Оглавление Введение 6
1 Цель и задачи 10
2 Обзор архитектуры групповой политики 11
2.1 применение групповой политики 14
3 Анализ существующих механизмов аудита настроек безопасности ОС
Windows и средств реализации этих механизмов 17
3.1 Основные требования к безопасности 17
1. Обязательная идентификация и аутентификация 17
2. Управляемый доступ к объектам 17
3. Аудит 18
4. В Windows аудит поддерживается SRM и Lsass.exe 18
Защита при повторном использовании объектов 18
5. Принцип организации доступа: права и привилегии 18
3.2 Достоинства и недостатки существующих средств аудита настроек
безопасности ОС Windows 19
3.3 Итог обзора и анализа средств аудита настроек безопасности ОС
Windows 22
3.4 Достоинства и недостатки существующих механизмов аудита настроек
безопасности ОС Windows 22
4 Разработка метода наложенного аудита настроек безопасности: политик и
сервисов 27
4.1 Принципы предлагаемого метода автоматизированной оценки
безопасности ОС Windows с помощью наложенных средств аудита информационной безопасности 28
4.2 Расположение файлов реестра на жестком диске 30
4.3 База данных настроек безопасности Secedit.sdb 31
4.4 Наложенное средство аудита 32
4.5 Форензик - библиотека libhivex 33
4.6 Выбор платформы для разработки 36
5 Разработка средства аудита 38
5.1 Описание пользовательского интерфейса 40
Заключение 53
Список использованных источников 54
ПРИЛОЖЕНИЕ А ЛИСТИНГИ ПРОГРАММ 55
mainwindow.h: 55
main.cpp: 55
mainwindow.cpp: 56
mainwindow.ui: 82
Createtree_th.h: 84
Createtree_th.cpp: 85
ПРИЛОЖЕНИЕ Б ПРЕЗЕНТАЦИЯ (рекомендуемое) 94
Информационные технологии являются одним из основных элементов инфраструктуры современного общества. Они служат базой для экономической деятельности, социального и культурного развития человечества, связывая людей друг с другом, где бы они не находились, обеспечивая им доступ к огромным массивам разнообразной информации. Любая информационная система состоит из аппаратного и программного обеспечения (ПО).
При построении систем определенного уровня сложности люди в принципе не могут избежать ошибок, просто потому, что людям вообще свойственно ошибаться, а возрастающая сложность предоставляет все больше возможностей для ошибок, при этом затрудняя их быстрое обнаружение. Для обеспечения корректности и надежности работы таких сложных систем большое значение имеют различные методы контроля и аудита, позволяющие выявлять ошибки на разных этапах разработки и сопровождения ПО, чтобы последовательно устранять их.
Необычайный эволюционный рост сложности и динамичности ИТ- продукции показал не только неотвратимость, но и гиперсложность оценки соответствия ИТ-продукции требованиям по безопасности информации.
По данным ресурса Tadviser[1], по состоянию на январь 2018 года, под управлением операционных систем (ОС) семейства Windows, работает примерно 85% персональных компьютеров.
Операционная система Windows имеет сложный и многоуровневый комплекс систем безопасности, но, несмотря на это ОС Windows является самой компрометируемой операционной системой. Поскольку ОС Windows являлась самой массово используемой операционной системой на планете (до марта 2017 года, когда количество пользователей ОС Android превысило число пользователей Windows), то и основные усилия злоумышленников направлены поиск и эксплуатирование уязвимостей ОС Windows.
Часто причиной заражения является не сама ОС или ее внутренние системные уязвимости, а запуск сторонних уязвимых приложений, которым доверяет пользователь. По отчетам безопасности Microsoft за 2018 год только 15% уязвимостей являлись системными, и их число постоянно снижается.
ОС Windows поддерживает подсистему безопасности, которая позволяет разграничить разрешение приложений на выполнение или запуск. Подсистема безопасности позволяет настроить два разных метода, которые определяют, нужно ли запускать то или иное приложение.
Первый метод - «черный список». Этот метод ограничивает запуск программ, помещенных в так называемый «черный список», все остальные приложения могут запускать по умолчанию. Такой метод не обладает достаточным уровнем надежности.
Другой и более безопасный метод называется «белый списком». «Белый список» блокирует запуск каждого приложения по умолчанию, за исключением тех, которые явно разрешены - указаны в белом списке.
Метод, который используется для создания политики белых списков приложений, является частью механизма политики безопасности. К сожалению, этот инструмент недоступен в домашних версиях Windows.
Как и было сказано ранее широкое распространение и внедрение компьютеров во все сферы жизни общества привело к тому, что изменился сам характер многих преступлений, появились их новые виды. Злоумышленники также начали активно использовать в своей деятельности новые информационные технологии. Одновременно наблюдается резкое нарастание криминального профессионализма - когда средство для атаки технически превосходит взламываемую систему. С ростом уровня информатизации многократно увеличивается уровень возможных финансовых потерь и издержек, а для киберпреступников растет привлекательность получения противозаконного заработка. Именно в ответ на такие проблемы современного ИТ сообщества появилась наука Форензика.
Форензика также называемая компьютерной криминалистикой занимается расследованием киберпреступлений. Форензика - это прикладная наука о раскрытии преступлений, связанных с компьютерной информацией и информационными технологиями, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.
В ходе выполнения дипломного проекта был разработан метод автоматизированной оценки безопасности ОС Windows. На основе предложенного оригинального метода было разработано средство аудита настроек безопасности локальных групповых политик ОС Windows 7.
Программа разработана на языке C++ в среде разработки Qt5.
При разработке программы были учтены все требования, изложенные в техническом задании. Было произведено функциональное тестирование программы в реальных условиях эксплуатации, которое показало, что программа работает корректно, что доказывает верность предложенного метода.
