Способы разграничения доступа к ресурсам компьютерной сети
Обращаем Ваше внимание, что в соответствии с Федеральным законом N 273-ФЗ «Об образовании в Российской Федерации» в организациях, осуществляющих образовательную деятельность, организовывается обучение и воспитание обучающихся с ОВЗ как совместно с другими обучающимися, так и в отдельных классах или группах.
Рабочие листы и материалы для учителей и воспитателей
Более 2 500 дидактических материалов для школьного и домашнего обучения
Столичный центр образовательных технологий г. Москва
Получите квалификацию учитель математики за 2 месяца
от 3 170 руб. 1900 руб.
Количество часов 300 ч. / 600 ч.
Успеть записаться со скидкой
Форма обучения дистанционная
- Онлайн
формат - Диплом
гособразца - Помощь в трудоустройстве
Видеолекции для
профессионалов
- Свидетельства для портфолио
- Вечный доступ за 120 рублей
- 311 видеолекции для каждого
Методы разграничения доступа
Виды методов разграничения доступа:
Разграничение доступа по спискам
Суть метода состоит в задании соответствий: для каждого пользователя задается список ресурсов и права доступа к ним или для каждого ресурса определяется список пользователей и права доступа к этим ресурсам. С помощью списков возможно установление прав с точностью до каждого пользователя. Возможен вариант добавления прав или явного запрета доступа. Метод доступа по спискам используется в подсистемах безопасности операционных систем и систем управления базами данных.
Использование матрицы установления полномочий
При использовании матрицы установления полномочий применяется матрица доступа (таблица полномочий). В матрице доступа в строках записываются идентификаторы субъектов, которые имеют доступ в компьютерную систему, а в столбцах – объекты (ресурсы) компьютерной системы.
В каждой ячейке матрицы может содержаться имя и размер ресурса, право доступа (чтение, запись и др.), ссылка на другую информационную структуру, которая уточняет права доступа, ссылка на программу, которая управляет правами доступа и др.
Данный метод является достаточно удобным, так как вся информация о полномочиях сохраняется в единой таблице. Недостаток матрицы – ее возможная громоздкость.
Разграничение доступа по уровням секретности и категориям
Разграничение по степени секретности разделяется на несколько уровней. Полномочия каждого пользователя могут быть заданы в соответствии с максимальным уровнем секретности, к которому он допущен.
При разграничении по категориям задается и контролируется ранг категории пользователей. Таким образом, все ресурсы компьютерной системы разделены по уровням важности, причем каждому уровню соответствует категория пользователей.
Парольное разграничение доступа
Парольное разграничение использует методы доступа субъектов к объектам с помощью пароля. Постоянное использование паролей приводит к неудобствам для пользователей и временным задержкам. По этой причине методы парольного разграничения используются в исключительных ситуациях.
На практике принято сочетать разные методы разграничений доступа. Например, первые три метода усиливаются парольной защитой. Использование разграничения прав доступа является обязательным условием защищенной компьютерной системы.
Современные компьютеры содержат в себе массу потенциально небезопасных устройств. К примеру, центральный процессор может обрабатывать команды вируса, на жестком диске или в оперативной памяти может находиться код rootkit, а сетевая карта может использоваться для доставки к компьютеру трафика атаки DDoS. Но кроме базовых устройств производители зачастую встраивают в системы дополнительные компоненты, без которых вполне можно обойтись. Это и приводы внешних накопителей, такие как гибкие диски и CD-ROM и внешние коммуникационные порты (USB, COM, LPT).
Современные компьютеры содержат в себе массу потенциально небезопасных устройств. К примеру, центральный процессор может обрабатывать команды вируса, на жестком диске или в оперативной памяти может находиться код rootkit, а сетевая карта может использоваться для доставки к компьютеру трафика атаки DDoS.
Но кроме базовых устройств производители зачастую встраивают в системы дополнительные компоненты, без которых вполне можно обойтись. Это и приводы внешних накопителей, такие как гибкие диски и CD-ROM и внешние коммуникационные порты (USB, COM, LPT). Можно выделить две основные угрозы, связанные с использованием подобных устройств. Это возможность организации неконтролируемого канала утечки информации из корпоративной сети, а так - нарушение целостности Trusted Computer Base.
Говоря проще, с использованием этих устройств пользователи могут выносить из сети информацию, а так же устанавливать себе на компьютер различные полезные утилиты типа Троянских программ, вирусов и т.д. в обход системы корпоративной антивирусной защиты. Эта проблема весьма актуальна, что подтверждается независимыми исследованиями [1].
4.3.1. Введение
Цели изучения темы
· изучить методы разграничения доступа пользователей и процессов к ресурсам защищенной информационной системы.
Требования к знаниям и умениям
Студент должен знать:
· методы разграничения доступа;
· методы управления доступом, предусмотренные в руководящих документах Гостехкомиссии.
Студент должен уметь:
· использовать методы разграничения доступа.
Ключевой термин
Ключевой термин: разграничение доступа.
При разграничении доступа устанавливаются полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.
Второстепенные термины
· мандатное управление доступом;
· дискретное управление доступом;
· уровень секретности и категория субъекта.
Структурная схема терминов
Физический контроль
Существует множество методов контроля использования подобных устройств. Самый простой – физически отключить их. Но если это применимо к таким устройствам как приводы CD-ROM или Floppy-drive, то с USB, COM и другими портами дело обстоит сложнее, хотя в принципе их можно отключить в BIOS. Однако если мы отключим USB-порт в BIOS, мы не сможем использовать никакие из USB устройств, например – Smartcard с USB интерфейсом.
Ещё один минус физического отключения – усложнение процесса восстановления систем в случае сбоев, когда эти устройства (например, привод CD-ROM) необходимы. Кроме того, администратор, прогуливающийся по комнатам с единственным на компанию приводом CD-ROM, обычно вызывает зависть и другие, резко отрицательные эмоции у коллектива. Если не верите – попробуйте вынуть CD у своих сослуживцев.
4.3.5. Вопросы для самоконтроля
1. Перечислите известные методы разграничения доступа.
2. В чем заключается разграничение доступа по спискам?
3. Как используется матрица разграничения доступа?
4. Опишите механизм разграничения доступа по уровням секретности и категориям.
5. Какие методы управления доступа предусмотрены в руководящих документах Гостехкомиссии?
6. Поясните механизм дискретного управления доступом?
7. Сравните дискретное и мандатное управление доступом.
Модели разграничения доступа
Наиболее распространенные модели разграничения доступа:
- дискреционная (избирательная) модель разграничения доступа;
- полномочная (мандатная) модель разграничения доступа.
Дискреционная модель характеризуется следующими правилами:
4.3.4. Выводы по теме
1. Определение полномочий (совокупность прав) субъекта для последующего контроля санкционированного использования им объектов информационной системы осуществляется после выполнения идентификации и аутентификации подсистема защиты.
2. Существуют следующие методы разграничения доступа:
· разграничение доступа по спискам;
· использование матрицы установления полномочий;
· разграничение доступа по уровням секретности и категориям;
· парольное разграничение доступа.
3. При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
4. Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы.
5. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен.
6. Парольное разграничение основано на использовании пароля доступа субъектов к объектам.
7. В ГОСТе Р 50739-95 "Средства вычислительной техники . Защита от несанкционированного доступа к информации" и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа: дискретное управление доступом и мандатное управление доступом.
8. Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами.
9. Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.
Взаимодействие с серверной и сетевой инфраструктурой:
2. 802.1x / NAC
Если все коммутационное оборудование под контролем, то возможно развертывание инфраструктуры 802.1x на базе RADIUS сервера или технологии Network Access Control (у Microsoft это роль Network Policy Server c компонентом Network Access Protection (NAP).
Решение позволяет осуществлять предварительную авторизацию устройств и назначение им IP/VLAN в зависимости от результатов проверки. В случае успешного внедрения получаем возможность динамически размещать узлы по VLAN и проводить разноплановые проверки подключаемых узлов, например - наличие и актуальность антивирусного ПО или межсетевого экрана.
Недостатки: относительная сложность настройки, необходимость развертывания отдельного сервера авторизации, отсутствие возможности настройки специфичных проверок штатными средствами.
Обязанности администратора
При учёте приведённых выше областей сетевого управления, возможно сформировать перечень задач, которые необходимо решать сетевому администратору:
- Формирование пользовательских учётных записей и осуществление управленческих операций с ними.
- Организация защиты информационных данных.
- Организация обучения и поддержки, когда есть необходимость, пользователей.
- Выполнение обновления действующего программного обеспечения и поиск и инсталляция нового.
- Выполнение операций по архивированию данных.
- Организация защиты от потери данных.
- Осуществление контроля и управления зонами памяти, предназначенными для сохранения информации на сервере.
- Осуществление регулировки сетевых параметров с целью получения максимума производительности.
- Выполнение резервного копирования.
- Осуществление защиты от вирусов.
- Постоянное отслеживание и разрешение проблем сети.
- Выполнение своевременной модернизации и обновления сетевых элементов.
- Осуществление операции присоединения к сети нового компьютерного оборудования.
4.3.3. Мандатное и дискретное управление доступом
В ГОСТе Р 50739-95 "Средства вычислительной техники . Защита от несанкционированного доступа к информации" и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа:
· дискретное управление доступом;
· мандатное управление доступом.
Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.
Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.
При внимательном рассмотрении можно заметить, что дискретное управление доступом есть ничто иное, как произвольное управление доступом (по "Оранжевой книге США"), а мандатное управление реализует принудительное управление доступом.
Резюме
Выбор подходящего решения на прямую зависит от архитектуры защищаемой инфраструктуры, от компетенции персонала, а также соотношения затрат на внедрение к критичности защищаемых ресурсов.
Решений много, надеюсь варианты, описанные выше, будет полезны. В свою очередь, если сталкивались с иным решением, прошу написать в комментариях.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Без взаимодействия с инфраструктурой:
5. Скрипты
Если вносить изменения в сетевую или северную инфраструктуру нет возможности, то можно решить задачу путем анализа успешных подключений к серверам скриптом со следующим алгоритмом:
- Проверка логов контроллера домена (или файлового сервера) на предмет событий авторизации пользователя;
- Выделение из событий авторизации имени компьютера, с которого подключился пользователь;
- Попытка подключиться к этому компьютеру по протоколам SMB (CIFS) или WMI. Если подключение не удалось - значит узел не входит в домен (или у него проблемы с доступом, что тоже не порядок).
- Реагирование на нарушение: занесение информации о проблемных узлах в лог скрипта, уведомление администратора безопасности, отключение учетной записи
6 Сканирование
Наиболее распространенное и простое решение, заключающееся в использовании любого сетевого сканера. В случае использования наиболее продвинутых вариантов возможно максимально автоматизировать процесс выявления новых или не соответствующих требованиям устройств и снизить временные затраты. Отсутствие необходимости интеграции с серверной и сетевой инфраструктурой упрощает внедрение данного решения.
В качестве недостатка следует отметить время, так как любой анализ будет ретроспективен, а также невозможность активного противодействия доступу с не доверенных устройств.
Методы разграничение доступа
Разграничение прав доступа в сети
В сетевых операционных системах при осуществлении управления ресурсами сети необходимо реализовать систему безопасности, у которой есть разделение на разные уровни прав доступа к информации. Возможны следующие уровни доступа:
- Обеспечение полного доступа для каждого пользователя на все возможные операции.
- Установка ограничений на уровне пользователей.
- Установка ограничений на уровне сетевых узлов.
- Установка ограничений на уровне выполнения анализа содержания каждого запроса.
- Установка полного запрета для каждого пользователя на любые действия.
Когда доступ к ресурсам сети определяется на пользовательском уровне, то это значит, что пользователь получит доступ к информации только после его авторизации. При выполнении авторизации пользователя система проверяет данные пользователя, основываясь на факте правильности пароля, который соответствует его учётной записи. Авторизация предполагает предоставление пользователю возможности доступа к системной информации. Возможна совместная работа пользователей с файлами, то есть могут быть предоставлены файлы, расположенные на компьютере, для общего доступа.
При рассмотрении вопросов информационной безопасности используются понятия субъекта и объекта доступа. Субъект доступа может производить некоторый набор операций над каждым объектом доступа. Эти операции могут быть доступны или запрещены определенному субъекту или группе субъектов. Доступ к объектам обычно определяется на уровне операционной системы ее архитектурой и текущей политикой безопасности. Рассмотрим некоторые определения, касающиеся методов и средств разграничения доступа субъектов к объектам.
Метод доступа к объекту – операция, которая определена для данного объекта. Ограничить доступ к объекту возможно именно с помощью ограничения возможных методов доступа.
Владелец объекта – субъект, который создал объект несет ответственность за конфиденциальность информации, содержащейся в объекте, и за доступ к нему.
Право доступа к объекту – право на доступ к объекту по одному или нескольким методам доступа.
Разграничение доступа – набор правил, который определяет для каждого субъекта, объекта и метода наличие или отсутствие права на доступ с помощью указанного метода.
Готовые работы на аналогичную тему
- любой объект имеет владельца;
- владелец имеет право произвольно ограничивать доступ субъектов к данному объекту;
- для каждого набора субъект – объект – метод право на доступ определен однозначно;
- наличие хотя бы одного привилегированного пользователя (например, администратора), который имеет возможность обращаться к любому объекту с помощью любого метода доступа.
В дискреционной модели определение прав доступа хранится в матрице доступа: в строках перечислены субъекты, а в столбцах – объекты. В каждой ячейке матрицы хранятся права доступа данного субъекта к данному объекту. Матрица доступа современной операционной системы занимает десятки мегабайт.
Полномочная модель характеризуется следующими правилами:
- каждый объект обладает грифом секретности. Гриф секретности имеет числовое значение: чем оно больше, тем выше секретность объекта;
- у каждого субъекта доступа есть уровень допуска.
Допуск к объекту в этой модели субъект получает только в случае, когда у субъекта значение уровня допуска не меньше значения грифа секретности объекта.
Преимущество полномочной модели состоит в отсутствии необходимости хранения больших объемов информации о разграничении доступа. Каждым субъектом выполняется хранение лишь значения своего уровня доступа, а каждым объектом – значения своего грифа секретности.
Взаимодействие только с серверной инфраструктурой:
3. Microsoft Dynamic Access control
Решение, полностью решающее задачу контроля доступа с устройств к файловым ресурсам. Начиная с MS Windows Server 2012 для управления доступом к ресурсам могут использоваться реквизиты ( clames ) и пользователя, и компьютера, с которого осуществляется подключение. Достаточно определить политику, устанавливающую одним из требований на доступ к файловым ресурсам наличие компьютера, с которого осуществляется доступ, в нужной группе службы каталогов. Доступ на основе клэйма компьютера это не главное преимущество технологии динамического контроля доступа, но для решения нашей задачи оно ключевое. Для погружения в вопрос рекомендую это видео .
Главное ограничение, которое ставит крест на внедрении этого решения в большинстве инфраструктур в том, что клэймы устройств работают только если клиентом выступает ОС Windows 10 и выше.
Если исходными данными является инфраструктура, полностью построенная на Windows 10, то это решение однозначно не стоит обходить стороной.
Так же к недостаткам можно отнести возможность настройки доступа только к файловым ресурсам, защитить таким образом доступ к ресурсам на других протоколах не удастся. (Хотя тут могу и ошибаться, т.к. до промышленного внедрения по причине первого ограничения не дошел)
4. IPSec
Есть достаточно элегантное решение, заключающееся в настройке доступа к ключевым серверам организации по IPSec. В данном случае мы используем IPSec не по прямому назначению для создания VPN подключений, а применяем его для ограничения доступа между узлами одной сети.
Схема контроля доступа на базе IPSec |
Если мы защищаем конкретный сервис (например, файловую шару, БД, Web-сервис) то и переводить на IPSec будем только порты защищаемого протокола, а не все соединения с сервером, что снизит нагрузку на сеть и оборудование.
Так же, если защита от перехвата трафика в задачах не стоит, то IPSec достаточно настроить в режиме контроля целостности по MD5, а шифрование отключить, что еще больше снизит нагрузку.
Применение групповой политики должно осуществляться одномоментно на сервер и все компьютеры, которым необходимо подключение. Если политика на компьютер не применена, доступа к серверу не будет.
Альтернативные пути
Существует и более мягкие решения, позволяющие контролировать доступ к аппаратным ресурсам компьютера в корпоративной сети. В качестве примера можно привести программу Device Lock [2]. Но не всегда есть возможность получить необходимые средства для покупки подобных программ, да и не во всех случаях требуется настолько богатый набор функциональных возможностей. В принципе решить эту задачу можно и без помощи специализированных программ, используя только встроенные средства операционной системы.
Дальнейшее изложение основано на следующих предположениях:
- сеть развернута на основе Active Directory;
- в качестве клиентов используются Windows XP и выше (хотя большая часть рекомендаций подойдет и для Windows 2000),
- пользователи не работают с правами администратора
- учетная запись локального администратора заблокирована или пароль её периодически меняется;
- решена проблема физической безопасности компьютеров.
Рассмотрим самый простой вариант, когда выделяется два уровня привилегий по использованию устройств – административный и стандартный. Этот способ вполне подходит для ситуаций, когда в нормальном режиме устройства отключены, но при входе привилегированного пользователя автоматически подключаются.
Реализовать такой подход очень просто. Дело в том, что в Windows процессы не работают напрямую с устройством, но взаимодействуют посредством вызовов API с его драйвером. И успешность того или иного вызова определяется наличием драйвера устройства в системе. Но даже если драйвер был установлен, его можно отключить, после чего доступ к устройству буден невозможен. В дальнейшем, под термином устройство будет подразумеваться именно виртуальное устройство Windows, если из контекста не вытекает обратное.
Простейший способ провести операцию отключения устройства – воспользоваться утилитой Device Manager. Зайдите в систему от учетной записи с административными привилегиями, выполните команду devmgmt.msc, нажмите правой кнопкой на устройстве (например, приводе CD-ROM) и выберете пункт Disable в контекстном меню. В появившемся диалоговом окне нажмите кнопку Yes, после чего запустите «Проводник». О, чудо! Привод CD-ROM исчез из доступных устройств. Причем пользователи со стандартным уровнем привилегий не будут иметь возможности его подключить, хотя вполне сумеют воспользоваться кнопкой Play на передней панели устройства для прослушивания аудио дисков.
Однако вручную отключать устройства с помощью графического интерфейса на всех компьютерах в сети не очень удобно. Можно конечно написать собственную утилиту, выполняющую эти действия, но это слишком сложный путь. Гораздо легче воспользоваться готовой утилитой devcfg, описанной в Q311272 и доступной для загрузки на сервере Microsoft [3].
Эта утилита представляет собой полнофункциональный аналог Device Manager, позволяющий манипулировать устройствами (т.е. их драйверами) из командной строки.
Нас в принципе интересуют три опции этой утилиты:
- найти устройство (devcfg.exe find *CDROM*);
- отключить устройство (devcfg.exe disable *CDROM*);
- подключить устройство (devcfg.exe enable *CDROM*).
Пытливому читателю, интересующемуся тем, «где лежат» драйверы я посоветую посетить ключи реестра HKLM\SYSTEM\CurrentControlSet\Control\Class и HKLM \SYSTEM\CurrentControlSet\Control\DeviceClasses.
Для автоматизации процесса подключения/отключения устройств можно воспользоваться групповыми политиками и сценариями загрузки и входа в систему.
В сценариях загрузки компьютера того организационного подразделения, на компьютерах которого мы собираемся отключать устройства, прописываются команды отключения «ненужных» устройств:
devcfg.exe disable *CDROM*
devcfg.exe disable *floppy* … и так далее.
Сценарии входа в систему пользователей, наоборот, включают устройства:
devcfg.exe enable *CDROM*
devcfg.exe enable *floppy*
Ну и последний штрих – сценарии выхода из системы, в которых устройства снова отключаются.
Сценарии загрузки Windows (Startup Scripts) обрабатываются в контексте безопасности учетной записи компьютера (т.е. Local System) и имеют возможность модифицировать параметры любых устройств. Сценарии входа в систему (Logon Scripts) работают с привилегиями учетной записи текущего пользователя и соответственно, устройства будут подключены, если пользователь имеет на это должные права. По умолчанию они присутствуют у членов группы Administrators.
Сценарии выхода из системы (Logoff Scripts) используются для того, что бы защититься от ситуаций, когда администратор забывает перезагрузить компьютер после выполнения своих задач. Эти сценарии выполняются при завершении сеанса пользователя и отключают все устройства, которые он мог включить.
Если возникает необходимость создать сценарий входа в систему для локальной, а не доменной учетной записи, можно воспользоваться рекомендациями, приведенными в статье [4] (см. script.vbs).
Приведенный метод прост и понятен, но как следствие – неудобен в администрировании. Хочется чего-нибудь более привычного, например, отключать устройства на машинах в зависимости от членства в группах безопасности.
Что бы реализовать это законное желание мы создаем группы безопасности для каждого из типов устройств, например Copm Floppy , Comp CDROM и т.д. Затем в каждую группу включаем те машины, устройства на которых необходимо отключить. Например, в группу Comp Floppy войдут учетные записи тех машин, использование FDD на которых запрещено политикой безопасности.
В пользовательских политиках, этот же сценарий указывается в качестве сценария входа в систему (ключ enable). Он же, но с ключом disable используется в качестве Logoff Script.
Сценарий, в зависимости от значения аргумента командной строки вызывает функцию DisableDev для отключения устройств или EnableDev для их включения. Функция DisableDev вызывает функцию VerifyGroupMembers, для проверки членства компьютера в группе безопасности, и в случае, если компьютер присутствует в группе – отключает соответствующее устройство. Массивы
Devices и Groups содержат имена устройств и соответствующих групп безопасности. Имя машины извлекается из переменных окружения, что является небезопасным подходом, поскольку переменные окружения незащищены с помощью списков контроля доступа и могут быть модифицированы пользователем. В реальных системах имя машины лучше получать другими способами, например c помощью вызовов WMI.
Однако все равно, нас не покидает ощущение, что могло бы быть и лучше. Например – не лишней была бы возможность разрешать различным пользователям одного и того же компьютера доступ к различным устройствам, или давать доступ к CD пользователям, не имеющим права администратора.
К сожалению, используя описанный выше подход это сделать невозможно, поскольку возможностью загружать и выгружать драйверы устройств определяются наличием у учетной записи пользователя всего одной привилегии - “ Load and Unload Device Drivers” (SeLoadDriver Privilege). Пользователь, имеющие подобные привилегии имеет возможность загружать и выгружать любые драйверы в системы (включая и тесно связанные с безопасностью, например драйвер персонального межсетевого экрана).
Кроме того, некоторые устройства, например USB поддерживают такую неприятную возможность, как PnP. Дополнительно, мы можем захотеть заблокировать возможность использования USB-Flash дисков, но при этом использовать различные USB-Token для аутентификации, но они обращаются к одному и тому же устройству - USB Root Hub.
Здесь на выручку приходит то обстоятельство, что с драйверами связаны компоненты пользовательского уровня – системные службы (HKLM\SYSTEM\CurrentControlSet\Services). А управления правами на системные службы – тривиальная задача для любого грамотного администратора Windows.
Стандартным подходом в данном случае является использование Security Configuration Manager (SCM) и шаблонов безопасности [5], однако в этой ситуации они неприменимы. К сожалению, у меня не получилось заставить SCM через групповые политики менять разрешения на службы с типом Kernel-mode device driver (Type=1).
Однако с этим прекрасно справляется утилита sc.exe из стандартной поставки Windows Server 2003 и Windows XP. Запущенная с параметром sc sdset она позволяет устанавливать списки контроля доступа для любых системных служб (в рамках привилегий запустившего пользователя, естественно). Разрешения задаются в виде строки на языке SDDL [7], свободно писать на котором могут только люди, читающие Base64 без словаря. Поэтому, для их формирования разумно воспользоваться теми же шаблонами безопасности, задав соответствующие разрешения в оснастке Security Templates, а затем просмотрев их в notepad.
В этом сценарии добавился ещё один массив – Services, содержащий системные службы, соответствующие тому или иному устройству. В массиве Groups на этот раз содержатся группы пользователей, имеющие разрешение на работу с тем или иным типом устройств.
В процессе система выполняет отключение устройств, в ходе которого не только отключает драйвер, но и запрещает запуск соответствующей системной службы. Кроме того, на службу расставляются разрешения, позволяющие членам определенной группы модифицировать параметры её запуска. Для этого из службы каталога извлекается SID группы, который преобразуется в строку и добавляется в шаблон на языке SDDL (переменная SDDL). Поскольку первоначальные операции отключения и настройки выполняются в процессе загрузки с правами учетной записи компьютера, они будут успешны.
При активизации устройства, происходящей в процессе входа пользователя в систему, сценарий пытается разрешить запуск системной службы, и в случае успеха подключает соответствующее устройство.
Дополнительно, пользователи, имеющие возможность использовать хотя бы одно из отключенных устройств должны иметь на данном компьютере привилегию SeLoadDriver. Выдавать её лучше традиционным способом – через групповые политики, что дает нам дополнительный уровень разграничения доступа, на этот раз на уровне компьютеров. Т.е. для того, что бы пользователь смог подключить привод CD-ROM он должен, во-первых, состоять в доменной группе безопасности, а во-вторых, иметь соответствующие привилегии, назначаемые на уровне компьютера.
В этих же групповых политиках можно отозвать у пользователей права на чтение файлов в папке %SystemRoot%\Inf, что бы предотвратить установку неизвестных, но потенциально опасных устройств.
Использование этого подхода позволяет, например не отключать драйвер USB, а заблокировать службу USBSTOR [8], отвечающую за монтирование переносимых носителей. Для этого в массив Services надо добавить запись USBSTOR и соответствующую по порядку пустую запись в массив Drivers, а так же группу безопасности пользователей подключаемых USB-носителей в массив Groups.
4.3.2. Методы разграничения доступа
После выполнения идентификации и аутентификации подсистема защиты устанавливает полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.
Обычно полномочия субъекта представляются: списком ресурсов , доступным пользователю и правами по доступу к каждому ресурсу из списка.
Существуют следующие методы разграничения доступа:
1. Разграничение доступа по спискам.
2. Использование матрицы установления полномочий.
3. Разграничение доступа по уровням секретности и категориям.
4. Парольное разграничение доступа.
При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в подсистемах безопасности операционных систем и систем управления базами данных.
Пример (операционная система Windows 2000) разграничения доступа по спискам для одного объекта показан на рис. 4.3.1 .
Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.
Рисунок 4.3.1.
Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток – пустые).
Фрагмент матрицы установления полномочий показан в таб. 4.3.1 .
Таблица 4.3.1.
Файл d:\prog. exe
Разграничение доступа по уровням секретности и категориям заключается в разделении ресурсов информационной системы по уровням секретности и категориям.
При разграничении по степени секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен, например, пользователь имеющий доступ к данным "секретно", также имеет доступ к данным "конфиденциально" и "общий доступ".
При разграничении по категориям задается и контролируется ранг категории пользователей. Соответственно, все ресурсы информационной системы разделяются по уровням важности, причем определенному уровню соответствует категория пользователей. В качестве примера, где используются категории пользователей, приведем операционную систему Windows 2000, подсистема безопасности которой по умолчанию поддерживает следующие категории (группы) пользователей: "администратор", "опытный пользователь", "пользователь" и "гость". Каждая из категорий имеет определенный набор прав. Применение категорий пользователей позволяет упростить процедуры назначения прав пользователей за счет применения групповых политик безопасности.
Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.
На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.
Разграничение прав доступа является обязательным элементом защищенной информационной системы. Напомним, что еще в "Оранжевой книге США" были введены понятия:
· произвольное управление доступом;
· принудительное управление доступом.
Готовые работы на аналогичную тему
Учётная запись пользователя
Каждый человек, который хочет использовать возможности работы в сети, должен иметь пользовательскую учётную запись. В учётной записи должны содержаться имя пользователя и сопутствующие ему параметры, которые обеспечивают вход в систему. Эти данные вводятся администратором и хранятся в сетевой операционной системе. Когда пользователь желает осуществить вход в сеть, имя пользователя используется для контроля учётной записи. Любая сеть оснащена утилитами, помогающими администратору внести в информационную базу сетевой безопасности новые учётные записи. Эта процедура часто обозначается как «создание пользователя». В Microsoft Windows NT Server приложение для формирования учётных записей имеет название User Manager for Domains, оно расположено в программном наборе Administrativ Tools.
В учётной записи пользователя находится информация, которая идентифицирует пользователя в системе сетевой безопасности, а именно:
- Логин (имя) и пользовательский пароль.
- Перечень пользовательских прав доступа к системным ресурсам.
- Наименование групп, к которым прикреплена учётная запись.
Этот перечень данных требуется администратору, чтобы создать новую учётную запись. Windows NT Server обеспечивает функцию, которая имеется почти во всех утилитах пользовательского управления, а именно возможность копировать учётные записи. При её посредстве администратор формирует «модель» пользователя, различные параметрические характеристики которой возможно потребуются другим пользователям. Когда требуется создать новую учётную запись с подобными параметрами, администратор просто выполняет копирование этой образцовой записи и присваивает ей новое имя.
4.3.6. Ссылки на дополнительные материалы (печатные и электронные ресурсы)
1. Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.
3. Котухов М. М., Марков А. С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998.
4. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.
Главной задачей системного администратора является налаживание безопасного и эффективного использования возможностей компьютера при работе в сетях.
Система с высоким уровнем безопасности осуществляет защиту информации от порчи и воровства, и она всегда готова обеспечить ресурсами своих пользователей. Чтобы автоматизировать вход в систему используются пользовательские учётные записи. Если с одного компьютера будут входить в систему разные пользователи, то необходимо каждому регистрировать новую учётную запись. Пользовательское администрирование заключается в формировании учётных пользовательских данных, где должны быть его имя, в какую группу пользователей он входит, пароль, а также набор прав пользователя по доступу к различной сетевой информации (компьютерному оборудованию, каталогам, принтерам и так далее).
Области администрирования
Сетевое администрирование включает в себя следующие основные сферы, в которых настройку и управление осуществляет сетевой администратор:
- Организация работы пользователей. Формирование и сопровождение пользовательских учётных записей, распределение доступа пользователей к ресурсным базам.
- Организация управления ресурсами. Формирование и осуществление поддержки сетевых информационных баз.
- Организация конфигурационного управления. Проектирование сетевой конфигурации, её модификация, а также формирование сопроводительной документации.
- Организация управления производительностью. Отслеживание и осуществление контроля за сетевыми процедурами с целью поддерживать и улучшать производительность системы.
- Мониторинг и профилактика, устранение сетевых проблем.
Взаимодействие только с сетевой инфраструктурой:
1. Port security
После всего
Приведенные примеры только демонстрация прикладного использования некоторых методов управления доступом в ОС Windows. Весь приведенный код имеет статус PoC. Автор не несет никакой ответственности за использования данных рекомендаций и очень не рекомендует давать разрешения стандартным пользователям совершать манипуляции с системными службами и драйверами. В статье умышленно рассказывается «как», но не затрагивается вопрос «почему». Это вызвано ограничением формата статьи, кроме того - ответы на большую часть вопросов можно найти, прочитав приведенные сноски.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
С контролем доступа к ресурсам сети (например, файловым) все просто - есть пользователи, есть ресурсы, устанавливаем права доступа на уровне ресурса и готово. Но как обстоят дела с контролем доступа на уровне устройств? Как сделать так, чтобы доступ определялся и на уровне пользователя, и на уровне устройства, с которого осуществляется подключение? Далее опишу подходы, позволяющие снизить вероятность подключения к ресурсам организации с не доверенных узлов.
name="'more'">
Прежде конкретизируем задачу: внутри локальной сети сервера с ресурсами и рабочие места пользователей. Важно, чтобы доступ к ресурсам пользователи получали только с доменных компьютеров (части компьютеров), на которые установлены средства защиты и контроля. Речь о внутренней инфраструктуре и средства межсетевого экранирования уровня сети не рассматриваем.
Хорошо если контролируешь инфраструктуру на физическом уровне, это позволяет частично снизить вероятность появления не доверенных устройств организационными мерами. Но доверять только физическим и организационным мерам не стоит, да и бывают ситуации, когда инфраструктура полностью или в какой-то части находится вне физического и сетевого контроля. Например, совместное использование кабельной сети и коммутационного оборудования с другими организациями в рамках инфраструктуры бизнес-центра или использование беспроводной сети.
Итак, как контролировать доступ c устройств техническими мерами:
Читайте также: