Защита информации на уровне операционных систем


Требования к защите информации


Обеспечение защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) осуществляется системой разграничения доступа субъектов и объектов доступа, а также обеспечивающими средствами для этой системы.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

Способы реализации системы разграничения доступа (СРД) зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний:

В случае использования средств защиты от НСД в государственных информационных системах (ГИС) они должны быть сертифицированы минимум по 6-ому классу. Средства вычислительной техники при этом должны быть сертифицированы не менее чем по 5-ому классу.

Кроме того, в ГИС первого и второго классов защищенности средства защиты от НСД должны быть сертифицированы не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

В информационных системах персональных данных (ИСПДн):


В ИСПДн первого и второго уровня защищенности должны использоваться средства защиты информации, также сертифицированные не ниже чем по 4 уровню контроля отсутствия недокументированных возможностей (НДВ).

Данные о сертификации средств защиты находится в Государственном реестре сертифицированных средств защиты информации, администрируемом ФСТЭК России. В частности, для продукции компании Microsoft имеем:


№ сертификата Дата внесения в реестр Срок действия сертификата Предназначение средства (область применения), краткая характеристика параметров / (оценка возможности использования в ИСПДн)
1929/1 14.05.2010 14.05.2019 Microsoft Windows Server 2008 Enterprise Edition (SP2)– по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 3 класса включительно)
4006 29.08.2018 29.08.2023 MS Windows Server 2016 - по 5 классу защищенности для СВТ
4369 10.02.2021 10.02.2026 ОС Microsoft Windows 10 в редакции Корпоративная - требования доверия (6), Требования к ОС, Профиль защиты ОС (А шестого класса защиты. ИТ.ОС.А6.ПЗ)

Классы защищенности СВТ от НСД


ФСТЭК России устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:


Требования безопасности информации к операционным системам


Требования безопасности информации к операционным системам утверждены приказом ФСТЭК России от 19 августа 2016 г. №119, вступили в силу с 1 июня 2017 г. Устанавливают 3 типа (А, Б, В) и 6 классов защиты ОС:

6 класс – самый низкий, 1 класс – самый высокий

Операционные системы 6 класса защиты применяются в ГИС 3 и 4 классов защищенности, в АСУТП 3 класса защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности персональных данных

Операционные системы 1, 2, 3 класса применяются в информационных системах, обрабатывающих государственную тайну.


Профили защиты операционных систем


Профили защиты операционных систем подробно рассмотрены в следующих методических документах ФСТЭК России:


Встроенные механизмы и средства защиты ОС Windows Server 2012


Операционная система Microsoft Windows Server 2012 имеет развитые встроенные механизмы и средства защиты, а именно:


Разграничение полномочий для групп и учетных записей пользователей


Компьютеры, на которых установлена поддерживаемая версия Windows, могут контролировать использование системных и сетевых ресурсов с помощью взаимосвязанных механизмов аутентификации и авторизации. После аутентификации пользователя операционная система Windows использует встроенные технологии авторизации и контроля доступа для реализации второго этапа защиты ресурсов: определения, имеет ли аутентифицированный пользователь правильные разрешения для доступа к ресурсу.

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, подпапки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его содержимым выражается ссылкой на контейнер как на родителя. Объект в контейнере называется дочерним, а дочерний объект наследует настройки контроля доступа родительского элемента. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных дочерних объектов, чтобы упростить управление доступом.



Разрешения на доступ к ресурсам для групп и учетных записей пользователей


Общие ресурсы доступны пользователям и группам, отличным от владельца ресурса, и их необходимо защищать от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначаются права и разрешения, которые информируют операционную систему о том, что может делать каждый пользователь и группа. Каждый ресурс имеет владельца, который предоставляет разрешения участникам безопасности. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие участники безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.

К общим ресурсам относятся файлы, папки, принтеры, разделы реестра и объекты доменных служб Active Directory (AD DS). Общие ресурсы используют списки контроля доступа (ACL) для назначения разрешений. Это позволяет администраторам ресурсов осуществлять контроль доступа следующими способами:



Права доступа определяют тип доступа, который предоставляется пользователю или группе для объекта или свойства объекта. Используя пользовательский интерфейс управления доступом, можно установить разрешения NTFS для таких объектов, как файлы, объекты Active Directory, объекты реестра или системные объекты, такие как процессы. Разрешения могут быть предоставлены любому пользователю, группе или компьютеру. Рекомендуется назначать разрешения группам, поскольку это повышает производительность системы при проверке доступа к объекту.

Для любого объекта вы можете предоставить разрешения:

Права доступа к объекту зависят от типа объекта. Например, разрешения, которые можно прикрепить к файлу, отличаются от разрешений, которые можно прикрепить к разделу реестра. Однако некоторые разрешения являются общими для большинства типов объектов:

Когда устанавливаются разрешения, указываются уровни доступа для групп и пользователей. Например, можно разрешить одному пользователю читать содержимое файла, разрешить другому пользователю вносить изменения в файл и запретить всем другим пользователям доступ к файлу. Можно установить аналогичные разрешения для принтеров, чтобы определенные пользователи могли настраивать принтер, а другие пользователи могли только печатать.


Локальная групповая политика (gpedit.msc)


Политики параметров безопасности - это правила, которые можно настроить на компьютере или нескольких компьютерах для защиты ресурсов на компьютере или в сети. Расширение Параметры безопасности оснастки Редактор локальной групповой политики (Gpedit.msc) позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены и организационные единицы, и позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого компьютера, присоединенного к домену.

Настройки безопасности могут контролировать:



Для управления настройками безопасности для нескольких компьютеров можно использовать один из следующих вариантов:


Локальная политика безопасности


Помимо использования групповых политик безопасности Active Directory следует также использовать локальные политики, так как они затрагивают не только права пользователей, выполняющих вход через доменную учетную запись, но и локальные аккаунты. Для управления локальными политиками нужно использовать соответствующую оснастку Локальная политика безопасности, вызываемую командой secpol.msc (Выполнить (WIN+R)).



Например, при помощи локальной политики безопасности можно блокировать RDP-подключения для учетных записей с пустым паролем:

Computer Configuration - Настройки Windows - Настройки безопасности - Локальные политики безопасности - Параметры безопасности и включите (Enable) параметр Учетные записи: Разрешить использование пустых паролей только при консольном входе:



Защита реестра Windows


Реестр, а точнее разделы реестра, также относится к общим ресурсам Windows. Соответственно к ним также могут быть применены ограничения на доступ отдельных пользователей или групп:



Либо можно через редактор локальной групповой политики полностью запретить доступ к средствам редактирования реестра:

Нажать комбинацию клавиш Win+R, в окне редактирования следует ввести: gpedit.msc Откроется редактор локальной групповой политики. В нем в Конфигурация пользователя выбрать Административные шаблоны далее Система. Из списка найти пункт Запретить доступ к средствам редактирования реестра и кликнуть на нем дважды. Выбрать Включить и затем нажать ОК



Шифрующая файловая система EFS


Шифрованная система Encrypting File System (EFS) позволяет быстро зашифровать и поставить пароль на ваши файлы и папки в системе windows, используя собственную учетную запись пользователя. Поскольку файлы или папки были зашифрованы с использованием пароля учетной записи пользователя windows, другие пользователи на вашей системе, включая администратора, не может открыть, изменить или переместить папки, или файлы. Система EFS является полезной, если вы не хотите, чтобы другие пользователи смотрели ваши файлы и папки.

Encrypting File System и BitLocker это разные системы для шифрования. EFS считается менее безопасной, чем BitLocker. Любое лицо, знающее пароль учетной записи, под которой было произведено шифрование, может легко получить доступ к зашифрованной информации. Вы не сможете шифровать целые разделы диска, EFS работает только с файлами и папками, а BitLocker наоборот, только с дисками и съемными носителями.



Средства безопасности сетевых подключений


Операционная система Windows Server 2012 имеет развитые средства безопасности сетевых подключений:

Брандмауэр Windows позволяет создавать расширенные правила сетевых подключений для достаточно мощной защиты. Возможно создание правила доступа к Интернету для программ, белые списки, ограничивать трафик для определенных портов и IP адресов, не устанавливая сторонних программ-фаерволов для этого.

Подробнее средства безопасности сетевых подключений рассмотрены в материале Техническая защита информации в локальных и глобальных сетях»