Защита от угроз атак на компрометацию учетной записи администратора
Проведенный анализ способов защиты КСЗИ «Панцирь+» и их применения.
На практике получение прав учетной записи администратора в большинстве случаев вызвано компрометацией пароля администратора, по средством эксплуатации уязвимостей, связанных с возможностью его перехвата, с последующим определением его значения по соответствующему хэшу. Компрометация пароля в общем случае возможна различными способами, наиболее часто для этого реализуются соответствующие атаки на протокол SMB, обеспечивающий возможность аутентификации при запросах доступа к общим ресурсам (разделяемым в сети папкам и принтерам). В данном случае в качестве уязвимости следует отметить то, что адресация в локальной сети реализуется не по IP адресам, а по именам машин, о чем далее.
Также на практике используются уязвимости, позволяющие получить требуемые данные из базы данных хранения учетных записей и паролей SAM и, наоборот, несанкционированно создать новую учетную запись администратора, либо завести для легального администратора новый пароль.
Решение КСЗИ «Панцирь+» задачи защиты в общем виде предполагает, что тем или иным образом, при эксплуатации той или иной уязвимости, хэш пароля администратора может оказаться у злоумышленника, кроме того, злоумышленник может несанкционированно создать новую учетную запись администратора в системе, либо завести для легально созданной учетной записи администратора новый пароль.
В КСЗИ «Панцирь+» для защиты от данных наиболее актуальных современных угроз атак реализован собственный механизм идентификации и аутентификации пользователей, который может быть применен в двух режимах:
- режим дополнительной аутентификации;
- режим усиления пароля.
В обоих случаях КСЗИ «Панцирь+» содержит собственную базу пользователей и хэш их паролей. Вход в систему при этом возможен только в том случае, если SID соответствующего пользователя внесен и в базу ОС и в базу системы защиты. Это защищает от несанкционированного заведения пользователя в системе с последующим входом под его учетной записью. В данном случае в систему можно будет войти лишь в том случае, если пользователь создан и в ОС, и в КСЗИ «Панцирь+».
Режим идентификации и аутентификации пользователей выбирается в меню, приведенного на рис.47, заданием, либо нет, опции использовать одинаковые пароли. Если эта опция не выбрана, то пользователю придется пройти процедуру аутентификации дважды – сначала в КСЗИ «Панцирь+», затем в ОС. Достоинством в данном случае является то, что получение с использованием той или иной уязвимости хэша пароля администратора, создаваемого в ОС, не позволит злоумышленнику войти в систему, недостаток – пароли (различные) надо вводить дважды, что осложняет использование на практике сильных паролей.
Если же опция использовать одинаковые пароли выбрана, то в этом случае пароли в КСЗИ «Панцирь+» и в ОС будут совпадать, пользователю потребуется ввести пароль только в окне аутентификации КСЗИ «Панцирь+». Это накладывает соответствующие требования к усилению пароля, для защиты от его восстановления при наличии у злоумышленника хэша пароля, т.к. уязвимости, позволяющие получить злоумышленнику хэш пароля администратора в данном режиме КСЗИ «Панцирь+» не нейтрализуются..
С учетом того, что пароль в этом случае должен быть длинным и содержать разнообразные символы, реализация данного режима целесообразна с использованием специализированных устройств хранения и ввода паролей, см. рис.48. Для задания сложного пароля можно использовать генератор паролей из состава КСЗИ «Панцирь+», при этом можно задать (изменить) алфавит генератора паролей, символы из которого будут выбираться случайным образом, и длину генерируемого пароля. Таким образом может быть создан пароль, практически не восстанавливаемый в разумные сроки по его хэшу. При этом пароль ОС создается из КСЗИ «Панцирь+», см. рис.48.
Т.к. для каждой создаваемой учетной записи может быть создан свой режим идентификации и аутентификации, например, использование сильных паролей, предполагающее их хранение и ввод с использованием соответствующих устройств (токенов), может применяться только для учетных записей администраторов.
Идентификация и аутентификация пользователей поддерживается КСЗИ «Панцирь+» в следующих случаях, достаточных для решения задач администрирования:
· локальный вход в систему;
· запуск приложения с правами другого пользователя (если данная возможность разрешена КСЗИ «Панцирь+»);
· удаленный доступ к разделенным сетевым ресурсам локальной сети;
· удаленный доступ по RDP;
· доступ к терминальной сессии;
· при запуске исполняемых файлов с запросом учетных данных администратора (UAC);
· для разблокировки системы, по средством снятия заставки.
Рис.47. Меню задания/редактирования параметров паролей
Рис.48. Меню задания/редактирования паролей (данных пользователей)
При этом, например, при удаленном доступе к защищаемому компьютеру по протоколу RDP, КСЗИ «Панцирь+» запросит пароль, см. рис.49.
Рис.49. Запрос пароля при подключении по RDP
При введении иерархии администраторов, о чем далее, важной становится возможность идентификации и аутентификации при запуске исполняемых файлов с запросом учетных данных администратора (UAC). При этом встроенная учетная запись, не предполагающая подобного контроля (чем она отличается от создаваемой), должна предоставляться администратору безопасности, а создаваемая, действия которой предполагают данный дополнительный контроль механизмом идентификации и аутентификации, должна предоставляться системному администратору. Соответствующий контроль предназначен для возможности отличия системой реальных действий администратора от действий под его учетной записью вредоносной программы.
Запрос пароля администратора КСЗИ «Панцирь+» проиллюстрирован на рис.50.
Рис.50. Запрос учетных данных администратора (UAC)
Исходя же из того, что защита информации от несанкционированного доступа предполагает реализацию не только технических, но и организационных мер защиты, важной является возможность блокировки учетной записи, что в КСЗИ «Панцирь+» реализуется из меню, приведенного на рис.51.
Рис.51. Блокировка пользователя
Используя данную возможность, администратор безопасности может заблокировать любую учетную запись, в том числе, системного администратора, вход под которой в систему в результате этого, до разблокировки учетной записи, становится невозможен.
Это позволяет реализовывать контролируемый доступ в систему системного администратора только по предварительному согласованию с администратором безопасности.
Вывод. Основу дополнительной парольной защиты КСЗИ «Панцирь+» составляет дополнительная аутентификация с использованием соответствующего механизма системы защиты. При ее использовании, компрометация пароля ОС любым способом – с использованием любой уязвимости, что позволяет говорить о решении задачи защиты в общем виде, знание пароля ОС, в том числе, пароля администратора, не позволит осуществить несанкционированный доступ в систему. Альтернативное же решение парольной защиты КСЗИ «Панцирь+», предполагающее возможность перехвата хэша пароля, поскольку пароль ОС и КСЗИ «Панцирь+» в этом случае совпадают, предполагает его усиление предоставляемыми для этого системой защиты способами, в том числе, путем использования для хранения и ввода сложных паролей с использованием соответствующих ключей (токенов).
Существенную дополнительную защиту, применительно к рассматриваемой задаче (и не только к ней), обеспечивает сетевой экран в составе КСЗИ «Панцирь». Его особенностью также является разграничения доступа к/из сети для субъекта пользователь, процесс (профиль).
Проведенный анализ возможностей усиления защиты КСЗИ «Панцирь+» с использованием механизма сетевого экранирования.
Сетевой объект доступа, для разграничения прав доступа к нему субъектов, определяется в сетевом экране из состава КСЗИ «Панцирь+» следующими объектами – сетевой адаптер локального компьютера, удаленный IP адрес (или имя хоста), номер локального и удаленного TCP/UDP порта, которые разрешены для обмена с этим адресом, транспорт, реализуемый поверх сетевого протокола, который может использоваться для следующей совокупности объектов – удаленный адрес, локальный и удаленный порт, в частности, это протокол RDP (либо команды для управляющих протоколов), и каким образом он может использоваться, номер локального и удаленного TCP/UDP порта, которые настраиваются из соответствующих вкладок интерфейса, см. рис.52.
А. Задание того, с какого адаптера с каким удаленным адресом можно взаимодействовать с защищенного компьютера
Б. Задание того, с использованием каких портов можно взаимодействовать с заданным удаленным сетевым адресом
в. Задание того, какой транспорт (команды для управляющих протоколов) и каким образом могут использоваться для заданной совокупности объектов – удаленный адрес, локальный и удаленный порт
Рис.52. Задание сетевого объекта доступа
Разграничение прав доступа к заданному в разграничительной политике сетевому объекту осуществляется для профилей (пользователь и процесс - субъект доступа идентифицируется и создается одинаково для использования во всех механизма защиты из состава КСЗИ «Панцирь+») из интерфейсов, представленных на рис.53. При этом могут задаваться, как правила доступа по протоколам TCP/UDP, так и правила использования субъектами сетевых служб для взаимодействия с сетевыми объектами.
Отметим, что данное техническое решение подпадает под действие патентов [Щеглов А.Ю., Щеглов К.А. Система контроля доступа к ресурсам компьютерной системы с субъектом доступа "пользователь, процесс" // Патент на изобретение №2534599, правообладатель ООО «НПП «ИТБ», Щеглов А.Ю., Щеглов К.А. Система контроля доступа к ресурсам компьютерной системы с субъектом "исходный пользователь, эффективный пользователь, процесс" // Патент на изобретение №2534488, правообладатель ООО «НПП «ИТБ»].
А. Задание правил доступа субъектов к сетевым объектам по протоколам TCP/UDP
Б. Задание правил использования субъектами при доступе сетевым объектам сетевых служб
Рис.53. Задание правил доступа субъектов к сетевым объектам
Использование подобным образом реализованного сетевого экрана, предполагающего реализацию разграничительной политики доступа к сетевым объектам для субъекта доступа «пользователь, процесс», позволяет предотвратить любую возможность использования несанкционированно создаваемого сокета, отличного от разрешенных заданной разграничительной политикой доступа, к сетевым объектам – использовать неразрешенный для взаимодействия порт, подключиться к разрешенному порту иным, нежели, чем разрешенным процессом, включая системный, и т.д.
С учетом особенностей реализации, данный механизм защиты эффективен, как для защиты от атак из сети, так и, наоборот, для защиты от атак, направленных на осуществление последующего заражения с зараженного компьютера иных компьютеров информационной системы с использованием сетевых червей, что следует рассматривать в качестве отдельной самостоятельной задачи защиты. Чтобы это осуществить в данном случае заражение всей информационной системы, необходимо заразить один из легально используемых процессов, которым разрешен доступ в сеть, иным процессам, в том числе, запущенным с системными правами, доступ к сетевым ресурсам будет не осуществить.
При этом данным критичным процессам, в первую очередь, браузерам должен запрещаться доступ к обрабатываемым в информационной системе данным, о чем говорили ранее.
Для определения того, какой доступ следует разрешить системным процессам, можно использовать соответствующий анализатор сетевых соединений, см. рис.5. Отметим, что на рис.54.а. отображена ситуация доступа с защищаемой машины к разделенной в сети папке, на рис.54.б., наоборот, удаленного доступа к разделенной на защищаемом компьютере парке.