общедоступных местах, пренебрегают этим средствам безопасности и для общедоступного профиля устанавливают частные профили брандмауэра. Используя политики диспетчера списка сетей можно указать пользователю, какой профиль нужно использовать в случае неопознанных сетей, которые идентифицируются как «Общественная сеть». Для этого выполните следующие действия: Открыть оснастку «Редактор локальной групповой политикой». В открывшемся окне, в дереве оснастки, перейти в узел «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей» и открыть политику «Неопознанные сети». В диалоговом окне «Свойства: Неопознанные сети», в группе «Тип расположения», установив переключатель на нужную опцию, выбрать профиль брандмауэра, который будет сопоставлен с неопознанными сетями. В данном случае, устанавливается профиль «Общий». В группе «Разрешения пользователя» можно установить переключатель на опцию «Пользователь не может изменить расположение» для того чтобы пользователь вручную не мог изменить сетевое расположение. Закрыть «Редактор локальной групповой политикой» и, при необходимости, обновить политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке. Политики открытого ключа. Файловая система EFS Дополнительные функции шифрованной файловой системы (Encrypting File System, EFS) обеспечили дополнительную гибкость для корпоративных пользователей при развертывании решений безопасности, основанных на шифровании файлов с данными. Любой злоумышленник, имеющий физический доступ к компьютеру, может загрузить на нем другую ОС, обойти защиту основной ОС и получить доступ к конфиденциальным данным. Шифрование конфиденциальных файлов средствами EFS обеспечивает дополнительную защиту. Данные зашифрованного файла останутся недоступными, даже если атакующий получит полный доступ к среде хранения данных компьютера. Только полномочные пользователи и назначенные агенты восстановления данных в состоянии расшифровывать файлы. Пользователи с другими учётными записями, обладающие разрешениями для файла – даже разрешением на передачу прав владения (Take Ownership), не в состоянии открыть его. Администратору доступ к содержимому файла также закрыт, если только он не назначен агентом восстановления данных. При попытке несанкционированного доступа к зашифрованному файлу система откажет в доступе. Процесс шифрования в EFS Две основные криптографические системы. Наиболее простая – шифрование с использованием секретного (симметричного) ключа, т.е. для шифровки и расшифровки данных используется один и тот же ключ. Преимущества: высокая скорость шифрования; недостатки: проблема передачи секретного ключа, а именно возможность его перехвата. Представители: DES, 3DES, DESX, AES. Отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что данные шифруются одним ключом, а расшифровываются другим, с помощью одного и того же ключа нельзя осуществить обратное преобразование. Эта технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей – открытый ключ (public key) и личный или закрытый ключ (private key). Таким образом, свободно распространяя открытый ключ, один пользователь предоставляет другим пользователям возможность шифровать свои сообщения, направленные этому пользователю, которые сможет расшифровать только он. Если открытый ключ и попадет в «плохие руки», то он не даст возможности определить секретный ключ и расшифровать данные. Отсюда и основное преимущество систем с открытым ключом: не нужно передавать секретный ключ, однако есть и недостаток – низкая скорость шифрования. Представители: RSA, алгоритм Эль-Гамаля, алгоритм Диффи-Хелмана. В EFS для шифрования используются все преимущества вышеперечисленных систем. Данные шифруются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK – сгенерированный EFS случайным образом ключ. На следующем этапе FEK шифруется с помощью открытого ключа пользователя и сохраняется в пределах атрибута, называемого полем расшифровки данных (Data Decryption Field, DDF) непосредственно внутри самого файла. Кроме того, EFS шифрует FEK, используя открытый ключ агента восстановления, и помещает его в атрибут Data Recovery Field – DRF. DRF может содержать данные для множества агентов восстановления. Агент восстановления данных (Data Recovery Agent, DRA) – пользователь, который имеет доступ ко всем зашифрованным данным других пользователей. Это актуально в случае утраты пользователями ключей или других непредвиденных ситуациях. Агентом восстановления данных назначается обычно администратор. Для создания агента восстановления нужно сначала создать сертификат восстановления данных и определить политику восстановления, а затем назначить одного из пользователей таким агентом. Политика восстановления играет важную роль в системе шифрования, она определяет агентов восстановления, а их отсутствие или удаление политики вообще запрещает использование пользователями шифрования. EFS и NTFS Шифрованная файловая система (EFS) защищает конфиденциальные данные в файлах на томах NTFS. EFS – основная технология шифрования и расшифровки файлов на томах NTFS. Открывать файл и работать с ним может только пользователь, его зашифровавший. Это чрезвычайно важно для пользователей переносных компьютеров: даже если взломщик получит доступ к потерянному или украденному компьютеру, он не сможет открыть зашифрованные файлы. В Windows XP шифрованная файловая система также поддерживает автономные файлы и папки (Offline Files and Folders). Зашифрованный файл останется недоступным для просмотра в исходном виде, даже если атакующий обойдет системную защиту, например, загрузив другую ОС. EFS обеспечивает устойчивое шифрование по стандартным алгоритмам и тесно интегрирована с NTFS. EFS в Windows XP предоставляет новые возможности совместного использования зашифрованных файлов или отключения агентов восстановления данных, а также облегчает управление посредством групповой политики и служебных программ командной строки. Как работает EFS EFS позволяет сохранить конфиденциальность информации на компьютере в условиях, когда люди, имеющие физический доступ к компьютеру, могут преднамеренно или неумышленно скомпрометировать её. EFS чрезвычайно удобна для обеспечения конфиденциальности данных на мобильных компьютерах или на компьютерах, на которых работают несколько пользователей, т. е. таких системах, которые могут подвергаться атакам, предусматривающим обход ограничений списков ACL. В совместно используемой системе атакующий обычно получает несанкционированный доступ, загружая другую ОС. Злоумышленник также может захватить компьютер, вынуть жесткий диск, поместить его на другой компьютер и получить доступ к файлам. Однако если у него нет ключа расшифровки, зашифрованный средствами EFS файл будет выглядеть как бессмысленный набор символов. Поскольку EFS тесно интегрирована с NTFS, шифрование и расшифровка выполняются незаметно («прозрачно») для пользователя. При открытии файла EFS автоматически расшифровывает его по мере чтения данных с диска, а при записи – шифрует данные при записи на диск. В стандартной конфигурации EFS позволяет зашифровать файл прямо из Проводника Windows без какого-либо вмешательства администратора. С точки зрения пользователя шифрование файла или папки – это просто назначение ему определённого атрибута. Конфигурирование EFS По умолчанию система поддерживает работу EFS. Разрешается шифровать файлы, для которых имеется разрешение на изменение. Поскольку в EFS для шифрования файлов применяется открытый ключ, нужно создать пару ключей открытый/закрытый и сертификат с открытым ключом шифрования. В EFS разрешены сертификаты, подписанные самим владельцем, поэтому вмешательство администратора для нормальной работы не требуется. Если применение EFS не соответствует требованиям организации или если есть файлы, которые нельзя шифровать, существует много способов отключить EFS или нужным образом конфигурировать её. Для работы с EFS всем пользователям требуются сертификаты EFS. Если в организации нет инфраструктуры открытого ключа (Public Key Infrastructure, PKI), применяются подписанные самим владельцем сертификаты, которые автоматически создаются ОС. При наличии центров сертификации сертификаты EFS обычно выпускают именно они. Если используется EFS, необходимо предусмотреть план восстановления данных при сбое системы. Что разрешается шифровать? На томах NTFS атрибут шифрования разрешается назначать отдельным файлам и папкам с файлами (или подпапками). Хотя папку с атрибутом шифрования и называют «зашифрованной», сама по себе она не шифруется, и для установки атрибута пары ключей не требуется. При установленном атрибуте шифрования папки EFS автоматически шифрует: все новые файлы, создаваемые в папке; все незашифрованные файлы, скопированные или перемещённые в папку; все вложенные файлы и подпапки (по особому требованию); автономные файлы. Политики ограниченного использования программ Политики ограниченного использования программ предоставляют механизм идентификации программ и управления возможностями их выполнения. Существует два варианта установки правил ограничения: на всё программное обеспечение устанавливается ограничение на запуск и создаются исключения, то есть список программ, разрешенных к выполнению; разрешается запуск любых программ и создаётся список исключений, запрещающий запуск некоторых программ, доступ к программам определяется правами пользователя. Для того чтобы выбрать один из вариантов как вариант по умолчанию, необходимо открыть пункт «Уровни безопасности» и выбрать нужный уровень. По умолчанию установлен уровень безопасности «Неограниченный», то есть запуск любых программ разрешен и необходимо создать исключения для запрета запуска определённых программ. Политики ограниченного использования программ распространяются только на исполняемые файлы, чтобы посмотреть список таких файлов, перейдите в пункт «Назначенные типы файлов». В этот список можно добавить новый тип файлов, соответственно на такие файлы будут распространяться все установленные правила, или удалить какой-то тип, исключив такие файлы из правил политик. По умолчанию политики распространяются на всех пользователей компьютера. Но при создании некорректных правил (например, политик ограничивающих запуск системных файлов), система может работать неправильно, при этом существует риск невозможности возвращения системы в исходное состояние. Поэтому желательно распространять действие политик только на пользователей, исключив из области действия политик локальных администраторов. Для этого перейдите в пункт «Принудительный» и выполните соответствующие настройки. Кроме того в пункте «Принудительный» существует возможность выбора, будут ли политики распространяться на файлы библиотек *.dll. Если политики будут распространяться и на файлы *.dll, то при установке уровня безопасности по умолчанию запрещающего выполнение программ, придется создавать дополнительные разрешения для каждой библиотеки которую использует программа, иначе программа будет работать некорректно. С помощью политик ограниченного использования программ имеется возможность защищать компьютерное оборудование от программ неизвестного происхождения посредством определения программ, разрешенных для запуска. В данной политике приложения могут быть определены с помощью правила для хеша, правила для сертификата, правила для пути и правила для зоны Интернета. Программное обеспечение может выполняться на двух уровнях: неограниченном и запрещённом. Политики ограниченного использования программ регулируют использование неизвестных программ и программ, к которым нет доверия. В организациях используется набор хорошо известных и проверенных приложений. Администраторы и служба поддержки обучены для поддержки этих программ. Однако, при запуске пользователем других программ, они могут конфликтовать с установленным программным обеспечением, изменять важные данные настройки или, содержать вирусы или «троянские» программы для несанкционированного удалённого доступа. При интенсивном использовании сетей, Интернета и электронной почты в бизнесе пользователи повсеместно сталкиваются с различными программами. Пользователям постоянно приходится принимать решения о запуске неизвестных программ, поскольку документы и веб-страницы содержат программный код – сценарии. Вирусы и «троянские» программы зачастую умышленно замаскированы для введения пользователей в заблуждение при запуске. При таком большом количестве и разнообразии программ отдельным пользователям трудно определить, какое программное обеспечение следует запускать. Пользователем необходим эффективный механизм идентификации и разделения программ на безопасные и не заслуживающие доверия. После идентификации программы к ним может быть применена политика для определения, могут ли они быть запущены. Политики ограниченного использования программ предоставляют различные способы идентификации программного обеспечения и средства определения, следует ли запускать данное приложение. При применении политик ограниченного использования программ идентификация программного обеспечения производится посредством следующих правил: Правило для сертификата; Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением .exe или .dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещённых областях операционной системы. Правило для пути; Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет. Правило для хеша; Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm. Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определённого файла. Хеш переименованного или перемещённого в другую папку файла не изменяется. Однако при любом изменении файла значение хеша изменяется, позволяя обойти ограничения. Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ. Правило для зоны Интернета; Правила для зоны влияют только на пакеты установщика Windows. Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надёжные сайты. В политиках ограниченного использования программ используются следующие уровни безопасности: «Неограниченный». Приложения запускается со всеми правами пользователя, вошедшего в систему. «Не разрешено». Приложения не могут быть запущены. |