Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим...
История развития хранилищ для нефти: Первые склады нефти появились в XVII веке. Они представляли собой землянные ямы-амбара глубиной 4…5 м...
Топ:
Марксистская теория происхождения государства: По мнению Маркса и Энгельса, в основе развития общества, происходящих в нем изменений лежит...
Характеристика АТП и сварочно-жестяницкого участка: Транспорт в настоящее время является одной из важнейших отраслей народного хозяйства...
Генеалогическое древо Султанов Османской империи: Османские правители, вначале, будучи еще бейлербеями Анатолии, женились на дочерях византийских императоров...
Интересное:
Берегоукрепление оползневых склонов: На прибрежных склонах основной причиной развития оползневых процессов является подмыв водами рек естественных склонов...
Принципы управления денежными потоками: одним из методов контроля за состоянием денежной наличности является...
Искусственное повышение поверхности территории: Варианты искусственного повышения поверхности территории необходимо выбирать на основе анализа следующих характеристик защищаемой территории...
Дисциплины:
2017-09-30 | 211 |
5.00
из
|
Заказать работу |
|
|
Проведенный анализ особенностей построения КСЗИ «Панцирь+».
Одна из ключевых задач, решаемых КСЗИ «Панцирь+» - это реализация ролевой модели контроля доступа. В качестве роли при этом выступает сущность «Профиль» для которой назначаются права доступа к объектам. В профиль включаются субъекты доступа (пользователь процесс), имеющие одинаковые права доступа ко всем объектам – л файловым объектам, к объектам реестра ОС, к сетевым объектам, к разделенным ресурсам, к принтерам и т.д.
Реализованная средствами КСЗИ «Панцирь+» возможность разграничивать права доступа к объектам для учетной записи администратора позволяет реализовывать ролевую модель контроля доступа для системных администраторов, т.е. позволяет решить очень важную задачу защиты - реализовать иерархию администраторов, с предоставлением им различных привилегий в системе – администратора безопасности и системного администратора, полномочия (роль) которого будут определяться разграничительной политикой доступа, реализуемой КСЗИ «Панцирь+». Таким образом, задавая соответствующие правила доступа в механизмах защиты КСЗИ «Панцирь+», администратор безопасности может усекать права доступа системного администратора, не контролируемо предоставляемые ему ОС, и контролировать действия системного администратора. Это особенно важно с учетом того, что, как отмечали, именно учетная запись системного администратора несет в себе наибольшую угрозу реализации целевой атаки.
Данная возможность основывается на реализации самозащиты КСЗИ «Панцирь+», состоящей в следующем.
1. Любые действия в отношении системной службы и драйверов КСЗИ «Панцирь+» возможны только из интерфейса КСЗИ «Панцирь+» - соответствующим процессом КСЗИ «Панцирь+», который может быть запущен только под встроенной учетной записью администратора – администратора безопасности. При этом запуск интерфейса (процесса) дополнительно защищен парольной защитой, реализуемой средствами КСЗИ «Панцирь+».
|
2. Драйверы КСЗИ «Панцирь+» реализованы, как не выгружаемые из системы. Они могут обмениваться данными только с защищенной службой КСЗИ «Панцирь+», воздействовать на работу которой системный администратор не сможет.
3. Ко всем исполнимым объектам, настройкам КСЗИ «Панцирь+», к файлам журналов аудита может быть осуществлен доступ только администратором безопасности и только соответствующими исполнимыми объектами КСЗИ «Панцирь+».
Вывод. Реализация самозащиты в обязательном порядке предполагает возможность контроля и разграничения прав доступа для субъекта процесс.
Отметим, что отсутствие возможности ввести штатными средствами ОС иерархию администраторов в системе, при очевидной необходимости контроля действий системного администратора, привело к возникновению и развитию, так называемых, решений по управлению привилегированными пользователями Privileged User Management (PUM), Privileged Identity Management (PIM) и др. Данные решения предполагают реализацию доступа системного администратора к защищаемым компьютерам в сети исключительно через компьютер, на котором устанавливается соответствующая система защиты, реализующая аудит действий, выполняемых привилегированными пользователями - определение времени обращения к конфиденциальным данным, имени пользователя, ведение журнала выполненных действий, их отслеживание в режиме реального времени, в том числе видеофиксация всех подключений и сессий и т.д.
При реализации же иерархии КСЗИ «Панцирь+» администраторов в системе, все действия, совершаемые на защищаемом компьютере можно контролировать, используя соответствующие механизмы защиты, при этом возможность подобных действий можно усекать, в том числе, распределять обязанности по администрированию системы между системным администратором и администратором безопасности, реализуя соответствующую ролевую модель контроля доступа для системных администраторов.
|
Проведенный анализ возможностей реализации иерархии администрирования системы, предоставляемых КСЗИ «Панцирь+».
Для решения этих задач уже требуется использовать механизмы контроля доступа к статичным (системным) объектам из состава КСЗИ «Панцирь+» – к объектам файловой системы и к объектам реестра ОС.
Как ранее отмечали, одной из ключевых задач защиты является защита от внедрения и запуска на защищаемом компьютере вредоносных программ. Нон, если в случае с непривилегированным пользователями и системными процессами никаких противоречий при решении этой задачи не возникает, то, как отмечали, для системного администратора имеем следующее противоречие – установка программ, в первую очередь, приложений – это функциональная обязанность системного администратора. Внедрение же вредоносной программы с правами привилегированного пользователя критично еще и тем, что, как увидим далее, существует достаточно много способов, не контролируемых системой, что может быть отнесено к ее уязвимостям, поднять права до уровня системных.
Проведенный анализ и испытания возможности защиты КСЗИ «Панцирь+» от внедрения на защищаемый компьютер вредоносных программ с привилегированными правами.
Рассмотренное противоречие КСЗИ «Панцирь+» разрешается реализацией следующего подхода к защите, при этом опять же защита реализуется в общем виде – без необходимости какого либо детектирования файлов на предмет наличия в них вредоносного кода.
Администрировать систему, в том числе, устанавливать приложения разрешается только с использованием предоставляемых для этого ОС средств администрирования. С учетом того, что подобные средства располагаются в папке %SystemRoot%\system32, эта задача решается реализацией соответствующей разграничительной политики доступа (используется механизм контроля доступа к статичным объектам), проиллюстрированной на рис.60.
|
|
Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим...
Историки об Елизавете Петровне: Елизавета попала между двумя встречными культурными течениями, воспитывалась среди новых европейских веяний и преданий...
Кормораздатчик мобильный электрифицированный: схема и процесс работы устройства...
Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!