Защита информации на уровне операционных систем


Требования к защите информации


Обеспечение защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) осуществляется системой разграничения доступа субъектов и объектов доступа, а также обеспечивающими средствами для этой системы.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

Способы реализации системы разграничения доступа (СРД) зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний:

распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);

СРД в рамках операционной системы, СУБД или прикладных программ;

СРД в средствах реализации сетевых взаимодействий или на уровне приложений;

использование криптографических преобразований или методов непосредственного контроля доступа;

программная и (или) техническая реализация СРД.

В случае использования средств защиты от НСД в государственных информационных системах (ГИС) они должны быть сертифицированы минимум по 6-ому классу. Средства вычислительной техники при этом должны быть сертифицированы не менее чем по 5-ому классу.

Кроме того, в ГИС первого и второго классов защищенности средства защиты от НСД должны быть сертифицированы не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

В информационных системах персональных данных (ИСПДн):

в ИСПДн 1 уровня защищенности - средства защиты от НСД не ниже 4 класса, а СВТ - не ниже 5 класса;

в ИСПДн 2 уровня защищенности - средства защиты от НСД не ниже 5 класса, а СВТ - не ниже 5 класса;

в ИСПДн 3 уровня защищенности - средства защиты от НСД не ниже 6 класса, а СВТ - не ниже 5 класса;

в ИСПДн 4 уровня защищенности - средства защиты от НСД не ниже 6 класса, а СВТ - не ниже 6 класса.


В ИСПДн первого и второго уровня защищенности должны использоваться средства защиты информации, также сертифицированные не ниже чем по 4 уровню контроля отсутствия недокументированных возможностей (НДВ).

Данные о сертификации средств защиты находится в Государственном реестре сертифицированных средств защиты информации, администрируемом ФСТЭК России. В частности, для продукции компании Microsoft имеем:


№ сертификата

Дата внесения в реестр

Срок действия сертификата

Предназначение средства (область применения), краткая характеристика параметров / (оценка возможности использования в ИСПДн)

2181/1

13.10.2011

13.10.2020

Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter – по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно)

1928/1

14.05.2010

14.05.2019

MS Windows Server 2008 Standard Edition Service Pack 2 - по 5 классу защищенности для СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 3 класса включительно)

2949

06.09.2013

06.09.2019

Microsoft Windows Server Standard 2012 – по 5 классу РД СВТ с ограничениями

2180/1

04.10.2011

04.10.2020

Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» – по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 2 класса включительно)


Классы защищенности СВТ от НСД


ФСТЭК России устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

первая группа содержит только один седьмой класс;

вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

четвертая группа характеризуется верифицированной защитой и содержит только первый класс.


Требования безопасности информации к операционным системам


Требования безопасности информации к операционным системам утверждены приказом ФСТЭК России от 19 августа 2016 г. № 119, вступили в силу с 1 июня 2017 г. Устанавливают 3 типа (А, Б, В) и 6 классов защиты ОС:

Тип А – ОС общего назначения,

Тип Б – встраиваемая ОС,

Тип В – ОС реального времени.

6 класс – самый низкий, 1 класс – самый высокий

Операционные системы 6 класса защиты применяются в ГИС 3 и 4 классов защищенности, в АСУТП 3 класса защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности персональных данных

Операционные системы 1, 2 и 3 класса применяются в информационных системах, обрабатывающих государственную тайну.


Профили защиты операционных систем


Профили защиты операционных систем подробно рассмотрены в следующих методических документах ФСТЭК России:

Методические документы. Профили защиты операционных систем типов "Б" и "В“. Утверждены ФСТЭК России 11 мая 2017 г.

Методические документы. Профили защиты операционных систем типа "А“. Утверждены ФСТЭК России 8 февраля 2017 г.


Встроенные механизмы и средства защиты ОС Windows Server 2012


Операционная система Microsoft Windows Server 2012 имеет развитые встроенные механизмы и средства защиты, а именно:

Разграничение прав и полномочий пользователей с помощью учётных записей и групп;

Разграничение прав (разрешений) на доступ к объектам (на уровне объекта);

Локальная политика безопасности и групповые политики;

Защита реестра и ограничение прав доступа к нему;

Использование шифрующей файловой системы EFS и шифрование диска BitLocker;

Средства обеспечения безопасности сетевых подключений;

Средства аудита.


Разграничение полномочий для групп и учетных записей пользователей


Компьютеры, на которых установлена поддерживаемая версия Windows, могут контролировать использование системных и сетевых ресурсов с помощью взаимосвязанных механизмов аутентификации и авторизации. После аутентификации пользователя операционная система Windows использует встроенные технологии авторизации и контроля доступа для реализации второго этапа защиты ресурсов: определения, имеет ли аутентифицированный пользователь правильные разрешения для доступа к ресурсу.

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, подпапки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его содержимым выражается ссылкой на контейнер как на родителя. Объект в контейнере называется дочерним, а дочерний объект наследует настройки контроля доступа родительского элемента. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных дочерних объектов, чтобы упростить управление доступом.



Разрешения на доступ к ресурсам для групп и учетных записей пользователей


Общие ресурсы доступны пользователям и группам, отличным от владельца ресурса, и их необходимо защищать от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначаются права и разрешения, которые информируют операционную систему о том, что может делать каждый пользователь и группа. Каждый ресурс имеет владельца, который предоставляет разрешения участникам безопасности. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие участники безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.

К общим ресурсам относятся файлы, папки, принтеры, разделы реестра и объекты доменных служб Active Directory (AD DS). Общие ресурсы используют списки контроля доступа (ACL) для назначения разрешений. Это позволяет администраторам ресурсов осуществлять контроль доступа следующими способами:

Запретить доступ неавторизованным пользователям и группам;

Установите четко определенные ограничения на доступ, который предоставляется авторизованным пользователям и группам.



Права доступа определяют тип доступа, который предоставляется пользователю или группе для объекта или свойства объекта. Используя пользовательский интерфейс управления доступом, можно установить разрешения NTFS для таких объектов, как файлы, объекты Active Directory, объекты реестра или системные объекты, такие как процессы. Разрешения могут быть предоставлены любому пользователю, группе или компьютеру. Рекомендуется назначать разрешения группам, поскольку это повышает производительность системы при проверке доступа к объекту.

Для любого объекта вы можете предоставить разрешения:

Группы, пользователи и другие объекты с идентификаторами безопасности в домене;

Группы и пользователи в этом домене и любые доверенные домены;

Локальные группы и пользователи на компьютере, где находится объект.

Права доступа к объекту зависят от типа объекта. Например, разрешения, которые можно прикрепить к файлу, отличаются от разрешений, которые можно прикрепить к разделу реестра. Однако некоторые разрешения являются общими для большинства типов объектов:

Чтение;

Изменение;

Смена владельца;

Удаление

Когда устанавливаются разрешения, указываются уровни доступа для групп и пользователей. Например, можно разрешить одному пользователю читать содержимое файла, разрешить другому пользователю вносить изменения в файл и запретить всем другим пользователям доступ к файлу. Можно установить аналогичные разрешения для принтеров, чтобы определенные пользователи могли настраивать принтер, а другие пользователи могли только печатать.


Локальная групповая политика (gpedit.msc)


Политики параметров безопасности - это правила, которые можно настроить на компьютере или нескольких компьютерах для защиты ресурсов на компьютере или в сети. Расширение «Параметры безопасности» оснастки «Редактор локальной групповой политики» (Gpedit.msc) позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены и организационные единицы, и позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого компьютера, присоединенного к домену.

Настройки безопасности могут контролировать:

Аутентификацию пользователя в сети или на компьютере;

Ресурсы, к которым пользователям разрешен доступ;

Записывать ли действия пользователя или группы в журнал событий;

Членство в группе.



Для управления настройками безопасности для нескольких компьютеров можно использовать один из следующих вариантов:

Отредактировать определенные параметры безопасности в объекте групповой политики.

Использовать оснастку «Шаблоны безопасности», чтобы создать шаблон безопасности, содержащий политики безопасности, которые вы хотите применить, а затем импортировать шаблон безопасности в объект групповой политики. Шаблон безопасности - это файл, представляющий конфигурацию безопасности, который можно импортировать в объект групповой политики, применить к локальному компьютеру или использовать для анализа безопасности.


Локальная политика безопасности


Помимо использования групповых политик безопасности Active Directory следует также использовать локальные политики, так как они затрагивают не только права пользователей, выполняющих вход через доменную учетную запись, но и локальные аккаунты. Для управления локальными политиками нужно использовать соответствующую оснастку «Локальная политика безопасности», вызываемую командой secpol.msc («Выполнить» (WIN+R)).



Например, при помощи локальной политики безопасности можно блокировать RDP-подключения для учетных записей с пустым паролем:

«Computer Configuration» -- «Настройки Windows» -- «Настройки безопасности» -- «Локальные политики безопасности -- «Параметры безопасности» и включите (Enable) параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе.



Защита реестра Windows (regedit)


Реестр, а точнее разделы реестра, также относится к общим ресурсам Windows. Соответственно к ним также могут быть применены ограничения на доступ отдельных пользователей или групп:



Либо можно через редактор локальной групповой политики можно полностью запретить доступ к средствам редактирования реестра:

Нажать комбинацию клавиш Win+R, в окне редактирования следует ввести: gpedit. msc. Откроется редактор локальной групповой политики. В нем в «Конфигурация пользователя» выбрать «Административные шаблоны » далее «Система». Из списка найти пункт «Запретить доступ к средствам редактирования реестра» и кликнуть на нем дважды. Выбрать «Включить» и затем нажать ОК



Шифрующая файловая система EFS


Шифрованная система Encrypting File System (EFS) позволяет быстро зашифровать и поставить пароль на ваши файлы и папки в системе windows, используя собственную учетную запись пользователя. Поскольку файлы или папки были зашифрованы с использованием пароля учетной записи пользователя windows, другие пользователи на вашей системе, включая администратора, не может открыть, изменить или переместить папки, или файлы. Система EFS является полезной, если вы не хотите, чтобы другие пользователи смотрели ваши файлы и папки.

Encrypting File System и BitLocker это разные системы для шифрования. EFS считается менее безопасной, чем BitLocker. Любое лицо, знающее пароль учетной записи, под которой было произведено шифрование, может легко получить доступ к зашифрованной информации. Вы не сможете шифровать целые разделы диска, EFS работает только с файлами и папками, а BitLocker наоборот, только с дисками и съемными носителями.



Средства безопасности сетевых подключений


Операционная система Windows Server 2012 имеет развитые средства безопасности сетевых подключений:

Брандмауэр Windows в режиме повышенной безопасности;

политика сети и удаленного доступа - служба маршрутизации и удалённого доступа;

преобразование сетевых адресов NAT;

криптографическая аутентификация, использование цифровых подписей и сертификатов безопасности;

использование виртуальных частных сетей (VPN);

шифрование передаваемых данных, возможность использования безопасного IP-протокола – Ipsec и протокола TLS.

Брандмауэр Windows позволяет создавать расширенные правила сетевых подключений для достаточно мощной защиты. Возможно создание правила доступа к Интернету для программ, белые списки, ограничивать трафик для определенных портов и IP адресов, не устанавливая сторонних программ-фаерволов для этого.

Подробнее средства безопасности сетевых подключений рассмотрены в материале Техническая защита информации в локальных и глобальных сетях»