Адаптации растений и животных к жизни в горах: Большое значение для жизни организмов в горах имеют степень расчленения, крутизна и экспозиционные различия склонов...
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
Топ:
Когда производится ограждение поезда, остановившегося на перегоне: Во всех случаях немедленно должно быть ограждено место препятствия для движения поездов на смежном пути двухпутного...
Устройство и оснащение процедурного кабинета: Решающая роль в обеспечении правильного лечения пациентов отводится процедурной медсестре...
Интересное:
Что нужно делать при лейкемии: Прежде всего, необходимо выяснить, не страдаете ли вы каким-либо душевным недугом...
Национальное богатство страны и его составляющие: для оценки элементов национального богатства используются...
Как мы говорим и как мы слушаем: общение можно сравнить с огромным зонтиком, под которым скрыто все...
Дисциплины:
2017-09-30 | 208 |
5.00
из
|
Заказать работу |
|
|
Б. Регистрация удаленного доступа к разделенному ресурсу на защищенном компьютере
Рис.54. Анализатор сетевых соединений
Приведенные на рис.54 результаты аудита сетевых соединений иллюстрируют то, что доступ к разделенным в сети объектам (файловым объектам и принтерам) может в полном объеме разграничиваться сетевым экраном, при этом видно, для какого субъекта доступа (пользователя и процесса), сетевых адресов удаленных машин, локальных и удаленных портов разрешать соответствующие правила доступа к соответствующим сетевым объектам. Иные возможности использования порта 445, который использует протокол SMB, следует запретить.
В этом случае в рамках одной сети становится невозможна распространенная атака «человек посередине» (Man-in-the-Middle). Для реализации такой атаки злоумышленнику надо всего лишь поставить себя в цепь между двумя общающимися сторонами, чтобы перехватывать их сообщения друг другу, в том числе, хэши паролей ОС. При этом злоумышленник всегда должен выдавать себя за каждую из противоположных сторон, а наличие атакующего всегда должно оставаться незаметным для обеих сторон. Это возможно осуществить в рамках локальной сети (в которой должен реализовываться протокол SMB) только при идентификации компьютеров по именам, что можно рассматривать в качестве уязвимости протокола SMB.
При реализации же рассмотренного решения, злоумышленник может выдать себя за другую сторону только, присвоив ее IP адрес, а, как известно, существование в локальной сети двух компьютеров с одним сетевым адресом невозможно, будут коллизии, по крайней мере, соответствующей легальной стороне, адрес которой подделывают, сразу об этом станет известно.
|
Защита от угроз атак на обрабатываемые данные под учетной записью администратора
Проведенный анализ способов защиты КСЗИ «Панцирь+» и их применения для защиты обрабатываемых данных.
В рамках парадигмы построения КСЗИ «Панцирь+» как эшелонированной системы защиты, реализация следующего уровня защиты предполагает, что учетная запись администратора скомпрометирована.
Как ранее отмечали, права доступа к объектам могут разграничиваться для любых пользователей, включая администратора и системных пользователей. При этом реализованная в КСЗИ «Панцирь+» самозащита не позволит администратору (если он не администратор безопасности) каким-либо образом воздействовать на компоненты КСЗИ «Панцирь+» и на ее настройку. Основой возможности эффективной самозащиты в отношении системного администратора является то, что компоненты КСЗИ «Панцирь+» (служба и драйверы) имеют системные права, что позволяет, при реализации соответствующей защиты, предотвратить к ним доступ с правами администратора.
Для запрета доступа администратора к обрабатываемым иными пользователями данным опять же целесообразно воспользоваться механизмами контроля доступа к создаваемым файлам и соответственно к буферу обмена. В настройках этих механизмов следует создать правила, реализующие требуемые запреты к обрабатываемым данным для администратора.
Это можно сделать всего одним правилом, что на примере контроля доступа к объектам файловой системы проиллюстрировано на рис.55.
Рис.55. Правило запрета администратору доступа к файлам, создаваемым иными интерактивными пользователями
При этом администратор получит право доступа только к создаваемым им же файлам (это правило задается по умолчанию для одноименных субъектов создателя файла и запрашивающего доступ к этому файлу) и к системным файлам, которые при создании не размечаются (причину этого мы рассмотрели ранее).
|
Но для защиты обрабатываемых данных, применительно к расширенным правам администратора, этого не достаточно. Учетная запись администратора позволяет реализовать предоставляемую ОС возможность прямого доступа к дискам – напрямую к данным, расположенным на диске без соответствующего запроса доступа к файлу, в котором хранятся эти данные, в том числе это можно осуществить и к так называемой остаточной информации, которая присутствует на диске после удаления файла.
В КСЗИ «Панцирь+» контроль использования данной возможности реализуется отдельным механизмом защиты «Управление прямым доступом дискам». При этом разграничивается право прямого доступа как к жесткому диску, так и к внешним накопителям.
Проверка корректности реализации защиты от прямого доступа к дискам.
В рамках проведения соответствующей проверки проведено испытание, для чего была использована известная утилитой WinHex. Был создан субъект доступа «WinHex», см. рис.56.
Рис.56. Субъект доступа «WinHex»
После чего был создан, а затем удален некий файл test.txt, при этом остаточная информация осталась на диске, доступ к которой был получен при помощи утилиты WinHex, см. рис.57.
Замечание. Для общности исследуем корректности реализации контроля доступа к остаточно информации на диске.
Рис.57. Просмотр остаточной информации утилитой WinHex
После этого в интерфейсе механизма защиты «Управление прямым доступом к дискам» одним правилом для субъекта доступа «WinHex» был запрещен прямой доступ ко всем дискам (объект был задан маской «*»), см. рис.58.а. Правила создаются из меню, приведенного на рис.58.б.
|
|
История создания датчика движения: Первый прибор для обнаружения движения был изобретен немецким физиком Генрихом Герцем...
Типы оградительных сооружений в морском порту: По расположению оградительных сооружений в плане различают волноломы, обе оконечности...
Состав сооружений: решетки и песколовки: Решетки – это первое устройство в схеме очистных сооружений. Они представляют...
Индивидуальные и групповые автопоилки: для животных. Схемы и конструкции...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!