Защита уровня приложений

1. Защита уровня приложений Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com

2. Создание учетной записи пользователя с минимальными полномочиями для запуска программ • 90% уязвимостей, обнаруженных в Windows 7 не могут быть реализованы, если пользователь работает без прав администратора • Наиболее распространенная ошибка – дать пользователю больше прав, чем реально нужно

3. Создание учетной записи пользователя с минимальными полномочиями для запуска программ • Другие типичные ошибки: • установка приложений с непродуманными разрешениями NTFS • недостаточное внимание к защите конфиденциальных данных.

4. Установка программ • Программу устанавливает администратор. • При установке необходимо продумать, куда записать файлы приложения в каталоге ProgramFiles. • Если в приложении предусмотрена возможность выбора места хранения, то следует поместить файлы каждого типа в отдельный каталог.

5. Установка программ • Иногда лучший выход - поместить файлы, доступные пользователям (но не самому приложению), в изолированный раздел диска. • При установке программы необходимо принять во внимание компоненты, которые предстоит установить. • Если необходимости в определенной функции нет, не стоит устанавливать ее заранее.

6. Послеустановочные задачи • Сразу после установки приложения нужно исследовать файлы в его каталоге ProgramFiles. • Последний этап - назначение паролей приложения. • Если в программе можно изменить имя пользователя, то следует избегать типовых и легко угадываемых имен • Не забудьте удалить все стандартные пользовательские и демонстрационные учетные записи в приложении.

7. Минимальные полномочия • Самый надежный способ обезопасить приложение - дать ему только необходимые полномочия для выполнения соответствующей роли. • Следует ограничить доступ к файловой системе и реестру и запретить доступ к системным правам и полномочиям, таким как возможность входа через сеть.

8. Минимальные полномочия • К сожалению, многие разработчики не принимают во внимание возможность запуска их программ пользователями, не имеющими административных полномочий.

9. Минимальные полномочия • Программе необходимы определенные ресурсы. • Ключ к подготовке программы для работы с минимальными полномочиями - определить элементы, к которым требуется доступ.

10. Служебная учетная запись • Чтобы сформировать служебную учетную запись, следует создать на сервере или в домене учетную запись пользователя и назначить ей надежный пароль. • Рекомендуется выбрать фразу длиной не менее 30 символов. • В данном случае придется вручную регулярно менять пароли.

11. Минимальные полномочия • На вкладке TerminalServicesProfile нужно установить флажок DenythisuserpermissionstologontoanyTerminalServer. • Если на сервере работает несколько служб и требуется создать учетную запись для каждой из них.

12. Доступ к файлам • Многие программы помещают файлы конфигурации в общие каталоги, такие как каталог Windows. • Некоторые приложения скрывают определенные файлы, относящиеся к лицензированию. • Необходимо обнаружить все эти файлы, чтобы обеспечить доступ к ним служебной учетной записи.

13. Доступ к файлам • Чтобы идентифицировать файлы, необходимые служебной учетной записи, нужно настроить Windows на аудит доступа к файлам. • Данную задачу лучше выполнять на тестовом компьютере или виртуальной машине (VM). • После этого настроить политику безопасности для записи результатов аудита.

14. Доступ к реестру • Большинство программ используют реестр не только для хранения данных о конфигурации, но и для поиска общесистемных настроек. • Чтобы выполнить аудит этого процесса, следует открыть regedit.exe и щелкнуть правой кнопкой мыши на кусте реестра HKEY_LOCAL_MACHINE. Выберите пункт Permissions и назначьте аудит для Everyone, точно так же, как для файловой системы.

15. Подготовка списков доступа • Windows создает запись в журнале событий при каждом обращении программы к проверяемому файлу или разделу реестра. В данном случае это вся файловая система и весь куст реестра HKEY_LOCAL_MACHINE. • Использование реестра Windows таким способом может привести к появлению тысяч записей в журнале событий, поэтому предпочтительно использовать бесплатный инструмент LogParser компании Microsoft (см. http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&DisplayLang=en).

16. Права пользователя • Для работы некоторых приложений требуются специальные права пользователей. • Чтобы затруднить злоупотребления служебной учетной записью, можно специально отменить некоторые права этой учетной записи, например Denyaccesstothiscomputerfromthenetwork, Denylogonas a batchjob, Denylogonlocally и DenylogonthroughTerminalServices.

17. Заключение • После того, как будут настроены полномочия и права, следует запустить приложение в контексте созданной служебной учетной записи. • Большинство приложений успешно запускается после незначительной настройки разрешений доступа к файлам и реестру.

18. Инструменты для диагностики служб

19. Создание паспортов программного обеспечения

20. Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС • Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация, должна соответствовать кругу возложенных на сотрудников - пользователей данного АРМ функциональных обязанностей.

21. Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС • В соответствии с принципом «минимизации полномочий» все неиспользуемые в работе устройства ввода-вывода информации на таких АРМ должны быть отключены, ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

22. Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС • Все программное обеспечение должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ. • В подсистемах должны устанавливаться и использоваться только полученные установленным порядком из него программные средства.

23. Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС • На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты. • Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).

24. Обеспечение и контроль физической целостности и неизменности конфигурации аппаратных ресурсов • Физическая охрана компонентов компьютерных систем включает: • организацию системы охранно-пропускного режима и системы контроля допуска на объект; • введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации;

25. Обеспечение и контроль физической целостности и неизменности конфигурации аппаратных ресурсов • Физическая охрана компонентов компьютерных систем включает: • визуальный и технический контроль контролируемой зоны объекта защиты; • применение систем охранной и пожарной сигнализации.

26. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС • Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в АС должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ АС".

27. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС • Инструкция призвана регламентировать функции и взаимодействия подразделений организации по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств АС.

28. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС • Все изменения конфигурации технических и программных средств защищенных рабочих станций и серверов должны производиться только на основании заявок начальников структурных подразделений организации.

29. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС • в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам ИТ; • в отношении программно-аппаратных средств защиты – уполномоченным сотрудникам службы СЗИ; • в отношении программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам службы связи и телекоммуникации.

30. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС • Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть ЗАПРЕЩЕНО. • Право внесения изменений в конфигурацию аппаратно-программных средств PC организации, не требующих защиты, может быть предоставлено сотрудникам отдела автоматизации (на основании заявок).

31. Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • Может инициироваться либо заявкой начальника данного подразделения, либо заявкой начальника ИТ. • Заявка руководителя подразделения, в котором требуется произвести изменения конфигурации PC, оформляется на имя начальника ИТ. • Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя.

32. Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов подразделения: • установка в подразделении новой ПЭВМ (развертывание новой PC или сервера); • замена ПЭВМ (PC или сервера подразделения); • изъятие ПЭВМ; • добавление устройства (узла, блока) в состав конкретной PC или сервера подразделения;

33. Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов подразделения: • замена устройства в составе конкретной PC или сервера; • изъятие устройства из состава конкретной PC или сервера; • установка (развертывание) на конкретной PC или сервера программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной PC или сервере);

34. Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • В заявках могут указываться следующие виды необходимых изменений : • обновление (замена) на конкретной PC или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ); • удаление с конкретной PC или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной PC).

35. Экстренная модификация (обстоятельства форс-мажор) • В исключительных случаях (перечень которых должен определяться руководством организации), требующих безотлагательного изменения ПО и модификации ТС, сотрудник ИТ ставит в известность руководство ИТ и службы СЗИ о необходимости такого изменения для получения соответствующего разрешения (перечень лиц, которым предоставлено право разрешать выполнение форс-мажорных работ также должен определяться руководством организации).

36. Экстренная модификация (обстоятельства форс-мажор) • Факт внесения изменений в ПО и ТС защищенных рабочих станций и серверов фиксируется актом за подписями ответственного за информационную безопасность в подразделении и пользователя данной PC, сотрудников ОА и службы СЗИ. • В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указывается лица, принявшие решение на проведение работ и лиц, проводивших эти работы. • Факт модификации ПО и корректировки настроек системы защиты фиксируется в «Журнале учета нештатных ситуаций...» того подразделения, в котором установлены PC (сервера).

37. Аудит ПО

38. Инвентаризация и аудит программного обеспечения • Аудит программного обеспечения (ПО) предприятия представляет собой ревизию установленных программ. • Аудит позволяет определить эффективность использования ПО, а также дать рекомендации по вопросам закупки, поддержки, развития и управлению жизненным циклом ПО.

39. Когда (в каких случаях) эта услуга востребована? • Руководство не располагает точной информацией о лицензионной чистоте установленного в организации программного обеспечения. • Необходимо не только выявить установленное ПО, но и дать рекомендации по закупке лицензий либо замене на другие продукты.

40. Когда (в каких случаях) эта услуга востребована? • На компьютерах компании установлено большое количество неучтенного программного обеспечения («зоопарк»). • Продукты разных производителей конфликтуют друг с другом, часто возникают ошибки, сотрудники вынуждены постоянно обращаться к системным администраторам за технической поддержкой.

41. Когда (в каких случаях) эта услуга востребована? • Программное обеспечение, используемое в компании, редко либо никогда не обновляется, в связи с чем содержит мужество уязвимостей. • Это ПО является прямой угрозой безопасности корпоративной сети. • Необходимо выявить устаревшие версии ПО и дать рекомендации по его обновлению или замене.

42. Какие задачи решает? • Определение лицензионной чистоты используемого ПО. • Инвентаризация ПО позволяет выявлять вероятные риски и оценивать их последствия.

43. Какие задачи решает? • Определение соответствия возможностей ПО и потребностей бизнеса. • Аудит позволяет понять, насколько эффективно используется ПО, и какие есть возможности для увеличения этой эффективности.

44. Какие задачи решает? • Определение целесообразности дальнейшего использования ПО, его развития или же замены на новый продукт. • Стандартизация используемого ПО. Сотрудники компании получают набор программ, необходимый и достаточный для их эффективной работы

45. Оптимизация расходов на программное обеспечение • Повышение безопасности корпоративной сети за счет отказа от практики использования непроверенного и небезопасного ПО.

46. Какие преимущества дает эта услуга? • Сознательное или случайное нарушение лицензионных соглашений может привести к наложению на организацию крупных штрафов. • Имея точные данные о закупленном ПО, можно точнее планировать дальнейшие затраты и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования.

47. Какие преимущества дает эта услуга? • Имея на руках информацию об использовании той или иной программы, можно принять управленческое решение: следует ли в дальнейшем продолжать закупки данного продукта или лучше избавиться от него по истечении срока лицензионного договора.

48. Какие преимущества дает эта услуга? • Инвентаризация позволяет определить, какие установленные программные продукты требуют замены версий или установки обновлений. • Учет программного обеспечения как актива компании повышает её рыночную стоимость, что влечет рост её инвестиционной привлекательности.

49. Три основных этапа аудита • Постановка задачи и уточнение границ работ • Сбор данных • Анализ данных и оформление результатов

50. Постановка задачи и уточнение границ работ • На данном этапе проводятся организационные мероприятия по подготовке проведения аудита: • Уточняются цели и задачи аудита • Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита