Обеспечение информационной безопасности автоматизированных систем

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ОБРАЗОВАНИЯ

«ПЯТИГОРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

Институт романо-германских языков, информационных и гуманитарных технологий

Кафедра информационно-коммуникационных технологий, математики и информационной безопасности

Курсовой проект

Обеспечение информационной безопасности автоматизированных систем

Галиев Эдуард Русланович

Научный руководитель:

старший преподаватель СПО

А.С. Ермаков

Пятигорск 2021

СОДЕРЖАНИЕ

• ГЛАВА 1. ТЕОРЕТИЧЕСКАЯ ОСНОВА
• 1.1 Безопасность в Windows 7
• 1.2 Группы политик, отвечающие за безопасность

1.3 Обзор опций безопасности

• ГЛАВА 2. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 Предварительная настройка

• 2.1 Установка параметров безопасности для реестра
• 2.2 Дополнительные параметры безопасности в Windows 7

ЗАКЛЮЧЕНИЕ

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

ВВЕДЕНИЕ

Актуальность темы исследования: большое количество угроз и типов вредоносных программ, циркулирующих сегодня в сети, заставляет беспокоиться о безопасности вашего компьютера и всех данных, хранящихся на нем. Вот почему у большинства пользователей есть антивирус или антивирус на своих компьютерах. В операционной системе предустановлен собственный антивирус, хотя есть также множество системных настроек, которые позволяют нам обеспечить безопасность нашего оборудования.

Многие утверждают, что Защитник Windows одно лучших решений для безопасности системы, однако существуют определенные конфигурации или системные параметры, которые позволяют нам защитить себя и сохранить свое оборудование и всю информацию, хранящуюся в нем. Таким образом, мы будем защищать себя не только от возможных вирусов или угроз, но и от всех, кто пытается проникнуть на наш компьютер без добрых намерений. При правильной предварительной настройке ОС можно достичь максимального уровня безопасности и сохранности информации.

Объект исследования - методы предварительной настройки ОС

Предмет исследования - инструменты для предварительной настройки

Цель исследования - ознакомление с методами и средствами настройки ОС и их изучение

Задачи исследования:

· рассмотреть встроенные средства защиты ОС

· изучить методы и средства настройки ОС

· провести анализ инструментов предварительной настройки ОС и показать их значимость

Структура работы представлена введением, двумя главами, пятью параграфами, заключением и списком литературы.

Введение раскрывает актуальность, определяет, предмет, цель и задачи исследования, раскрывает теоретическую и практическую значимость работы.

В первой главе рассматриваются теоретические основы, необходимые для выполнения практической части работы.

Вторая глава посвящена практической части, а точнее, описанию предварительной настройки ОС.

В заключении подводятся итоги исследования, формируются окончательные выводы по рассматриваемой теме.

ГЛАВА 1. ТЕОРЕТИЧЕСКАЯ ОСНОВА

операционная система windows 7 безопасность

1.1 Безопасность в Windows 7

Каждый аспект базовой операционной системы, а также выполняемых ею служб, и то, как она управляет приложения, загруженными в нее, были направлены на максимально возможную безопасность системы. Все сервисы были усовершенствованы и новые опции безопасности делают эту ОС более надежной.

Ключевую роль в обеспечении безопасности данных, хранимых на ПК, играют настройки безопасности операционной системы. Настройки призваны оптимально сконфигурировать параметры системы таким образом, чтобы минимизировать риск потери данных вследствие реализации каких-либо вредоносных, ошибочных и др. воздействий, а также сократить список уязвимостей вашей системы. Когда операционная система "чувствует" угрозу, то она способна незамедлительно вам об этом сообщить с помощью различных диалоговых окон на экране. Когда эти сообщения появляются на экране, то иногда у вас есть возможность изменить поведение данной системы безопасности, что может привести к нежелательным последствиям (в случае, если пропустить критические сообщения). В операционной системе "Windows 7" есть базовые настройки безопасности, которые, в случае необходимости, можно легко сбросить.

Помимо некоторых основных усовершенствований и новых служб, ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).

Windows 7 создана для надежного использования. С одной стороны, она была разработана в рамках Microsoft's Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard - FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности, но именно в сочетании с Windows Server 2008 (R2) и Active Directory эта ОС становится бронежилетом. Используя дополнительные методы безопасности таких инструментов, как Group Policy, можно контролировать каждый аспект безопасности ПК. Если Windows 7 используется в домашнем офисе или личных целях, ее также можно защищать во избежание многих нынешних методов взлома, и систему можно быстро восстанавливать после сбоя, поэтому, хотя совместное использование этой ОС с Windows 2008 является более надежным, оно вовсе необязательно для применения высокого уровня безопасности в Windows 7.

Также следует учитывать тот факт, что, хотя Windows 7 безопасна по своей природе, это вовсе не означает, что нужно полностью полагаться на стандартную конфигурацию и что нет необходимости вносить изменения для улучшения безопасности.

1.2 Группы политик, отвечающих за безопасность

Рассмотрим подробнее расширение Параметры безопасности (Security Settings), с помощью которого конфигурируются параметры системы безопасности операционной системы. Политики, определяемые этим расширением, действуют на компьютеры и частично на пользователей.

Политики учетных записей (Account Policies). Настройка политик безопасности учетных записей в масштабах домена или локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и политика Kerberos, распространяющаяся на весь домен.

Локальные политики (Local Policies). Настройка политики аудита, назначение прав пользователей и определение различных параметров безопасности.

Журнал событий (Event Log). Настройка политик безопасности, определяющих работу журналов событий приложений, системы и безопасности.

Группы с ограниченным доступом (Restricted Groups). Управление членством пользователей в заданных группах. Сюда обычно включают встроенные группы, такие как Администраторы (Administrators), Операторы архива (Backup Operators) и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и иные группы, безопасность которых требует особого внимания и членство в коюрых должно регулироваться на уровне политики.

Системные службы (System Services). Настройка безопасности и параметров загрузки для работающих на компьютере служб.

Реестр (Registry). Настройка прав доступа к различным разделам реестра. (Значения параметров реестра можно задавать в доменных GPO объектах с помощью предпочтений (preferences).)

Файловая система (File System). Настройка прав доступа к определенным файлам.

Политики проводной сети (IEEE 802.3) (Wired Network (IEEE 802.3) Policies). Настройка параметров клиентов, подключающихся к проводным сетям, принадлежащим разным доменам.

Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security). Настройка правил и других параметров встроенного брандмауэра Windows (Windows Firewall).

Политики диспетчера списка сетей (Network List Manager Policies). Настройка типов размещения для сетей, доступных компьютеру.

Политики беспроводной сети (IEEE 802.111) (Wireless Network (IEEH 802.11) Policies). Централизованная настройка параметров (включая методы проверки подлинности) клиентов беспроводной сети в доменах Active Directory.

Политики открытого ключа (Public Key Policies). Настройка политик безопасности в отношении шифрования информации с помощью EFS и BitLocker, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т.д. Политики ограниченного использования программ (Software Restriction Policies). Политики, указывающие на то, какие приложения могут, а какие программы не могут выполняться на локальном компьютере.

Защита доступа к сети (Network Access Protection). Настройка политик, определяющих требования к клиенту, подключающемуся к сети, и предоставляющих полный или ограниченный доступ к сети в зависимости от того, насколько клиент соответствует этим требованиям. В процессе проверки могут анализироваться различные аспекты безопасности: наличие обновлений программных средств и антивирусной защиты, параметры конфигурации и брандмауэра, список открытых и закрытых портов TCP/IP и т.д.

Политика управления приложениями (Application Control Policies). Управление средством AppLocker, представляющим собой новую функцию в системах Windows 7 и Windows Server 2008 R2, предназначенную для контроля за установкой и использованием приложений в корпоративной среде. Конфигурация расширенной политики аудита (Advanced Audit Policy Configuration). Политики, позволяющие централизованно настраивать аудит в системах Windows 7 и Windows Server 2008 R2, предназначенную для контроля за установкой и использованием приложений в корпоративной среде.

Политики IP-безопасности (IP Security Policies). Настройка политик безопасности IP для компьютеров, находящихся в определенной области действия.

Конфигурация расширенной политики аудита (Advanced Audit Policy Configuration). Политики, позволяющие централизованно настраивать аудит в системах Windows 7 и Windows Server 2008 R2

1.3 Обзор опций безопасности

Краткий обзор опций безопасности, которые можно настроить в списке центра действий: Центр действий (Action Center): центр действий пришел на замену центру безопасности. В центре действий можно указывать действия, которые ОС будет выполнять. Здесь будет сказано, если ваша антивирусная программа не обновлена. Можно заходить в центр действий для выполнения действий, связанных с безопасностью. Опции интернета (Internet Options): веб просмотр любого типа открывает двери для потенциальных рисков, связанных с интернетом.

Если используется прокси-сервер, нужно веб фильтрацией (и мониторингом) и постоянно обновлять свою ОС самыми последними обновлениями, вы можете оказаться в ситуации, где безопасность может быть скомпрометирована. В приложении опций интернета в панели управления (Internet Options Control Panel) можно указывать зоны безопасности, разрешать доступ только к определенным URL адресам, разворачивать расширенные параметры безопасности в закладке Дополнительно (Advanced) и многое другое. Сам браузер оснащен фильтром фишинга, который предотвращает атаки фишинга (Phishing), а также имеет другие настраиваемые опции, такие как InPrivate Browsing, которая не позволяет хранить вашу личную информацию, что особенно полезно при подключении ПК к публичным сетям.

Брандмауэр Windows. Как и любой другой программный или аппаратный межсетевой экран, брандмауэр Windows Firewall может предотвращать базовые атаки по умолчанию, и его можно настраивать многогранно для высокого уровня контроля над тем, что может входить и исходить с системы, когда он подключен к публичной или частной сети. Перейдя в панель управления и выбрав брандмауэр Windows, можно получить доступ к большинству параметров конфигурации брандмауэра. Также можно нажать на кнопку дополнительных параметров (Advanced) в диалоге для доступа к дополнительным параметрам и опциям конфигурации. В Windows 7 вы можете разворачивать несколько политик брандмауэра одновременно и использовать обозначение домена (Domain designation) для более простой настройки и управления брандмауэром Windows.

Персонализация (Personalization): опции персонализации представляют собой то место, где можно изменять внешний вид Windows, но здесь же вы можете настраивать пароли своей экранной заставки. Если Windows 7 используется на предприятии, пользователей необходимо научить тому, как запирать свои рабочие станции всякий раз, когда они покидают свое рабочее место, или создать параметры политики, которые бы делали это автоматически после определенного периода бездействия системы; экранная заставка, если настроить ее на запрос повторного входа после такого периода, может быть очень полезной.

Обновления Windows Update: все версии программного обеспечения требуют определенный уровень исправлений. Можно подготавливать, тестировать и пытаться разработать идеальный продукт, но невозможно учесть все. Также обновления и новые выпуски программ требуются для обновления вашей системы в течение ее использования. Поскольку в системе имеются усовершенствования, требования, необходимые для других технологий разработки, новые уязвимости безопасности и обновления драйверов для более хорошей производительности и функциональности, всегда будет необходимость в использовании Windows Update. Windows (и Microsoft) Update или производственные версии управления исправлениями (например, WSUS) используются для централизованного управления и установки обновлений. Эти инструменты используются для контроля, отслеживания и мониторинга ваших текущих и будущих потребностей в обновлениях. Также необходимо настроить автоматическое обновление и регулярно проверять его самому, так как если не обновлять свою систему, как рекомендуется (а иногда требуется), ПК подвергается риску атаки.

Программы и функции (Programs and Features): помимо обновлений Windows Updates нужно часто проверять, что установлено в системе, особенно если при работе в интернете. Например, установка простого обновления Java, если не внимательно прочитать информацию по нему во время установки, можно установить панель инструментов в системе, которая интегрируется в веб браузер. Сейчас это контролируется более жестко, но в любом случае, следует время от времени проверять, что установлено в системе.

Defender: шпионские программы -- это приложения, которые изначально использовались для незаконной торговой деятельности, и которые выполняют такие вещи, как повышение нагрузки, перенаправление вашего обозревателя и отправка информации о действиях. Хотя антивирусные программы блокируют некоторые из таких приложений, Windows Defender (или другое ПО для удаления шпионских программ) нужно использовать для очистки от оставшихся шпионских программ.

Куки (Cookies), хотя и безвредные по своей природе, могут иногда подвергаться манипуляциям для незаконных целей. Нужно убедиться, что Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы.

SpyNet -- это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ. Пользовательские учетные записи (User Accounts): управление учетными записями пользователей является основой защиты доступа к ПК, равно как и ко всему, что работает под его управлением. Например, если создать новую учетную запись пользователя и включить ее в группу администраторов, у нас будет полный доступ к системе компьютера. Если настроить учетную запись в качестве обычного пользователя, то ее разрешения будут очень ограниченными и позволят выполнять лишь ряд базовых функций пользователя. Также можно настроить пароли, которые при создании в соответствие с требованиями политики паролей, заставляют пользователей создавать сложные для взлома пароли, что предотвращает большинство базовых атак. Если на ПК установлен Windows Server 2008 и Active Directory, можно получать доступ к домену, который позволит более гибко настраивать разрешения файловой системы NTFS для папок и файлов, а также прочих ресурсов с общим доступом, таких как принтеры.

Опции питания (Power Options): приложение Power Options Control Panel является тем местом, где настраивается стандартное поведение операционной системы, когда она отключена, закрыта или находится в спящем режиме. Для большей степени безопасности рекомендуется устанавливать параметр на запрос пароля при выходе машины из спящего режима. Всякий раз, когда появляется возможность включения контроля доступа пользователей, следует ее использовать. Итак, если нужно применить меры безопасности в Windows 7, меню Пуск может сослужить хорошую службу в качестве отправной точки для укрепления системы и открывает дверь ко многим доступным инструментам. Есть много опций, которые можно использовать для укрепления Windows 7, особенно панель управления. Использование меню Пуск также является простым способом обеспечить основную линию защиты системы после изначальной установки. Рекомендуется создавать основную линию безопасности после первичной установки и конфигурации вашей системы, что потребует от настройки всех параметров безопасности, приложений и загрузки исправлений и обновлений с последующим созданием резервной копии всей системы с помощью утилиты System Restore. Так у нас будет снимок системы в свежем состоянии на тот случай, если вам нужно будет вернуть систему в такое состояние. Можно создать точку восстановления, которая может использоваться, если система была взломана, и это позволит вам вернуть базовое состояние системы с примененными параметрами безопасности.

ГЛАВА 2. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 Предварительная настройка

Для обеспечения безопасности необходимо принять следующие меры:

· Включить автоматическое обновление ОС Windows Server и ПО

Поддержание операционной системы и установленного ПО в актуальном

состоянии, помимо устранения неисправностей в работе программ, помогает обеспечить защиту вашего сервера от части уязвимостей, о которых стало известно разработчикам до момента выхода апдейта. Сделать это можно через утилиту «Центр обновления Windows».

· Настройка Firewall

Для серверов Windows Server, доступных через интернет и при этом не

находящихся за выделенным устройством, выполняющим функцию фаерволла, Брандмауэр Windows является единственным инструментом защиты внешних подключений к серверу. Отключение неиспользуемых разрешающих и добавление запрещающих правил будет означать, что меньше портов на сервере прослушивают внешний входящий трафик, что снижает вероятность атак на эти порты. Например, для работы стандартного веб-сервера достаточно открыть следующие порты:

80 - HTTP

443 - HTTPS

Для портов, доступ к которым должен оставаться открытым, следует ограничить круг источников подключения путем создания «белого списка» IP-адресов, с которых будут приниматься обращения. Сделать это можно в правилах Брандмауэра Windows. Это обеспечит уверенность в том, что у всех, кому требуется доступ к серверу, он есть, но при этом запрещен для тех, кого «не звали».

Ниже представлен список портов, доступ к которым лучше ограничить только кругом клиентов, внесенных в белый список IP:

3389 - Стандартный порт RDP

990 - FTPS

5000-5050 - порты для работы FTP в пассивном режиме

1433-1434 - стандартные порты SQL

53 - DNS

· Переименовать стандартную учетную запись администратора

Т.к. стандартная запись локального администратора «Administrator» по-умолчанию включена во всех сегодняшних версиях ОС Windows и имеет неограниченные полномочия, именно к этому аккаунту чаще пытаются подобрать пароль для получения доступа к управлению сервером, т.к. это проще, чем выяснять имена пользователей.

Рекомендуется сменить имя пользователя для стандартной учетной записи Adminstrator. Для этогонежно выполнить следующие действия:

Открыть оснастку «Выполнить» (WIN+R), в появившемся окне ввести: secpol.msc

Открыть Редактор локальной политики безопасности. В меню выбрать Локальные политики -> Параметры безопасности -> Учетные записи: Переименование учетной записи администратора

Локальная политика безопасности

Во вкладке Параметр локальной безопасности изменить имя учетной записи администратора на желаемое и сохранить изменения.

· Создать несколько административных аккаунтов

Если в администрировании вашей инфраструктуры задействовано

несколько человек, создайте для каждого из них отдельную учетную запись с административными правами. Это поможет отследить, кто именно санкционировал то ли иное действие в системе.

· По возможности использовать для работы учетную запись с ограниченными правами

Для выполнения задач, не требующих прав администратора, желательно

использовать учетную запись обычного пользователя. В случае проникновения в систему, в т.ч. в результате действий самого пользователя, уровень уязвимости сервера останется на уровне полномочий этого пользователя. В случае же получения несанкционированного доступа к аккаунту администратору получит и неограниченный доступ к управлению системой.

· Не предоставлять общий доступ к директориям без ввода пароля, разграничить права общего доступа

Никогда не разрешайте подключение к общим папкам сервера без ввода

пароля и анонимный доступ. Это исключит возможность простого получения несанкционированного доступа к вашим файлам. Даже если эти файлы сами по себе не имеют никакой ценности для злоумышленника, они могут стать «окном» для дальнейшего вторжения, так как пользователи вашей инфраструктуры, вероятнее всего, доверяют этим файлам и вряд ли проверяют их на вредоносный код при каждом запуске.

Помимо обязательного использования пароля, нужно разграничить права доступа к общим директориям для их пользователей. Значительно проще установить ограниченные права пользователям, которым не требуется полный доступ (запись/чтение/изменение), нежели следить за тем, чтобы ни один из клиентских аккаунтов впоследствии не был скомпрометирован, что может повлечь за собой неблагоприятные последствия и для других клиентов, обращающихся к общим сетевым ресурсам.

· Включить запрос пароля для входа в систему при выходе из режима ожидания и автоотключение сессий при бездействии.

Если вы используете физический сервер Windows, настоятельно

рекомендуется включить запрос пароля пользователя при выходе из режима ожидания. Сделать это можно во вкладке «Электропитание» Панели управления (область задач страницы «Выберите план электропитания»).

Помимо этого, стоит включить запрос ввода пароля пользователя при подключении к сессии после установленного времени ее бездействия. Это исключит возможность простого входа от имени пользователя в случае, когда последний, например, забыл закрыть RDP-клиент на персональном компьютере, на котором параметры безопасности редко бывают достаточно стойкими. Для конфигурации этой опции можно воспользоваться утилитой настройки локальных политик secpol.msc, вызываемой через меню «Выполнить» (Win+R->secpol.msc).

· Использовать Мастер настройки безопасности

Мастер настройки безопасности (SCW - Security Configuration Wizard)

позволяет создавать XML-файлы политик безопасности, которые затем можно перенести на различные серверы вашей инфраструктуры. Эти политики включают в себя правила использования сервисов, конфигурацию общих параметров системы и правила Firewall.

· Корректно настроить групповые политики безопасности

Помимо предварительной настройки групповых политик Active Directory

(при их использовании) время от времени нужно проводить их ревизию и повторную конфигурацию. Этот инструмент является одним из основных способов обеспечения безопасности Windows-инфраструктуры.

Для удобства управления групповыми политиками, можно использовать не только встроенную в дистрибутивы Windows Server утилиту «gpmc.msc», но и предлагаемую Microsoft утилиту «Упрощенные параметры настройки безопасности» (SCM-Security Compliance Manager), название которой полностью описывает назначение.

· Использовать локальные политики безопасности

Помимо использования групповых политик безопасности Active Directory

следует также использовать локальные политики, так как они затрагивают не только права пользователей, выполняющих вход через доменную учетную запись, но и локальные аккаунты. Для управления локальными политиками вы можете использовать соответствующую оснастку «Локальная политика безопасности», вызываемую командой secpol.msc («Выполнить» (WIN+R)).

· Обеспечение безопасности служб удаленных столов

1. Блокировка RDP-подключений для учетных записей с пустым паролем

Эта мера является весьма очевидной, но она не должна игнорироваться. Для блокировки подключений к удаленным рабочим столам пользователю, пароль для которого не указан, нужно открыть утилиту «Computer Configuration» -> «Настройки Windows» -> «Настройки безопасности» -> «Локальные политики безопасности -> «Параметры безопасности» и включите (Enable) параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе (Accounts: Limit local account use of blank passwords to console logon only).

2. Смена стандартного порта Remote Desktop Protocol

Смена порта RDP по умолчанию, несмотря на видимую простоту этой меры, является неплохой защитой от атак, направленных на мониторинг well-known портов. Чтобы изменить порт для подключений RDP:

Нужно открыть редактор реестра (regedit)

Для перестраховки сделать резервную копию текущего состояния реестра (Файл->Экспорт)

Открыть ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Найти параметр Port Number, дважды кликнуть по нему, в открывшемся окне выбрать десятичную систему исчисления и изменить поле Значение на желаемый порт.

Нажать ОК и закрыть редактор реестра

Обратите внимание на ваши правила Firewall (Брандмауэр Windows). Они должны разрешать внешние подключения по установленному выше порту. Для добавления разрешающего правила нужно выполнить следующее:

- Открыть Брандмауэр Windows

- В левой части окна программы выбрать «Дополнительные параметры», а затем «Правила для входящих подключений», и нажать «Создать правило»

- В появившемся окне Мастера выбрать правило «Для порта»

- Далее указываем «Определенный локальный порт TCP: {номер выбранного вами выше порта}». Нажимаем готово.

Перезагружаем сервер для применения изменений.

Для подключения к серверу через установленный вручную порт необходимо на локальной машине ввести номер порта после IP-адреса сервера, разделив эти значения двоеточием, в окне подключения к удаленному рабочему столу

3. Настройка шлюза служб терминалов (Terminal Services Gateway).

Служба «Шлюз TS (служб удаленных рабочих столов)» позволяет удаленным пользователям осуществлять удаленное подключение к терминальным серверам и другим машинам частной сети с включенной функцией RDP. Она обеспечивает безопасность подключений за счет использования протокола HTTPS (SSL), снимая с администратора необходимость настройки VPN. Этот инструмент позволяет комплексно контролировать доступ к машинам, устанавливать правила авторизации и требования к удаленным пользователям, а именно:

пользователей (группы пользователей), которые могут подключаться к внутренним сетевым ресурсам;

сетевые ресурсы (группы компьютеров), к которым пользователи могут подключаться;

должны ли клиентские компьютеры быть членами групп Active Directory;

необходимо ли клиентам использовать проверку подлинности на основе смарт-карт или пароля, или они могут использовать любой из двух вышеперечисленных способов аутентификации.

Само собой, логика работы шлюза удаленных рабочих столов подразумевает использование для него отдельной машины. При этом это не означает, что нельзя использовать виртуальную машину, развернутую на любом из хостов в вашей частной сети.

Установка службы Шлюза TS

Для установки шлюза служб терминала на соответствующей машине под управлением Windows Server 2008/2012 нужно выполнить следующие действия:

· Открыть утилиту Server Manager (Управление сервером) -> вкладка Роли -> Добавить роль

· На странице выбора ролей сервера выбрать Службы терминала (Службы удаленных рабочих столов)

· В окне выбора служб ролей выбрать Шлюз TS (Шлюз служб удаленных рабочих столов) и нажмите Далее

· На странице выбора сертификата аутентификации сервера для шифрования SSL выберите опцию Выбрать сертификат для SSL-шифрования позже. Этот выбор обусловлен тем, что соответствующий сертификат шлюза TS еще не сгенерирован.

· На появившейся странице создания политик авторизации для шлюза выберите опцию Позже

· На странице выбора служб ролей должна быть отмечена служба Сервер сетевой политики (Network Policy Server)

· Установите требуемые службы ролей, которые будут отмечены системой по умолчанию.

Создание сертификата для шлюза служб удаленных рабочих столов

Для инициирования SSL-подключений от клиентов RDP, для шлюза должен быть создан соответствующий сертификат:

· В меню Администрирование выбрать оснастку IIS Manager

· В левой части появившегося окна выбрать необходимый сервер, а затем пункт Сертификаты сервера -> Создать сертификат домена

· На странице Определенные свойства имени указать требуемые сведения. Обратите внимание на поле Общее имя - оно должно соответствовать имени, указанному в настройках клиентов служб RDP.

· На следующей странице Интерактивный центр сертификации выбираем имя Enterprise CA, от имени которого должен быть выдан сертификат, и вводим значение параметра Сетевое имя.

· Теперь сведения о созданном сертификате отображаются в окне Сертификаты сервера. При двойном клике на этом сертификате можно увидеть информацию об объекте назначения и о наличии закрытого ключа для данного сертификата (без которого сертификат не используется).

Настройка шлюза TS на использование сертификата

После создания сертификата, необходимо настроить шлюз терминалов на его использование:

· Открыть меню «Администрирование», выберите «Службы терминалов (удаленных рабочих столов)», выбрать Шлюз терминальных серверов.

· Слева выбрать сервер, который будет выполнять роль шлюза. Будет отображена информация о шагах, необходимых для завершения конфигурации.

· Выбрать опцию «Показать или изменить свойства сертификата».

· Во вкладке «SSL Сертификат» проверьте активность опции «Выбрать существующий сертификат для SSL шифрования» и выбираем Просмотр сертификатов для отображения оснастки для установки сертификатов. Выбрать и установите ранее сгенерированный сертификат.

· После указания сертификата следует настроить политики авторизации подключений и авторизации ресурсов. Политика авторизации подключения (CAP - Сonnection Authorization Policy) позволяет контролировать полномочия клиентов при их подключении к терминалам через шлюз:

· Открыть меню «Политики авторизации соединений», находящуюся во вкладке «Политики» - > «Создать новую политику» -> Мастер(Wizard), на вкладке «Политики авторизации» -> выбираем Cоздать только TS CAP. Вводим имя создаваемой политики. В нашем случае «1cloud Gateway». На вкладке «Требования» активируем требование пароля, а затем указываем группы пользователей, которым необходимо предоставить доступ в инфраструктуру терминалов - введите имя добавляемой группы и каликаем «Проверить имена (Check Names)».

· Разрешить перенаправление устройств для всех клиентских устройств. Вы также можете отключить перенаправление для некоторых типов уст-в. На странице Результаты параметров TS CAP проверяем выбранные ранее параметры и завершаем мастер конфигурации.

· Теперь настройте политику авторизации ресурсов (Resource Authorization Policy - RAP), определящую доступные для подключения извне серверы и рабочие станции:

· Для этого перейдите в меню «Политика авторизации ресурсов» панели Менеджер шлюзов серверов терминалов (удаленных рабочих столов), выберите пункт «Создать новую политику» -> Мастер -> Создать только TS RAP.

· Введите имя создаваемой политики. Во вкладке Группы пользователей выберите группы, затрагиваемые создаваемой политикой. На вкладке Группа компьютеров укажите серверы и рабочие станции, к которым применяется политика RAP. В данном примере мы выбрали опцию «Разрешить пользователям подключаться к любому ресурсу (компьютеру) сети» для разрешения подключений ко всем хостам сети. Проверьте параметры TS RAP и завершите мастер конфигурации.

На этом настройку шлюза серверов терминалов (удаленных рабочих столов) можно считать завершенной.

· Защита RDP-сессии с помощью SSL/TLS

Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения.

Опцию RDP через TLS можно включить через групповую политику безопасности сервера удаленных рабочих столов (команда gpedit.msc или меню «Администрирование» -> «Компоненты Windows» -> Сервер удаленных рабочих столов (Remote Desktop Session» -> «Безопасность»), где необходимо активировать опцию запроса определенного уровня безопасности для удаленных подключений (Require use of specific security layer for remote connections). Рекомендуемое значение этой опций - SSL (TLS 1.0) only.

Также включить вышеуказанную опцию можно и через меню управления сервером удаленных рабочих столов (Remote Desktop Session Host Configuration), выбрав из списка Connections требуемое подключение и перейдя в его свойства, где выбрать уровень безопасности «Security Level». Для TLS-шифрования сессий потребуется, по крайней мере, серверный сертификат. Как правило он уже есть в системе (генерируется автоматически).

Для настройки TLS-туннелирования RDP-подключений откройте инструментов «Управление сервером удаленных рабочих столов (Remote Desktop Session Host Configuration)» через меню «Администрирование» -> Подключения к удаленным рабочим столам».

Выбираем в списке подключений то, для которого требуется настроить защиту SSL/TLS и откройте его свойства (Properties). Во вкладке «Общие» (General) выберите требуемый уровень шифрования (Encryption Level). Рекомендуем использовать RDP FIPS140-1 Encryption.

· Изолируйте серверные роли и отключайте неиспользуемые сервисы

Одна из основных задач предварительного планирования безопасности серверной инфраструктуры заключается в диверсификации рисков поражения критически важных сегментов инфраструктуры при успешных атаках на отдельные узлы. Чем больше ролей берет на себя каждый узел, тем более привлекательным объектом для атак он становится и тем более серьезные последствия может иметь поражение этого узла. Для минимизации таких рисков необходимо, во-первых, разграничивать критически важные роли серверов на стадии развертывания инфраструктуры (при наличии такой возможности), а во-вторых, отключать на серверах сервисы и роли, в использовании которых нет реальной необходимости.

В идеале, один сервер должен выполнять одну конкретную функцию (Контроллер домена, файловый сервер, терминальный сервер и т.д.). Но так как на практике такая диверсификация ролей редко оказывается возможной в полной мере.

Тем не менее, вы можете разграничить функции машин настолько, насколько это возможно.

Для изоляции ролей необязательно использовать выделенные серверы для каждой конкретной задачи. Вы вполне можете использовать для части ролей виртуальные машины, настроив параметры их безопасности требуемым образом.

На сегодняшний день технологии виртуализации позволяют не испытывать ощутимых ограничений в функциональности виртуальных хостов и могут предложить высокий уровень производительности и стабильности.

Грамотно сконфигурированная виртуальная инфраструктура вполне может являться полноценной альтернативой дорогостоящей «железной» для желающих диверсифицировать риски серьезных поражений.

Мы, команда облачного сервиса 1cloud.ru, со своей стороны не ограничиваем самостоятельное создание клиентом виртуальных машин на арендуемых у нас виртуальных серверах.

Если вы желаете установить виртуальную машину Windows на своем сервере, просто обратитесь в нашу техническую поддержку с запросом соответствующей опции.

· Включить Удаление файлов, минуя корзину

Также для того, чтоб избежать утечки информации, нужно включить удаление файлов без помещения в корзину. Для этого нужно нажать правой кнопкой мыши на значок корзины и выбрать пункт Свойства. Дальше необходимо включить параметр Уничтожать файлы сразу после удаления, не помещая их в корзину и нажать Ок. Сделать это нужно для каждого жесткого диска, так как у каждого из них отдельные корзины.

2.2 Установка параметров безопасности для реестра

В некоторых случаях доступ к редактированию реестра может получить не только администратор или непосредственный владелец компьютера, но и простые пользователи. Подобные ситуации потенциально опасны тем, что лица, не обладающие достаточным опытом, при изменении каких-либо настроек случайно выведут реестр из строя, что отрицательно скажется на работоспособности системы. Именно по этой причине в Microsoft Windows имеется возможность ограничить доступ к отдельным разделам и подразделам реестра для отдельных пользователей и групп пользователей. Для этого:

1. Выделите в Панели разделов ключ или подраздел, для которого вы

хотите настроить параметры безопасности; я система

2. Выполните последовательность команд Правка->Разрешения (Edit

>Permissions). На экране появится окно настройки параметров безопасности для выбранного раздела реестра

3. В списке Группы или пользователи (Group or user names) выберите

обозначение пользователя или группы пользователей, для которых устанавливаются разрешения. Чтобы удалить из списка пользователя или группу пользователей, нажмите на кнопку Удалить (Remove).

4. Для того чтобы добавить в список локального или сетевого

пользователя, либо группу пользователей, щелкните мышью на кнопке Добавить (Add). На экране появится окно Выбор: Пользователи или Группы (Select users or groups). Чтобы изменить тип добавляемого объекта, нажмите на кнопку Типы объектов (Object types) и выберите из предлагаемого списка требуемый вариант: Встроенные участники безопасности (Built-in security principals), Группы (Groups) и Пользователи (Users). В том же окне вы можете установить компьютер, для которого настраиваются параметры безопасности, щелкнув мышью по кнопке

2.3 Дополнительные параметры безопасности в Windows 7

SeAuditPrivilege. Данный параметр разрешает службе или учетной записи указывать параметры аудита доступа к объектам для отдельных ресурсов (файлов, объектов Active Directory, разделов реестра). То есть создавать записи в стандартном журнале безопасности системы (eventvwr. msc) при помощи API-функции ReportEvent. Еще данное право разрешает очищать журнал безопасности оснастки eventvwr.msc. По умолчанию данное право предоставлено группе "Администраторы", но можно самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> Локальные политики> Параметры безопасности оснастки "Редактор локальной групповой политики" и включить политику "Управлять аудитом и журналом безопасности".

SeCreatePermanentPrivilege. Данный параметр позволяет службе или учетной записи создавать постоянные объекты, которые будут не удаляемыми при отсутствии ссылок на них. Например, создавать объекты каталога с помощью диспетчера объектов. По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> Локальные политики> Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Создание постоянных общих объектов раздела".

SeCreateTokenPrivilege. Данный параметр разрешает службе или учетной записи создавать первичные маркеры. То есть учетная запись может создать маркер, содержащий любые SID и привилегии, и запустить с его помощью процесс. По умолчанию данное право никому не предоставлено, но можно самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> Локальные политики> Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Создание маркерного объекта". Этот параметр можно устанавливать только для тех учетных записей пользователей или компьютеров, для которых снят флажок "Учетная запись не может быть делегирована". По умолчанию в Windows 7 данное право никому не предоставлено. А на контроллере домена данное право по умолчанию предоставлено группе "Администраторы". Можно самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> Локальные политики> Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Разрешить доверия к учетным записям компьютеров и пользователей при делегировании".

SeLockMemoryPrivilege. Данное право разрешает службе или учетной записи выполнять блокировку физических страниц памяти. Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки на диск. То есть они всегда будут находиться в оперативной памяти. В Windows 7 данное право по умолчанию никому не предоставлено. Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> Локальные политики> Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Блокировка страниц в памяти".

SeMachineAccountPrivilege. Данное право необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до десяти компьютеров в домен. По умолчанию данное право предоставлено пользователям, прошедшим проверку подлинности на контроллере домена. Можно самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> Локальные политики> Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Добавление рабочих станций к домен".

SeSyncAgentPrivilege. Данное право позволяет пользователям выполнять синхронизацию Active Directory. Оно позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают. В Windows 7 данное право по умолчанию никому не предоставлено. Можно самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> Локальные политики> Параметры безопасности оснастки "Редактор локальной групповой политики и используйте политику "Синхронизировать данные службы каталогов".

ЗАКЛЮЧЕНИЕ

Стремительное развитие информационных технологий привело к формированию информационной среды, оказывающей влияние на все сферы человеческой деятельности. Однако с развитием информационных технологий возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы, с последствиями, от реализации которых человечество раньше не сталкивалось.

Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной операционной системе во многом зависит и общая безопасность информационной системы.

В связи с этим знания в области современных методов и средств обеспечения безопасности операционных систем являются необходимым условием для формирования безопасности информации.

Цель работы была достигнута посредством выявления особенностей настройки защиты операционной системы Windows.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

Монографии, диссертации, статьи

1. Рындюк В.А. Курс лекций по дисциплине «Основы информационной безопасности» [Текст]: Учебное пособие. - Пятигорск, 2012. -54 с.

2. Суворова, Г. М. Информационная безопасность [Электронный ресурс]: учеб. пособие для вузов / Г. М. Суворова. - Москва: Юрайт, 2021. - 253 с. - (Высшее образование). - студенты вузов.

3. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий: учеб. пособие / В. А. Сердюк. - Москва: Издательский дом Высшей школы экономики, 2015. - 574 с. - ISBN 978-5-7598-0698-1. Дата обращения: 14.05.2021г

Информационные ресурсы

4. ИнфоТеКС [Электронный ресурс]. - Режим доступа: http://www.infotecs.ru, свободный. Дата обращения: 11.05.2021 г.;

5. Основы информационной безопасности: защита информации [Электронный ресурс]: учеб. пособие для СПО / А. А. Внуков. - 2-е изд., испр. и доп. - Москва: Юрайт, 2019. - 240 с. - (Профессиональное образование). - Режим доступа: https://www.biblio-online.ru. - студенты СПО. - ISBN 978-5-534-10711-1. Дата обращения: 13.2021г.

6. Информатика [Электронный ресурс]: в 2 т.: учеб. для СПО. Т. 2 / В. В. Трофимов; под ред. В. В. Трофимова. - 3-е изд., перераб. и доп. - М.: Юрайт, 2018. - 406 с. - (Профессиональное образование). - Режим доступа: http://www.biblio-online.ru/book/14FE5928-69CF-41EC-A00B-3979EC8273C8. - студенты СПО. - ISBN 978-5-534-02519-4. Дата обращения: 9.05.2021г.

Размещено на Allbest.ru