Методы и средства защиты информации. Криптография

Оглавление

1. Основные технологии обеспечения безопасности в ОС Windows технологии NT. Раскрыть администрирование защиты. 3

Физическая защита 3

Администрирование учетных  записей 3

Защита файлов и  каталогов (папок) 6

Защита реестра 12

Безопасность сервера SMB 15

Безопасность сервера IIS 17

Аудит 19

Службы безопасности Windows NT 5.0 24

2.Практическая  задача. 27

Приложение А Диск    с программой 28

Приложение В  Листинг  программы 29

Литература 38

 

1. Основные технологии обеспечения безопасности в ОС Windows технологии NT. Раскрыть администрирование защиты.

Проблема компьютерной безопасности не нова. Каждый, кто использует компьютерные сети, нуждается в средствах обеспечения  безопасности. Статистика показывает, что в большинстве случаев  несанкционированного проникновения  в систему можно избежать, если системный администратор уделяет  должное внимание средствам защиты. Эффективность обеспечения безопасности компьютерных систем всегда зависит  от качества настройки программно-аппаратных средств. Операционная система Windows NT имеет богатый набор средств защиты. Однако установленные по умолчанию значения параметров защиты не всегда удовлетворяют предъявляемым требованиям. Рассмотрим основные средства и методы обеспечения безопасности, входящие в состав Windows NT 4.0 и 5.0.

Физическая защита

К физическим средствам защиты относится:

• обеспечение безопасности помещений, где размещены серверы сети;
• ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;
• использование средств защиты от сбоев электросети.

Администрирование учетных  записей

В функции Менеджера учетных  записей входит поддержка механизма  идентификации и проверки подлинности  пользователей при входе в  систему. Все необходимые настройки  хранятся в базе данных Менеджера  учетных записей. К ним относится:

• учетные записи пользователей;
• учетные записи групп;
• учетные записи компьютеров домена;
• учетные записи доменов.

База данных Менеджера учетных  записей представляет собой куст системного реестра, находящегося в  ветви HKEY_LOCAL_MACHINE, и называется SAM ( рис.1). Как и все остальные кусты, он хранится в отдельном файле в каталоге %Systemroot%\System32\Con fig, который также носит название SAM. В этом каталоге обычно находятся минимум два файла SAM: один без расширения – сама база учетных записей; второй имеет расширение .log – журнал транзакций базы.

Рис. 1.

Наиболее интересным является раздел учетных записей пользователей: в них хранится информация об именах и паролях. Следует заметить, что  пароли не хранятся в текстовом виде. Они защищены процедурой хеширования. Это не значит, что, не зная пароля в  текстовом виде, злоумышленник не проникнет в систему. При сетевом  подключении не обязательно знать  текст пароля, достаточно хешированного  пароля. Поэтому достаточно получить копию базы данных SAM и извлечь  из нее хешированный пароль.

При установке системы Windows NT доступ к файлу %Systemroot%\System32\Config\sam для обычных программ заблокирован. Однако, используя утилиту Ntbackup, любой пользователь с правом Back up files and directories может скопировать его. Кроме того, злоумышленник может попытаться переписать его копию (Sam.sav) из каталога %Systemroot%\System32\Config или архивную копию (Sam._) из каталога %Systemroot%\Repair.

Поэтому для защиты информации, хранящейся в базе данных SAM, необходимо следующее:

• исключить загрузку серверов в DOS-режиме ( все разделы установить под NTFS, отключить загрузку с флоппи- и компакт-дисков, желательно установить на BIOS пароль ( хотя эта мера уже давно устарела, поскольку некоторые версии BIOS имеют “дырки” для запуска компьютера без пароля, все-таки злоумышленник потеряет на этом время для входа в систему);
• ограничить количество пользователей с правами Backup Operators и Server Operators;
• после установки или обновления удалить файл Sam.sav;
• отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре). Используя утилиту Regedt32, добавить в реестр в раздел
• HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
• Параметр CachedLogonsCount
• Тип REG_SZ
• Значение 0

Один из популярных методов проникновения  в систему — подбор пароля. Для  борьбы с этим обычно устанавливают  блокировку учетной записи пользователя (Account Lockout) после определенного числа неудачных попыток входа, используя для этого утилиту User Manager в диалоговом окне Account Policy, доступном через меню Polcies/Accounts (рис. 2);

Рис. 2

Приятным исключением является учетная запись администратора. И  если он имеет право на вход через  сеть, это открывает лазейку для  спокойного угадывания пароля. Для  защиты рекомендуется переименовать  пользователя Administrator, установить блокировку учетных записей, запретить администратору вход в систему через сеть, запретить передачу SMB (рассмотрен далее) пакетов через TCP/IP (порты 137,138,139), установить протоколирование неудачных входов;

• необходимо ввести фильтрацию вводимых пользователем паролей, установить Service Pack 2 или 3 ( используется динамическая библиотека Passfilt.dll). Данная библиотека при создании нового пароля проверяет, что:
• длина пароля не менее шести символов;
• содержит три набора из четырех существующих:
• прописные группы латинского алфавита A, B,C,…,Z;
• строчные группы латинского алфавита a,b,c,…,z;
• арабские цифры 0,1,2,…,9;
• не арифметические (специальные) символы, такие, как знаки препинания.
• пароль не состоит из имени пользователя или любой его части.

Для включения данной фильтрации необходимо в реестре в разделе 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

добавить 

Параметр	Notification Packages
Тип	REG_MULTI_SZ
Значение	PASSFILT

Если этот параметр уже существует и содержит величину FPNWCLNT (File Personal NetWare Client), то допишите новую строку под FPNWCLNT. Если же вам мало наборов фильтра, то создайте свою библиотеку, используя статью Q151082 в Microsoft KnowledgeBase, где приведен пример написания модуля фильтра.

Защита файлов и каталогов (папок)

Операционная система Windows NT 4.0 поддерживает файловые системы FAT (File Allocation Table) и NTFS (New Technology File System). Напомним, что первая поддерживается такими известными операционными системами, как MS-DOS, Windows 3.X, Windows 95/98 и OS/2, вторая — только Windows NT. У FAT и NTFS различные характеристики производительности, разный спектр предоставляемых возможностей и т.д. Основное отличие файловой системы NTFS от других (FAT, VFAT (Virtual File Allocation Table), HPFS) состоит в том, что только она одна удовлетворяет стандарту безопасности C2, в частности, NTFS обеспечивает защиту файлов и каталогов при локальном доступе.

Защиту ресурсов с использованием FAT можно организовать с помощью  прав доступа: Чтение, Запись, Полный.

Таким образом, можно рекомендовать  создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным  разделом для приложений MS-DOS и не размещать в нем системные  файлы Windows NT.

Поскольку файлы и каталоги в  Windows NT являются объектами, контроль безопасности осуществляется на объектном уровне. Дескриптор безопасности любого объекта в разделе NTFS содержит два списка контроля доступа (ACL) — дискреционный (discretionary ACL (DACL)) и системный (system ACL (SACL)).

В операционной системе Windows NT управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL.

Маска доступа включает стандартные (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), специфические (Read (Write) _Data, Append_Data, Read(Write )_Attributes, Read(Write)_ExtendedAttributes, Execute) и родовые (Generic_Read(Write), Generic_Execute) права доступа. Все эти права входят в дискреционный список контроля доступа (DACL). Вдобавок маска доступа содержит бит, который соответствует праву Access_System_Security. Это право контролирует доступ к системному списку контроля доступа (SACL).

В списке DACL определяется, каким пользователям  и группам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять  владелец объекта.

Список SACL задает определенный владельцем тип доступа, что заставляет систему  генерировать записи проверки в системном  протоколе событий. Только системный  администратор управляет этим списком.

На самом же деле для администрирования  используются не отдельные права  доступа, а разрешения (permissions) NTFS. Разрешения подразделяются на:

индивидуальные — набор прав, позволяющий предоставлять пользователю доступ того или иного типа (табл.1.1);

стандартные — наборы индивидуальных разрешений для выполнения над файлами  или каталогами действий определенного  уровня (табл.1.2);

специальные — комбинация индивидуальных разрешений, не совпадающие ни с одним стандартным набором (табл.1.3).

Таблица 1.1

Разрешение	Права доступа	Операция над
		Файлами	Папками
Read	Read_Control  Read_Data  Read_Atributes  Read_EA  Synchronize	Операции чтения файла, просмотр атрибутов, прав доступа, а также имени владельца	Операции отображения содержимого  папки, просмотра атрибутов, прав доступа, а также имени ее владельца
Write	Read_Control  Write_Data  Append_Data  Write_Atributes  Write_EA  Synchronize	Операции изменения файла и  его атрибутов, просмотра прав доступа  и имени владельца	Операции создания подпапок и файлов, изменения атрибутов файлов, просмотра  прав доступа и имени владельца
Execute	Read_Control  Read_Atributes  Synchronize  Execute	Операции запуска программы, просмотр атрибутов, прав доступа, а также  имени владельца	Операции просмотра атрибутов  и прав доступа, а также имени  владельца и изменения подпапок
Delete	Delete	Операции удаления файла	Операции удаления папок
Change Permission	Write_Dac	Операции изменения прав доступа	Операции изменения прав доступа
Take Ownership	Write_Owner	Операции изменения владельца  файла	Операции изменения владельца  папки

Таблица 1.2

Разрешение	Индивидуальные разрешения	Операции
No Access	Нет	Запрещение доступа к файлу. Пользователь, для которого оно установлено, не может получить доступ к файлу  даже в том случае, если он входит в группу пользователей, имеющих  права доступа к данному документу.
Read	Read, Execute	Предоставление пользователю права  на просмотр файлов и запуск приложений, хранящихся в папке.
Change	Read, Write, Execute, Delete	Разрешение (дополнительно к правам, предоставляемым правом Read) на создание и удаление файлов и папок, модификацию содержимого файлов.
Full Control	Все	Разрешение (дополнительно к правам, предоставляемым правом Change) на изменение прав доступа и вступление во владение файлами и папками.

Таблица 1.3

Разрешение	Разрешения к		Операции
	Папкам	файлам
No Access	Нет	нет	Запрещение доступа к папке  и содержащимся в ней файлам.
List	Read,  Execute	Не устанавливает	Разрешение на просмотр имен файлов и содержимого папок, а также  их структуры.
Read	Read,  Execute	Read, Execute	Предоставление пользователю права  на просмотр файлов и запуск приложений, хранящихся в папке.
Add	Write,  Execute	Не устанавливает	Разрешения (дополнительно к правам, предоставляемым правом Read) создавать папки и файлы. Не позволяет отображать структуру папок.
Add & Read	Read,  Write,  Execute	Read, Execute	Предоставление прав, указанных  в правах Add и Read.
Change	Read,  Write,  Execute,  Delete	Read, Write, Execute, Delete	Разрешение (дополнительно к правам, предоставляемым правами Add и Read) создавать и удалять файлы и папки, модифицировать содержимое файлов.
Full Control	Все	Все	Разрешение (дополнительно к правам, предоставляемым правом Change) на изменение прав доступа и вступление во владение файлами и папками