А. Интерфейс сервера аудита безопасности
- поступило новое сообщение, администратор его ещё не просмотрел; | |
- просматриваются сообщения данного клиента; | |
- отсутствуют новые (не просмотренные администратором) записи для данного клиента. |
Б. Пиктограммы
Рис.27. Сервер аудита безопасности
На рис.27.а. открыто окно отдельного компьютера, в котором для этого клиента в реальном времени выводятся поступающие сообщения об отказах в доступе. При этом пиктограммами, см. рис.27.б, отображаются текущие состояния аудита всех защищаемых компьютеров.
Если выбрать вкладку «Все», см. рис.27.б, то в одном окне будут выводиться поступающие сообщения об отказах в доступе для всех защищаемых компьютеров.
Проверка состояла в запрете доступа текстового редактора файлу с последующим обращением к нему. Информация о проведенном запрещенном разграничительной политикой доступа действии в реальном времени поступила на сервер аудита КСЗИ «Панцирь+», см. рис.27.
Вывод. КСЗИ «Панцирь+» обеспечивает возможность по предоставлению информации о зафиксированных событиях отказов администратору безопасности удаленно в реальном времени
3. Запрет запуска создаваемых файлов. Данное решение, в отличие от двух предыдущих, уже обеспечивает возможность не запрета создания исполнимого файла, а запрета его последующего запуска в случае создания. Эта задача защиты уже решается механизмом управления доступом к создаваемым файлам, причем заданием всего одного правила, см. рис.28.
Рис.28. Правило запрета запуска созданных файлов
При таких настройках любой создаваемый в процессе работы системы файл, причем неважно то, каким образом и в каком виде он загружен на компьютер (упакован, зашифрован и т.д., что используется для обхода антивирусов), при сохранении в файловой системе будет размечен, как созданный в процессе работы (создаваемый), а не изначально присутствующий в системе (статичный). При последующей попытке его запуска под любой учетной записью, в том числе, администратором или системой, соответствующий запрос доступа будет системой защиты отклонен.
Принципиальным отличием данного способа защиты является то, что им предотвращается не создание исполнимого файла (в определенном месте, либо определенного типа, как рассмотренными ранее способами защиты), а исполнение уже созданного файла.
Вывод. Данный способ защиты не является альтернативой рассмотренным ранее способам и может использоваться в дополнение к ним, реализуя защиту в предположении о том, что так или иначе вредоносная программа внедрена на защищаемый компьютер и может быть запущена.
Важной особенностью данного способа защиты является то, что любой создаваемый файл при настройках, приведенных на рис.28, размечается при создании следующим образом – запоминаются учетные данные создавшего его субъекта доступа пользователь, процесс. Данную разметку можно посмотреть с использованием соответствующей утилиты из состава КСЗИ «Панцирь+».
Проверка разметки создаваемых файлов.
В рамках проведения соответствующей проверки проведено испытание, для чего текстовым редактором был создан соответствующий файл. Разметка созданного файла приведена на рис.28.
Рис.28. Разметка созданного файла
Это позволяет реализовать достаточно важную разграничительную политику доступа, разрешив исполнение на компьютере только те файлы, которые были созданы администратором с использованием соответствующих программных средств администрирования.
Однако данный реализованный в КСЗИ «Панцирь+» одно ограничение, состоящее следующем. Если автоматически средствами КСЗИ «Панцирь+» размечать все файлы, создаваемые системными процессами, что, естественно технически возможно, то это размечаются только файлы, создаваемые интерактивными пользователями (включая администратора), а контроль доступа по их исполнению уже осуществляется, как в отношении интерактивных, так и в отношении системных пользователей.
Для одновременного использования данного способа защиты с двумя рассмотренными выше, предусмотрена возможность исключения разметки в системных папках, что реализуется из интерфейса, приведенного на рис.29.
Рис.29. Интерфейс настройки исключений разметки создаваемых файлов
Применительно к данному механизму защиты также необходимо проведение проверки того, позволяет ли он разграничивать права доступа к альтернативным потокам, а именно – можно ли осуществить доступ к альтернативному потоку файла, к которому (к основному потоку которого) соответствующим правилом доступ запрещен.
Проверка корректности доступа к альтернативным потокам.
В рамках проведения соответствующей проверки проведено испытание, для чего создано правило, см. рис.30, которым запрещается доступ пользователю Татьяна ко всем файлам, создаваемым пользователем admin.
Рис.30. Созданное тестовое правило доступа
При этих условиях вновь было проведено описанное ранее испытание с файлом, в котором был создан альтернативный поток. Сначала заархивированный файл был по почте передан на защищаемый компьютер, где он был разархивирован, оба файла автоматически разметились, см. рис.31.
Рис.31. Разметка созданных файлов
После этого была выполнена соответствующая последовательность команд, в результате был зафиксирован отказ в доступе, см. рис.32.а, зарегистрированный в соответствующем журнале аудита, см. рис.32.б.