К чему может привести ошибочное определение политики безопасности приведите примеры - Исправление ошибок и поиск оптимальных решений проблем

Определение.
Политика
безопасности это набор норм, правил и
практических приемов, которые регулируют
управление, защиту и распределение
ценной информации .

Полное описание
ПБ достаточно объемно даже в простых
случаях, поэтому далее будем пользоваться
сокращенными описаниями.

Если вспомнить
модель защиты, построенную в параграфе
1.1, то смысл политики безопасности очень
прост — это набор правил управления
доступом. Заметим отличие ПБ от
употребляемого понятия несанкционированный
доступ (НСД). Первое отличие состоит в
том, что политика определяет как
разрешенные, так и неразрешенные доступы.
Второе отличие — ПБ по своему определению
конструктивна, может быть основой
определения некоторого автомата или
аппарата для своей реализации.

Пример
1.
Сформулируем простую политику безопасности
в некотором учреждении. Цель, стоящая
перед защитой, — обеспечение секретности
информации. ПБ состоит в следующем:
каждый пользователь пользуется своими
и только своими данными, не обмениваясь
с другими пользователями. Легко построить
систему, поддерживающую эту политику.
Каждый пользователь имеет свой
персональный компьютер в персональной
охраняемой комнате, куда не допускаются
кроме него посторонние лица. Легко
видеть, что сформулированная выше
политика реализуется в этой системе.
Будем называть эту политику тривиальной
разграничительной (дискреционной)
политикой.

ПБ определяется
неоднозначно и, естественно, всегда
связана с практической реализацией
системы и механизмов защиты. Например,
ПБ в примере 1 может полностью измениться,
если в организации нет достаточного
числа компьютеров и помещений для
поддержки этой политики.

Выбор
ПБ определяется фазовым пространством,
допустимыми природой вычислительных
процессов, траекториями в нем и заданием
неблагоприятного множества N.
Корректность
ПБ в данных конкретных условиях должна
быть, вообще говоря, доказана.

Построение политики
безопасности обычно соответствует
следующим шагам:

1 шаг. В информацию
вносится структура ценностей и проводится
анализ риска.

2 шаг. Определяются
правила для любого процесса пользования
данным видом доступа к элементам
информации, имеющим данную оценку
ценностей.

Однако реализация
этих шагов является сложной задачей.
Результатом ошибочного или бездумного
определения правил политики безопасности,
как правило, является разрушение ценности
информации без нарушения политики.
Таким образом, даже хорошая система
защиты может быть «прозрачной» для
злоумышленника при плохой ПБ.

Рассмотрим следующие
примеры.

Пример
2.
Пусть банковские счета хранятся в
зашифрованном виде в файлах ЭВМ. Для
зашифрования, естественно, используется
блочная система шифра, которая для
надежности реализована вне компьютера
и оперируется с помощью доверенного
лица. Прочитав в книгах о хороших
механизмах защиты, служба безопасности
банка убеждена, что если шифр стойкий,
то указанным способом информация хорошо
защищена. Действительно, прочитать ее
при хорошем шифре невозможно, но служащий
банка, знающий стандарты заполнения
счетов и имеющий доступ к компьютеру,
может заменить часть шифртекста в своем
счете на шифртекст в счете богатого
клиента. Если форматы совпали, то счет
такого служащего с большой вероятностью
возрастет. В этом примере игра идет на
том, что в данной задаче опасность для
целостности информации значительно
выше опасности для нарушения секретности,
а выбранная политика безопасности
хорошо защищает от нарушений секретности,
но не ориентирована на опасность для
целостности.

Пример
3. Как
было описано в примере в конце параграфа
1.4 для государственных структур
традиционно принято определять гриф
результирующего документа как верхнюю
грань грифов и категорий составляющих
этот документ частей. Формальное
перенесение этого правила традиционной
ПБ в ПБ для электронных документов может
привести к возникновению канала утечки
информации. В самом деле, рассмотрим
многоуровневую реляционную базу данных
как в параграфе 1.7 с решеткой ценностей
{несекретно(Н), секретно (C)}.
Пусть R — отношение, А₁,…,
А_m
— атрибуты, причем А₁—
первичный ключ. По запросу строится
«обзор» R’, который состоит из
элементов различной классификации. ПБ
может включать одно из двух правил
формализованного грифа отношения R’:

1. (Привычный для
госструктур) R’ имеет гриф, равный
наибольшему значению из грифов элементов,
которые принимают входящие в него
атрибуты.

2. (Как это было
сделано в параграфе 1.7) R’ имеет гриф,
равный наименьшему значению из грифов
элементов, которые принимают входящие
в него атрибуты.

Покажем, что в
случае 1 возможна утечка информации с
грифом С пользователю, которому разрешен
доступ только к информации с грифом Н.
Для этого достаточно построить пример
базы данных, где такая утечка очевидна.

Пусть реляционная
база данных реализует геоинформационную
систему. Например, она содержит
географическую карту некоторого района
пустыни. Базовое отношение РМ имеет три
атрибута:

А₁
— ключевой атрибут, содержащий координаты
и размеры прямоугольного сектора в
некоторой сетке координат;

А₂
— изображение (карта) местности в секторе
с координатами, задаваемыми атрибутом
А₁;

Аз — координаты
колодцев с водой в рассматриваемом
секторе.

Для
простоты будем считать, что на запрос
в базу данных мы получаем на экране
изображение карты сектора, определяемого
значением атрибута А₁.
Пустьзначения атрибутов А₁
и A₂
имеют гриф Н, а значения атрибута А₃
— С.

Если выбрать
политику безопасности пункта 1, то мы
покажем, как пользователь, не имеющий
доступа к секретной информации, реализует
канал утечки секретных данных о том,
где в пустыне находится колодец с водой
(пусть, для простоты, в рассматриваемой
местности есть только один колодец).
Для получения секретной информации
пользователь делает последовательность
запросов в базу данных, причем каждый
следующий запрос (можно говорить о шагах
алгоритма пользователя) определяется
ответом на предыдущий.

1 шаг. Разбиваем
район (для удобства — квадрат) на полосы
и делаем запрос на эти участки в базу
данных. Ответ возможен в двух формах:

отказ от показа
карты, если она секретная, таккак
пользователю, не имеющему допуска к
секретнойинформации, база данных,
естественно, не должна еепоказывать;
представление
карты на экране, если она имеетгриф Н.

________________________

I I ——-
отказ

________________________

I I ——-
доступ разрешен

________________________

Если есть отказ в
доступе, то в этом случае в прямоугольнике
есть колодец.

2 шаг. Разбиваем
полосу, где есть колодец (т.е. где есть
отказ в доступе) пополам на две полосы
и делаем два запроса в базу данных. Отказ
означает, что в данной полосе есть
колодец.

И так далее.

В результате
вычисляется первая координата колодца
с любой заданной точностью. Затем, в
оставшейся полосе аналогично вычисляем
вторую координату.

Таким образом, ПБ
соблюдена, однако, произошла утечка
секретной информации.

Если
использовать ПБ пункта 2, то любой
пользователь получает карту, но
пользователь с допуском к секретной
информации получает карту с нанесенным
колодцем, а пользователь без такого
доступа — без колодца. В этом случае
канал, построенный выше, не работает и
ПБ надежно защищает информацию.

Соседние файлы в папке ТОКБ2к

Источник

Читайте также:

I. Формирование системы военной психологии в России.
II Системы счисления
III. СТРУКТУРА И СОСТАВ ПАСПОРТА БЕЗОПАСНОСТИ ОПАСНОГО ОБЪЕКТА
IV этап: практическая реализация идеи
IV. Различение системы и мира 65
IV. Различение системы и мира 67
IV. Различение системы и мира 69

Лабораторная работа №2

Цель работы: освоения средств администратора и аудитора защищенных версий операционной системы Windows, предназначенных для

· определения параметров политики безопасности;

· определения параметров политики аудита;

· просмотра и очистки журнала аудита.

Подготовка к выполнению работы: по материалам лекций по дисциплине «Защита информационных процессов в компьютерных системах» и изученным ранее дисциплинам («Введение в специальность», «Теория информационной безопасности и методология защиты информации» и другим) вспомнить и подготовить для включения в отчет о лабораторной работе определения понятий

· аудит;

· событие безопасности;

· журнал (файл) аудита;

· политика аудита;

· интерактивный вход;

· сетевой доступ;

· домен компьютерной сети;

· цифровая подпись.

Подготовить для включения в отчет о лабораторной работе ответы на следующие вопросы:

1) какие события безопасности должны фиксироваться в журнале аудита?

2) какие параметры определяют политику аудита?

3) целесообразно ли с точки зрения безопасности компьютерной системы объединение в одном лице функций администратора и аудитора?

4) целесообразно ли с точки зрения безопасности компьютерной системы разрешать анонимный доступ к ее информационным ресурсам?

5) как должен передаваться по сети (с точки зрения безопасности компьютерной системы) пароль пользователя (или другая аутентифицирующая информация)?

6) нужно ли ограничивать права пользователей по запуску прикладных программ и почему?

Порядок выполнения работы:

1. После собеседования с преподавателем и получения допуска к работе войти в систему под указанным именем (с правами администратора).

2. Освоить средства определения политики безопасности:

· открыть окно определения параметров политики безопасности (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Параметры безопасности);

· установить заголовок «ПРЕДУПРЕЖДЕНИЕ» в качестве значения параметра «Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему»;

· установить текст «На этом компьютере могут работать только зарегистрированные пользователи!» в качестве значения параметра «Интерактивный вход в систему: текст сообщения для пользователей при входе в систему»;

· установить значение «Отключен» для параметра «Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL»;

· установить значение «Включен» для параметра «Интерактивный вход в систему: не отображать последнего имени пользователя»;

· установить значение «7 дней» для параметра «Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее»;

· включить в отчет о лабораторной работе сведения о порядке назначения параметров политики безопасности, относящихся к интерактивному входу, и ответ на вопрос о смысле этих параметров;

· включить в отчет о лабораторной работе копии экранных форм, используемых при определении параметров политики безопасности, относящихся к интерактивному входу;

· с помощью раздела Справки Windows «Параметры безопасности» включить в отчет о лабораторной работе пояснения отдельных параметров локальной политики безопасности компьютерной системы и их возможных значений (в соответствии с номером варианта и приложением 1). Обязательно ответить на вопрос, чем может угрожать неправильное определение данного параметра.

3. Освоить средства определение политики аудита:

· открыть окно определения параметров политики аудита (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Политика аудита);

· с помощью параметров политики аудита установить регистрацию в журнале аудита успешных и неудачных попыток

¨ входа в систему,

¨ изменения политики,

¨ использования привилегий,

¨ событий входа в систему,

¨ управления учетными записями;

· открыть окно определения параметров безопасности (Панель управления | Администрирование | Локальная политика безопасности | Локальные политики | Параметры безопасности) и включить в отчет о лабораторной работе ответ на вопрос, какие еще параметры политики аудита могут быть определены;

· открыть окно просмотра журнала аудита событий безопасности (Панель управления | Просмотр событий | Безопасность), выполнить команду «Свойства» контекстного меню (или команду Действие | Свойства) и включить в отчет о лабораторной работе ответы на вопросы

¨ какие еще параметры политики аудита могут быть изменены,

¨ где расположен журнал аудита событий безопасности;

· включить в отчет о лабораторной работе сведения о порядке назначения параметров политики аудита и ответ на вопрос о смысле этих параметров;

· включить в отчет о лабораторной работе копии экранных форм, используемых при определении параметров политики аудита.

4. Освоить средства просмотра журнала аудита событий безопасности:

· открыть окно просмотра журнала аудита событий безопасности (Панель управления | Просмотр событий | Безопасность);

· включить в отчет о лабораторной работе копии экранных форм с краткой и полной информацией о просматриваемом событии безопасности;

· с помощью буфера обмена Windows и соответствующей кнопки в окне свойств события включить в отчет о лабораторной работе полную информацию о нескольких событиях безопасности.

5. Освоить средства определения политики ограниченного использования программ:

· открыть окно определения уровней безопасности политики ограниченного использования программ (Панель управления | Администрирование | Локальная политика безопасности | Политики ограниченного использования программ | Уровни безопасности);

· включить в отчет о лабораторной работе пояснения к возможным уровням безопасности при запуске программ и копии соответствующих экранных форм;

· открыть окно определения дополнительных правил политики ограниченного использования программ (Панель управления | Администрирование | Локальная политика безопасности | Политики ограниченного использования программ | Дополнительные правила);

· включить в отчет о лабораторной работе ответы на вопросы, какие дополнительные правила для работы с программами могут быть определены (с помощью команд контекстного меню или меню «Действие») и в чем их смысл, а также копии соответствующих экранных форм.

6. Включить в отчет о лабораторной работе ответы на контрольные вопросы:

· в чем уязвимость с точки зрения безопасности информации принимаемая по умолчанию реакция системы на превышение размера журнала аудита?

· какое из дополнительных правил ограниченного использования программ кажется Вам наиболее эффективным и почему?

· из каких этапов состоит построение политики безопасности для компьютерной системы?

· к чему может привести ошибочное определение политики безопасности (приведите примеры)?

· почему, на Ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных в данной лабораторной работе параметров политики безопасности?

7. Подготовить отчет о выполнение лабораторной работы, который должен включать в себя:

· титульный лист с названиями университета (Московский государственный социальный университет), факультета (информатики и информационных технологий), кафедры (информационной безопасности), учебной дисциплины и лабораторной работы, номером варианта, фамилиями и инициалами студента (студентов) и преподавателя, города и года выполнения работы;

· содержание отчета с постраничной разметкой;

· ответы на вопросы, данные в ходе подготовки к выполнению работы;

· сведения о выполнении работы по пунктам с включением содержания задания, копий экранных форм и ответов на вопросы;

· ответы на контрольные вопросы.

Порядок защиты лабораторной работы:

К защите лабораторной работы допускаются студенты, выполнившие ее в компьютерном классе, предъявившие результаты своей работы преподавателю и подготовившие отчет о выполнении лабораторной работы, содержание которого соответствует п. 7 порядка выполнения работы;
На защите студенты предъявляют отчет о выполнении лабораторной работы, дают пояснения по деталям выполнения задания и отвечают на вопросы преподавателя.
По результатам защиты каждому студенту выставляется дифференцированная оценка, учитываемая в при определении его итогового рейтинга за семестр.
В случае неудовлетворительной оценки по результатам защиты лабораторной работы или пропуска соответствующего занятия студент должен защитить работу повторно в другой день.

Приложение 1

Номер варианта	Поясняемые параметры политики безопасности
	Учетные записи: состояние учетной записи «Администратор» Устройства: разрешено форматировать и извлекать съемные носители Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию Клиент сети Microsoft: использовать цифровую подпись (всегда) Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля
	Учетные записи: состояние учетной записи «Гость» Устройства: разрешать отстыковку без входа в систему Контроллер домена: запретить изменение пароля учетных записей компьютера Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы
	Учетные записи: ограничить использование пустых паролей только для консольного входа Устройства: запретить пользователям установку драйверов принтера Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам Сетевая безопасность: уровень проверки подлинности LAN Manager
	Учетные записи: переименование учетной записи администратора Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям Член домена: шифрование данных безопасного канала, когда это возможно Сервер сети Microsoft: длительность простоя перед отключением сеанса Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)
	Учетные записи: переименование учетной записи гостя Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям Член домена: цифровая подпись данных безопасного канала, когда это возможно Сервер сети Microsoft: использовать цифровую подпись (всегда) Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)
	Завершение работы: разрешить завершение работы системы без выполнения входа в систему Устройства: поведение при установке неподписанного драйвера Член домена: максимальный срок действия пароля учетных записей компьютера Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) Доступ к сети: разрешить трансляцию анонимного SID в имя

Номер варианта	Поясняемые параметры политики безопасности
	Завершение работы: очистка страничного файла виртуальной памяти Член домена: требует стойкого ключа сеанса (Windows 2000 или выше) Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей
	Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов Член домена: отключить изменение пароля учетных записей компьютера Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Консоль восстановления: разрешить автоматический вход администратора Сетевой доступ: разрешать анонимный доступ к общим ресурсам
	Системные объекты: учитывать регистр для подсистем, отличных от Windows Сетевой доступ: не разрешать средству сохранения имен пользователей и паролей сохранять пароли или учетные данные для проверки в домене Сетевой доступ: пути в реестре доступны через удаленное подключение Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа
	Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок) Сетевой доступ: разрешить применение разрешений для всех к анонимным пользователям Сетевой доступ: разрешать анонимный доступ к именованным каналам Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки

Дата добавления: 2015-11-30; просмотров: 63 | Нарушение авторских прав

mybiblioteka.su — 2015-2023 год. (0.026 сек.)

Источник

Лабораторная работа № Реализация политики безопасности в ms windows

Освоить средства определения политики ограниченного использования программ

Скачать 17,55 Kb.

страница	3/3
Дата	23.12.2022
Размер	17,55 Kb.
	#197934
Тип	Лабораторная работа

Связанные:
Лабораторная работа № 5
BP otvet test 2020, Молодёжный медиацентр версия Андрея, Опыт, Лабораторная работа № 1, 12524501 1106160LR1PZ1, cat-b

6. Подготовить и оформить письменный отчёт о выполненной работе . 7. Защитить выполненную работу, ответив на контрольные вопросы. Контрольные вопросы

5. Освоить средства определения политики ограниченного использования программ:

· включить в отчет о лабораторной работе пояснения к возможным уровням безопасности при запуске программ и копии соответствующих экранных форм;

· открыть окно определения дополнительных правил политики ограниченного использования программ (Панель управления | Администрирование | Локальная политика безопасности | Политики ограниченного использования программ | Дополнительные правила);

· включить в отчет о лабораторной работе ответы на вопросы, какие дополнительные правила для работы с программами могут быть определены (с помощью команд контекстного меню или меню «Действие») и в чем их смысл, а также копии соответствующих экранных форм.

6. Подготовить и оформить письменный отчёт о выполненной работе.

7. Защитить выполненную работу, ответив на контрольные вопросы.

Контрольные вопросы

1. Какие события безопасности должны фиксироваться в журнале аудита?

2. Какие параметры определяют политику аудита?

3. Целесообразно ли с точки зрения безопасности компьютерной системы объединение в одном лице функций администратора и аудитора?

4. Целесообразно ли с точки зрения безопасности компьютерной системы разрешать анонимный доступ к ее информационным ресурсам?

5. Как должен передаваться по сети (с точки зрения безопасности компьютерной системы) пароль пользователя (или другая аутентифицирующая информация)?

6. Нужно ли ограничивать права пользователей по запуску прикладных программ и почему?

7. Какое из дополнительных правил ограниченного использования программ кажется Вам наиболее эффективным и почему?

8. Из каких этапов состоит построение политики безопасности для компьютерной системы?

9. К чему может привести ошибочное определение политики безопасности (приведите примеры)?

10. Почему, на Ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных в данной лабораторной работе параметров политики безопасности?

Поделитесь с Вашими друзьями:

Источник

Обновлено: 09.02.2023

Группы защитных механизмов и угрозы безопасности.

Безопасность учетных записей и разграничение доступа.

Последняя версия Windows XP располагает следующими защитными механизмами: Авторизация и вход в систему – в этой области Windows XP предлагает свой механизм “Windows Logon”, который обеспечивает идентификацию и аутентификацию пользователей, вся парольная информация в Windows XP шифруется, реализована поддержка смарт-карт и токенов для авторизации. Реализованные механизмы позволяют обеспечить защиту от подбора паролей и, с помощью альтернативных идентификаторов, от несанкционированного получения пароля пользователя. Но в Windows XP не обеспечен должный уровень защиты хранимых паролей, используются слабые алгоритмы шифрования, из-за чего существуют способы относительно быстрого взлома паролей, при наличии доступа к объектам, в которых хранятся зашифрованные пароли.

Windows XP способна обеспечить полноценную защиту от несанкционированного доступа к файловым объектам и реестру. Основным недостатком системы разграничения доступа является установка прав администратора для пользователя по-умолчанию. Это приводит к тому, что большинство пользователей после установки операционной системы продолжают использовать административный аккаунт и разграничение доступа, фактически, не выполняет своих функций. Но при правильной настройки механизмы полностью выполняют возложенные на них функции по защите. Политики безопасности – включают в себя политики пользователей, политики безопасности и политики аудита. Наборы настроек, позволяющих гибко настроить уровень защищенности операционной системы.
Windows XP способна обеспечить полноценную защиту от несанкционированного доступа к файловым объектам и реестру. Основным недостатком системы разграничения доступа является установка прав администратора для пользователя по-умолчанию. Это приводит к тому, что большинство пользователей после установки операционной системы продолжают использовать административный аккаунт и разграничение доступа, фактически, не выполняет своих функций. Но при правильной настройки механизмы полностью выполняют возложенные на них функции по защите. Политики безопасности – включают в себя политики пользователей, политики безопасности и политики аудита. Наборы настроек, позволяющих гибко настроить уровень защищенности операционной системы.
Разграничение доступа – как и в Windows XP, поддерживается для объектов файловой системы и для системного реестра. Благодаря разделению административных и пользовательских учетных записей, работа под аккаунтом администратора практически исключена. При этом доработаны механизмы повышения привилегий по требованию.

Политики безопасности – данные механизмы были расширены, увеличилось число доступных опций и настроек.

Windows 8.1 не только обеспечивает защиту от всех основных угроз, связанных с авторизацией пользователей и несанкционированным доступом, но и позволяет сделать это с высоким комфортом и гибкостью.

Таблица 1. Сравнение безопасности учетных записей и разграничения доступа в Windows XP SP3 и Windows 8.1

Угрозы

Windows XP SP3

Windows 8.1

Подбор и взлом паролей

Windows Logon, слабая защита

Обновленный Windows Logon, сильная защита

Получение пароля пользователя

Смарт-карты и токены

Смарт-карты, токены, вход по пин-коду, авторизация по жестам

Несанкционированный доступ к файловым объектом и реестру Windows

Разграничение доступа, только для NTFS

Разграничение доступаDynamic Access Control

Прямой доступ к файловым объектам

Encrypting File System, только для жестких дисков

Утеря и кража носителей информации

BitLocker To Go

3. Защита от вредоносного программного обеспечения.

Таблица 2. Сравнение защиты от вредоносного программного обеспечения в Windows XP SP3 и Windows 8.1

В рамках Политики информационной безопасности разрабатываются положения и инструкции, в которых более подробно и детально излагаются основные принципы. Целью мой работы является изучение структуры политики безопасности, основные виды угроз. Также я хочу предложить способы защиты от различных видов угроз.

Содержание

1.Определение политики безопасности. 4

2.Структура политики безопасности. 6

3.Оценка рисков. 9

3.1.Идентификация активов. 9

3.2Идентификация угроз. 10

4. Основные виды нарушения режима сетевой безопасности

5.Защита режима сетевой безопасности

Список использованной литературы

Вложенные файлы: 1 файл

Федеральное государственное бюджетное образовательное учреждение.docx

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

“ ХГУ им. Н. Ф. Катанова”

Институт истории и права

Реферат по дисциплине “Информатика”

Выполнил: студент первого курса БЮ-111 Шаройкина Вера

Проверил: старший преподаватель кафедры ТФ и ИТ Остапенко Г. Г.

1.Определение политики безопасности. . . 4

2.Структура политики безопасности. . . 6

3.Оценка рисков. . . . .9

3.1.Идентификация активов. . . . 9

3.2Идентификация угроз. . . . 10

4. Основные виды нарушения режима сетевой безопасности

5.Защита режима сетевой безопасности

Список использованной литературы

Я считаю, что выбраная мною тема актуальна в наше время. Все чаще в литературе говорится о комплексных мерах защиты информации в компаниях. В первую очередь, для обеспечения необходимого уровня защищенности организации должны быть созданы правила безопасности. Документом, закрепляющим такие правила, выступает Политика безопасности. В ней закрепляются основополагающие принципы построения защищенной интрасети, а также правила поведения всех участников информационного обмена. В рамках Политики информационной безопасности разрабатываются положения и инструкции, в которых более подробно и детально излагаются основные принципы. Целью мой работы является изучение структуры политики безопасности, основные виды угроз. Также я хочу предложить способы защиты от различных видов угроз.

Чтобы было понятно, о чем пойдет речь, думаю, что стоит начать с того, что же такое политика безопасности и от чего она зависит.

Политика безопасности организации — это совокупность руководящих принципов , правил , процедур и практических приёмов в области безопасности , которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

от конкретной технологии обработки информации;
от используемых технических и программных средств;
от расположения организации.

В основе защиты доступа к коду (CAS) лежит идея, что сборкам можно лежит идея, что сборкам можно присваивать те или иные уровни доверия и ограничивать работу кода внутри этих сборок лишь некоторым набором операций. Безопасность доступа к коду еще называется безопасностью на основе подтверждения. Название подтверждение связано со следующим фактом: для принятия решений, что же можно делать коду, общеязыковая среда выполнения CLR использует некоторую информацию (подтверждение). Частью подтверждения может быть место, откуда код загружается, или цифровая подпись кода (кто именно его подписал). Политика безопасности — это конфигурируемый набор правил, используемый общеязыковой средой выполнения CLR для принятия таких решений. Эта политика устанавливается администраторами. Она может устанавливаться на уровне предприятия, машины, пользователя или прикладной области.

Политика безопасности определяется с помощью разрешений. Разрешения — это объекты, используемые для описания прав и полномочий сборок на доступ к другим объектам или на выполнение некоторых действий. Сборки могут запрашивать определенные разрешения. Именно политикой безопасности определяется, какие именно разрешения будут предоставлены сборке.
Вот, например, некоторые из тех классов, которые предоставляют разрешения:

SecurityPermission управляет доступом к системе безопасности. В понятие управления доступом входит право вызывать неуправляемый код, управлять потоками, принципалами, прикладными областями, подтверждениями и т п.,
FilelOPermission управляет доступом к файловой системе;
ReflectionPermission управляет доступом к метаданным, не являющимся общедоступными, а также к динамической генерации модулей, типов и членов.

Содержание политики безопасности

Политика безопасности — это документ «верхнего» уровня, в котором должно быть указано:

ответственные лица за безопасность функционирования фирмы;
полномочия и ответственность отделов и служб в отношении безопасности;
организация допуска новых сотрудников и их увольнения;
правила разграничения доступа сотрудников к информационным ресурсам;
организация пропускного режима, регистрации сотрудников и посетителей;
использование программно-технических средств защиты;
другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности.

Например, в политике может быть указано, что все прибывающие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконтролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных телефонов сотрудникам фирмы, при условии достаточного количества стационарных телефонов.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников. Эти обязанности должны разрабатывать-ся на основе политики, но не внутри нее.

Как описано в «NIST Computer Security Handbook», обычно политика должна включать в себя следующие части:.

Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики — это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.
Событие безопасности — в Windows XP событием называется любое значительное изменение состояния системы или программы, о котором следует уведомить пользователей, а также событием называется запись в журнале. Служба журнала событий записывает события приложений, системные события и события безопасности в окне просмотра событий

Прикрепленные файлы: 1 файл

Практическая №2.docx

Итак, существуют две модели доступа:

Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.
Действие параметра не распространяется на интерактивный вход в сеть, выполняемый в удаленном режиме с использованием таких служб, как Telnet или службы терминалов.
Если компьютер не присоединен к домену, данный параметр также определяет внешний вид вкладок Доступ и Безопасность проводника Windows: они настраиваются в соответствии с выбранной моделью доступа и безопасности.

В случае гостевой модели любой пользователь, имеющий доступ к данному компьютеру через сеть (в том числе анонимный пользователь Интернета), получит доступ и к общим ресурсам этого компьютера. Следует обезопасить компьютер от несанкционированного доступа с помощью брандмауэра Windows или другого подобного устройства. Точно так же в случае классической модели локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь сможет с помощью такой учетной записи получить доступ к общим системным ресурсам.

Данная политика неприменима на компьютерах Windows 2000.

4.Средства определения политики аудита.

Панель управления > Администрирование > Локальная политика безопасности > Локальные политики > Политика аудита.

А.) Установить регистрацию в журнале аудита успешных и неудачных попыток для следующих политик аудита:

2).Изменения политики.

3).Использование привилегий.

4).Событий входа в систему.

5).Управления учетными записями.

Б).Какие ещё параметры политики аудита могут быть определены?

Аудит доступа к объектам
Аудит системных событий
Аудит доступа к службе каталогов
Аудит отслеживания процессов

В).Где расположен журнал аудита событий безопасности?

Панель управления > Администрирование >Просмотр событий > Безопасность.

Г).В чем заключается смысл параметров политики аудита?

5).Просмотр журнала аудита событий безопасности.

Выбираем нужный нам Аудит. Например на 08.12.2011.

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

— — Доступ к объектам

— — Управление учетными записями

— — Доступ к службе каталогов

Код входа: (0x0,0x169E

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

— — Доступ к объектам

— + Управление учетными записями

— + Доступ к службе каталогов

Код входа: (0x0,0x169EC)

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

— — Доступ к объектам

— — Управление учетными записями

— — Доступ к службе каталогов

Код входа: (0x0,0x169EC)

6).Средства определения политики ограничений использования программ.

А).Создание правила для сертификата.

Б).Создание правила для хеша.

В).Создание правила для зоны Интернет.

Это правило применяется к программам, установленным с помощью установщика Windows.

Г).Создание правила для пути.

7).Контрольные вопросы.

В чем уязвимость с точки зрения безопасности информации принимаемая по умолчанию реакция системы на превышения размера журнала аудита?

Какое из дополнительных правил ограниченного использования программ кажется Вам наиболее эффективным и почему?

Из каких этапов состоит построение политики безопасности для компьютерной системы?

определение, какие данные и насколько серьезно необходимо защищать,
определение кто и какой ущерб может нанести фирме в информационном аспекте,
вычисление рисков и определение схемы уменьшения их до приемлемой величины.

К чему может привести ошибочное определение политики безопасности (приведите пример)?

К потере или повреждению данных и(или) системы.

Почему, на ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных в данной лабораторной работе параметров политики безопасности?

Из-за недостатка времени и потому, что на большинстве компьютеров они не нужны.

Ответы на вопросы

Какие события безопасности должны фиксироваться в журнале аудита?

В Журнале событий фиксируются следующие виды событий:

Количество событий, которые записываются в журнал, очень велико, поэтому анализ журнала событий может быть довольно трудоемкой задачей. Для этого разработаны специальные утилиты, помогающие выявлять подозрительные события. Кроме того, можно фильтровать журнал по задаваемым критериям.

Использование мониторинговых программ в вычислительной сети. Организационные методы защиты. Разработка антивирусного обеспечения. Функции устройств-кейлоггеров. Обнаружение клавиатурных шпионов. Контроль доступа к персональным компьютерам и серверам.

Рубрика	Программирование, компьютеры и кибернетика
Вид	реферат
Язык	русский
Дата добавления	30.05.2014
Размер файла	36,2 K

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Введение

В настоящее время наиболее широкое распространение получили аппаратные устройства, а также программное обеспечение, скрытно отлеживающее деятельность пользователей персональных компьютеров.

Наиболее опасными являются мониторинговое ПО и аппаратные устройства, скрытно и несанкционированно устанавливаемые без ведома администратора либо пользователя на персональный компьютер. Как правило, ПО либо аппаратные устройства такого типа устанавливаются дистанционно.

Санкционированное программное обеспеченное и аппаратные устройства устанавливаются службой безопасности для обеспечения контроля безопасности сети. Они позволяют отслеживать действия пользователей, а так же идентифицировать процессы. Это позволяет контролировать сотрудников в соблюдении правил безопасности организации либо политики безопасности при работе на компьютерах.

Использование мониторинговых программ дает администратору сети следующие возможности:

— Локализовать случаи попыток несанкционированного доступа к информации, а так же указать время и рабочее место, с которого осуществлялась попытка.

— Отследить несанкционированно установленное программное обеспечение.

— Контролировать использование ПК.

— Отследить случаи использования модемов в локальной сети.

— Отследить случаи набора на клавиатуре слов и словосочетаний, подготовки документов, передача которых третьим лицам может грозить предприятию материальным ущербом.

— Контролировать доступ к персональным компьютерам и серверам.

— Контролировать собственных детей при использовании сети Интернет.

— Исследовать и расследовать компьютерные инциденты.

— Контролировать загрузку рабочих мест предприятия.

— Восстанавливать информацию после сбоя компьютерных систем.

Установка несанкционированных программ дает возможность злоумышленнику:

— Получать доступ к системам криптографии пользователя ПК — к парольным фразам, а так же к закрытым и открытым ключам.

— Получать авторизационные данные кредитных карточек и т.д.

1. Общие сведения

Spyware — программы, записывающие информацию о поведении пользователя в сети Интернет и отправляющие ее своему создателю. Такие приложения обычно попадают на ПК в качестве бесплатного программного обеспечения, представленного различными рекламными баннерами, online-игры, различные download-менеджеры, порно-сайты и т.д. Spyware-программы в основном представляют опасность браузеру Microsoft Internet Explorer, пользователям же современных браузеров опасности не представляют. Современные Spyware-приложения, такие как “Drive-by downloads” попадают на ПК без ведома пользователя, обычно при посещении web-сайтов либо при открытии заархивированных файлов, а так же при нажатии на всплывающие окна, содержащие в себе элемента Java Applet, ActiveX и т.п.

Чаще всего программы шпионы загружаются в компьютер вместе с каким-нибудь полезным программным обеспечением, скачиваемым из Интернета либо устанавливаемым с CD-диска и других носителей. В большинстве случаев программы попадают на ПК легально, так как пользователь, не читая условия лицензионного, дает разрешение на установку продукта.

Adware- рекламное программное обеспечение навязывающее пользователю просмотр рекламы, на протяжении запуска программы. Приложения такого типа загружаются вместе с бесплатным программным обеспечением или при просмотре web-сайтов.

Dialers- программы дозвона, служащие для подключения ПК к какому-либо платному сервису. В результате пользователю приходит счет за пользование сервисом, о котором пользователь не подозревал.

2. Клавиатурные шпионы

В настоящее время существует огромное количество программ- кейлоггеров. Они не представляют опасности для системы, но для пользователя опасны, так как с помощью него можно заполучить конфиденциальную информацию и пароли.

2.1 Использование методики ловушек

2.2 Использование методики опроса клавиатуры

Принцип этой методики заключается в периодическом опросе состояния клавиатуры, использующую специальную функцию GetKeyboardState. Данная функция возвращает массив из 255 байт, где каждый из них содержит информацию об определенной клавише на клавиатуре. Недостатком является необходимость периодического опроса состояний клавиш со скоростью не менее 10-20 раз в секунду.

2.3 Аппаратные устройства

Аппаратные клавиатурные шпионы — это устройства, могут быть прикреплены между клавиатурой и компьютером либо встроен внутрь клавиатуры. Они способны записывать сотни символов вводимых с клавиатуры, в том числе логины и пароли, данные кредитных карт, почтовые реквизиты.

Клавиатурные шпионы не требуют установки каких-либо дополнительных программ. Такие устройства содержат внутри энергонезависимую память и могут сохранять до 10 миллионов нажатий клавиш. Как правило, такие устройства длительное время остаются незамеченными, так как имеют слишком маленькие размеры, но они требуют постоянного физического доступа. В настоящее время наиболее распространены следующие кейлоггеры: KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger. Производящиеся компаниями Alien Concepts, Inc, Amecisco, KeyGhost Ltd, MicroSpy. Аппаратные шпионы делятся на: внутренние и внешние.

Внутренние кейлоггеры- это устройство со встроенным аппаратным модулем перехвата нажатий клавиш в корпус клавиатуры. Представляет собой небольшое устройство, внедряемое в разрыв шнура клавиатуры, встроенное в корпус клавиатуры. Потому они слишком сложно обнаруживаются и обезвреживаются.

Внешние- подключаются между клавиатурой и компьютером, выглядят обычно как оборудование для персонального компьютера. Они не требуют ни батарей, ни программ, и способны работать на любом компьютере.

Рис. 1. Места установки аппаратных кейлоггеров.

— Закладка устройства внутри клавиатуры.

— Бесконтактное считывающее устройство.

— Установка аппаратного кейлоггера в разрыв кабеля клавиатуры.

— Закладка устройства внутри системного блока.

— Съем при помощи акустических и электромагнитных излучений.

2.4 Кейлоггер на базе драйвера

Этот метод является наиболее эффективным описанным выше. Два варианта установки: установка своего драйвера вместо стандартного, и установка драйвера-фильтра. Принцип работы такого шпиона заключается в установке драйвера, который подключается в качестве фильтра к основному драйверу клавиатуры. Драйвер фильтр может быть установлен при помощи приложения, которое либо самоуничтожается, либо принимает, обрабатывает и отправляет данные.

3. Методы борьбы со шпионами

3.1 Методы борьбы со шпионским ПО

Для того чтобы обнаружить и удалить несанкционированное мониторинговое программное обеспечение используются множество программ, использующих сигнатурные базы, но обнаружить и удалить они могут только то шпионское ПО, образец которых храниться в сигнатурной базе. По такому принципу работают все производители антивирусного программного обеспечения.

Но существуют и программы-шпионы другого типа, так называемые неизвестные программы шпионы, представляющие большую опасность для автоматизированных систем. Таких существует пять типов:

— Шпионское программное обеспечение, разрабатываемое под контролем правительственных организаций.

— Шпионы, создаваемые разработчиками различных операционных систем и включаемые в состав ядра операционных систем.

— Шпионы, созданные в ограниченном количестве, для решения конкретной задачи. Как правило — это программы с видоизмененной сигнатурой.

— Коммерческие и корпоративные программные продукты, редко вносящиеся в сигнатурные базы.

— Шпионы, представляющие собой keylogging-модули, которые включаются в состав вирусных программ. До тех пор пока не внесены сигнатурные данные в вирусную базу, модули являются неизвестными.

Шпионские программы первого и третьего типа не могут обнаруживаться программами, использующими сигнатурный анализ, так как информация о них нигде не распространяется и их код не может быть внесен в сигнатурные базы.

Шпионские программы второго типа тоже не могут обнаруживаться так как они работают на уровне ядра ОС и информация о них не распространяется.

Четвертый тип очень редко вносится в сигнатурные базы, потому что это противоречит законодательству многих стран. Но даже когда это происходит, то остановить деятельность, а тем более удалить их практически не возможно без нарушения операционной системы. Поскольку они не имеют своих процессов, то прячутся в системные процессы в виде потоков. Так же они умеют самовосстанавливаться после сбоев, контролировать целостность, способны работать только с памятью не трогая жесткий диск.

Внесение в сигнатурные базы шпионов пятого типа происходит через несколько часов или дней, но за это время информация пользователя ПК уже может быть украдена и отправлена злоумышленнику.

Для защиты персонального компьютера от шпионов, разумно использовать комплексные меры защиты, т.е. несколько программных продуктов:

— Программный продукт с непрерывной защитой, не использующим сигнатурные базы, а использующий эвристические механизмы защиты, которые создаются опытными специалистами в борьбе с программами шпионами.

— Антивирус, постоянно обновляющий сигнатурные базы.

— Firewall, который контролирует выход в интернет, на основании установок пользователя.

Антивирус реагирует на проникновение вируса с keylogging модулем, но после того как информация уже была перехвачена, так как сигнатурные базы не успели пополниться и обновиться на ПК.

Firewall задает слишком много вопросов, на которые можно не правильно ответить, и тем самым ошибочно его сконфигурировать. Более того многое мониторинговое ПО, использует стандартные программы для выхода в Интернет, такие как почтовые клиенты и браузеры. А это значит, что информация, которая была перехвачена при бездействии антивируса, будет отправлена злоумышленнику.

Программный продукт первого типа работает непрерывно, в фоновом режиме, выполняя свою работу не задавая лишних вопросов. Такой продукт является единственным на сегодняшний день, под названием PrivacyKeyboard™.

Антивирусное ПО, постоянно обновляющее свои сигнатурные базы: AVP, AVZ, Dr.Web, Panda Antivirus, Norton Antivirus, и прочие. Межсетевые экраны: Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и другие.

PrivacyKeyboard™ блокирует работу шпионов, благодаря алгоритмам способным отличить работу шпиона от любого другого приложения в системе.

PrivacyKeyboard™ имеет в составе модели, которые обеспечивают защиту от:

— Перехвата нажатий клавиш;

— Перехвата текста окон;

— Снятия изображения рабочего стола и активных окон;

Так же PrivacyKeyboard™ имеет собственную защиту от разрушения шпионами, систему контроля целостности и другие функции защиты.

Методы борьбы с аппаратными клавиатурными шпионами:

— Физический поиск и устранение;

— Использование виртуальных клавиатур при вводе конфиденциальной информации.

3.2 Организационные методы защиты

В настоящее время шпионское программное обеспечение занимает второе место в списке угроз безопасности сети, после троянских программ и сетевых червей.

Не одно антивирусное программное обеспечение не дает абсолютной защиты сети, даже в том случае если сеть является замкнутой. Потому что шпионское программное обеспечение может попасть в сеть с любым другим разрешенным программным обеспечением.

Виды последствий атак шпионского программного обеспечения:

— Задействование вычислительных ресурсов сети;

— Снижение пропускной работы сети;

— Снижение продуктивности работы пользователей;

— Загрузка вредоносного программного обеспечения;

— Вмешательство в частную жизнь;

3.3 Программные средства защиты

Сейчас существует множество программ для обнаружения и удаления шпионского программного обеспечения. Выбор осуществляется масштабом сети предприятия и стоимостью антишпионского программного обеспечения. Для небольших предприятий лучше использовать антишпионское ПО независимых поставщиков, при хороших функциональных возможностях они имеют невысокую стоимость.

Для компаний в которых существует сложная сетевая инфраструктура, нерационально использовать антишпионское ПО независимых поставщиков, так как возникает проблема интеграции продукта с системой управления, а дополнительные консоли снижают время реагирования на инциденты безопасности. Все это повышает стоимость обслуживания сети. Сложная сеть требует антишпионское и антивирусное ПО, интегрируемое в систему безопасности. Для использования единых инструментов управления. Многие крупные разработчики антивирусного ПО предлагают свои продукты антишпионского ПО, встроенные в пакет антивирусного ПО и отдельными программными продуктами.

3.4 Программные продукты для обнаружения и удаления клавиатурных шпионов

Клавиатурные шпионы могут находиться любыми антивирусными программными продуктами, но так как шпионы не являются вирусами, пользы от антивируса мало.

Существуют специальные утилиты для поиска и удаления клавиатурных шпионов. Они являются наиболее эффективными, так как могут находить любые разновидности шпионов. Такие утилиты используют эвристические и сигнатурные механизмы поиска, например, утилита AVZ.

мониторинговый антивирусный персональный компьютер

4. Защита на практике

В данном примере будет показано, как при помощи библиотек DLL прекратить работу простого Кейлоггера на основе функции SetWindowsHookEx.

Для начала запишем код простого Кейлоггера.

Procedure WriteLog(const log: PChar);

buf: array[0..1] of Char;

hFile := CreateFile(PChar(‘kl’), GENERIC_WRITE, 0, nil, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);

If (hFile <> INVALID_HANDLE_VALUE) Then

dwError := SetFilePointer(hFile, 0, nil, FILE_END);

If (dwError <> $FFFFFFFF) Then

WriteFile(hFile, log^, length(log), dwWritten, nil);

WriteFile(hFile, buf, 2, dwWritten, nil);

Function HookProc(nCode: LongInt; wParam, lParam: LongInt): LongInt stdcall;

lpszName: Array[0..255] Of Char;

If (nCode = HC_ACTION) And ((lParam shr 31) = 1) Then

GetKeyNameText(lParam, @lpszName, $FF);

Result := CallNextHookEx(Hook, nCode, wParam, lParam);

procedure sethook(flag:bool);export; stdcall;

hook := SetWindowsHookEx(WH_KEYBOARD, @HookProc, hInstance, 0)

Данный Кейлоггер считывает нажатие клавиш и записывает в файл.

Антикейлоггер это .exe приложение, которое устанавливает Hook с помощью функции SetWindowsHookEx и использует DLL. В отличие от кейлоггера Hook устанавливается не в WH_KEYBOARD, а на WH_DEBUG. WH_DEBUG это фильтр через который происходят вызовы связанные с другими типами фильтров.

Function DebugProc(nCode: LongInt; wParam, lParam: LongInt): LongInt stdcall;

If (nCode = HC_ACTION) Then

If (wParam = WH_KEYBOARD) Then

Result := CallNextHookEx(Hook, nCode, wParam, lParam);

procedure sethook(flag:bool);export; stdcall;

hook := SetWindowsHookEx(WH_DEBUG, @DebugProc, hInstance, 0)

В настоящее время количество spyware-приложений становиться все больше, в связи с этим наблюдается все больше WEB-сайтов и злоумышленников, которые извлекают выгоду при установке шпионов и краже конфиденциальной информации.

Поэтому нужно хорошо понимать всю серьезность ситуации и уметь защищаться от нежелательного программного обеспечения. Во-первых, следует использовать современные, альтернативные браузеры такие как Google Chrome, Fire Fox, Opera и др. Во-вторых нужно регулярно осуществлять профилактику персонального компьютера при помощи специального антишпионского программного обеспечения и антивирусов поддерживающих обнаружение и удаление программ-шпионов.

Клавиатурный шпион хоть и не представляет опасности для компьютера, но для пользователя слишком опасны. Они позволяют завладеть конфиденциальными данными пользователя, в том числе паролями и данными кредитных карт. При использовании кейлоггера в сочетании с RootKit-технологией, маскирующей присутствие шпиона, он становиться еще опаснее.

Для защиты информации следует следить не только за персональными компьютерами, но и локальной сетью в которой они находятся. В первую очередь этим должны заниматься сотрудники службы безопасности, а так же пользователи, которые должны быть проинструктированы и знать правила политики безопасности.

Подобные документы

Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.

дипломная работа [1,6 M], добавлен 26.05.2014

Использование операционных систем. Контрольно-испытательные методы анализа безопасности программного обеспечения. Логико-аналитические методы контроля безопасности программ и оценка технологической безопасности программ на базе метода Нельсона.

контрольная работа [22,6 K], добавлен 04.06.2012

Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО «Минерал». Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.

дипломная работа [2,3 M], добавлен 19.01.2015

Анализ локальной сети предприятия, оценка возможных угроз. Основные понятия безопасности компьютерных систем. Пути несанкционированного доступа, классификация способов и средств защиты информации. Идетификация и аутификация, управление доступом.

отчет по практике [268,1 K], добавлен 16.01.2013

Общий анализ структуры локальной вычислительной сети военного назначения. Необходимость повышения защиты информации путем использования дополнительных средств защиты. Создание виртуальных защищенных сетей в рамках локальной компьютерной сети объекта.

дипломная работа [1,2 M], добавлен 20.10.2011

Использование и создание компьютерных средств обучения. Содержание и реализация электронной обучающей программы. Методы защиты программ от несанкционированного доступа. Разработка эскизного, технического и рабочего проектов программы, ее интерфейса.

курсовая работа [462,8 K], добавлен 05.04.2014

Знакомство с проблемами обнаружения вредоносного программного обеспечения для мобильных устройств. Анализ функций антивирусного пакета Kaspersky Mobile Security 8.0. Характеристика наиболее распространенных антивирусных программ для мобильных устройств.

Читайте также:

Способы очистки узлов и деталей локомотивов реферат

Техника лыжного спорта определение и понятия сведения о развитии техники лыжного спорта реферат

Функции науки в жизни современного общества реферат

Музыка это мир окружающий человека реферат

Рио 20 тақырыбына реферат дайындаңыз біз қалайтын болашақ

Источник

Как подготовиться к работе с групповыми политиками

Каждому, кто использует групповые политики для управления сетями Windows, известно, насколько мощной и гибкой является эта технология. Она охватывает весь спектр задач администрирования, от блокировки компьютеров пользователей и распространения программного обеспечения по рабочим местам до централизованного применения корпоративной политики безопасности. Количество возможных настроек параметров политики измеряется тысячами, поэтому практически всегда можно выбрать нужный вариант конфигурации для управления теми или иными компонентами среды Windows.

Оборотной стороной богатых возможностей данной технологии является сложность распространения групповых политик и управления ими, а в ряде случаев некорректная установка параметров может привести к неожиданным последствиям для пользователей и приложений. Именно последствия подобных непреднамеренных действий мы будем рассматривать в данной статье. Поскольку наиболее сложным этапом при решении такого рода проблем зачастую является идентификация их причин, сначала речь пойдет о том, как грамотно подходить к исследованию причин возникновения наиболее типичных неполадок, связанных с применением групповых политик, после чего я расскажу о нескольких методиках устранения этих проблем.

Наиболее характерные типы проблем

Неполадки, которые возникают в процессе использования групповых политик, могут принимать различные формы. Чаще всего они проявляются в виде нарушений работы приложений на компьютерах пользователей. Либо это могут быть проблемы администрирования, возникающие у специалистов, обслуживающих эти компьютеры. Если говорить более определенно, то в большинстве известных мне случаев подобные проблемы были связаны с двумя основными типами политик, а именно с политиками установки ограничений на компьютеры пользователей (desktop lockdown policies) и с политиками безопасности (security policies).

Политики установки ограничений на компьютеры пользователей

В одной из сетей, сопровождением которых я занимаюсь, использование политики скрытия дисков Administrative Templates Hide Drives (User ConfigurationAdministrative TemplatesWindows ComponentsWindows ExplorerHide these specified drives in My Computer) привело к отказу «старых» приложений. В результате начали появляться сообщения об ошибках, не имеющих никакого отношения к групповым политикам. Поэтому даже в тех случаях, когда настройки групповых политик не затрагивают напрямую те и или иные приложения, вносимые ими ограничения могут привести к ряду ошибок, не имеющих должного описания, что может сбить с толку как пользователя, так и администратора. Например, если для запрета запуска некоторых приложений задействовать политику User ConfigurationAdministrative TemplatesSystemDon?t run specified Windows applications, при попытке запуска соответствующего приложения пользователь получит стандартное сообщение об ошибке, показанное на экране 1.

При использовании административных шаблонов политик (Administrative Templates) в реестре устанавливаются соответствующие параметры, относящиеся к пользователям или компьютерам, значения которых будут затем применяться различными компонентами Windows для внесения ограничений и их использования (к подобным компонентам относятся, например, Windows Explorer, Microsoft Internet Explorer (IE) и Windows Media Player (WMP)). Отмечу, что возможность управления работой этих компонентов Windows через групповые политики была заложена изначально, поскольку в процессе их разработки была предусмотрена возможность работы данных приложений с параметрами реестра, относящимися к групповым политикам. Другими словами, для того чтобы можно было управлять работой приложения через групповые политики, его разработчик должен сознательно заложить в него возможность работы с параметрами реестра, относящимися к групповым политикам. Если для блокировки или скрытия тех или иных компонентов программной среды компьютера применяются административные шаблоны политик, то вносимые ими ограничения могут повлиять на работу пользовательских приложений самым неожиданным образом.

Если пользователь видит сообщение, подобное изображенному на экране 1, то не сразу становится ясно, что его появление связано с групповой политикой, и тем более непонятно, как именно. Особенно сложно бывает понять причины возникшей проблемы в тех случаях, когда вы не являетесь администратором, разработавшим данную политику, и не имеете возможности посмотреть, какие именно объекты групповой политики (GPO) применялись к данному пользователю или компьютеру. Далее будет показано несколько примеров тактики распознавания вероятных причин подобных проблем.

В некоторых случаях может вообще не выводиться никаких сообщений об ошибках, особенно если речь идет о взаимодействии приложений независимых компаний с системой, на которой действуют установки политики по ограничению использования тех или иных компонентов. Подобного рода взаимодействия, как правило, бывают недостаточно полными, поскольку разработчики таких приложений не проверяют их на предмет возможности применения в среде с действующими в ней ограничениями и не используют функции прикладного интерфейса API, позволяющие взаимодействовать с параметрами групповых политик. Таким образом, важно знать, придерживаются ли поставщики программного обеспечения спецификаций для приложений от компании Microsoft, в которых, помимо всего прочего, детально описывается, как следует разрабатывать приложения, чтобы они корректно взаимодействовали с механизмами групповых политик. Спецификацию по разработке приложений для Windows XP (Designed for Windows XP Application Specification) можно загрузить по адресу: http://www.microsoft.com/downloads/
details.aspx?FamilyID=44aa70b3-99d9-4529-9117-82cc0845938b&displaylang=en.

Политики безопасности

Предположим, администратору нужно лишить пользователей, не имеющих административных прав, возможности регистрации на некоторых серверах. В этом случае он должен контролировать состав групп, имеющих право локальной регистрации (Logon locally) на соответствующих серверах. И вот наш администратор, по невнимательности, ссылается на объект GPO, отвечающий за политику домена, без установки фильтров безопасности, предписывающих применять данную политику только к тем серверам, на которые необходимо ограничить доступ. В результате после того, как компьютеры компании обработают доменную политику, ни один из пользователей не сможет локально зарегистрироваться на своем компьютере до тех пор, пока администратор не разберется в том, что произошло, и не устранит проблему.

Это только один из примеров проблем, которые могут возникнуть при настройке политик безопасности. Следует понимать, что многие из рассмотренных выше установок ограничений с помощью административных шаблонов не являются настоящими политиками безопасности. Они просто не дают пользователям возможности нарушать работу систем. Настоящая безопасность — в разделе групповой политики Computer ConfigurationWindows SettingsSecurity Settings, где могут устанавливаться ограничения на права пользователей, определяется политика паролей, разрешения на доступ к файлам, реестру, службам и т. д.

Настройки политики безопасности могут порождать проблемы по разным причинам. Допустим, политика безопасности была случайно настроена таким образом, что это повлекло за собой отказ ряда базовых операций. Например, если на сервере или рабочей станции были изменены настройки уровня аутентификации NTLM (что может быть сделано с помощью установки Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Network Security: LAN Manager authentication-level). В результате будет получено показанное на экране 2 сообщение об ошибке, а также будет запрещен доступ к сетевым ресурсам для клиентов с более ранними версиями операционных систем (к ним относятся системы Windows 9x без установленного на них клиента службы каталогов, а также системы Windows NT 4.0 с установленным пакетом обновления Service Pack 3 или более ранним). Получаемые при этом сообщения об ошибках никак не отражают суть проблемы, но в то же время отличаются от привычных сообщений, указывающих, например, на неверное имя пользователя или пароль. В статье Microsoft «Client, Service, and Program Incompatibilities That May Occur When You Modify Security Settings and User Rights Assignments» (http://support.microsoft.com/default.aspx?scid=kb;en-us;823659) приведен прекрасный обзор настроек параметров политики безопасности, способных привести к проблемам для различных версий Windows, а также даются рекомендации по выполнению корректных настроек.

В ряде случаев выполнение некоторых настроек политики может привести к тому, что будет заблокирован вход в систему для самого администратора. Рассмотрим пример, когда администратор осуществляет управление локальными группами на рабочих станциях и серверах домена с помощью политики безопасности Restricted Groups. Данная политика часто используется для работы со списками локальной группы «Администраторы» на компьютерах с Windows. Применение политики Restricted Groups может осуществляться двумя способами. В первом случае при выборе варианта Members of this group можно обеспечить членство в локальной группе «Администраторы» только для заданных пользователей и групп, при этом каждый раз, когда компьютер обрабатывает установки групповой политики, все остальные учетные записи из этой группы будут автоматически удаляться. Другой вариант является менее жестким: если используется This group is a member of, это позволяет администратору указать для выбранной группы, членом каких других групп она должна являться. Этот вариант может использоваться, например, в том случае, когда в сети нужно включить в локальную группу «Администраторы» каждой рабочей станции с операционной системой Windows глобальную группу Desktop Admins. Одна из типичных проблем возникает в том случае, когда администраторы используют вариант Members of this group для управления локальными группами «Администраторы», забыв при этом включить в данный список учетную запись локального администратора или группу Domain Admins и, соответственно, блокируя доступ к рабочим станциям для самих себя. Поскольку в результате использования данного параметра происходит полная замена списков членов соответствующих групп, а не дополнение их новыми учетными записями, допустить эту ошибку очень легко.

Разумеется, существует много других политик, которые могут привести к нарушениям работы пользователей, но исходя из личного опыта могу сказать, что причины большинства проблем (а особенно неочевидных) связаны с использованием объектов GPO, отвечающих за политики установки ограничений на компьютеры пользователей и за политики безопасности. Поэтому далее мы рассмотрим некоторые инструментальные средства и методики, предназначенные для анализа причин нарушений работы пользователей, связанных с GPO.

Выявление ненадежных политик

Меня часто спрашивают, можно ли «отключить» групповую политику для пользователя или компьютера и вернуть все установки параметров в состояние по умолчанию. Отмечу, что хотя для конкретного пользователя или компьютера можно отключить обработку GPO, используя для этой цели фильтры безопасности, тем не менее, если до настоящего момента к данному пользователю или компьютеру уже была применена политика, это не приведет к сбросу всех настроек в состояние по умолчанию. Простого пути отключения групповых политик не существует, поэтому каждое изменение, вносимое в групповые политики, должно тщательно тестироваться в пользовательской среде, вне зависимости от того, насколько незначительным оно кажется. Основной подход к решению проблем с компьютерами пользователей, связанных с групповыми политиками, состоит в том, чтобы определить, какие настройки были применены, после чего выделять их одну за другой до тех пор, пока проблема не будет устранена. Данный процесс весьма утомителен и требует значительного времени, и тем не менее существуют средства и техники, позволяющие облегчить выполнение такой работы.

Если вы приступаете к анализу проблем, связанных с групповыми политиками, то первое, что надо сделать, — это запустить на проблемном клиенте отчет Resultant Set of Policy (RSoP). Данный отчет содержит информацию о том, какие именно настройки политики были переданы данному клиенту, что позволит сузить круг рассматриваемых причин возникшей проблемы. Набор используемых программных средств определяется версией операционной системы. Если, например, на клиентском компьютере установлена Windows 2000, следует использовать утилиту командной строки gpresult.exe из комплекта Microsoft Windows 2000 Resource Kit. Здесь необходимо отметить, что система Windows 2000 поддерживает ограниченный набор возможностей RSoP, вследствие чего утилита gpresult.exe не сможет выдать полные результаты по таким категориям, как политики безопасности. Если же мы имеем дело с Windows XP, то в этом случае в нашем распоряжении имеются различные программные средства. Первый и самый простой путь — запустить оснастку rsop.msc, которая имеется в каждой системе Windows XP Professional. С помощью данного средства можно быстро получить отчет RSoP по текущему пользователю в формате, сходном с форматом редактора групповых политик (GPE), как показано на экране 3.

Для того чтобы удаленно создать отчет RSoP по клиенту с Windows XP, можно воспользоваться консолью GPMS (Group Policy Management Console). Имеющийся в GPMS мастер Group Policy Results Wizard генерирует отчет в формате HTML, в котором содержится информация по действующим политикам для пользователя и компьютера, а также указаны объекты GPO, инициировавшие распространение данных политик. Кроме того, в состав систем Windows Server 2003 и Windows XP включена более полная версия утилиты gpresult.exe, с помощью которой можно создавать отчет RSoP из командной строки.

После того как по установкам политик был получен отчет RSoP и стало ясно, с какими объектами GPO они связаны, следующий шаг будет заключаться в том, чтобы сузить перечень возможных источников проблем. Но перед этим важно разобраться в механизмах применения политик, особенно тех, которые связаны с использованием административных шаблонов.

Политики, предпочтения и утерянные настройки

Как отмечалось выше, компоненты системы Windows считывают установленные административными шаблонами значения параметров реестра, отвечающие за управление функционированием или блокировку компонентов. Все действующие установки политик сохраняются в четырех подразделах реестра, два из которых относятся к компьютеру и два — к пользователю. Параметры политики, применяемые к компьютеру, хранятся в следующих подразделах реестра:

HKEY_LOCAL_MACHINESoftwarePolicies

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionPolicies

Пользовательские параметры политики находятся в подразделах:

HKEY_CURRENT_USERSoftwarePolicies

HKEY_CURRENT_USERSoftwareMicrsoftWindows
CurrentVersionPolicies

Если в любом из этих подразделов реестра имеются данные, касающиеся пользователя или компьютера, тогда к этому пользователю или компьютеру применяется соответствующая политика. За редким исключением все параметры административных шаблонов, поставляемые с современными версиями Windows, имеют возможность работы с политиками и записывают свои данные в один из четырех подразделов реестра.

Microsoft поддерживает возможность создания администратором своих шаблонов (файлов с расширением .adm), что позволяет определять для записи параметров политик подразделы реестра, отличные от перечисленных выше. Шаблоны, разработанные дополнительно, называются предпочтениями (preferences), и с их помощью можно записывать данные в любые разделы реестра. Шаблоны предпочтений могут пригодиться в тех случаях, когда нужно записать в реестр какой-либо параметр, а в стандартной поставке от Microsoft нет необходимого файла .adm (например, в тех случаях, когда необходимо записать данные, не связанные с политиками, или задать настройки Windows, которые нужно разместить в других разделах реестра). В частности, можно создать файл .adm, который активизирует ведение журнала событий по групповой политике на компьютерах с Windows, при этом все параметры реестра, запускающие данный процесс, будут являться предпочтениями. Оборотная сторона использования предпочтений заключается в том, что эти настройки не будут удалены автоматически при отключении применения GPO для данного пользователя или компьютера. Если это происходит, то возникает ситуация, при которой сохраняются старые настройки, что было одной из типичных проблем при работе с системными политиками на Windows NT 4.0 и Win9x.

Необходимо иметь представление о том, как работать с предпочтениями, поскольку именно они вызывают множество трудностей при устранении проблем, связанных с GPO. Поскольку предпочтения нельзя удалить вместе с GPO, нужно быть абсолютно уверенным в том, что, прежде чем будет отменено применение GPO, все настройки предпочтений будут установлены в состояние Not Configured или отключены. Если отменить GPO без предварительного отключения предпочтений, это приведет к ситуации сохранения старых настроек политики.

Файлы .adm используют объекты GPO из тех политик, которые отображаются в GPE в разделах Administrative Templates. Допустим, вы модифицировали какой-либо стандартный .adm файл от Microsoft, для того чтобы с его помощью добавить в реестр необходимые настройки предпочтений. В следующем выпущенном пакете обновлений для Windows разработчики Microsoft обновили этот .adm файл, таким образом, установка пакета привела к потере всех внесенных изменений. А поскольку к данному моменту политика уже была активирована, все эти настройки были сохранены в GPO. Однако вы больше не сможете увидеть эти настройки предпочтений в GPE, равно как и отменить их. Настройки подобного типа называются утерянными. Для того чтобы восстановить возможность управления этими настройками, требуется повторно внести аналогичные изменения в соответствующий .adm-файл. Более предпочтительным подходом в данной ситуации является создание отдельного .adm-файла, описывающего необходимые настройки политики, а не редактирование стандартного файла от Microsoft.

После того как на проблемном клиенте был запущен отчет RsoP, следует идентифицировать те установки параметров групповых политик, которые могли вызывать проблемы. Безусловно, можно выбрать самый легкий путь и просто удалить все GPO для данного пользователя или компьютера, что, возможно, решит проблему, но подобный подход не поможет выяснить, какая именно настройка групповой политики послужила причиной конфликта. К тому же данная методика работает только для политик на базе административных шаблонов, но не для шаблонов предпочтений (по причинам, описанным выше). Данный подход не сработает и по отношению к политикам безопасности, которые могут не менее эффективно перевести систему в состояние сохранения старых настроек, поскольку эти настройки не отменяются при удалении распространившего их GPO. Таким образом, для того чтобы добраться до источника проблемы, нам потребуются другие методики и программные средства.

Программные средства и методики

Если по данным отчета RSoP невозможно сразу же определить, какая настройка политики послужила причиной возникшей проблемы, следует попытаться сузить круг поиска возможных ее причин. В тех случаях когда непонятно, с какой именно категорией политик (политики на базе административных шаблонов или политики безопасности) связана возникшая проблемная ситуация, можно попробовать несколько вариантов дальнейших действий. Следует иметь в виду, что, поскольку ошибки, связанные с применением политик на базе административных шаблонов, в большей степени сбивают с толку, чем ошибки, связанные с применением политик безопасности, первым указателем на возможную причину проблемы может служить характер сообщения об ошибке. Например, если сообщение содержит текст типа Access Denied или Permission Denied, то это довольно явно указывает на связь проблемы с применением политики безопасности, но не политики установки ограничений на компьютеры пользователей, в то время как сообщения об ошибках, подобные приведенному на экране 1, скорее всего, связаны с применением политик на базе административных шаблонов.

Если характер полученного сообщения недостаточно понятен, существует несколько программных средств, способных помочь установить причину неполадок. При исследовании проблем, предположительно связанных с административными шаблонами, моим любимым средством является свободно распространяемая утилита regmon.exe от Sysinternals (http://www.sysinternals.com). В данной утилите можно устанавливать фильтрацию обращений к реестру по его разделам. Таким образом, если при выполнении действий, приводящих к проблемной ситуации, запустить regmon.exe, то можно отследить все обращения к четырем описанным разделам реестра, отвечающим за политики, в результате чего можно выявить параметр политики, порождающий данную проблему. На экране 4 показано, как утилита regmon.exe помогла мне отследить заданное политикой ограничение, запрещающее запуск программы PowerPoint. Приведенный случай, разумеется, является весьма упрощенным (поскольку данную политику можно было бы увидеть и через отчет RSoP, не прибегая к сортировке с помощью regmon.exe), тем не менее на этом примере можно понять идею использования утилиты regmon.exe для отслеживания проблем, связанных с политиками административных шаблонов, в тех случаях, когда отчет RSoP не содержит достаточно информации для идентификации причин проблемы.

Если есть подозрение, что возникшая проблема связана с политикой безопасности, нужно попытаться идентифицировать и отключить данную политику. Как отмечалось выше, применение политики безопасности особенно часто приводит к переходу системы в состояние сохранения старых настроек в тех случаях, когда не были отменены соответствующие настройки перед отключением действующего GPO. Поэтому для исключения подобного рода проблем следует с особой тщательностью выявлять и отменять все специфические настройки безопасности. Если требования норм безопасности, принятых в вашей организации, запрещают отменять политики безопасности в масштабах всего предприятия, следует выделить для тестирования группу из нескольких рабочих станций и попытаться решить проблему на них. Для того чтобы начать анализ проблемы «с чистого листа» (с точки зрения настройки параметров безопасности), лучше всего задействовать файл шаблона безопасности setup security.inf, что позволит привести настройки системы безопасности Windows в соответствие с параметрами по умолчанию, которые имеет операционная система сразу после завершения установки. Во всех системах Windows файл setup security.inf обычно хранится в каталоге %windir%security emplates. Для того чтобы применить данный шаблон, можно использовать утилиту secedit.exe либо импортировать его в локальный объект GPO на компьютере, для чего следует запустить GPE, щелкнуть правой кнопкой на разделе Computer ConfigurationWindowsSettingsSecurity Settings, после чего выбрать пункт Import Policy.

После того как настройки безопасности будут возвращены в исходное состояние, необходимо проверить, восстановилась ли работоспособность приложения, вызвавшего сбой, а затем последовательно, по одной, привести настройки безопасности к их последнему состоянию, до тех пор пока не будет выявлена та настройка, которая вызвала нарушение работы приложения. Очевидно, что этот процесс занимает очень много времени, поэтому пользоваться подобной методикой следует лишь в тех случаях, когда нет другого способа идентифицировать «проблемную политику». Тем не менее использование данного подхода в качестве крайней меры на одной-двух тестовых машинах может помочь выявить источник неполадок.

При тестировании настройки политик главное правило заключается в том, что за один раз в настройки политики следует вносить не более одного изменения. Данное изменение должно быть тщательно протестировано и лишь после этого можно вносить следующее изменение. Разумеется, при таком подходе развертывание групповых политик будет происходить медленнее, но зато это существенно облегчит выявление возможных проблем в настройке политик, по сравнению с внесением большого количества изменений за один раз.

Проверка, проверка и еще раз проверка

Групповые политики обладают весьма богатыми возможностями. Но если перед применением GPO не будут выполняться тестовые мероприятия, это может привести к ежедневным нарушениям работы.

Следует всегда помнить о том, что перед применением новых настроек групповой политики все внесенные изменения должны быть тщательно протестированы. Если проблемы тем не менее возникли, то такие инструменты, как RSoP от Microsoft и утилита regmon.exe от SysInternals, помогут облегчить процесс устранения неполадок.

Редактор журнала Windows IT Pro (dmarelia@windowsitpro.net)

Источник