top of page

Защитные механизмы в ОС Windows от несанкционированного доступа 

windows_10_perfomance.jpg

1. Защитный механизм авторизации пользователей (Парольная защита)

    Для управления парольной защитой необходимо обладать правами Администратора. Такими правами в организации может обладать      ограниченный круг лиц, определенный "Инструкцией по парольной защите" в организации.

    Для доступа к меню необходимо Выполнить команду gpedit.msc

Выполнить.png
gpedit msc.png
Ред.локал.групп.политик.png
Параметры безопасности.png

Нас интересуют "Политики учетных записей" и "Локальные политики".

Корректно настроенные политики Windows позволят блокировать ряд атак связанных с подбором пароля. Но существенный недостаток данного способа - Однофакторная аутентификация (авторизация).

2. Механизм разграничения прав доступа к файлам.

    В Windows используется Дискреционный метод защиты. Дискреционное управление доступам (discretionary access control) —                      разграничение доступа между поименованными субъектами и поименованными объектами.

Доступ к папкам.png

Недостаток  в том, что в ряде случаев приходится разрешать как чтение так и выполнение, а это, в свою очередь, дает право пользователю запустить по данному пути несанкционированное ПО.

3. Механизм дискретного разграничения доступа к устройствам

    В Windows дискретное разграничение доступа к устройствам реализовано частично.

    Параметры безопасности не разграничивают доступ к USB устройствам и мобильным телефонам. Т.е. адресное разграничение прав          доступа затруднено.

4. Механизм аудита работы пользователей

    

Аудит Win.png

Позволяет более гибко настроить политики аудита работы пользователя. Однако анализ зафиксированных данных в журналах Windows достаточно затруднителен. В них мы не увидим ни названия ни содержимого копированного или распечатанного файла.

2020-08-16_20-39-04.png
Ж.событий безопасности.png

 

5. Механизм сетевой безопасности 

    а) Брендмауэр Windows - это программа, работающая для защиты отдельно взятого компьютера пользователя в сети организации от            атак из вне (Встроенный межсетевой экран).

    б) Контроль учетных записей.

6. Контроль целостности системных файлов с помощью утилиты sfc.exe и DISM.exe (Запуск осуществляется из командной строки)

    sfc.exe

sfc.exe.png

DISM.exe

dism.exe.png

DISM.exe - перечисляет, устанавливает, удаляет, настраивает и обновляет компоненты и папки в образах Windows. Список доступных команд зависит от обслуживаемого образа, а также от того, находится ли образ в автономном или рабочем состоянии.

7. Возможность локальной и централизованной настройки политик безопасности Windows.

    Условие соблюдается при подключении ПК (АРМ) к сети с Active Directory/

    «Активный каталог», AD — службы каталогов корпорации Microsoft для операционных систем семейства Windows Server.                              Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008,                        включает  возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.              Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей      среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System              Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы,              прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.            Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от                      нескольких десятков до нескольких миллионов объектов.

Недостатки защитных механизмов

операционных систем семейства Windows

1. Однофактарная авторизация;

2. Контроль целостности выполняется только по отношению к среде Windows;

3. Сложно осуществить разграничение доступа к внешним устройствам;

4. Невозможно контролировать штатными средствами копируемые на внешние носители информации файлы, а также содержание распечатанных документов;

5. Сложно осуществлять анализ содержания журнала аудита действий пользователя;

6. Невозможно выполнить надежное удаление информации штатными средствами Windows;

7. Невозможно реализовать разграничение доступа для "пользователь" - "система";

8. Несоответствие встроенных механизмов шифрования данных, антивирусной защиты и межсетевого экрана требованиям нормативных документов ФСБ России и ФСТЭК России;

9. Закрытый программный код, который в полном объеме не был проверен ни ФСБ России, ни ФСТЭК России. Данное обстоятельство приводит к снижению доверия к ОС семейства Windows;

10. Возможно появление уязвимостей нулевого дня (неизвестных ранее);

11. Отсутствие систем обнаружения вторжений. Ее функции лишь частично выполняет компонент "Защитник Windows"

визитка_SN-et-NT без фона2.png

Ул. Соболева, 21/6, Екатеринбург 

620036, Россия

Тел. +7 (912) 618-99-58 

e-mail: snetnt@gmail.com

  • Мы в ВКонтакте
WhatsApp.png

https://vk.com/snetnt

 +7 (912) 655-92-87

© 2020-2024 Официальный портал ИП "Кузнецов А.А." "SN-ET-NT",

ЕГРИП 320665800174548, ИНН 665813736866, ОГРНИП 320665800174548

Все права защищены. При использовании материалов прямая гиперссылка обязательна. 

* Информационный ресурс "SN-ET-NT" создан в помощь работникам в сфере информационной безопасности и специалистам  в сфере информационных технологий, а так же работникам организаций не имеющих в своем штатном расписании квалифицированных системных администраторов. Администрация информационного ресурса не несет ответственность за некорректно произведенные действия посетителями портала при исполнении ими своих служебных обязанностей или в целях обеспечения своих собственных нужд. Используя информационный ресурс пользователь принимает и понимает ответственность за произведенные им действия.

bottom of page