Файл: Основыинформационнойбезопасности.pdf

241 крытом ключе агента восстановления. Теперь либо пользователь, осуществлявший шифрование, либо агент восстановления могут файл расшифровать.
При настройке по умолчанию, роль агента восстановления игра- ет встроенная учетная запись администратора домена.
Задание 2.
Зайдите в систему под встроенной учетной записью админи- стратора и расшифруйте папку.
То, какой пользователь является агентом восстановления, зада- ется с помощью групповых политик. Запустим оснастку Group Policy
Management. В политике домена найдем группу Public Key Policies и там Encrypting File System, где указан сертификат агента восстановле- ния (рис. 5.30). Редактируя политику (пункт Edit в контекстном меню, далее Policies->Windows Settings-> Security Settings -> Public Key Poli- cies -> Encrypting File System), можно отказаться от присутствия аген- тов восстановления в системе или наоборот, указать более одного агента (рис. 5.31).
Рис. 5.30. Агент восстановления

242
Рис. 5.31. Изменение агента восстановления
Задание 3.
1. Отредактируйте политику таким образом, чтобы убрать из си- стемы агента восстановления (удалите в политике сертификат). Вы- полнив команду «gpupdate /force» (меню Start->run-> gpupdate /force) примените политику.
2. Повторив действия из предыдущих заданий, убедитесь, что теперь только тот пользователь, который зашифровал файл, может его расшифровать.
3. Теперь вернем в систему агента восстановления, но будем ис- пользовать новый сертификат. В редакторе политик находим полити- ку Encrypting File System и в контекстном меню выбираем Create Data
Recovery Agent. Это приведет к тому, что пользователь Administrator получит новый сертификат и с этого момента сможет восстанавливать шифруемые файлы.
Теперь рассмотрим, как можно предоставить доступ к зашифро- ванному файлу более чем одному пользователю. Такая настройка возможна, но делается она для каждого файла в отдельности.

243
В свойствах зашифрованного файла откроем окно с дополни- тельными параметрами, аналогичное представленному на рис. 5.28 для папки. Если нажать кнопку Details, будут выведены подробности относительно того, кто может получить доступ к файлу. На рис. 5.32 видно, что в данный момент это пользователь User1 и агент восста- новления Administrator. Нажав кнопку Add можно указать сертифика- ты других пользователей, которым предоставляется доступ к файлу.
Рис. 5.32. Данные о пользователях, которые могут расшифровать файл
Задание 4.
Зашифруйте файл. Предоставьте другому пользователю, не яв- ляющемуся агентом восстановления, возможность расшифровать данный файл. Проверьте работу выполненных настроек.
5.9. ИСПОЛЬЗОВАНИЕ MICROSOFT SECURITY
ASSESSMENT TOOL
Цель работы.
Приобретение практических навыков оценки рисков организа- ции, связанных с информационной безопасностью, с использованием
ПО Microsoft Security Assessment Tool (MSAT).

244
Используемые программные средства.
Компьютер или виртуальная машина с ОС Windows, программа
MSAT, подключение к сети Интернет.
Описание работы.
В ходе данной лабораторной работы мы познакомимся с разра- ботанной Microsoft программой для самостоятельной оценки рисков, связанных с безопасностью — Microsoft Security Assessment Tool
(MSAT). Она доступна на сайте Microsoft по ссылке http://www.microsoft.com/ru-ru/download/details.aspx?id=12273.
Как отмечают разработчики, приложение предназначается для организаций с числом сотрудников менее 1000 человек, чтобы содей- ствовать лучшему пониманию потенциальных проблем в сфере без- опасности. В ходе работы пользователь, выполняющий роль аналити- ка, ответственного за вопросы безопасности, отвечает на две группы вопросов.
Первая из них посвящена бизнес-модели компании, и призвана оценить риск для бизнеса, с которым компания сталкивается в данной отрасли и в условиях выбранной бизнес-модели. Создается так назы- ваемый профиль риска для бизнеса (ПРБ).
Рис. 5.33. Информация о компании

245
Вопросы этого этапа разбиты на 6 групп. Первая касается общих сведений о компании (рис. 5.33): название, число компьютеров, сер- веров и т. д. Вторая группа вопросов озаглавлена «Безопасность ин- фраструктуры». Примеры вопросов: «Использует ли компания под- ключение к Интернет?», «Размещаются ли службы, используемые как внешними, так и внутренними клиентами, в одном и том же сегмен- те?». Остальные группы — «Безопасность приложений», «Безопас- ность операций», «Безопасность персонала», «Среда».
Когда проведен первый этап оценки, полученная информация обрабатывается (для этого требуется подключение к Интернет), после чего начинается второй этап анализа. Для технических специалистов он будет более интересен, так как касается используемых в компании политик, средств и механизмов защиты (рис. 5.34).
Рис. 5.34. Анализ используемых механизмов защиты
Вопросы организованы в соответствии с концепцией много- уровневой защиты. Сначала рассматривается защита инфраструктуры
(защита периметра, аутентификация…), затем вопросы защиты на уровне приложений, далее проводится анализ безопасности операций
(определена ли политика безопасности, политика резервного копиро-

246 вания…), последняя группа вопросов касается работы с персоналом
(обучение, проверка при приеме на работу и т. д.).
Во многом тематика вопросов соответствует разделам стандар- тов ISO 17799 и 27001, рассмотренных в разделе 4.3 данного пособия.
После ответа на все вопросы программа вновь обращается к удаленному серверу и генерирует отчеты. Наибольший интерес для технических специалистов представляет «Полный отчет». В частно- сти, он содержит предлагаемый список приоритетных действий.
Фрагмент списка представлен в табл. 5.3.
Т а б л и ц а 5 . 3
Список предлагаемых в отчете MSAT действий
Список приоритетных действий
Предмет анализа
Рекомендация
Высокий приоритет
Операции > Управление сред- ствами исправления и обновле- ния > Управление средствами ис- правления
Наличие политики исправлений и обновле- ний для операционных систем является по- лезным начальным шагом, однако необходи- мо разработать такую же политику и для приложений.
Разработайте такую политику, пользуясь све- дениями, доступными в разделе, посвящен- ном передовым методикам.
Сначала установите исправления для внеш- них приложений и приложений Интернета, затем для важных внутренних приложений и, наконец, для не особо важных приложений.
Задание.
Подробно опишите реально существующее или вымышленное малое предприятие: сферу деятельности, состав и структуру инфор- мационной системы, особенности организации процесса защиты ин- формации, применяемые методы и средства.
C помощью программы MSAT проведите оценку рисков для предприятия.

247
5.10. ЛАБОРАТОРНЫЙ ПРАКТИКУМ
«KASPERSKY SECURITY CENTER»
Целью представляемого лабораторного практикума является изучение средств управления антивирусной защитой уровня предпри- ятия на примере программного продукта «Лаборатории Касперского»
(далее — ЛК) Kaspersky Security Center. Данный продукт позволяет осуществить централизованное развертывание и управление сред- ствами антивирусной защиты корпоративной сети.
Более подробно о Security Center можно узнать на домашней странице продукта по ссылке http://www.kaspersky.ru/security-center.
Для выполнения лабораторных работ необходимы предвари- тельные знания по администрированию Windows Server 2008 и Win- dows 7, достаточные для организации лабораторного стенда и уста- новки требуемого программного обеспечения.
Также желательно знакомство с антивирусными продуктами ЛК, так как в ходе лабораторного практикума основное внимание будет уделено вопросам их централизованного администрирования.
Используемые программные средства.
Security Center может быть установлен на компьютер под управ- лением 32 или 64-разрядной ОС семейства Windows. Это может быть как клиентская ОС, так и серверная. Минимальные требования к обо- рудованию — процессор с частотой 1 ГГц, 512 Мб оперативной памя- ти, 1 Гб свободного пространства на жестком диске.
В описаниях лабораторных будут задействоваться четыре вир- туальные машины, характеристики которых представлены в табл. 5.4.
Аналогичные работы можно провести и с использованием физиче- ских компьютеров. Кроме того, объединив некоторые роли (напри- мер, контроллер домена и сервер антивирусной защиты), можно вы- полнить работы на меньше числе виртуальных или физических ма- шин.
При планировании выполнения лабораторных работ на вирту- альных машинах лучше конфигурировать виртуальные машины на

248 использование 1024 Мб ОЗУ, иначе в процессе удаленной установки
ПО Kaspersky Endpoint Security могут возникнуть ошибки из-за недо- статка памяти.
Дистрибутив Security Center можно загрузить по ссылке http://www.kaspersky.ru/downloads-security-center. По этой же ссылке доступна и документация по продукту.
Т а б л и ц а 5 . 4
Описание используемых виртуальных машин
Имя виртуальной машины
Описание
Serv.labs.local
Операционная система Windows Server
2008 R2. Сервер, выполняющий роли кон- троллера домена «labs.local», dns-сервера, а также dhcp-сервера во внутренней вирту- альной сети (раздает ip-адреса из диапазо- на 192.168.15.10/24
—
192.168.15.254/254).
Один сетевой интерфейс.
Статический IP-адрес 192.168.15.1/24.
AVServ.labs.local
Операционная система Windows Server
2008 R2.
Сервер — член домена labs.local — будет конфигурироваться как сервер управления антивирусной защитой.
Два сетевых интерфейса.
Внутренний: статический IP-адрес
192.168.15.2/24.
Через «внешний» интерфейс сервер под- ключен к Интернет (требуется для получе- ния обновлений).
Station1.labs.local
Операционная система Windows 7 Profes- sional.
Компьютер — член домена labs.local.
Один сетевой интерфейс, настройки полу- чаются динамически.

249
Окончание табл. 5.4
Имя виртуальной машины
Описание
NB1.labs.local
Операционная система Windows 7 Profes- sional.
Компьютер — член домена labs.local; счи- таем, что это ноутбук, используемый как внутри корпоративной сети, так и за ее пределами, что потребует особой настрой- ки политик антивирусной защиты.
Один сетевой интерфейс, настройки полу- чаются динамически. Должна быть преду- смотрена возможность конфигурирования интерфейса или на подключение к «внут- ренней» сети (компьютер в корпоративной сети), или на подключение к Интернет
(компьютер вне корпоративной сети).
Для организации полнофункциональной антивирусной защиты понадобятся лицензионные ключи для антивирусов или можно вос- пользоваться пробными версиями продуктов.
Кроме того, для иллюстрации порядка удаленной установки продуктов ЛК при наличии на компьютере несовместимых приложе- ний предлагается на виртуальную машину NB1.labs.local установить антивирусный продукт другого производителя. Например, это может быть продукт Microsoft Security Essentials.
В ходе лабораторных работ также понадобится программа- архиватор, например, свободно распространяемый 7zip (http://www.7- zip.org/). А для тестирования работоспособности антивирусной защи- ты будет использоваться тестовый файл eicar.com, доступный на сай- те http://www.eicar.org в разделе «Download Anti-Malware Testfile».
Этот исполняемый файл DOS не является вирусом (все, что он делает
— выводит строчку "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"),

250 но для целей тестирования его сигнатура внесена в базы антивирус- ных программ.