Лабораторна робота № 2.9

Настроювання безпеки операційної системи Windows XP

1. Мета заняття

У процесі виконання лабораторної роботи студенти повинні закріпити знання й набути навички по роботі з настроювання безпеки Windows XP.

2. Умови виконання роботи

1. Студент повинен знати принципи забезпечення безпеки в автоматизованих системах; повинен знати теоретичну частину, необхідну для роботи.

2. Студент повинен бути ознайомлений з технікою безпеки при роботі на комп'ютері.

3. Необхідне програмне й матеріально-технічне забезпечення:

• робоче місце із установленою операційною системою Windows XP.

3. Стислі теоретичні відомості

Існують рекомендації із забезпечення інформаційної безпеки при роботі з операційними системами сімейства Windows.

Рекомендації поширюються на автоматизовані системи наступних класів:

• "1" – одномашинний однокористувальний комплекс;

• "2" – багатомашинний багатокористувацький комплекс (наприклад, локальна обчислювальна мережа);

• "3" – розподілений багатомашинний багатокористувацький комплекс із необхідністю передачі інформації через незахищене середовище.

Автоматизовані системи класів 1 і 2 не передбачають доступу комп'ютерів до незахищеного середовища, зокрема, до глобальної мережі Інтернет.

Основний тип загроз – це загрози, які приводять до несанкціонованого ознайомлення з інформацією, тобто порушення конфіденційності. Першочергові вимоги до безпеки автоматизованої системи – забезпечення конфіденційності інформації, яка обробляється й персональній відповідальності користувачів.

Автоматизовані системи, які призначені для автоматизації банківської діяльності (тип 2).

Основні загрози для інформації – це в першу чергу загрози порушення цілісності інформації з використанням підробки, відмови від авторства, відмови від одержання або внаслідок порушення технології роботи, а в других – порушення доступності й конфіденційності.

Автоматизовані системи, які входять до складу довідково-пошукових систем (тип 3).

Основними загрозами для довідково-пошукових систем масового обслуговування являються порушення доступності. У зв'язку із цим, до операційних систем, які входять до складу таких систем, у першу чергу пред'являються вимоги щодо забезпечення доступності.

При визначенні рекомендованих значень параметрів безпеки за основу бралися посібники корпорації Місrоsоft [6-8]. У цих посібниках утримуються рекомендації з настроювання параметрів безпеки операційної системи Wіndоws XP у трьох оточеннях:

1. ПК на підприємстві (Еntеrрrіsе) – робоче середовище на підприємстві складається з домену Місrоsоft Асtіvе Dіrесtоrу на базі операційної системи Wіndоws 2000/ХР або Wіndows Server 2003. Для керування клієнтськими комп'ютерами в такому середовищі використовується групова політика, яка застосовується до контейнерів, вузлів, доменам і організаційним підрозділам. Групова політика служить для централізованого керування безпекою робочого середовища.

2. Середовище з високим рівнем безпеки (Hіgh Sесurіtу) – високий рівень безпеки середовища забезпечується установкою більш жорстких значень параметрів безпеки для клієнтських комп'ютерів. При цьому функціональні можливості користувачів обмежуються виконанням певних завдань. Доступ можливий тільки до санкціонованих застосувань, служб і компонентів інфраструктури.

3. Автономна система (Stand-alone Environment) – автономне середовище зустрічається в організаціях, комп'ютери яких не можуть бути включеними в домен або входять у домен під керуванням операційної системи Wіndоws NT 4.0.

При визначенні параметрів безпеки для класів автоматизованих систем 1, 2 і 3 пропонується взяти за основу оточення "Середовище з високим рівнем безпеки" (Hіgh Sесurіtу), яке найбільше відповідає третьому класу автоматизованих систем. Для автоматизованих систем 1-го й 2-го класів ці параметри були змінені відповідно до вимог, які пред'являються до автоматизованих систем цих класів. При визначенні параметрів безпеки ми будемо застосовувати принцип максимально можливого виключення потенційно небезпечних служб операційної системи і мінімізації привілеїв користувачів. Цей принцип забезпечує мінімізацію реалізації потенційних загроз для інформації автоматизованої системи класів 1 і 2.

Значення параметрів безпеки для автоматизованих систем класів 1, 2 і 3 наведені в [9]. Параметри, для яких у таблицях не указані класи автоматизованих систем, застосовуються для будь-якого класу. Для параметрів, які несуттєві для безпеки автоматизованих систем певного класу, значення не указані.

Для деяких параметрів безпеки для автоматизованих систем класу 1 визначені два варіанти значень, які розділені символом "/". Адміністратор операційної системи може вибирати значення виходячи з наступних припущень:

• загроза несанкціонованого підключення робочої станції до мережі й включенню мережних служб операційної системи є несуттєвою. Можуть бути обрані перші, більш "слабкі" значення параметрів;

• існує значна загроза несанкціонованого підключення робочої станції до мережі й включенню мережних служб операційної системи. Вибираються другі значення параметрів, які "підстраховують" операційну систему при реалізації цієї загрози.