1.2.11 Программная защита данных при их передаче

Передача данных по линиям сети, в особенности, на большие расстояния требует принятия дополнительных мер безопасности, в том числе, на уровне разработчиков систем, специалистов по созданию систем коммуникации и удаленной связи.

Защита данных при их передаче представляется в двух основных аспектах:

1) защита достоверности данных;

2) защита данных от перехвата и нелегального использования.

Защита достоверности данных особенно актуальна при передаче документов по линиям электронной почты. Имеется в виду сохранение юридической значимости документа, предотвращение подделок, появления фиктивных документов. Современная электронная почта предполагает передачу документов посредством факс-модемов через графический интерфейс. Эти средства позволяют передавать и воспроизводить подпись, печать и другие идентифицирующие признаки передающего юридического лица. По российскому законодательству электронная подпись признается действительной и юридически значимой, разумеется, при наличии специальных программно-технических средств, обеспечивающих идентификацию подписи. На право удостоверять идентичность электронной цифровой подписи требуется лицензия, выдаваемая уполномоченными на это органами. Для защиты данных сети от несанкционированного использования применяются следующие меры и средства:

организация доступа и разграничение полномочий;

криптография, шифрование документов;

разделение массива передаваемых данных таким образом, что из отдельных частей невозможно понять их смысл и значение, и передача их по двум или более параллельным каналам, линиям связи, станциям, последующее затем слияние фрагментов;

процедура сжатия и/или шифрования данных при передаче и восстановления исходного вида после приема

Особые проблемы информационной безопасности возникают при использовании таких глобальных информационных магистралей, как INTERNET. Такие сети поддерживают связь с огромным множеством локальных и корпоративных сетей, осуществляют передачу данных по многим каналам, маршрутам и различным протоколам. Здесь необходимо разграничение доступа к различным наборам данных и защита конфиденциальной информации. Однако проконтролировать все системы связи, обеспечить их безопасность и защиту практически невозможно. Многие владельцы информации, потратившие миллионы долларов на защиту информации своих серверов, с ужасом наблюдают, как эта защита обходится, взламывается или рушится прямо у них на глазах. Так называемые брандмауэры, предназначенные для защиты узлов сети (WEB-узлов в INTERNET), нередко сами становятся уязвимыми и легко преодолимыми. Для обеспечения информации серверов и хост-серверов ее владельцы идут на "ответные меры". Так, сегодня многие WEB-серверы способны собирать информацию о своих пользователях, определяя и запоминая их адреса, фамилии и другие личные реквизиты, в особенности при повторяющихся обращениях к информации определенной тематики или каталога. Это, со своей стороны, вызывает протест пользователей INTERNET, как попытка нарушения частных прав клиентов.

1.2.12 Программное восстановление данных

Защита данных заключается не только в ограждении их от актов пиратства, хулиганства или несанкционированного доступа. Не менее важной задачей является защита полноты и достоверности информации. При потере или искажении части информационного потока при его хранении на материальном носителе или при передаче невозможны достоверное исследование статистических данных и оперативная обработка блоков информации. Помимо усилий по модернизации и замене физически и морально устаревшей техники, необходимо следующее:

отлаженная система оценки количества и качества принятых к обработке данных;

система оперативной связи с источником коммуникации для замены или повторной передачи данных;

средства восстановления данных.

Под программным восстановлением массивов данных понимается приведение их отдельных компонентов (чисел, символов, блоков) к значениям, выражающим первоначальные значения или смысл с определенной степенью точности и достоверности. В результате сбоя в обработке, в ее алгоритме, при коммуникации данных часть значений данных может исказиться, что приведет к неверным результатам и заключениям при их обработке. Задача программного восстановления состоит в том, чтобы по контексту, окрестности утерянных / искаженных данных определить их относительно верное значение. К этому типу относятся и задачи очистки программ и прочих файлов от всевозможных наслоений, паразитических элементов, кодов, символов. Борьба с этими проявлениями ведется путем защиты целостности и неприкосновенности файлов (проверки объемов, подсчета контрольных сумм), обнаружения и удаления внедрившихся и/или внедренных в них дополнений. К этому типу относится и создание средств антивирусологии, борьба с вирусами и другими программами-вандалами.

1.3 Организация защиты информации (аппаратная составляющая)

Физико-техническая (физическая) защита данных - это комплекс производственных профилактических мероприятий по сохранению информации и средств, предназначенных для хранения и передачи данных. Эти мероприятия не связаны непосредственно с процессами программирования, компьютерной обработки и коммуникации, относятся, в основном, к функциям технико-операторского обслуживания и профилактики, осуществляемым на уровне пользователей и специальных групп людей. К защищаемым физической формой защиты средствам следует отнести все технические устройства, применяемые для защиты данных, а также системные и стандартные программные средства, используемые для увеличения надежности хранения данных.

Физическая защита данных выражается в повседневной, часто рутинной работе по их физическому сохранению с применением средств физической и технической систем хранения, а также необходимых системных или прикладных программных средств. В этом выражается связь физической защиты с административной и программной формами защиты информации и ее зависимость от них. Физическая защита требует определенной организации и планирования; технология физической защиты формируется программной защитой. Защита информации при ее обработке средствами вычислительной техники, безусловно, должна начинаться с выбора этой техники. Вся аппаратура должна не только соответствовать решаемым задачам с полным учетом необходимых им ресурсов, установленным стандартам и требованиям безопасности, но и требуемым показателям качества, надежности и устойчивости. Все технические устройства и приборы должны иметь сертификаты относительно электрической и электромагнитной безопасности.

Процедуры и средства физической защиты данных.

1.3.1 Защита машинных носителей данных

Машинные носители данных - винчестеры, дискеты, бумага и пр. Надежность хранения предусматривает: выбор носителей с достаточно большим объемом памяти и обладающих хорошим качеством: записав данные на ненадежную или непроверенную дискету можно не считать их с нее, возможно, лишившись вообще; обеспечение надежности и качества хранения носителей данных: необходимо содержать их в местах, исключающих возможности физического воздействия на них, физической порчи, а также достаточно недоступных для злоупотреблений и несанкционированного доступа (в сейфах, коробках и т.д.).

Защита носителей информации предполагает также их достаточно хорошо организованное хранение: строгий учет, систематизацию и идентификацию, удобное обращение и предотвращение несанкционированного доступа, а также меры по безопасности их хранения.

В настоящее время имеется довольно надежное средство сохранения информации жесткого диска с помощью стриммера - специальной постоянной кассеты с цифровой записью информации и объемом памяти до 30 Гб либо набора сменных картриджей емкостью от 100 Мб до 1 Гб. Стриммер замечателен тем, что на него в достаточно оперативном режиме можно сбросить содержимое всего жесткого диска и восстановить его в случае аварии или другой надобности.

1.3.2 Защита технического обеспечения компьютерных систем

К техническому обеспечению компьютерных систем относятся системный блок (процессор), периферия, оргтехника. Работа на аппаратуре, не удовлетворяющей необходимым требованиям безопасности и качества, может привести к аварийной ситуации, непредсказуемым последствиям, искажению или потере информации. Надежность технического обеспечения предусматривает также необходимое дублирование устройств и блоков на случай непредвиденного сбоя одного из них.

Защита оборудования компьютерной системы как средства хранения и обработки данных (процессора, винчестера и др.) заключается в:

защите от злоупотреблений с ним, разрушений, хищений и пр. (в том числе помещений);

защите от несанкционированного доступа к ним, вернее, к их функциональным блокам: использование специальных встроенных плат, системных средств, блокирование устройств специальными ключами и т.д.;

соблюдении требований безопасности работ на компьютере и правил его использования;

предотвращении и устранении аварийных ситуаций: организация технической поддержки, своевременного и квалифицированного ремонта аппаратуры, обслуживания и т.д.;

в соответствующем техническом обслуживании и систематическом проведении профилактических работ;

модернизации и обновлении оборудования, замене морально и физически устаревших блоков

компьютерных систем на новые и более совершенные, мощные и производительные.

1.3.3 Выбор и защита средств коммуникации

Надежность и безопасность средств коммуникации зависят от их выбора и системы функционирования.

К средствам коммуникации и сетевого обмена информацией относятся аппаратура, устройства и приборы, используемые для удаленной передачи данных: сетевые адаптеры, коммутаторы, модемы, факс-модемы, сотовые телефоны, линии передач и пр.

Выбор модема, факс-модема зависит как от его качества (функционирования, изготовления), так и его параметров, режимов работы. Так, при скорости передачи выше 28 000 бит в секунду (максимальной скорости передачи по телефонным линиям) качество передачи снижается, что может привести к потере информации.

Выбор линий передачи данных в компьютерной сети зависит от ряда факторов и в том числе:

важности передаваемой информации и уровня ее секретности;

необходимой степени надежности ее коммуникации;

качества и надежности этой линии.

Обычные рабочие данные можно передавать по телефонным линиям, для более важной, строго конфиденциальный или содержащей государственную тайну, могут потребоваться выделенные каналы и линии связи. Качество передачи можно повысить за счет использования оптоволоконных проводов или беспроводной передачи.

При соединении компьютеров локальной сети внутри одного помещения, здания, комплекса зданий требуется соблюдение необходимых требований: стандартов, безопасности, заземления и пр. Соединительный кабель (медный, оптоволоконный) должен быть в защищенной оболочке и желательно в специальных коробках.

1.3.4 Используемое программное обеспечение

Хранение данных на внешних носителях данных неминуемо должно предполагать работу с различным программным обеспечением - системным и прикладным, общим и личным. В этой работе могут выполняться следующие функции и процедуры:

сохранение внутренней памяти;

защита операционной системы и программ;

записи и копирования;

изменение состояния, статуса файлов и дисков;

восстановление данных;

архивация данных и работа с архивами;

антивирусология.

Выполнение этих функций и процедур относится в определенной степени к программной защите файлов. Однако в отличие от прочего программного обеспечения защиты данных, эти программные средства носят, во-первых, универсальный характер (независимы от конкретных данных) и предназначены для массового применения, а во-вторых, они используются в рамках профилактики системы хранения данных. Профилактические работы должны проводиться в следующем порядке:

постоянно, регулярно, периодически - в зависимости от вида ее процедур;

в автономном режиме - в виде выполнения соответствующих заданий;

в автоматизированном режиме - в виде выполнения определенных процедур и функций прикладных программ.

Автоматизация запуска программ профилактики системы данных персонального компьютера может быть организована также посредством включения соответствующих операторов в командные файлы, в том числе, системные (AUTOEXEC. EXE) или рабочие файлы операционной системы или управляющей оболочки (NORTON, WINDOWS и пр.).

1.3.5 Профилактические работы по защите данных

Профилактика на уровне физической защиты данных заключается в текущих мероприятиях пользователя по сохранению нужной ему информации, обеспечению нормального функционирования операционной системы, системы хранения, поиска и передачи данных.

Сохранение операционной системы заключается в следующем.

Необходимо особо бережное отношение к ресурсам системы: загрузочным модулям, драйверам, системным библиотекам, а также к таблицам конфигурации системы. Загрузочные модули нельзя произвольно менять или переписывать в другое место на диске. Необходимо иметь резервную копию операционной системы на дискете для аварийной загрузки в случае невозможности загрузиться с винчестера, а также для ее восстановления на нем. Необходимо также сохранение текущей конфигурации операционной системы.

Защита программ и файлов данных заключается в их резервном копировании, архивировании, операциях восстановления, а также мерах антивирусной защиты. Такие операции необходимо проводить регулярно или обеспечить их автоматическое выполнение.

Рациональное использование ресурсов внешней памяти также требует определенных мер по ее защите. Помимо операций по сохранению данных пользователь должен позаботиться об очистке памяти от всякого рода "мусора" - ненужной, необязательной или устаревшей информации. Многие программы, редакторы текстовых и других файлов могут создавать параллельные файлы, куда заносится предыдущее (до его изменения) состояние основного файла. В WINDOWS используются системы файлов подкачки и автоматического сохранения документов, куда заносится временная информация. При ограниченных ресурсах памяти целесообразно удалять их по окончании работы или время от времени. Кроме того, в файлах подкачки может оказаться конфиденциальная информация без должной ее защиты.

1.3.6 Копирование данных

Копирование данных, файлов, блоков, каталогов, дисков, операционной системы производится для гарантии сохранения информации, для передачи информации, обмена данными. Копирование файлов производится либо в автономном режиме в рамках профилактических работ с системой информации, либо в автоматизированном режиме под управлением программ обработки данных.

1.3.7 Восстановление данных и носителей данных

Здесь восстановление данных понимается как совокупность профилактических мер по восстановлению утраченных или испорченных блоков данных, файлов, дисков или их отдельных участков. Имеется в виду не восстановление самой информации в соответствии с ее логическим смыслом и обозначением, а возможности ее достаточно правильно считать с носителя данных, куда она была помещена для хранения, т.е. считать с наименьшими потерями. Это осуществляется различными системными и стандартными прикладными средствами.

1.3.8 Системы архивации данных. Архивы

Использование внешних носителей памяти предполагает их сменяемость и множественность, а значит, и определенную систематизацию, упорядочение, накапливание. Упорядоченное множество информационных массивов, расположенных на множестве различных носителей данных, образует архивы.

Архив понимается как организованная система хранения следующих элементов: документов и соответствующей ретроспективной информации о них (каталогов, информационных файлов и пр.); материальных носителей информации.

Архивы нужны для удобного хранения и/или передачи блоков данных, экономии памяти.

Архив информации может быть расположен как на жестком рабочем диске, так и на других носителях: дискетах, магнитных лентах, компакт-дисках и пр.

Выделяются следующие организационные типы архивов.

Государственные центральные или специализированные архивы в виде централизованных информационных центров обладают статусом юридического лица, имеют определенный состав сотрудников, хранилища и систематизированное множество однородной или разнородной информации, используемой широкой аудиторией для получения производной информации.

Корпоративные архивы, имеющие статус подразделения или управления с соответствующим административным подчинением. В таких архивах сосредотачивается научно-техническая информация определенной тематики на некотором множестве машинных и других материальных носителей информации.

Сетевые архивы, организуемые на центральных или узловых серверах сети, в его дисковых устройствах, базах данных, каталогах и файлах. Организованная определенным образом и наделенная соответствующими параметрами доступа информация сетевого архива передается на рабочие станции сети или поступает с них.

Личные архивы, организуемые на уровне физического лица, отдельного пользователя. Эти архивы сосредоточены на жестком диске персонального компьютера, множестве дискет, упорядоченных и хранимых некоторым образом, возможно, стриммере и других машинных носителях данных.

Поименованные архивы в виде архивных файлов или пакетов. В архивном файле и пакете может быть сосредоточена информация какого-либо раздела данных, объединяющего выделенную группу файлов и каталогов. Архивный файл может храниться на жестком диске, компакт-дисках, дискетах и служить объектом хранения и распространения. Государственные и корпоративные архивы относятся к интеллектуальным, сетевые, личные и поименованные - к физическим. В интеллектуальных архивах информация упорядочена по содержанию, в физических - по форме.

При формировании и использовании архива приходится решать задачи:

выбора системы, структуры и формы записи информации;

выбора средства представления данных;

выбора средства хранения, носителя данных;

идентификации и систематизации объектов хранения;

обеспечения надежного, доступного и защищенного хранения

архива;

обеспечения простого, удобного и быстрого нахождения данных в архиве, представлениях в исходной форме.

Дискета может содержать архив или часть архива, сформированного для длительного хранения информации, либо содержать файлы, представляющие копии рабочих файлов, отдельных блоков БД, программных модулей. Данные копии могут быть получены в автономном режиме или в процессе работы программно-информационных комплексов. Создание архива предполагает не только идентификацию и классификацию архивных файлов и их носителей, но и рациональное использование памяти. Для достижения этих целей используются специальные архиваторы, сжимающие информацию и представляющую ее в удобной для хранения и восстановления форме.

Архиватор - это одна комплексная программа или совокупность двух (архивирующей и разархивирующей) программ, выполняющих следующее: сжатие файла, каталога (всех его файлов), многоуровневого каталога (каталога вместе с его подкаталогами); представление сжатой информации в виде одного файла с соответствующим расширением и указанным именем; модификацию, дополнение архива новыми файлами или новыми версиями имеющихся; восстановление информации в исходном виде в указанном пользователем месте; извлечение или удаление из архива указанных файлов (по названию или шаблону); предоставление необходимой справочной информации о хранимых в архиве данных.

Наиболее популярные архиваторы (ZIP, Rar) предоставляют возможность задать пароль при формировании архива, что создает его защиту от несанкционированного доступа.

Обычно используемый архиватор создает файл с унифицированным для него (архиватора) расширением. Большинство из них позволяют, кроме того, создать саморазворачивающийся (SFX) архив с расширением ЕХЕ.

1.3.9 Антивирусология

Одной из постоянных проблем работы на компьютере является борьба с вирусами и программами-вандалами. Эти программы, "вандалы", "паразиты", "троянские кони" и т.д., резидентные и нерезидентные структуры внедряются в программы и другие файлы пользователя компьютера, магнитные диски и оперативную память, искажают и разрушают информацию, делают средства ЭВМ неработоспособными.

"Троянские кони" рядятся под полезные программы, а в определенный момент совершают "диверсию". Поэтому в целях защиты информации пользоваться незнакомыми программными средствами надо очень осторожно.

Риск подвергнуться акциям вандализма, диверсии, влекущим потерю или искажение информации или даже прерывание нормального течения всех информационных процессов - это одна из теневых сторон несанкционированного использования программно-информационных продуктов или систем: пользователь не знает с уверенностью, что делает приобретенная нелегальным путем программа, а ее собственник, естественно, не отвечает за последствия, поскольку копия приобреталась не у него.

Бытовые (загрузочные) вирусы поражают начальные дорожки дискет, которые сами затем становятся разносчиками заразы. Поэтому лучше "не забывать" дискету в дисководе.

Для борьбы с вирусами применяются следующие меры и средства. Аппаратные: специальные платы в процессоре проверяют целостность файлов, чистоту памяти и пр., не дают проникнуть вирусам.

Программные: полифаги, ревизоры, вакцины, сторожа и другие обнаруживают и/или уничтожают вирусы, не дают им проникнуть в память и данные, сигнализируют о нежелательных изменениях.

Соблюдение правил работы с данными, а также проведение профилактических, работ.

Более подробную информацию о вирусах, их природе и классификации, методах и средствах борьбы с ними можно получить в сети Интернет (сайты AVP Касперского, Доктор Веб и др.).

1.3.10 Антивирусная профилактика

Кроме средств непосредственной антивирусологии существует определенный набор правил, которым желательно следовать в целях защиты от вирусов и программ-вандалов.

1. Нельзя загружать в ОП программу, не зная всех последствий ее работы. Опасно приобретать программы "контрабандным" путем.

2. Форматировать (тем более с записью системы) дискеты лучше на своей машине.

3. Приобретая где-то программу, перед копированием ее в свой ПК следует всеми доступными средствами убедиться в ее чистоте от вирусов.

4. Дискеты, содержащие информацию, не подлежащую модификации (временно или постоянно), должны быть защищены (заклеены) от записи.

5. Необходимо иметь в одном из каталогов жесткого диска или дискеты копии загрузочных модулей, а также других программ (NORTON, текстовые и табличные редакторы и т.д.), иметь так называемую аварийную дискету. В случае утери или порчи загрузочных модулей можно попытаться заменить их копиями. Копии, разумеется, должны быть эталонными (не участвующими в рабочем процессе и/или находящимися на защищенных дискетах). Загрузочные модули далеко не всегда можно просто поменять на копии, не достаточно опытному пользователю не следует этим заниматься.

6. Надо приобретать новые версии фагов (встать на абонементное обслуживание), регулярно пользоваться ими. Можно команду вызова антивирусной программы поместить в AUTOEXEC. BAT для автоматического ее вызова при загрузке системы.

7. Необходимо, по возможности, автоматизировать запуск антивирусных программ:

Сгруппировать программы в один каталог, возможно, с подкаталогами.

Указать программы в расширенной области поиска командой PATH, поместив ее в файл AUTOEXEC. BAT.

Создать командный файл вызова программ и/или поместить этот вызов в автоматическое меню системной надстройки.

8. Следует иметь копии антивирусных программ на защищенной дискете.

Эти, а также другие профилактические мероприятия, относящиеся к процедурам защиты данных, позволят надеяться на относительную вирусозащищенность персонального компьютера.

Глава 2. Локальная сеть школы и ее защита

2.1 Особенности организации школьной ЛВС

Как любая ЛВС, школьная локальная сеть выполняет, в первую очередь, следующие функции:

Организация обмена информацией: Для повышения эффективности управления образовательным процессом;

Для совместной работы участников педагогического процесса над различными информационными проектами.

Организация доступа к сетевым ресурсам:

С целью обмена информацией посредством сетевых ресурсов общего и ограниченного доступа;

Из экономических соображений, когда посредством сети один ресурс (принтер, пространство жесткого диска, CD-ROM, устройство доступа в Интернет) доступно всем пользователям ЛВС

Организация сети состоит из следующих этапов:

Постановка задач ее эксплуатации (см. выше).

Изучение имеющейся компьютерной техники (количество, характеристики).

Изучение физического расположения компьютеров (план зданий, их размещение относительно друг друга).

Выбор топологии сети.

Выбор и закупка сетевого оборудования

Монтаж сети.

Тестирование и ввод в эксплуатацию

Рассмотрим организацию ЛВС на примере средней общеобразовательной школы №34 г. Каменска-Уральского. Школа расположена в двух зданиях, в каждом имеются компьютерные классы, отдельно стоящие компьютеры администраторов и учителей. Для эффективного обмена информацией, совместного использования ресурсов, организации выхода в Интернет для каждого пользователя поставлена задача создания ЛВС. (Схема ЛВС МОУ №34 Приложение) ЛВС школы № 34 построена по топологии "звезда". Для физической связи между компьютерами внутри зданий используется так называемая "витая пара" и коммутаторы D-Link. Поскольку школа расположена в двух корпусах, оба Ethernet-сегмента объединены при помощи Wi-Fi точек доступа D-Link DWL-750, работающих в режиме "мост". В ЛВС используется протокол TCP/IP и два сервера: под управлением Windows Server 2003 (выполняет функции DHCP-сервера, контроллера домена, файлового сервера, сервера печати, а так же сервера приложений) и ОС Unix FreeBSD 5.4 (proxy-, firewall, mail-сервер).

2.2 Организация защиты информации на примере школьной ЛВС

2.2.1 Организация защиты ресурсов ЛВС с использованием Active Directory

Поскольку на рабочих станциях учащихся установлена операционная система Microsoft Windows XP, логично выстроить систему защиты информационных ресурсов на базе решения Active Directory ОС Windows 2003 Server.

Active Directory - это служба каталогов, включенная в систему Windows 2003 Server. Она расширяет возможности существовавших ранее служб каталогов на базе Windows и добавляет совершенно новые возможности. Служба каталогов Active Directory обеспечивает безопасность, распределенность, возможность разбиения на разделы и возможность репликации. Она рассчитана на установку в системе любого размера - от одиночного сервера с несколькими сотнями объектов до системы из тысяч серверов с миллионами объектов. Служба каталогов Active Directory предоставляет много новых возможностей, облегчающих поиск и управление большими объемами данных и позволяющих экономить время как администраторам, так и конечным пользователям.

Каталогом называется информационный ресурс, используемый для хранения сведений о представляющих интерес объектах. Телефонный справочник - это каталог, содержащий данные о телефонных абонентах. В файловых системах в каталоге хранятся сведения о файлах.

В распределенных вычислительных системах или общедоступных компьютерных сетях, например в Интернете, существует множество объектов, представляющих интерес - таких, как принтеры, серверы службы факсов, приложения, базы данных, пользователи. Пользователям желательно уметь находить и использовать эти объекты. Администраторам необходимо управлять использованием этих объектов.

Служба каталогов - один из наиболее важных компонентов распределенной компьютерной системы. Пользователи и администраторы часто не знают точных имен интересующих их объектов. Им может быть известен один или несколько атрибутов этих объектов, и они запрашивают каталог для получения списка объектов, обладающих этим атрибутом или набором атрибутов, например: "Найти все принтеры с двусторонней печатью, расположенные в здании № 26". Служба каталогов позволяет пользователю найти любой объект по заданному атрибуту.

Служба каталогов может решать следующие задачи.

Обеспечивать уровень безопасности, определенный администраторами для защиты данных от несанкционированного доступа.

Распределять каталог по различным компьютерам сети.

Выполнять репликацию каталога, чтобы обеспечить доступ к нему большему числу пользователей и повысить защищенность сети от сбоев.

Разбивать каталог на несколько разделов для обеспечения возможности хранения большого количества объектов.

Служба каталогов является как средством администратора, так и средством конечного пользователя. По мере роста числа объектов в сети повышается значение службы каталогов. Служба каталогов - это та ось, вокруг которой вращается большая распределенная система.

Область действия службы каталогов Active Directory весьма обширна. Она может включать в себя каждый одиночный объект (принтер, файл, пользователь), каждый сервер и каждый домен в одной глобальной сети. Она также может включать в себя несколько объединенных глобальных сетей. Все объекты службы каталогов Active Directory защищены списками управления доступом (ACL - Access Control List). Списки ACL определяют тех пользователей, кому может быть виден данный объект, и действия, которые каждый пользователь может с этим объектом выполнять. Все действия, выполняемые с объектами службы каталогов, могут быть зарегистрированы в журнале событий системы для дальнейшего просмотра и анализа.

Журнал безопасности можно просматривать с помощью оснастки Event Viewer консоли Microsoft Management Console (MMC). События отображаются в виде некоторого набора стандартных полей, и каждый ID имеет уникальное описание. Стандартными являются поля идентификатора (ID), даты (date), времени (time), имени пользователя (username), имени компьютера (computer name), источника (source), категории (category) и типа (type). Для многих ID, в соответствии с архитектурой системы безопасности Windows, поле имени пользователя отображается как not useful (не используется), соответственно в таких случаях нужно в описании события просматривать поля, содержащие относящуюся к пользователю информацию. В поле имени компьютера всегда содержится имя локальной системы, поэтому информация из этого поля может быть полезной в основном в тех случаях, когда в общую базу данных объединяется информация из журналов нескольких разных компьютеров. Поле источника служит для того, чтобы отображать информацию о том, какой компонент системы или приложение послужили причиной данного события, но при этом для всех событий, занесенных в журнал безопасности, в данном поле будет установлено значение Security. В поле категории отображается одна из девяти категорий аудита, а поле типа может содержать значение Success Audit (аудит был успешен) или Failure Audit (неудачная попытка аудита). Таким образом, по этому полю можно отделить, например, события успешной регистрации в системе от отказов в регистрации. Описание события представляет собой совокупность статического текста на обычном языке и изменяемого списка динамических строк, вставляемых в определенные позиции в этом статическом тексте. Наиболее важная информация по многим событиям содержится именно в строках описания, существуют и программные инструменты для анализа этих данных и построения соответствующих отчетов.

В утилите Event Viewer имеется ряд механизмов поиска и фильтрации, но их возможности весьма ограниченны. Посредством данной утилиты можно выполнять сохранение и/или очистку журнала безопасности. Для сохранения копии журнала (после щелчка правой кнопкой и выбора пункта Save Event Log As) можно выбрать один из трех предлагаемых форматов: "родной" формат Event Viewer (файл с расширением. evt), формат данных, разделяемых запятой (Comma-Separated Value CSV), или формат с разделителем в виде табуляции.

С помощью Event Viewer можно просматривать как сохраненные копии, так и действующие журналы на удаленных системах, и обычно все это работает хорошо до тех пор, пока вы не попытаетесь просмотреть журнал системы с другим языком по умолчанию или другой версией Windows. В подобных случаях при просмотре описания события может оказаться, что в данном поле отсутствует статический текст, а есть только вставки из динамических строк. Еще надо отметить, что просмотр объемного журнала событий через соединение по распределенной сети может происходить весьма медленно. При этом, если в процессе просмотра журнала будет осуществляться запись в него новых событий, система будет выдавать сообщения об ошибках, информирующие о регистрации новых событий.

В Event Viewer можно задать максимально допустимый размер журнала безопасности и предопределить те действия, которые система Windows должна выполнить при достижении журналом максимального размера. Чтобы увидеть окно установки этих параметров, следует щелкнуть правой кнопкой мыши на соответствующем журнале и выбрать пункт Properties ("Свойства"). Здесь можно предписать Windows при необходимости перезаписывать более ранние события, прекращать дальнейшую регистрацию до тех пор, пока кто-либо не очистит журнал, или перезаписывать события, произошедшие ранее заданного количества дней. В последнем случае при заполнении журнала дальнейшая запись событий будет временно прекращена, пока не пройдет достаточно времени для того, чтобы в журнале появились события, удовлетворяющие установленным временным критериям и, соответственно, допускающие удаление.

Можно настроить Windows 2003 таким образом, чтобы в журнал безопасности записывались только те события, которые соответствуют заданным категориям аудита. Для этого в списке из девяти категорий политики аудита нужно выбрать только те, что представляют интерес для занесения соответствующих им событий в журнал.

Рис.1

Чтобы просмотреть действующие в данный момент настройки политики аудита компьютера, запустите, как показано на рис.2, редактор групповых политик (Group Policy Editor, GPE) и раскройте следующую ветвь: Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy. Обратите внимание, что порядок перечисления и наименования категорий журнала безопасности (рис.1) и соответствующих им политик аудита (рис.2) слегка различаются. Если посмотреть на рис.2, увидим, что для каждой категории можно включить аудит событий с успешным и/или неудачным результатом либо вообще отключить аудит для данной категории событий. Например, можно для категории Audit account logon events (выполнять аудит попыток регистрации с учетной записью в системе) включить аудит только для неудачных попыток, в результате чего в журнале событий Windows будут фиксироваться только те попытки регистрации в системе, которые по каким-либо причинам закончились неудачей.

Рис.2

Упомянутые девять категорий аудита охватывают весьма широкий круг действий. Можно наблюдать за процедурами регистрации в системе и аутентификацией, за работой администратора, за поддержкой пользователей, групп и компьютеров, за действиями пользователей, связанными с доступом к файлам, за изменениями важных настроек параметров безопасности, за выполнением тех или иных программ, за изменениями свойств в Active Directory (AD) и т.д. Ниже приводятся краткие описания для каждой категории событий.

Одним из наиболее эффективных методов контроля действий пользователей и выявления атак на системы являются наблюдения за событиями регистрации в системе. Поскольку среда Windows имеет доменную архитектуру, для процессов регистрации в системе и аутентификации применяются различные подходы: если пользователь осуществляет регистрацию на своем компьютере при помощи доменной учетной записи, то данная система должна пройти процедуру аутентификации в AD на соответствующем контроллере домена (DC). Для отслеживания каждого из типов этих действий (или обоих вместе) в системе безопасности используются две категории событий: с помощью категории Logon/Logoff выполняется аудит событий, связанных с регистрацией, а категория Account Logon позволяет отслеживать события аутентификации.

Если мы вспомним эпоху Windows NT, то там категория Account Logon отсутствовала, а была только категория Logon/Logoff, что создавало значительные проблемы при необходимости отслеживать попытки аутентификации в домене. Информация о событиях категории Logon/Logoff записывалась в журналы тех компьютеров, где эти события произошли, т.е. в журналы рабочих станций и серверов домена, но не контроллеров домена. Поэтому, если требовалось отследить неудачные попытки регистрации в системах, приходилось просматривать журналы событий на каждой рабочей станции и сервере домена. Но еще хуже, что не было возможности отслеживать попытки регистрации с неавторизованных компьютеров.

Ситуация изменилась с появлением семейства продуктов Windows 2000, в них уже была предусмотрена категория Account Logon (хотя, на мой взгляд, название для нее было выбрано неудачно - правильнее было бы назвать эту категорию Authentication). Теперь стало возможным регистрировать все происходящие в домене события категории Account Logon на контроллере домена. Несмотря на появление категории Account Logon, сохранилась и существовавшая категория событий Logon/Logoff. Причина этого заключается в том, что данная категория может помочь при необходимости проконтролировать весь сеанс регистрации в целом. При этом события категории Account Logon информируют о том, кем, где и когда предпринимались попытки регистрации в системе, а события категории Logoff/Logon сообщают о продолжительности этих сеансов. Кроме того, события типа Logon/Logoff содержат более подробную информацию о причинах неудачи той или иной попытки регистрации в системе.

С помощью категории Account Management можно отслеживать изменения в учетных записях пользователей, групп и компьютеров, кроме того, она незаменима при наблюдении за некоторыми видами действий. Наилучший подход к управлению доступом состоит в том, чтобы предоставлять доступ группам, а не отдельным пользователям. С помощью категории событий Account Management можно легко идентифицировать случаи изменения членства в группах. Во многих случаях злоумышленники, получившие права административного доступа к системе, сначала создают новую учетную запись, а затем используют ее для дальнейших атак. С помощью событий категории Account Management факт создания новой учетной записи может быть легко выявлен. Использование категории Account Management может также помочь заставить администратора более ответственно относиться к своей работе. Если кем-то была случайно удалена учетная запись пользователя или внесены некорректные изменения в настройки пользователя или группы, то с помощью аудита событий категории Account Management подобные действия можно отследить.

Категория Directory Service Access обеспечивает низкоуровневый аудит объектов AD и их свойств. Поскольку данная категория имеет непосредственное отношение к AD, то активировать аудит подобных событий на системах, которые не являются контроллерами домена, не имеет ни малейшего смысла. Данная категория в значительной степени пересекается с Account Management, поскольку пользователи, группы и компьютеры тоже являются объектами AD. Но если отчеты Account Management содержат данные по высокоуровневым изменениям для пользователей, групп и компьютеров, то, применяя категорию Directory Service Access, можно обеспечить аудит объектов AD (в том числе пользователей, групп и компьютеров) на очень низком уровне. В категории Account Management каждому типу объектов и каждому событию доступа к объекту соответствует уникальный идентификатор ID. С другой стороны, в категории Directory Service Access для всех типов действий существует единственный идентификатор с ID 566. К ID 566 относятся тип объекта, имя объекта, имя пользователя, получившего доступ к объекту, а также тип доступа. В примере события, показанном на экране 3, администратор изменил в учетной записи Susan параметр job title.

Хотя категория Directory Service Access обладает весьма богатыми возможностями, тем не менее, использоваться может лишь небольшая их часть. На контроллерах доменов Windows 2000 политика аудита событий Directory Service Access настроена по умолчанию таким образом, чтобы в журнал записывались как удачные, так и неудачные попытки изменений объектов AD, что приводит к наличию огромного количества событий. Отметим также, что названия типов объектов и свойств поступают в события с ID 566 непосредственно из схемы AD и могут при этом выглядеть весьма загадочно. Например, поле user's city (город) отображается в виде "/" (местонахождение) а поле last name (фамилия) представлено в виде sn (surname). Обычно для обеспечения аудита событий, связанных с пользователями, группами и компьютерами, наибольший практический интерес представляет категория Account Management. Однако при этом следует понимать, что выполнять аудит изменений, вносимых в другие важнейшие объекты AD, такие как групповые политики (GPO) или организационные подразделения (organizational unit, OU), можно только с помощью категории Directory Service Access.

В принципе с помощью категории Object Access можно следить за доступом к файлам, папкам, принтерам, разделам реестра и системным службам, но в большинстве случаев данная категория используется для отслеживания доступа к файлам и папкам. Как только будет включен аудит по данной категории, в журнале безопасности сразу же отобразится некоторое количество событий, касающихся доступа к объектам в базе безопасности SAM. Однако каких-либо других событий, связанных с доступом к файлам или другим объектам, вы здесь, вероятнее всего, не увидите, поскольку каждый объект имеет свои настройки параметров аудита, а по умолчанию почти у всех объектов аудит отключен. Это правильная практика, поскольку, если в системе будет включен аудит попыток доступа к каждому файлу или объекту, то данная система до своей полной остановки будет заниматься только обработкой этих событий, а ее журнал безопасности быстро переполнится, вне зависимости от назначенного ему объема. Я рекомендую применять эту категорию только к критически важным файлам, действительно требующим механизмов слежения за доступом к ним.

Для того чтобы активизировать аудит событий для выбранного объекта, нужно открыть его диалоговое окно свойств, выбрать закладку Security, нажать кнопку Advanced, выбрать закладку Auditing, после чего нажать кнопку Add. Например, на экране 4 можно увидеть настройку параметров аудита для файла 1st Quarter Cost Centers. xls, который я открыл из Windows Explorer. Обратите внимание, что можно указывать конкретных пользователей или группы, доступ которых к данному файлу необходимо отслеживать, можно назначать аудит лишь для конкретного типа доступа либо аудит только успешных (или неудачных) попыток доступа к данному объекту. Как только будет включен аудит для соответствующего объекта, Windows начнет регистрировать события открытия, закрытия и другие типы событий для данного объекта согласно выбранной для него политике аудита.

Рис.3

Категория Detailed Tracking предоставляет администратору возможность мониторинга каждой программы, запущенной на системе. Можно контролировать запуск (ID 592) и закрытие (ID 593) пользователями любых приложений. Эти два события могут быть связаны друг с другом через идентификатор процесса (process ID), который можно найти в описаниях обоих событий. Для того чтобы получить полное представление о сеансе работы пользователя, можно задействовать механизмы слежения за процессами с аудитом процедур входа/выхода (logon/logoff), а также открытия/закрытия файлов (file open/close). При этом будет видно, когда пользователь регистрировался в системе, какие запускал программы и к каким файлам из этих программ обращался.

Для обеспечения контроля возможностей выполнения пользователями функций системного уровня, таких как изменение системного времени или выключение, в Windows применяется система прав пользователей (привилегий). Контроль использования этих прав может быть реализован с помощью категории Privilege Use. Для большинства прав в журнале Windows регистрируются события Privilege Use (ID 577 или 578), однако некоторые виды прав используются настолько часто, что разработчики Microsoft предпочли не регистрировать каждый факт их применения. Вместо этого, когда реализуется какое-либо из этих прав, в журнале Windows просто отражается факт использования права с ID 576.

В целом хочется отметить, что журнал безопасности является чрезвычайно мощным средством контроля действий пользователей, а также обнаружения вторжений. На сервер в школе №34 журнал безопасности просматривается в конце рабочего дня.

2.2.2 Использование групповых политик

Групповая политика (англ. group policy) - это технология от корпорации Microsoft, предназначенная для централизованного управления объектами в сетях Windows, построенных на основе Active Directory.

Политики - то есть правила настройки различных частей программного обеспечения - объединяются в так называемые объекты групповой политики, которые хранятся в каталоге Active Directory. Эти объекты затем могут быть подключены к тем или иным контейнерам в Active Directory (обычно на уровне подразделений), после чего те объекты, которые расположены в этих контейнерах (например, компьютеры), используют указанные в объекте групповой политики настройки.

Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен.

Объект групповой политики - это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: Default Domain Policy и Default Domain Controller Policy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU Domain Controllers и повышает настройки безопасности для контроллеров домена.

Система групповой политики поставляется вместе с Active Directory в составе серверных операционных систем Windows 2000 Server и Windows Server 2003; полную поддержку групповых политик на стороне клиента обеспечивают системы Windows 2000 Professional и Windows XP Professional.

Групповая политика позволяет настраивать огромное количество разнообразных параметров операционных систем Windows, от внешнего вида рабочего стола пользователя до конфигурации сетевых протоколов. Также с помощью этой технологии можно производить централизованное развёртывание программного обеспечения.

Для того чтобы создать политику (то есть фактически создать новый объект групповой политики), открываем Active Directory Users & Computers и выбираем, где создать новый объект. Создавать и привязывать объект групповой политики можно только к объекту сайта, домена или OU.

Рис.4. Создание объекта групповой политики.

Чтобы создать GPO и связать его, например, с OU testers щёлкаем правой кнопкой мыши на этом OU и в контекстном меню выбираем properties. В открывшемся окне свойств открываем вкладку Group Policy и нажимаем New.

Рис.5.

Даём название объекту GP, после чего объект создан, и можно приступать к конфигурированию политики. Дважды щёлкаем на созданном объекте или нажимаем кнопку Edit, откроется окно редактора GPO, где вы можете настроить конкретные параметры объекта.

Рис.6.

Большинство основных настроек интуитивно понятны (к тому же имеют описание, если открыть вкладку Extended), и мы не будем подробно останавливаться на каждой. Как видно из рис.3, GPO состоит из двух разделов: Computer Configuration и User Configuration. Настройки первого раздела применяются во время загрузки Windows к компьютерам, находящимся в этом контейнере и ниже (если не отменено наследование), и не зависят от того, какой пользователь вошел в систему. Настройки второго раздела применяются во время входа пользователя в систему.

Когда компьютер запускается, происходят следующие действия:

Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте.

Получив адреса, компьютер соединяется с контроллером домена.

Клиент запрашивает список объектов GP у контроллера домена и применяет их. Последний присылает список объектов GP в том порядке, в котором они должны применяться.

Когда пользователь входит в систему, компьютер снова запрашивает список объектов GP, которые необходимо применить к пользователю, извлекает и применяет их.

Групповые политики применяются при загрузке OC и при входе пользователя в систему. Затем они применяются каждые 90 минут, с вариацией в 30 минут для исключения перегрузки контроллера домена в случае одновременного запроса большого количества клиентов. Для контроллеров домена интервал обновления составляет 5 минут. Изменить это поведение можно в разделе Computer Configuration\Administrative Templates\System\Group Policy. Объект групповой политики может действовать только на объекты "компьютер" и "пользователь". Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по "дереву" (если не запрещено наследование).

На контроллере домена в СОШ №34 работают пять групповых политик, применяемых к различным организационным единицам. Две политики управляют установкой программного обеспечения, остальные - регламентируют действия пользователей при работе с ЛВС.

2.2.3 Безопасное использование Интернет в общеобразовательном учреждении