Программные способы и средства ЗИ на уровне операционных систем.
Мероприятия на уровне ОС заключаются:
- в определении и настройке прав пользователей на доступ к ресурсам и на выполнение каких-либо действий,
- в выделении файловых, программных и аппаратных ресурсов сети для общего доступа зарегистрированных
пользователей и разграничение прав на этот доступ,
- в ограничении списка и задании полномочий программам ,выполняемым на сервере,
- в защите сервера (серверов) и пользователей локальной сети от угроз извне и изнутри
- в анализе (аудите) событий в системе.
К штатным средствам защиты WINDOWS SERVER-2012 относятся следующие:
- Разрешения на доступ к файлам, папкам и дискам NTFS,
- Ограничение прав доступа на уровне учетных записей и групп
Учетная запись – это окружение, в котором выполняется большая часть кода операционной системы. То есть, все программы в пользовательском режиме выполняются в контексте учетной записи пользователя.
Встроенные группы : Администраторы ,гости , опытные пользователи ,пользователи.
Для защиты учетных записей применяются следующие свойства:
-Потребовать смену пароля при следующем входе
-Запретить смену пароля пользователем
-Срок действия пароля ограничен
-Отключить учетную запись
-Групповые политики безопасности,
Пользователю предоставляются права двух типов:
права на вход (logon rights) - до аутентификации учетной записи
привилегии (privileges) - после аутентификации учетной записи.
Локальные политики включают:
Политики учётных записей
-Локальные политики:
-Политика аудита,
-Назначение прав пользователя,
-Параметры безопасности,
-Брандмауэр Windows в режиме повышенной безопасности
-Политики диспетчера списка сетей
-Политики открытого ключа
-Политики ограниченного использования программ
-Политики управления приложениями
-Политики IP-безопасности
-Конфигурация расширенной политики безопасности
Примеры параметров безопасности :
Дополнительные ограничения для анонимных подключений (нуль-сеансов) могут использоваться для перечней учетных записей и групп. Такой режим может понадобиться администратору домена для того, чтобы добавить пользователей доверенного домена и предоставить им доступ к ресурсам своего домена. Но этот режим может использоваться злоумышленником, не имеющим доступ к домену, для сбора информации о домене.
Разрешить завершение работы системы без выполнения входа в систему. Данный параметр позволяет избежать ситуаций, когда пользователь случайно выключает сервер.
Разрешено извлекать съемные носители NTFS. Благодаря этому режиму случайный пользователь,находящийся рядом со съемным накопителем информации, воспользовавшись штатными средствами соответствующего устройства, не сможет извлечь и похитить носитель.
Автоматически отключать сеансы пользователей по истечении разрешенного времени (локально). Если пользователю выделены определенные часы работы ,этот параметр позволит автоматически его отключить
- Защита реестра и ограничение прав доступа к нему,
- Использование шифрующей файловой системы REFS(локальная файловая система, используемая в Windows Server 2012, Windows Server 2012 R2, бета-версиях Windows 8, Windows 8.1. Является дальнейшим развитием NTFS),
- Безопасность сетевых подключений, которая обеспечивается следующими средствами:
o с помощью аутентификации, шифрования передаваемых данных, цифровых подписей и сертификатов безопасности(server2012 после установки по умолчанию использует для получения доступа пользователей к сетевым ресурсам протокол Kerberos,также поддерживаются и другие механизмы аутентификации , такие как протоколы SSL/TLS,LM,NTLM.
o Защита IP-адресов с помощью преобразования сетевых адресов NAT, служба совместного использования подключения к INTERNET – ICS (Internet Connection Sharing (ICS, в русской версии ОС Windows переводится как «Общий доступ подключения к Интернету») — возможность, появившаяся в ОС Windows, начиная с версии Windows 98 SE, заключающаяся в совместном использовании одного подключения к Интернету несколькими компьютерами, находящимися в локальной сети. При этом используются технологии DHCP и NAT.),
o политика удаленного доступа,
o Использование виртуальных частных сетей (VPN),
o Защита удаленного доступа с помощью ограничения доступа к ресурсам,
o Возможность использования безопасного IP-протокола – IPsec,
o Служба терминалов
o Более защищённый вариант IIS – встроенного WEB-сервера
- Средства аудита(системные журналы)