Анализ штатных средств безопасности и протоколов, по которым передаются пакеты данных в операционной системе Windows

Реестр является важным компонентом, в который нежелательно вносить изменения без крайней нужды. Но тем не менее без вмешательства в реестр в некоторых ситуациях не обойтись.

Реестр - это база данных Windows. Она содержит сведения, без которых нормальная работа невозможна. Здесь есть данные об оборудовании и программах и их данных, о профилях учетных записях пользователей компьютеров. Операционная система и другое программное обеспечение постоянно работают с реестром. Реестр кроме того является чистой мишенью для вредоносного программного обеспечения.

Писать REG - файл можно в любом текстовом редакторе, например блокноте.

Вывод

Для настройки реестра необходимы более высококвалифицированные специалисты. Но для сетевой защиты реестр Windows неэффективен, он может использоваться, только для настройки локальной рабочей станции.

4. Коммерческое и стороннее программное обеспечение для блокировки нежелательных сайтов

Возможно рассмотреть некоторые сторонние программы например: internet censor, TrafficCommander, Web Site Zapper, VisualRoute2010.

Рассмотрим программу TrafficCommander. Это универсальный FireWall, учет и контроль Интернет трафика, слежение за e-mail, сохранение отправленных данных, анализ протоколов прикладного уровня, фильтр сайтов, сбор данных по пользователям, протоколам, процессам, система отчетов и индивидуальные настройки. На рисунке 14 изображен интерфейс программы TrafficCommander.

Отличительной особенностью TrafficCommander является определение протокола по передаваемым данным, что позволяет определять жесткую политику регулировки трафика, разрешать ттолько те порты, протоколы, адреса, которые нужны исключительно только для работы.

Универсальность TrafficCommander заключается в его фугкционале, на сегодняшний день это единственная программа сочетающая в себе ряд таких возможностей.

TraffcCommander учитывает и контролирует трафик по протоколам прикладного уровня (HTTP, POP3, SMTP, SSL, SSH), анализируя не только параметры IP-соединения, но и передаваемые данные. Такой способ определения протокола позволяет гибко регулиовать доступ к Интернет ресурсам.

Слежение за передаваемой через Интернет информацией. С помощью этой программы возможно отследить, зафиксировать и пресечь утечку, любой информации из локальной сети предприятия через Интернет. TrafficCommander сохраняет все POST запросы, историю переписки, отправленные электронные письма, включая вложения, в базу данных.

Программа позволит разобрать и проанализировать весь входящий - исходящий трафик, выявить какие Интернет ресурсы посещают пользователи и сколько средств на это уходит. Так же программа предоставит полную и точную информацию по учету потребления трафика сетью, на основании которой можно оптимизировать затраты и производительность труда.

Ограничить доступ к «нежелательным» ресурсам с программой TrafficCommander, очень просто. Программа предлагает одновременно использовать базу веб-сайтов, разделенных на черные и белые списки, что значительно облегчает работу по блокировке сайтов.

Система отчетов в программе состоит из встроенного WWW и PHP скриптов, с помощью которых осуществляется работа с базой данных. Программа позволяет создать группы из пользователей ActiveDirectory и задать для каждой группы свой профиль настроек, идентифицировать пользователей работающих на терминальном сервере, создать списки исключения, для которых не должно быть ограничений.

Рассмотрим программу Internet Censor, отличная программа для контроля посещаемых а интоернете сайтов. Прекрасно подходит для контроля детей и сотрудников в офисе. Положительная сторона этой программы - простота, отрицательная сторона - недостаточная гибкость.

На стадии установки программа предлагает установить пароль - это обязательное требование. Теперь при каждом запуске нужно будет вводить этот пароль. По умолчанию стоит «Высокий» уровень фильтрации. Всего таких уровня 4, для каждого расписаны блокируемые категории сайтов.

Неудобство заключается в том, что списка блокируемых сайтов нет. Он зашит в программу и посмотреть его нет возможности. Разрешены проверенные авторами программы и сайты, и, как правило, это самые известные и самые посещаемые (mail.ru, google.com и т.д.) сколько сайтов есть в начальном списке доверенных - не известно. Конечно, вносить свои изменения в политику блокировки можно для этого есть списки разрешенных и запрещенных сайтов.

Однако, о тех сайтах, которые заблокированы «по умолчанию» вы будете узнавать только в процессе работы. Для того что бы добавить сайт в список разрешенных нужно сначала закрыть браузер. После добавления можно снова открыть, и теперь сайт не будет блокироваться. Тоже самое при ручном блокировании.

На вкладке «Настройки» есть еще несколько интересных опций. Это блокировка мессенджеров, файлообменных сетей, протокола FTP и удаленного рабочего стола. Среди поддерживаемых мессенджеров есть все самые популярные (ICQ, Skype и т.д.).

В целом Интернет Цензор надежный и простой Firewall, однако на данный момент программа еще сырая и было бы неплохо, если бы разработчики продолжили выпускать обновления. О невозможности просмотреть и отредактировать весь список сайтов мы было уже упомянуто.

Web Site Zapper это программа для Windows, которая блоктрует нежелательные сайты.

С помощью Web Site Zapper можно составить список нежелательных и допустимых адресов или URL- адресов. Возможно добавлять названия веб-сайтов и URL - адреса вручную или установить автоматическое создание списка этих сайтов.

Возможно использовать эту программу для нескольких целей:

1.Блокирование браузера от перенаправления на опасные или нежелательные сайты.

2.Блокирование всплывающих окон.

3.Контроль доступа, позволяющий работодателям предотвращать посещение служащими нежелательных или опасных сайтов.

4.Управление доступом в Интернет. Программа устанавливает пароль для отмены блокировки, поэтому можно установить блокировку всех веб - сайтов до тех пор, пока сами ее не отключите.

Когда список создан, Web Site Zapper может работать в двух режимах: он может либо закрывать все сайты из списка нежелательных сайтов (Режим блокировки), либо закрывать все сайты, котрых нет в списке допустимых сайтов (Режим допуска).

Режим допуска наиболее подходящий для работы, где ввиду особенностей работы служащим необходимо посещать определенные сайты, однако работодатель не хочет, чтобы служащие посещали сайты, не касающиеся работы, в рабочее время.

VisualRoute - удобная программа для анализа интернет - соединения и выявления неполадок на каждом сегменте его следования.

Основной интерфейс программы выполнен в виде настраеваемых окон. В каждом окне представлена определенная информация о исследуемом домене: карта мира с отображением местоположения каждого сегмента поможет визуально определить проблемное место в пути следования информации, IP-адресс, данные whois владельца, посегментное имя отклика, пинг. Гораздо удобнее tracert или tracerout.

VisualRoute визуальный трассировщик с богатыми возможностями. Представленная программа позволяет производить пингование, опрос и отслеживать пути передачи пакетов к серверам и показывает все необходимую информацию в графическом виде. Программа автоматически анализирует проблемы с соединением и быстродействием передачи данных, затем показывает полученные результаты в таблице. Также VisualRoute может идентифицировать географическое положение роутеров, серверов и других сетевых устройств по IP - адресам. Принцип работы такой: вводим URL, HOST, IP, e-mail адрес нажимаем start и подробно на карте выкладывается весь маршрут откуда идет соединение и через какие серверы.

Коммерческое прикладное программное обеспечение имеет множество плюсов, но их необходимо покупать, на такие затраты многие малобюджетные компании пойти не могут. Так как немогут себе позволить купить программное обеспечение. Но для пользования штатными средствами Windows требуются квалифицированные специалисты.

Для сравнения в Windows имеется только два штатных средства контроля это Hosts файл и Брандмауэр Windows, когда сторонних программных продуктов очень много. Преимуществом прикладного программного обеспечения является его функционал и более расширенные возможности, начиная от блокировки и кончая анализом маршрута передачи пакетов. Когда только в штатных средствах имеются только две функции «разрешить» и «запретить».

У программы также есть свои ключевые особенности и функции.

1. Трассировка к любому удаленному IP или Домену: Тестовое соединение компьютера с установленным VisualRoute до любого веб - сервера, IP адреса или сетевого устройства. Мгновенный отчет о всем маршруте и детально по каждому сегменту, где установлена потеря данных и превышено время ожидания. Объединения множества диагностических утилит, представленных в удобных графических элементах, позволяет получить результаты значительно быстрее, чем это возможно в большентве подобных программ.

2. Данные о метоположении IP: Физическое и географическое месторасположение серверов и маршрутизаторов для получения полной картины о проблемах маршрутизаци, просмотра фактического пути следования трафика.

3. Информация о провайдере: Возможность просмотра контактной информации о провайдере на каждом сегменте маршрута интернет - соединения.

4. Whois-анализ: Практически мгновенные данные из мировых баз данных о владельцах ресурсов по IP или доменному имени.

5. Совместимость с IPv6: IPv6 следующее поколение internet- протоколов. VisualRoute полностью поддерживает работу по этому протоколу.

У этой программы также есть небольшой минус, так она является коммерчиским продуктом, срок пробного периода составляет 15 дней.

4.1 Анализ штатных средств Windows

Штатные стредства Windows представляют собой набор правил и политик, которые применяются к программному обеспечению.

Компоненты, использующиеся во время работы системы по своему функциональному наполнению больше всего похожи на антивирусы класса Internet Security. Первым из них является встроенный «антивирус», получивший название защитник. С некоторых пор в Micrisoft осознали, что предлагать пользователю только систему - значит, обрекать его на выход в Интернет без защиты. Поэтому начиная с Windows 7, появился встроенный антивирус. Его возможности изначально не претендовали на обеспечение высокого уровня защиты пользователя и были ориентированы чтобы защитить, до покупки реального программного обеспечения от производителей.

Hosts файл может лишь гарантировать запрет к нежелательным ресурсам которые были в него записаны, кроме зашифрованных протоколов. Но не гаратирует запрет доступа к тем ресурсам к которым пользователи обращаются через proxy серверы так называемые anonymayzer'ы. Так же Hosts файл неудобен тем что его необходимо редактировать на каждом локальном компьютере, в отличие от Брандмауэра который необходимо настроить и установить только на шлюзе. Еще один минус Hosts файла в том что нельзя создать список разрешенных, а все остальные запретить.

Брандмауэр также как и Hosts файл может запретить доступ к нежелательным ресурам, но в отличие от него он может запретить доступ программам в интернет воизбежании нежелательного трафика. В Брандмауэре присутствуют два списка «запрещенных» и «разрешенных». В списке разрешенных присутсвуют только те программы которым необходим доступ в Интернет для работы и работы пользователей. Всем остальным же программам доступ в интернет запрещен.

Для малобюджетных компаний и предприятий выгоднее пользоваться стандартными средствами, так как нехватает средств на дополнительное программное обеспечение, и малое количество рабочих станций, варьирующихся от 10 до 20. Что легко позволяет отредактировать файл Hosts и настроить Брандмауэр на всех пользовательских компьютерах экономя затраты на коммерчиские программные продукты и на трафик.

Для более крупных компаний и корпораций без стороннего программного обеспечения необойтись, потому что зачастую встречаются в компаниях несколько разных сетей, шлюзов и маршрутизаторов, иногда даже несколько провайдеров Интернета. Для таких компаний и создаются готовые коммерчиские программные продукты, где число станций превышает 50 штук. Штатные средства в этих компаниях как правило не используются за исключением Брандмауэра который устанавливается на шлюзы, потому что для такого количества компьютеров это неэффективно и требует много времени на эту процедуру. Именно поэтому руководители крупных предприятий предпочитают потратить средства на покупку готовой продукции и сберечь время на плодотворную работу, не беспокоясь в дальнейшем о безопасности сети.

Использование штатных средств Windows подразумевает дополнительную защиту к сторонним программам. Этими прогаммами могут выступать либо специализированные программные продукты такие как перечислины выше либо антивирусы, такие как Kaspersky, Dr.Web, NOD32. Но и им имеется альтернатива. К альтернативным (бесплатным) антивирусам относятся Avast, Panda, AVG. Они немного уступают по функционалу своим коммерчиским коллегам, но в пределах небольшой, малобюджетной фирмы весьма эффективны, не требующие дополнительных затрат.

4.2 Использование групповых политик для управления безопасностью

Еще одно штатное средство операционной системы Windows, с помощью которой вохможно настроить безопасность для групп пользователей и раздать права доступа к программам.

Групповые политики (Group Policy Object, GPO) - это набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются и настраиваются как для домена в целом, так и для отдельного персонального компьютера. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров групповой политики. Функциональность групповых политик с каждой следующей операционной системой Windows стабильно увеличивается, и в Windows 7 она включает в себя уже 3200 настроек.

Использование групповых политик позволяет решить следующие основные задачи: снизить риск заражения компьютера вредоносными программами, снизить риск утечки данных и снизить стоимость сопровождения системы. Для запуска редактора объетов групповой политики необходимо в командной строке написпать команду gpedit.msc

Редактор объектов групповой политики содержет два основных раздела: Конфигурация компьютерв и Конфигурация пользователя. Параметры раздела «Конфигурация компьютера» всегда применяются при запуске компьютера, а параметры раздела «Конфигурация пользователя» при входе пользователя в систему. Все политики распределены по разделам. Часть параметров одновременно присутствует в разделах «Конфигурация компьютера» и «Конфигурация пользователя» при конфликте параметров параметр в папке «Конфигурация компьютера» имеет преимущество перед параметром находящимся в папке «Конфигурация пользователя». Окно редактора разделено на две части, в левой находится дерево с разделами, в правой политики из выбранного раздела.

Для работы с групповыми политиками для набора компьютеров в домене администраторам следует воспользоваться более функциональными инструментами. Первым таким инструментом является консоль управления групповыми политиками (Group Policy Management Consol), которая представляет собой универсальный и, в тоже время, бесплатный административный инструмент. По умолчанию консоль не установлена в Window 7.

Консоль управления групповыми политиками позволяет выполнять следующие действия:

- одновременно работать с несколькими групповыми настройками;

- применять групповые политики к разным группам пользователей;

- создавать шаблоны с настройками групповых политик;

- устанавливать различные фильтры для политик;

- создавать сценарии применения групповых политик;

Таким образом, для настройки безопасности в сети администратору нужно создать наборы политик, применить их ко всем компьютерам в сети или к группам компьютеров. Например, настроить шифрование дисков, запретить использование «ненужных» приложений, создать белые и черные списки с внешними устройствами или полностью запретить доступ к внешним устройствам.

Вторым инструментом от Microsoft для работы администратора с групповыми политиками является Advanced Group Policy Management. Данный инструмент позволяет редактировать объекты групповой политики в автономном режиме, осуществлять контроль версий объектов, а также автоматическое резервное копирование в случае их изменений. С его помощью можно делегировать редактирование кому угодно, изменения не повлияют на компьютеры пользователей, пока имеющий права на установку администратор их не утвердит. По сути дела, он предоставляет функции, необходимые администраторам больших корпоративных сетей.

Следует отметить, что два данных инструмента являются бесплатными, и их можно скачать с сайта компании Microsoft. Сторонние производители также оценили важность инструментов для работы с групповыми политиками и предлагают свои разработки, которые либо имеют другой пользовательский интерфейс, либо дополнительный набор сервисных функций.

Windows 7 позволяет одновременно реализовать несколько сценариев для увеличения безопасности компьютера при работе с внешними устройствами как с использованием только групповых политик, так и в их связке с другими механизмами безопасности. В зависимости от решаемой задачи, администратор может выбрать либо один из сценариев организации безопасности, либо их совокупность. Все административные инструменты предпологают два набора операций при настройке групповой политики, собственно конфигурирование политик и применение данных политик к группам пользователей.

4.3 Мониторинг трафика стандартными средствами Windows Server 2003

Стандартные средства серверных операционных систем несколько отличаются от локальных, но для мониторинга трафика есть смысл их ипользовать.

Помимо стандартного средства мониторинга сетевого трафика в программе «Task Manager», в Windows Server 2003 существует возможность наблюдения за трафиком при помощи Консоли Производительности (Performance Console), предоставляющей администратору возможность записи информации в файл и определение пороговых значений для генрации событий о возможных проблемах в сети.

Возможность протоколирования информации в файл, ключ в измерении производительности сети, поскольку это предоставляет более точную картину сетевой активности серверов на протяжении продолжительного времени наблюдения. Это также позволяет видеть тенденции изменения трафика в сети, что в конечном итоге должно повлиять на планирование развития сетевой инфраструктуры.

Протоколирование также дает вам возможность выполнить одну из важных задач управления сетью - определение начальной точки. Имея на руках начальную точку, можно сравнивать информацию полученную когда сеть работала нормально с ее текущим состоянием.

Использование оснастки «Оповещения и журналы производительности» из консоли производительности очень просто. Данное средство использует тот же набор счетчиков что и Монитор Системы (System Monitor). Требуется лишь указать какие счетчики будут мониторится и интервал времени. Информация можнт быть запротоколирована в различные форматы файлов, например: бинарный, текстовый или в SQL - совместимую базу данных. Можно также задать расписание по которому протоколирование будет начинаться и завершаться.

Просмотр накопленной информации журналом счетчиков зависит от формата файла, используемого для создания лог - файла. Бинарные файлы могут быть открыты консолью производительности и просмотрены в графическом виде как бкдто в режиме реального времени. Если данные записаны в базу данных, предоставляется возможность самостоятельно их анализировать.

Заключение

сетевой протокол несанкционированный компьютер

В данной выпускной квалификационной работе был проведен анализ протоколов и штатных средств защиты операционной системы Windows. Были достигнуты все поставленные цели.

Для достижения целей были выполнены следующие действия:

- Анализ протоколов TCP/IP;

– Анализ штатных средств;

– Исследование и описание коммерческого программного обеспечения;

– Настройка штатных средств операционной системы Windows.

– Расчет затрат на выполнение работы.

При решении поставленных задач было установлено, что возможно обеспечить контроль выходного потока рабочей станции штатными средствами Windows.

В ходе исследований было выявлено что штатные средства Windows имеют свои недостатки такие как:

- Невозможность блокирования зашифрованных протоколов;

- Пропуск через Proxy сервера к запрещенным ресурсам;

- Низкая эффективность защиты.

Отсюда и низкие затраты на обслуживание, и настройку. Которую должен выплнить штатный системный администратор.

Особое внимае внимание при разработке было обращено на настройку и редакирование Hosts - файла и Брандмауэра, так как это основные средства защиты рабочей станции.

Основываясь на предусмотренных компанией Microsoft способах обеспечения безопасности нарушений входе работы не было.

Разработанные методы контроля выходного потока рабочей станции исправно работают, и не вызывают системных ошибок.

Литература

1 Ярочкин В.И. Информационная безопасность: Учебник для студентов ВУЗов. - М.: Академический проект; Фонд «МИР», 2003. - 640с.

2 Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.:Компания АйТи, 2006. - 400с.

3 Петраков А.В. Основы практической защиты информации. 4-е изд. Учебное пособие. - М.: Издательство «Солон», 2005. - 384с.

4 Козлов С.Б., Иванов Е.В. Предпринимательство и безопасность. - М.: Универсум, 2004. - 300с.

5 Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. - М.: ДМК Пресс, 2008. - 544с.

6 Кащеев В.И. Обеспечение информационной безопасности коммерческого объекта // Системы безопасности. - СПб.: Безопасность бизнеса, 2003 - с. 4-5.

7 Абрамов A.M., Никулин О.Ю., Петрушин А.Н. Системы управления доступом. - М.: «Оберег-РБ», 2006 - 192с.

8 Ворона В.А., Тихонов В.А., Системы контроля и управления доступом. - СПб.: Издательство «Солон», 2009 - 150с.

Размещено на Allbest.ru