Защита уровня приложений Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com Создание учетной записи пользователя с минимальными полномочиями для запуска программ • 90% уязвимостей, обнаруженных в Windows 7 не могут быть реализованы, если пользователь работает без прав администратора • Наиболее распространенная ошибка – дать пользователю больше прав, чем реально нужно Создание учетной записи пользователя с минимальными полномочиями для запуска программ • Другие типичные ошибки: o установка приложений с непродуманными разрешениями NTFS o недостаточное внимание к защите конфиденциальных данных. Установка программ • Программу устанавливает администратор. • При установке необходимо продумать, куда записать файлы приложения в каталоге Program Files. • Если в приложении предусмотрена возможность выбора места хранения, то следует поместить файлы каждого типа в отдельный каталог. Установка программ • Иногда лучший выход - поместить файлы, доступные пользователям (но не самому приложению), в изолированный раздел диска. • При установке программы необходимо принять во внимание компоненты, которые предстоит установить. • Если необходимости в определенной функции нет, не стоит устанавливать ее заранее. Послеустановочные задачи • Сразу после установки приложения нужно исследовать файлы в его каталоге Program Files. • Последний этап - назначение паролей приложения. • Если в программе можно изменить имя пользователя, то следует избегать типовых и легко угадываемых имен • Не забудьте удалить все стандартные пользовательские и демонстрационные учетные записи в приложении. Минимальные полномочия • Самый надежный способ обезопасить приложение - дать ему только необходимые полномочия для выполнения соответствующей роли. • Следует ограничить доступ к файловой системе и реестру и запретить доступ к системным правам и полномочиям, таким как возможность входа через сеть. Минимальные полномочия • К сожалению, многие разработчики не принимают во внимание возможность запуска их программ пользователями, не имеющими административных полномочий. Минимальные полномочия • Программе необходимы определенные ресурсы. • Ключ к подготовке программы для работы с минимальными полномочиями - определить элементы, к которым требуется доступ. Служебная учетная запись • Чтобы сформировать служебную учетную запись, следует создать на сервере или в домене учетную запись пользователя и назначить ей надежный пароль. • Рекомендуется выбрать фразу длиной не менее 30 символов. • В данном случае придется вручную регулярно менять пароли. Минимальные полномочия • На вкладке Terminal Services Profile нужно установить флажок Deny this user permissions to log on to any Terminal Server. • Если на сервере работает несколько служб и требуется создать учетную запись для каждой из них. Доступ к файлам • Многие программы помещают файлы конфигурации в общие каталоги, такие как каталог Windows. • Некоторые приложения скрывают определенные файлы, относящиеся к лицензированию. • Необходимо обнаружить все эти файлы, чтобы обеспечить доступ к ним служебной учетной записи. Доступ к файлам • Чтобы идентифицировать файлы, необходимые служебной учетной записи, нужно настроить Windows на аудит доступа к файлам. • Данную задачу лучше выполнять на тестовом компьютере или виртуальной машине (VM). • После этого настроить политику безопасности для записи результатов аудита. Доступ к реестру • Большинство программ используют реестр не только для хранения данных о конфигурации, но и для поиска общесистемных настроек. • Чтобы выполнить аудит этого процесса, следует открыть regedit.exe и щелкнуть правой кнопкой мыши на кусте реестра HKEY_LOCAL_MACHINE. Выберите пункт Permissions и назначьте аудит для Everyone, точно так же, как для файловой системы. Подготовка списков доступа • Windows создает запись в журнале событий при каждом обращении программы к проверяемому файлу или разделу реестра. В данном случае это вся файловая система и весь куст реестра HKEY_LOCAL_MACHINE. • Использование реестра Windows таким способом может привести к появлению тысяч записей в журнале событий, поэтому предпочтительно использовать бесплатный инструмент Log Parser компании Microsoft (см. http://www.microsoft.com/downloads/details.aspx ?FamilyID=890cd06b-abf8-4c25-91b2f8d975cf8c07&DisplayLang=en). Права пользователя • Для работы некоторых приложений требуются специальные права пользователей. • Чтобы затруднить злоупотребления служебной учетной записью, можно специально отменить некоторые права этой учетной записи, например Deny access to this computer from the network, Deny log on as a batch job, Deny log on locally и Deny log on through Terminal Services. Заключение • После того, как будут настроены полномочия и права, следует запустить приложение в контексте созданной служебной учетной записи. • Большинство приложений успешно запускается после незначительной настройки разрешений доступа к файлам и реестру. Инструменты для диагностики служб Инструмент Ссылка Application Verifier http://www.microsoft.com/downloads/details.aspx?Fami lyID=bd02c19c-1250-433c-8c1b2619bd93b3a2&DisplayLang=en Standard User Analyzer http://www.microsoft.com/downloads/details.aspx?Fami lyID=df59b474-c0b7-4422-8c70b0d9d3d2f575&DisplayLang=en Filemon http://www.sysinternals.com/Utilities/Filemon.html Regmon http://www.sysinternals.com/Utilities/Regmon.html Tokenmon http://www.sysinternals.com/Utilities/Tokenmon.html Создание паспортов программного обеспечения Документы, регламентирующие порядок изменения конфигурации аппаратнопрограммных средств АС • Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация, должна соответствовать кругу возложенных на сотрудников - пользователей данного АРМ функциональных обязанностей. Документы, регламентирующие порядок изменения конфигурации аппаратнопрограммных средств АС • В соответствии с принципом «минимизации полномочий» все неиспользуемые в работе устройства ввода-вывода информации на таких АРМ должны быть отключены, ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены. Документы, регламентирующие порядок изменения конфигурации аппаратнопрограммных средств АС • Все программное обеспечение должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ. • В подсистемах должны устанавливаться и использоваться только полученные установленным порядком из него программные средства. Документы, регламентирующие порядок изменения конфигурации аппаратнопрограммных средств АС • На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты. • Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами). Обеспечение и контроль физической целостности и неизменности конфигурации аппаратных ресурсов • Физическая охрана компонентов компьютерных систем включает: o организацию системы охранно-пропускного режима и системы контроля допуска на объект; o введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации; Обеспечение и контроль физической целостности и неизменности конфигурации аппаратных ресурсов • Физическая охрана компонентов компьютерных систем включает: o визуальный и технический контроль контролируемой зоны объекта защиты; o применение систем охранной и пожарной сигнализации. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС • Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в АС должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ АС". Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС • Инструкция призвана регламентировать функции и взаимодействия подразделений организации по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств АС. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС • Все изменения конфигурации технических и программных средств защищенных рабочих станций и серверов должны производиться только на основании заявок начальников структурных подразделений организации. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС • в отношении системных и прикладных программных средств, а также в отношении аппаратных средств уполномоченным сотрудникам ИТ; • в отношении программно-аппаратных средств защиты – уполномоченным сотрудникам службы СЗИ; • в отношении программно-аппаратных средств телекоммуникации уполномоченным сотрудникам службы связи и телекоммуникации. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС • Изменение конфигурации аппаратнопрограммных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть ЗАПРЕЩЕНО. • Право внесения изменений в конфигурацию аппаратно-программных средств PC организации, не требующих защиты, может быть предоставлено сотрудникам отдела автоматизации (на основании заявок). Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • Может инициироваться либо заявкой начальника данного подразделения, либо заявкой начальника ИТ. • Заявка руководителя подразделения, в котором требуется произвести изменения конфигурации PC, оформляется на имя начальника ИТ. • Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя. Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов подразделения: o установка в подразделении новой ПЭВМ (развертывание новой PC или сервера); o замена ПЭВМ (PC или сервера подразделения); o изъятие ПЭВМ; o добавление устройства (узла, блока) в состав конкретной PC или сервера подразделения; Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов подразделения: o замена устройства в составе конкретной PC или сервера; o изъятие устройства из состава конкретной PC или сервера; o установка (развертывание) на конкретной PC или сервера программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной PC или сервере); Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций • В заявках могут указываться следующие виды необходимых изменений : o обновление (замена) на конкретной PC или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ); o удаление с конкретной PC или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной PC). Экстренная модификация (обстоятельства форс-мажор) • В исключительных случаях (перечень которых должен определяться руководством организации), требующих безотлагательного изменения ПО и модификации ТС, сотрудник ИТ ставит в известность руководство ИТ и службы СЗИ о необходимости такого изменения для получения соответствующего разрешения (перечень лиц, которым предоставлено право разрешать выполнение форс-мажорных работ также должен определяться руководством организации). Экстренная модификация (обстоятельства форс-мажор) • Факт внесения изменений в ПО и ТС защищенных рабочих станций и серверов фиксируется актом за подписями ответственного за информационную безопасность в подразделении и пользователя данной PC, сотрудников ОА и службы СЗИ. • В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указывается лица, принявшие решение на проведение работ и лиц, проводивших эти работы. • Факт модификации ПО и корректировки настроек системы защиты фиксируется в «Журнале учета нештатных ситуаций...» того подразделения, в котором установлены PC (сервера). Аудит ПО Инвентаризация и аудит программного обеспечения • Аудит программного обеспечения (ПО) предприятия представляет собой ревизию установленных программ. • Аудит позволяет определить эффективность использования ПО, а также дать рекомендации по вопросам закупки, поддержки, развития и управлению жизненным циклом ПО. Когда (в каких случаях) эта услуга востребована? • Руководство не располагает точной информацией о лицензионной чистоте установленного в организации программного обеспечения. • Необходимо не только выявить установленное ПО, но и дать рекомендации по закупке лицензий либо замене на другие продукты. Когда (в каких случаях) эта услуга востребована? • На компьютерах компании установлено большое количество неучтенного программного обеспечения («зоопарк»). • Продукты разных производителей конфликтуют друг с другом, часто возникают ошибки, сотрудники вынуждены постоянно обращаться к системным администраторам за технической поддержкой. Когда (в каких случаях) эта услуга востребована? • Программное обеспечение, используемое в компании, редко либо никогда не обновляется, в связи с чем содержит мужество уязвимостей. • Это ПО является прямой угрозой безопасности корпоративной сети. • Необходимо выявить устаревшие версии ПО и дать рекомендации по его обновлению или замене. Какие задачи решает? • Определение лицензионной чистоты используемого ПО. • Инвентаризация ПО позволяет выявлять вероятные риски и оценивать их последствия. Какие задачи решает? • Определение соответствия возможностей ПО и потребностей бизнеса. • Аудит позволяет понять, насколько эффективно используется ПО, и какие есть возможности для увеличения этой эффективности. Какие задачи решает? • Определение целесообразности дальнейшего использования ПО, его развития или же замены на новый продукт. • Стандартизация используемого ПО. Сотрудники компании получают набор программ, необходимый и достаточный для их эффективной работы Оптимизация расходов на программное обеспечение • Повышение безопасности корпоративной сети за счет отказа от практики использования непроверенного и небезопасного ПО. Какие преимущества дает эта услуга? • Сознательное или случайное нарушение лицензионных соглашений может привести к наложению на организацию крупных штрафов. • Имея точные данные о закупленном ПО, можно точнее планировать дальнейшие затраты и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования. Какие преимущества дает эта услуга? • Имея на руках информацию об использовании той или иной программы, можно принять управленческое решение: следует ли в дальнейшем продолжать закупки данного продукта или лучше избавиться от него по истечении срока лицензионного договора. Какие преимущества дает эта услуга? • Инвентаризация позволяет определить, какие установленные программные продукты требуют замены версий или установки обновлений. • Учет программного обеспечения как актива компании повышает её рыночную стоимость, что влечет рост её инвестиционной привлекательности. Три основных этапа аудита • Постановка задачи и уточнение границ работ • Сбор данных • Анализ данных и оформление результатов Постановка задачи и уточнение границ работ • На данном этапе проводятся организационные мероприятия по подготовке проведения аудита: • Уточняются цели и задачи аудита • Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита Сбор данных • Интервьюирование персонала заказчика • Инвентаризация программного обеспечения • Анализ представленных документов Интервьюирование персонала • К интервьюированию обязательно привлекаются сотрудники: o Непосредственно использующие ПО для решения своих задач o Специалисты, оказывающие техническую поддержку пользователям. Анализ данных и оформление результатов • Сводится вместе и анализируется: o инвентаризационные данные об установленном ПО o информация о закупленных лицензиях на ПО o информация об обнаруженных проблемах o конфигурационная информация Результат • Результатом аудита является создание пакета документов, содержащего детализированные данные об установленном на компьютерах компании программном обеспечении. Результат • Стандартный комплект включает в себя следующие документы: o Перечень установленного программного обеспечения o Перечень закупленного программного обеспечения . Результат • Стандартный комплект включает в себя следующие документы: o Аналитический отчет, в который входят: • перечень обнаруженных проблем; • оценку последствий этих проблем; • предлагаемые меры по устранению проблем с выделением первоочередных мер и оценкой длительности и стоимости их реализации. Атаки на MS Office • 71,2% атак связаны с одной-единственной уязвимостью, обновление безопасности для которой (MS06-027) было выпущено три года назад. Статистика атак на MS Office (первое полугодие 2009 года) • Большинство атак против Office в первом полугодии 2009 г. (55,5%) нанесли ущерб приложениям Office, которые в последний раз обновлялись между июлем 2003 г. и июнем 2004 г. Статистика атак на MS Office (первое полугодие 2009 года) • Большая часть этих атак нанесла ущерб пользователям Office 2003, которые не установили ни одного пакета обновления или обновления для системы безопасности со времени выхода первоначальной версии Office 2003 в октябре 2003 года. Использование обновлений и уровень пиратства (по сравнению с США) 4 3.5 3 2.5 2 1.5 1 0.5 0 Использование службы обновления Уровень пиратства Вопросы? Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com