Главная Security, Без рубрики, Новое Защита данных на рабочих станциях под управлением операционных систем Microsoft на основе продуктов и решений «Аладдин РД». Часть №1.
  • Защита данных на рабочих станциях под управлением операционных систем Microsoft на основе продуктов и решений «Аладдин РД». Часть №1.

    Tips-to-Protect-Your-Computer-from-HackersОдин из важнейших аспектов информационной безопасности – защита данных пользователей. В этой и последующей статьях будут рассмотрены подходы к построению решений по обеспечению конфиденциальности данных, хранимых на рабочих станциях.Существуют различные методы проектирования систем безопасности. Одним из подходов является использование методики многоуровневой защиты. Почему этот вариант целесообразен?

     

    В качестве примера рассмотрим элементы безопасности при авиаперелете. Пассажир, приезжая в аэропорт, сдает багаж, который проходит проверку. Затем предстоит пройти через рамку металлодетектора, сканер, паспортный контроль. Самолет проверяется с точки зрения технического состояния. Экипаж проходит медицинский контроль и другие тесты. Разумеется, перечислено далеко не все. И, тем не менее, на этом примере нетрудно заметить, что на каждом из этапов проверки могут быть выявлены нарушения, влияющие на безопасность полета. Очевидно, что при таком подходе риск обнаружения злоумышленника увеличивается. Снижаются его шансы на успех.

    Таким образом, многоэтапные проверки, с одной стороны приводят к росту стоимости системы в целом, но с другой стороны существенно повышают ее защищенность. Вычислительные системы здесь отнюдь не исключение.

    Рассмотрим модель многоуровневой защиты, которую предлагает нам Microsoft. См. рис. 1.

     

    Рисунок 1. Политики и процедуры

    Следует отметить, что построение решений по защите информационных систем, впрочем, как и любых других, начинается вовсе не с технических средств. Чрезвычайно важными являются меры организационного характера, определяющие правила работы пользователей, здесь речь идет о необходимости разработать политику безопасности компании, которая состоит из соответствующих регламентов, инструкций и других документов. Конечно, потребуется провести обучение сотрудников. Цель – научить работать правильно, успешно противостоять методам социотехники, которые становятся все более изощренными. Эта работа обычно не вызывает энтузиазма у IT персонала, однако от этого не становится менее значимой. И, разумеется, при этом в первую очередь необходимо заручиться поддержкой руководства компании. Следует помнить, что организационные меры являются одним из самых эффективных средств защиты от внутренних нарушителей ИБ (инсайдеров).

    Физический уровень

    В случае возникновения потенциальной возможности несанкционированного физического доступа к компьютеру, другие меры безопасности бесполезны. Это одна из важнейших заповедей. Необходимо применить комплексный подход по защите от несанкционированного проникновения. Одним из типичных примеров, является размещения серверов компании в специальных помещениях, доступ к которым строго ограничен, однако не надо забывать о ситуациях грубого вторжения в организацию, а также о том, что наиболее уязвимыми с точки зрения физического доступа компьютеры мобильных пользователей.

    Периметр

    Под уровнем периметра понимается взаимодействие между сетью организации и другими сетями, доверие к которым отсутствует. В роли недоверенной сети чаще всего выступает Интернет, однако может потребоваться учитывать и другие варианты, к таковым могут относиться клиенты удаленного доступа, компании партнеры.

    Минимизацию угроз на уровне периметра обеспечивает:

    · применение брандмауэров на границах сети;

    · применение трансляции сетевых адресов (NAT);

    · использование виртуальных частных сетей (VPN) и шифрования;

    · не стоит также забывать о средствах антивирусной защиты, анализа трафика и контентной фильтрации.

    Уровень сети

    Угрозы для внутренней сети следующие:

    · Несанкционированный обмен данными по сети;

    · Появление посторонних узлов в сети. Нередко угрозу безопасности сети могут создавать подключающиеся к ней посторонние компьютеры. Обычный источник таковых — посетители с переносными компьютерами и другими мобильными устройствами;

    · Анализ пакетов, что особенно это актуально для беспроводных сетей.

    Основным принципом снижения возникающих на этом уровне рисков является проверка подлинности взаимодействующих узлов. Реализовано это может быть различными методами, например посредством цифровых сертификатов, обмен которыми происходит при установлении связи. Кроме проверки подлинности, целесообразно использовать шифрование, чтобы обеспечить безопасность данных при их передаче по сети.

    Уровень узла

    В этой части мы говорим о защите операционной системы и ее сервисов, но не касаемся прикладного программного обеспечения. Существуют следующие пробелы в безопасности на уровне узла:

    · Уязвимости операционной системы, зная которые, злоумышленник вполне может нарушить управляемость системы, получить доступ к компьютеру, выполнить иные деструктивные действия.

    Уменьшение рисков может быть достигнуто своевременными и регулярными обновлениями как самой ОС, систем антивирусной защиты. Центр обновления Microsoft и службы WSUS[i] могут помочь решить проблему.

    Приложения

    Уровень приложений — это ПО, выполняющиеся на узлах сети. К ним относятся дополнительные службы, например почтовые и такие приложения для настольных компьютеров, как Microsoft Office. Риски в плане безопасности для приложений сходны с теми, что мы видели для узлов и включают в себя:

    · Незащищенность приложений.

    · Конфигурации приложений по умолчанию (стандартная конфигурация далеко не всегда является безопасной).

    Кроме того, следует использовать защиту от вирусов и вредоносных программ. В операционной системе Windows 7 для защиты от угроз безопасности компьютеров можно использовать диспетчер Microsoft Forefront Protection Manager и Защитник Windows.

    Данные

    Уровень данных — это данные, которые непосредственно хранятся на компьютерах. К нему относятся файлы данных, файлы приложений, базы данных и доменные службы Active Directory® (AD DS), и т. д.

    При взломе уровня данных может произойти:

    · Несанкционированный доступ к файлам данных, может привести к тому, что данные будут прочитаны пользователями, для которых они не предназначались. Это также может привести к изменению и потере данных.

    · Несанкционированный доступ к доменным службам Active Directory может привести к сбросу паролей пользователей и проникновению злоумышленников в систему, кроме этого, к полному краху службы каталога.

    · Изменение файлов приложений. При изменении файлов приложений они могут выполнять нежелательные задачи, например копирование данных в Интернет, где злоумышленник может получить к ним доступ.

    То есть, мы видим, что риски чрезвычайно высоки и обеспечение безопасности на этом уровне весьма актуальная задача. Уменьшение рисков по несанкционированному доступу к данным может выполняться различными способами. Например, можно использовать разрешения файловой системы NTFS и общих папок, чтобы только авторизованные пользователи могли получать строго определенный уровень доступа к файлам. Однако, при наличии физического доступа к компьютеру, такого метода защиты будет очевидно недостаточно.

    Если мы хотим обеспечить не только разделение полномочий, но и конфиденциальность данных, то необходимо позаботиться о шифровании данных. Microsoft предоставляет нам две технологии это EFS[ii] и BitLocker. Кроме того, не стоит также забывать о технологии RMS, которая, несомненно, является одной из важнейших технологий обеспечения безопасности данных, однако в рамках статьи будут рассмотрены именно технологии шифрования носителей информации.

    Требования к системам шифрования носителей информации

    Как правило, службы безопасности предъявляют целый комплекс требований к системам шифрования данных:

    1. Необходимо обеспечить защиту данных, собственно, не только на томах с данными, но также и на системных и на виртуальных дисках.

    2. Помимо шифрования данных крайне желательно обеспечить и их сокрытие. Наличие информации о том, что на носителе имеются зашифрованные данные, уже само по себе создает нежелательный прецедент, например, послужить стимулом к попытке вскрытия средств защиты.

    3. Разумеется, чтобы получить доступ к носителю, пользователь должен пройти процедуру аутентификации. Разумеется, парольная аутентификация не может считаться надежной и, стало быть, необходимо обеспечить аутентификацию двухфакторную, при этом учитывая потребность в защите системного тома, следует обеспечить прохождение аутентификации до загрузки ОС. Наиболее простой в этом случае способ – использование смарт карты или USB – ключа. Конечно, можно вспомнить и про TPM модуль, но, во-первых он далеко не во всех системах присутствует, во-вторых существуют определенные ограничения на импорт подобных систем на территорию Российской Федерации.

    4. В случае если необходимо обеспечить безопасность конфиденциальной информации, персональных данных, то регуляторами запрещается использование несертифицированных средств криптографической защиты информации (СКЗИ). Необходимо применять только сертифицированные СКЗИ, которые реализуют защиту информации с использованием криптографических алгоритмов по стандартам ГОСТ.

    5. Для корпоративного пользователя требуется средство централизованного управления, мониторинга и аудита системы криптографической защиты. При этом необходимо обеспечить работоспособность системы не только при работе в корпоративной сети, но и в ситуации, когда пользователь работает вне офиса.

    6. Нужна гибкая ролевая модель для того, чтобы иметь возможность разделения полномочий.

    7. Далеко не всегда на наших рабочих станциях и серверах стоят самые последние версии ОС. Поэтому надо обеспечить не только защиту клиента Windows 7, для которых все-таки есть встроенные средства (BitLocker, BitLocker To Go), но и клиентов Windows XP и более ранних ОС.

    Нетрудно заметить, что перечень требований весьма внушителен. Существуют ли решения, которые могли бы обеспечить защиту клиентского рабочего места на базе ОС компании Microsoft?

    В сущности, речь пойдет о целой серии продуктов, предназначенных для защиты конфиденциальной информации и персональных данных от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия.

    Обзор семейства продуктов Secret Disk.

    Продукты из состава семейства Secret Disk используют метод «прозрачного» шифрования с помощью стойких криптографических алгоритмов: при чтении данных с диска происходит их расшифрование, при записи на диск — зашифрование. Соответственно записанные на жестком диске данные всегда зашифрованы, что делает доступ к ним невозможным для злоумышленника, даже при краже, изъятии или утере, как отдельного диска, так и всего компьютера.

    Secret Disk обеспечивает защиту информации на логических дисках, отдельных жестких дисках, дисковых массивах, съемных носителях. Для получения доступа к информации, защищенной Secret Disk, необходимо пройти процедуру двухфакторной аутентификации с помощью USB-токенов или смарт-карт, что в свою очередь существенно повышает безопасность аутентификации при доступе к данным. От пользователей, не прошедших данную процедуру, скрывается сам факт наличия на компьютере зашифрованной информации. То есть мы решаем вопрос не только шифрования, но и сокрытия данных (в отличие от шифрующей файловой системы EFS, которая не обеспечивает сокрытия факта наличия зашифрованных данных на диске и даже позволяет прочитать имена всех зашифрованных файлов – согласитесь, что это уже немало для злоумышленника!).

    Кроме того, существуют сертифицированные версии продуктов, предназначенные для защиты баз данных, конфиденциальной информации и персональных данных граждан в информационных системах органов государственной власти, государственных организаций и предприятий. Эти системы могут быть использованы при создании и применении автоматизированных систем до класса защищенности 1Г.

    Семейство Secret Disk состоит из целого ряда продуктов:

    1. Secret Disk 4 – система защиты конфиденциальной информации и персональных данных, хранящихся и обрабатываемых на персональном компьютере под управлением операционной системы Microsoft Windows 2000/XP/Vista/7, с возможностью защиты системного раздела и двухфакторной аутентификацией пользователя до загрузки ОС.

    2. Secret Disk 4 для рабочих групп – Secret Disk 4 с возможностью до 10 сетевых подключений.

    3. Secret Disk Server NG – система защиты корпоративной конфиденциальной информации (баз данных, серверов корпоративной почты, файловых архивов, бизнес-приложений и их данных), хранящейся и обрабатывающейся на серверах под управлением OС Microsoft Windows Server 2000 / 2003 / 2008.

    4. Secret Disk Enterprise – обеспечивает не только защиту от несанкционированного доступа к информации на рабочих станциях в локальной сети, но и решает вопросы централизованного управления, аудита и мониторинга событий информационной безопасности. Цель использования Secret Disk Enterprise – обеспечения конфиденциальности хранимых на персональных компьютерах данных. При этом, дополнительно, обеспечивается сокрытие информации, как мы видели выше одно из важнейших требований служб безопасности предприятия.

    Следует отметить, что эффективное решение по защите хранимых данных на рабочих станциях корпоративных пользователей – это именно Secret Disk Enterprise. Secret Disk 4 ориентирован на персональное использование.

    Secret Disk 4 для рабочих групп не обладает возможностью интеграции со службами каталога, поэтому его не стоит рассматривать как корпоративное средство шифрования – впрочем, небольшой компании, которая не использует централизованную службу каталога, версия для рабочих групп может вполне подойти.

    Возможности Secret Disk Enterprise

    · Функциональные возможности Secret Disk Enterprise позволяют автоматизировать большую часть операций по защите и шифрованию данных, обеспечить защиту системного раздела, шифрование разделов на жестких дисках, создание виртуальных зашифрованных дисков, при этом выполнение процедур зашифрования и расшифрования осуществляется «прозрачно» для пользователя.

    · Любыми операциями можно управлять централизованно с рабочего места администратора безопасности.

    · Сбои электропитания во время процедур шифрования не приводят к потерям информации.

    · Доступ к данным может быть предоставлен только после успешного выполнения аутентификации с помощью ключевого носителя (смарт-карта, USB-токен).

    · Поддерживается шифрование данных алгоритмами AES-256, Triple DES и с помощью отечественного алгоритма шифрования ГОСТ 28147-89.

    · Работа с продуктом не требует глубокого изучения и специальных знаний конечного пользователя.

    · Реализован механизм восстановление доступа к данным в случае утери/поломки электронного ключа eToken.

    · Обеспечивается возможность работы с зашифрованными дисками и данными при отсутствии доступа к корпоративной сети (например, в командировках).

    · Реализован аудит использования защищенных ресурсов и действий пользователей.

    · Возможно резервное копирование зашифрованных дисков утилитой ntbackup или сторонними продуктами без доступа к конфиденциальным данным (данные попадают в резервную копию в зашифрованном виде).

    · Интеграция со службами каталога Microsoft Active Directory дает возможность управления жизненным циклом программного продукта, решая вопросы автоматизированной установки, настройки и поддержки клиентского программного обеспечения на рабочих местах пользователей за счет использования групповых политик.

    Таким образом, мы видим, что продукт соответствует требованиям администраторов безопасности по защите носителей информации на рабочих станциях клиентов. В следующей части статьи будут рассмотрены основные сценарии развертывания Secret Disk Enterprise для компаний разного уровня.

    Продолжение следует…

    Литература.

    [1] http://technet.microsoft.com/en-us/windows/dd408739

    [2] http://technet.microsoft.com/en-us/library/cc700811.aspx

    [3] http://www.aladdin-rd.ru/catalog/secret_disk/workgroup/

    Автор выражает искреннюю признательность директору по продуктам компании ЗАО «Аладдин РД» за помощь при подготовке материала.

    Статья опубликована в журнале «Системный Администратор» № 1-2 2012 г.

    Леонид Шапиро,

    MVP/MCT.


    [i] WSUS – Windows Server Update Services

    [ii] EFS – Encrypted File System

Комментарии

  1. Такое ощущение, что первая половина статьи – “Спасибо, Кэп!”, а вторая – “есть такая штука под названием Aladdin SecretDisk, которая умеет то-то и то-то”. Одна вода, вобщем. Надеюсь, в продолжении статьи “воды” уже не будет.

  2. Александр, здесь будет три части:

    1. Теория и требования к системам защиты хранилищ на пользовательских станциях, обзор возможностей.
    2. Проектирование и развертывание.
    3. Всякие хитрости использования.

    Как раз первую часть Вы и прочитали. Т. е. здесь как раз дается общие теоретические “моменты”, требования, что вообще хотят сотрудники ИБ в этой области, ну и краткий обзор.
    Во второй части будет рассмотрена архитектура SDE, Варианты развертывания SDE, особенности системы.

    1-ая и 2-ая части опубликованы в “Системном Администраторе”. И, если по первой части задержка перед публикацией в Интернете уже вышла, и я могу ее опубликовать, то 2-ая статья только должна быть опубликована в мартовском номере. Т. е. пока в свободный доступ я ее разместить не могу.

  3. Я бы на Вашем месте немного подождал, и опубликовал все части сразу. Потому что у многих после чтения статьи, выглядящей на половину – “водой”, а на половину – “рекламой” (а обзор фич в стиле “галопом по европам” очень сильно напоминает именно рекламу) – следующие статьи либо читать не будут, либо уже будут иметь предвзятое впечатление “джинсы”.

  4. Александр, как я уже говорил, первая часть теоретический обзор и “how to…” там не планировалось и не могло быть.В любом случае, надо было как-то “войти” в тему и объяснить актуальность.
    Рекламой, по сути, можно назвать обзор любого продукта , т. к. производитель упоминается.

    Что касается, Вашей рекомендации, то, пожалуй, Вы правы. Спасибо. С другой стороны уже поздно.
    В любом случае, на днях выйдет “Системный Администратор №3”, где будет 2-ая часть статьи, так что можно прочитать там, а через месяц, полтора и тут. Так сказать, реклама журнала 😉

    Приведу полное оглавление 2-ой статьи:

    Защита данных на рабочих станциях под управлением операционных систем
    Microsoft на основе продуктов и решений «Аладдин РД». Часть №2.

    1. Варианты развертывания SDE
    1.1. Хост-установка
    1.2. Выделенный сервер БД
    1.3. Разделение ролей
    2. Особенности системы
    2.1. Централизованное управление
    2.2. Ролевая модель
    3. Заключение
    4. Литература

    3-я часть пока не готова, сейчас в работе.

  5. Пропустил раздел в самом начале – Архитектура SDE

  6. Вот! Я бы, если бы писал статью – слепил бы в одну статью 1ю и 2ю части, при этом “1ю часть” – сжал бы где-то до 1-2 абзацев максимум. А остальной объем посветил бы технической части. И желательно не банальный “хауту”, за которым можно и не ходить на itband.ru, а просто зайти на сайт разработчиков ПО (а то и почитать мануал на диске), а уделить основное внимание всяким “подводным камням”, о которых не говорят (или мало говорят) в официальной документации. Вот в этом и есть ценность ресурсов – здесь в одной статье можно прочитать то, на что обычно приходится тратить несколько часов на гугление по всевозможным блогам и форумам.

    Насчет рекламы – поясню. Эта статья (во всяком случае, по моему разумению) выглядит как-то так: “Пока космические корабли бороздят просторы вселенной, бла-бла-бла-бла-еще-на-десять-страниц, и, кстати, есть очень классный продукт фирмы такой-то, который умеет то-то и то-то”. Этот стиль характерен для заказных рекламных статей, отсюда и мое недоумение.

  7. Саша, ты бы не критиком, а писателем поучаствовал) А расказывать как надо все умеют)

  8. Так я же и писателем участвовал, так что имею право немножко и поворчать 😉

  9. Спасибо