Адміністрування системи захисту інформації від НСД
Лабораторна робота № 2
1. Мета роботи
Набуття навичок адміністрування комплексу засобів захисту (КЗЗ) інформації, опрацьовуваної на ПЕОМ, від несанкціонованого доступу (НСД). Вивчення функціонування КЗЗ, зреалізованого в стандартній операційній системі (ОС) MS WINDOWS 95/98. Знайомство з функціями адміністратора безпеки й організацією захисту інформації на спеціалізованому робочому місці з обмеженим колом користувачів, котрим надано різні повноваження з доступу до ресурсів.
2. Ключові положення
2.1 Початкові дані про систему.
КЗЗ інформації від НСД інстальовано в ОС MS WINDOWS 95/98. В процесі інсталяції було зроблено реєстрування Головного адміністратора, через дисковод А: на чисту дискету було записано його ідентифікатор та пароль для входження адміністратора в систему. Нагадаємо, що мінімальна довжина пароля - 6 символів. Припускається використання латинських літер, цифр і спеціальних символів. Будь-які три символи пароля, що слідують один за одним, не повинні повторюватися та/або відрізнятися на одиницю.
За замовчуванням ім’я головного адміністратора "admin" (без лапок на нижньому регістрі). Після реєстрування Головного адміністратора було прийнято значення налаштовувань КЗЗ, пропоновані за замовчуванням.
У вільний слот материнської плати комп’ютера встановлено плату з мікросхемою ПЗП, що входить до комплекту постачання.
Робота КЗЗ без ПЗП припускається лише на етапі налаштовування або при відновлюванні після аварії (наприклад за виходу ПЗП з ладу) і розглядається як позаштатна ситуація. Оскільки за відсутності ПЗП існує ймовірність завантаження ОС без засобів захисту, то опрацювання критичної інформації за відсутності ПЗП є неприпустимим.
2.2 Порядок завантаження системи
У процесі завантаження системи адміністратор має переконатись, що в цей час не виникає жодних конфліктів, і що програми ПЗП включені до роботи.
У відповідь на запити КЗЗ слід увести свої ім’я й пароль. Під час введення імені й пароля неодмінним є дотримування регістру при введенні всіх символів. У разі помилки використовуються клавіші <Esc> або <Backspace>, що призведе до повторного видання запиту. Введення імені й пароля завершується натисканням клавіші <Enter>. Наприклад:
Username > admin
Password > ******
Після повідомлення
Insert ID device and press <Enter> when ready
вставити в дисковод А: дискету з ідентифікатором і натиснути клавішу <Enter>.
Аби переконатися, що програми ПЗП включені до роботи, слід простежити за появою запиту імені й пароля користувача до видання повідомлення “Завантаження Windows” або “Starting Windows”.
2.3 Реєстрування додаткових користувачів
Для реєстрування додаткових користувачів виконуються такі дії:
- завантажується АРМ адміністратора;
- викликається діалог роботи з БД користувачів за допомогою іконки на панелі інструментів або пункт меню “Користувачі/Облікові записи”;
- вводиться ім’я користувача й задаються інші необхідні атрибути;
- зберігається введений запис;
- вставляється новий ідентифікатор у пристрій читання (дискета в дисковод А:), вводиться й підтверджується пароль користувача.
При цьому рекомендовано таке:
- не можна використовувати один і той самий ідентифікатор для різних користувачів;
- для роботи із захищеними каталогами потрібен хоча б один адміністратор, окрім головного, котрий мав би повноваження роботи з БД захищених каталогів і допуск “ТАЄМНО”;
- на етапі налаштовування КЗЗ для користувачів рекомендується встановлювати “м’який режим” реагування на НСД, що згодом при переході до штатної роботи слід заборонити;
- не слід встановлювати надто докладне реєстрування подій, оскільки тоді журнальні файли КЗЗ займатимуть надто багато місця на диску;
- допуск інших користувачів слід задавати відповідно до рівня конфіденційності інформації, до якої вони потенційно можуть мати доступ.
2.4 Створення пробного захищеного каталога
Для створення пробного захищеного каталога слід виконати:
- завантажити АРМ адміністратора з повноваженнями користувача, який має повноваження роботи з БД захищених каталогів;
- викликати діалог роботи з БД захищених каталогів, використовуючи іконку на панелі інструментів або пункт меню “Каталоги”. Обрати в дереві каталогів гілку “ДСП” або “ТАЄМНО” і натиснути кнопку “Створити”;
- обрати ім’я каталога й натиснути кнопку “Зберегти”. Як захищуваний каталог не можна обирати кореневий каталог диска;
- натиснути кнопку “Користувачі” й задати користувачів, котрі мають права доступу до даного каталога, і вид доступу (лише читання або читання/запис).
2.5 Встановлення необхідних налаштовувань КЗЗ
Для встановлення налаштовувань КЗЗ виконуються такі дії:
- завантажується АРМ адміністратора з повноваженнями головного адміністратора;
- викликається діалог “Налаштовування системи” за допомогою пункту меню “Система/Налаштовування”. Обирається закладка “Ресурси”;
- для заблоковування можливості копіювання конфіденційної інформації у відкриті каталоги встановлюється прапорець “Контроль вихідних потоків”;
- для заблоковування можливості несанкціонованого здобуття конфіденційної інформації шляхом “збирання сміття” встановлюється прапорець “Затирати вміст файлів при вилучанні” й “Затирати імена файлів при вилучанні”. Використання даної функції сповільнює процес вилучання файлів у захищених каталогах і унеможливлює їхнє відновлювання за випадкового вилучання.
2.6 Встановлення режиму контролю цілісності ПЗ
Для встановлення режиму контролю цілісності ПЗ виконується таке:
- вилучається з дисків зайве ПЗ;
- завантажується АРМ адміністратора з повноваженнями головного адміністратора;
- викликається діалог роботи з БД захищених каталогів за допомогою іконки на панелі інструментів або пункт меню “Програми” й натискається кнопка “Реєстрація”;
- у діалозі “Майстер реєстрації” у лівому верхньому списку каталогів обирається кореневий каталог диска С. Натискається кнопка [”], розташована праворуч від дерева каталогів. У правому вікні з’явиться список програмних модулів, знайдених на диску. Встановлюється праворуч угорі перелік контрольованих параметрів і натискається кнопка “Зареєструвати!”. Слід враховувати, що дана операція може виконуватись тривалий час (десятки хвилин), особливо якщо задана необхідність контролю цілісності коду програмних модулів;
- операція повторюється для всіх логічних дисків;
- викликається діалог “Налаштовування системи” за допомогою пункту меню “Система/Налаштовування”, обирається закладка “Ресурси” і встановлюється прапорець “Контролювати цілісність ПЗ при запусканні”.
2.7 Моделювання планованої технології роботи
Для моделювання планованої технології роботи контролюють роботу КЗЗ за журналами. Для цього:
- завантажте АРМ адміністратора з повноваженнями головного адміністратора;
- викличте діалог роботи з БД захищених каталогів за допомогою іконки на панелі інструментів або пункт меню “Журнали”;
- оберіть у списку журнал за потрібну дату й натисніть кнопку “Переглядання”;
- перегляньте журнал. Повідомлення про НСД позначаються червоними іконками зі знаком оклику або зірочкою (синіми, якщо встановлено “м’який режим”).
У разі виникнення конфліктів та/або повідомлень про спроби НСД установіть коректні налаштовування КЗЗ, права доступу користувачів, їхні повноваження тощо.
Після того як буде випробувана технологія роботи й визначені необхідні налаштовування КЗЗ і права доступу користувачів, можете розпочинати працювати з реальною інформацією. Не забудьте вимкнути для користувачів “м’який режим” реагування на НСД.
2.8 Лабораторне устаткування
КЗЗ встановлено на IBM-сумісній ПЕОМ у стандартній операційній системі MS WINDOWS 95/98 і складається з апаратної, програмної та ключової систем. До апаратної частини належить ПЗП з мікропрограмами рівня BIOS, встановлене на спеціальній або мережній платі. Програмне забезпечення складається з резидентної й нерезидентної частин. Ключова система являє собою спеціальний пристрій або дискету, на якій записуються ідентифікаційні дані користувача.
3. Ключові питання
1. Структура й функції КЗЗ, зреалізованого в стандартній операційній системі MS WINDOWS 95/98.
2. Правила завантажування системи.
3. Як переконатись у правильності завантаження КЗЗ?
4. Які засоби й методи використовуються в КЗЗ для запобігання несанкціонованому завантаженню?
5. Як проводиться і які існують вимоги щодо реєстрування додаткових користувачів?
6. Процес створення спробного захищеного каталога. Як перевіряти додержання режиму доступу до нього?
7. Права доступу користувача до захищених каталогів.
8. Які існують обмеження при роботі із захищеними каталогами?
9. Як установити необхідні налаштовування КЗЗ?
10. Які налаштовування КЗЗ є необхідні відповідно до політики безпеки?
11. Як запобігти можливості копіювання конфіденційної інформації у відкриті каталоги й можливості несанкціонованого здобуття конфіденційної інформації шляхом “збирання сміття”?
12. Як установити режим контролю цілісності ПЗ?
13. Пояснити принципи контролю цілісності ПЗ КЗЗ.
14. У який спосіб здійснити коректне завершення роботи і перемкнути систему до режиму роботи з реальною інформацією?
15. Чому при роботі з реальною інформацією потрібно вилучати “М’який режим” реагування на НСД?
4. Домашнє завдання
1. Повторити структуру й функції КЗЗ від НСД, зреалізованого в стандартній операційній системі MS WINDOWS 95/98.
2. Визначити й спланувати технологію роботи на спеціалізованому робочому місці з обмеженим колом користувачів, яких наділено різними повноваженнями з доступу до ресурсів.
3. З’ясувати, які засоби й методи використовуються в КЗЗ для запобігання несанкціонованому завантаженню.
5. Лабораторне завдання
1. Завантажити систему, використовуючи ім’я головного адміністратора, пароль і ключову дискету.
2. Зареєструвати додаткових користувачів. З’ясувати вимоги до реєстрування.
3. Створити спробний захищений каталог. Перевірити виконання режиму доступу до нього.
4. Скласти список необхідних налаштовувань КЗЗ. Установити необхідні налаштовування КЗЗ.
5. Визначити, у який спосіб запобігають копіюванню конфіденційної інформації у відкриті каталоги й несанкціоноване здобуття конфіденційної інформації шляхом “збирання сміття”.
6. Установіть режим контролю цілісності ПЗ.
7. Промоделюйте плановану технологію роботи.
6. Зміст протоколу
1. Назва роботи.
2. Мета роботи.
3. Виконане домашнє завдання.
4. Результати виконання лабораторного завдання.
5. Висновки.