Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
Семя – орган полового размножения и расселения растений: наружи у семян имеется плотный покров – кожура...
Топ:
Комплексной системы оценки состояния охраны труда на производственном объекте (КСОТ-П): Цели и задачи Комплексной системы оценки состояния охраны труда и определению факторов рисков по охране труда...
Характеристика АТП и сварочно-жестяницкого участка: Транспорт в настоящее время является одной из важнейших отраслей народного...
Теоретическая значимость работы: Описание теоретической значимости (ценности) результатов исследования должно присутствовать во введении...
Интересное:
Подходы к решению темы фильма: Существует три основных типа исторического фильма, имеющих между собой много общего...
Принципы управления денежными потоками: одним из методов контроля за состоянием денежной наличности является...
Аура как энергетическое поле: многослойную ауру человека можно представить себе подобным...
Дисциплины:
2017-09-30 | 219 |
5.00
из
|
Заказать работу |
|
|
Б. Регистрация удаленного доступа к разделенному ресурсу на защищенном компьютере
Рис.54. Анализатор сетевых соединений
Приведенные на рис.54 результаты аудита сетевых соединений иллюстрируют то, что доступ к разделенным в сети объектам (файловым объектам и принтерам) может в полном объеме разграничиваться сетевым экраном, при этом видно, для какого субъекта доступа (пользователя и процесса), сетевых адресов удаленных машин, локальных и удаленных портов разрешать соответствующие правила доступа к соответствующим сетевым объектам. Иные возможности использования порта 445, который использует протокол SMB, следует запретить.
В этом случае в рамках одной сети становится невозможна распространенная атака «человек посередине» (Man-in-the-Middle). Для реализации такой атаки злоумышленнику надо всего лишь поставить себя в цепь между двумя общающимися сторонами, чтобы перехватывать их сообщения друг другу, в том числе, хэши паролей ОС. При этом злоумышленник всегда должен выдавать себя за каждую из противоположных сторон, а наличие атакующего всегда должно оставаться незаметным для обеих сторон. Это возможно осуществить в рамках локальной сети (в которой должен реализовываться протокол SMB) только при идентификации компьютеров по именам, что можно рассматривать в качестве уязвимости протокола SMB.
При реализации же рассмотренного решения, злоумышленник может выдать себя за другую сторону только, присвоив ее IP адрес, а, как известно, существование в локальной сети двух компьютеров с одним сетевым адресом невозможно, будут коллизии, по крайней мере, соответствующей легальной стороне, адрес которой подделывают, сразу об этом станет известно.
|
Защита от угроз атак на обрабатываемые данные под учетной записью администратора
Проведенный анализ способов защиты КСЗИ «Панцирь+» и их применения для защиты обрабатываемых данных.
В рамках парадигмы построения КСЗИ «Панцирь+» как эшелонированной системы защиты, реализация следующего уровня защиты предполагает, что учетная запись администратора скомпрометирована.
Как ранее отмечали, права доступа к объектам могут разграничиваться для любых пользователей, включая администратора и системных пользователей. При этом реализованная в КСЗИ «Панцирь+» самозащита не позволит администратору (если он не администратор безопасности) каким-либо образом воздействовать на компоненты КСЗИ «Панцирь+» и на ее настройку. Основой возможности эффективной самозащиты в отношении системного администратора является то, что компоненты КСЗИ «Панцирь+» (служба и драйверы) имеют системные права, что позволяет, при реализации соответствующей защиты, предотвратить к ним доступ с правами администратора.
Для запрета доступа администратора к обрабатываемым иными пользователями данным опять же целесообразно воспользоваться механизмами контроля доступа к создаваемым файлам и соответственно к буферу обмена. В настройках этих механизмов следует создать правила, реализующие требуемые запреты к обрабатываемым данным для администратора.
Это можно сделать всего одним правилом, что на примере контроля доступа к объектам файловой системы проиллюстрировано на рис.55.
Рис.55. Правило запрета администратору доступа к файлам, создаваемым иными интерактивными пользователями
При этом администратор получит право доступа только к создаваемым им же файлам (это правило задается по умолчанию для одноименных субъектов создателя файла и запрашивающего доступ к этому файлу) и к системным файлам, которые при создании не размечаются (причину этого мы рассмотрели ранее).
|
Но для защиты обрабатываемых данных, применительно к расширенным правам администратора, этого не достаточно. Учетная запись администратора позволяет реализовать предоставляемую ОС возможность прямого доступа к дискам – напрямую к данным, расположенным на диске без соответствующего запроса доступа к файлу, в котором хранятся эти данные, в том числе это можно осуществить и к так называемой остаточной информации, которая присутствует на диске после удаления файла.
В КСЗИ «Панцирь+» контроль использования данной возможности реализуется отдельным механизмом защиты «Управление прямым доступом дискам». При этом разграничивается право прямого доступа как к жесткому диску, так и к внешним накопителям.
Проверка корректности реализации защиты от прямого доступа к дискам.
В рамках проведения соответствующей проверки проведено испытание, для чего была использована известная утилитой WinHex. Был создан субъект доступа «WinHex», см. рис.56.
Рис.56. Субъект доступа «WinHex»
После чего был создан, а затем удален некий файл test.txt, при этом остаточная информация осталась на диске, доступ к которой был получен при помощи утилиты WinHex, см. рис.57.
Замечание. Для общности исследуем корректности реализации контроля доступа к остаточно информации на диске.
Рис.57. Просмотр остаточной информации утилитой WinHex
После этого в интерфейсе механизма защиты «Управление прямым доступом к дискам» одним правилом для субъекта доступа «WinHex» был запрещен прямой доступ ко всем дискам (объект был задан маской «*»), см. рис.58.а. Правила создаются из меню, приведенного на рис.58.б.
|
|
Двойное оплодотворение у цветковых растений: Оплодотворение - это процесс слияния мужской и женской половых клеток с образованием зиготы...
Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим...
Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни...
Эмиссия газов от очистных сооружений канализации: В последние годы внимание мирового сообщества сосредоточено на экологических проблемах...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!