Контрольная работа по "Безопасность работы персонального компьютера"

1. Администрирование  компьютера. Разграничение прав  пользователей. Пароли и требования  к ним.

На сегодня сложно себе представить мир без компьютерной техники. Повсеместная компьютеризация  в много раз сокращает время, необходимые на выполнение рабочих процессов, однако компьютерное оборудование склонно к поломкам.  Системное администрирование – это комплекс услуг, направленный на обеспечение беспрерывной  корректной работы компьютерной техники, операционного и программного обеспечения, локальной сети и доступа до интернета. Помимо этого удаленное администрирование включает защиту от хакерских атак, сохранность информационных ресурсов.

Удаленное администрирование  компьютеров способно во много раз  сократить затраты на услуги системного администратора и при этом сохранить  стабильность и безопасность в работе.

Администрирование ПК включает в себя большое количество обязательных операций. Системный администратор  должен регулярно делать резервное  копирование данных, обновлять операционные системы и программное обеспечение, проводить конфигурирование новых  аппаратных средств. Кроме этого, системное  администрирование должно поддерживать безотказность работы компьютеров  и другой офисной техники, уметь  провести мелкий ремонт, обслуживание и модернизацию ПК. Удаленное администрирование  компьютеров предполагает так же предоставление консультаций пользователей, решение ряда других конкретных задач.

Услуги системного администрирования  начинаются с изучения текущей IT инфраструктуры, определение оптимального пути ее развития.

Системное администрирование  ПК предусматривает так же диагностику  и устранение неисправностей, что  могут время от времени возникать  при работе с офисной аппаратурой.

Одним из минусов компьютеров  является изначальное отсутствие защиты от кражи информации: цифровые данные легче всего незаметно скопировать, похитить или просто уничтожить. Конфиденциальные сведения — главная цель злоумышленников, орудием которых являются вирусы, трояны, эксплоиты, бэкдоры и другое вредоносное ПО. Своими действиями они могут нарушить работу системы, внедрить в нее шпионов или заблокировать данные с целью вымогательства денег. Не меньшую опасность представляют и технически малограмотные пользователи, в том числе дети, имеющие доступ к вашему ПК. Они могут случайно удалить файлы с важными данными или по легкомыслию обнародовать их — например, в соцсетях. Для предотвращения подобных инцидентов можно использовать проверенные средства, встроенные в Windows, такие как разграничение доступа к данным по учетным записям, а также шифрование инструментами системы, например BitLocker, или сторонними утилитами.

Наряду с широкими возможностями  по настройке пользовательских аккаунтов операционная система Windows предоставляет мощные инструменты по разграничению доступа к файлам и папкам.

Данный способ защиты информации не требует дополнительных инструментов — задействуются только встроенные механизмы системы. Однако для его  использования необходимо, чтобы  раздел диска имел файловую систему NTFS. Большинство современных компьютеров  и ноутбуков уже поставляются с ней. FAT 32 может встречаться на старых машинах с Windows XP. Преобразовать диск в NTFS-формат можно простой командой из окна командной строки:

сonvert «буква_диска»: /fs:ntfs

Для разграничения прав доступа  вам в первую очередь потребуется  создать учетные записи пользователей. После этого у вас появится возможность запретить определенным пользователям (или всем, кроме вас) доступ к конкретным файлам и папкам. Сделать это можно с помощью стандартного инструмента Windows, который вызывается в Проводнике из контекстного меню файла, диска или папки.

4 типа учетных записей:

• "Администратор":

Встроенная. Единственная, обладающая максимальными правами, по умолчанию  отключена (есть возможность её переименовать)

По умолчанию входит в  группу "Администраторы"

• Пользователь с администраторскими правами:

По умолчанию входит в  группу "Администраторы". Локальный  вход осуществляется с администраторскими привелегиями, но процесс explorer запускается с ограниченными правами обычного пользователя, соответственно все запускаемые программы по умолчанию тоже обладают ограниченными правами. Для запуска с правами администратора в контекстном меню исполняемого файла приложения выбираем "Запуск от имени Администратора". Формулировка этой команды не верна, т.к. приложение запускается от текущей учетной записи, но используется админские привилегии с которыми выполнился вход (а не ограниченные, с которыми запустился explorer).

Для запуска процесса от имени другого пользователя (в  том числе и "Администратор"-а) нужно выбрать "Запустить от имени другого пользователя"

• Пользователь с ограниченными правами:

По умолчанию входит в  группу "Пользователи". Может получить доступ только к файлам своего профиля, ограничен в внесении изменений в системные настройки.

• Гость:

Встроенная. Единственная. Обладает минимальными правами. По умолчанию  отключена.

Входит в группу "Гости".

Инструменты управления учетными записями:

• Панель управления -> Учетные записи пользователей:

позволяет создать учетную  запись, переименовать, а также назначить  и изменить пароль.

можно включить\отключить  учетку "Гость".

показывает не все учетные  записи, функциональность минимальна.

• Мой компьютер -> Управление компьютером(в контекстном меню) -> Локальные пользователи:

позволяет намного больше, показывает все учетные записи и  группы учетных записей.

можно редактировать состав групп, включать/отключать действие учетной записи и др.

• В командной строке выполнить: Control Userpasswords2

показывает только активные учетные записи

позволяет включить локальный  вход с автоматическим вводом пароля

можно включить "Безопасный вход в систему", т.е. требовать  нажатия Ctrl+Alt+Del для вывода дилога ввода логина/пароля для входа в систему.

 

Включить учетную запись "Администратор" можно из командной  строки:

net user Администратор /active:yes

для отключения:

net user Администратор /active:no

(в английской версии  вместо Администратор вводим administrator)

Если компьютер входит в домен, только администратор сети может изменять параметры политики паролей.

Защиту компьютера можно  улучшить, изменяя параметры политики паролей, включая требование регулярного  изменения пользователями паролей, установку минимальной длины  паролей, установку требований сложности  для паролей.

1. Откройте раздел «Локальная политика безопасности». Для этого нажмите кнопку Пуск , введите secpol.msc в поле поиска и щелкните пункт secpol.  Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение.

2. В левой области дважды щелкните Политики учетных записей и выберите пункт Политика паролей.

3. Дважды щелкните в списке Политика элемент, который нужно изменить, и нажмите кнопку ОК.

Данная таблица содержит доступные параметры политики безопасности, рекомендации по их использованию, а  также объясняет работу параметров.

 

Политика	Действие		Рекомендации
Вести журнал паролей		Не позволяет пользователям  создавать новый пароль, аналогичный  текущему или недавно использовавшемуся. Чтобы указать количество сохраняемых  паролей, введите соответствующее  значение. Например, значение 1 означает сохранение последнего использовавшегося  пароля, значение 5 соответствует сохранению пяти предыдущих паролей.		Используйте числа больше 1.
Максимальный срок действия пароля		Устанавливает период времени  в днях, в течение которого будет  действовать пароль. По истечении  этого срока пользователь должен будет изменить пароль.		Установите срок действия пароля не более 70 дней. Установка большего срока дает хакерам больше времени  для взлома пароля. Установка слишком  короткого срока будет неудобна пользователям, которым придется часто  менять пароли.
Минимальный срок действия пароля		Устанавливает минимальное  число дней, которые должны пройти перед тем, как пользователь сможет сменить пароль.		Установите минимальный  срок действия пароля не менее 1 дня. Если установить этот параметр, пользователь сможет менять свои пароли не чаще одного раза в день. Это поможет действию других параметров. Например, если сохраняется 5 последних паролей, то гарантируется, что пользователь сможет использовать первый пароль не ранее, чем через  пять дней. Если минимальный срок действия пароля равен нулю, то пользователь сможет поменять пароль 6 раз в течение  дня и снова начать использовать старый пароль в тот же день.
Минимальная длина пароля		Устанавливает минимальное  количество знаков, которые должны содержаться в пароле.		Рекомендуется устанавливать  длину от 8 до 12 знаков (предполагается, что пароль также должен соответствовать  требованиям к сложности пароля). Длинный пароль более устойчив к взлому, чем короткий (при условии, что пароль не является словом или общеупотребительной фразой). Если нет нужды заботиться о том, кто использует компьютер на работе или дома,отсутствующий пароль даст лучшую защиту от злоумышленника, пытающегося взломать компьютер из другой сети или Интернета, чем пароль, который легко подобрать. При отсутствии пароля Windows автоматически предотвращает попытки войти в систему из Интернета или другой сети.
Пароль должен отвечать требованиям  к сложности		Необходимо, чтобы пароли Имели длину не менее шести знаков. Содержали комбинацию как минимум из трех указанных ниже знаков: прописные буквы, строчные буквы, цифры, знаки препинания. Не содержали имени пользователя или экранного имени.		Включите этот параметр. Данные требования сложности для  паролей помогают создать надежный пароль.
Хранение паролей с  использованием обратимого шифрования	Хранение пароля без шифрования.		Не включайте этот параметр, если это не требуется для работы какой-либо программы.

 

 

 

 

 

 

  

2. Контроль целостности  и системные вопросы защиты  программ и данных.

На этапе эксплуатации ПК целостность и доступность  информации в системе обеспечивается:

• контролем целостности  информации в ПК;

• повышением отказоустойчивости ПК;

• противодействием перегрузкам  и «зависаниям» системы;

• дублированием информации;

• использованием строго определенного  множества программ;

• особой регламентацией процессов  технического обслуживания и проведения доработок;

• выполнением комплекса  антивирусных мероприятий.

Целостность и доступность  информации поддерживается также путем  резервирования аппаратных средств, блокировок ошибочных действий людей, использования  надежных элементов ПК и отказоустойчивых систем. Устраняются также преднамеренные угрозы перегрузки элементов систем. Для этого используются механизмы  измерения интенсивности поступления  заявок на выполнение (передачу) и механизмы  ограничения или полного блокирования передачи таких заявок. Должна быть предусмотрена также возможность  определения причин резкого увеличения потока заявок на выполнение программ или передачу информации.

В сложных системах практически  невозможно избежать ситуаций, приводящих к «зависаниям» систем или их фрагментов. В результате сбоев аппаратных или  программных средств, алгоритмических  ошибок, допущенных на этапе разработки, ошибок операторов в системе происходят зацикливания программ, непредусмотренные  остановы и другие ситуации, выход  из которых возможен лишь путем прерывания вычислительного процесса и последующего его восстановления. На этапе эксплуатации ведется статистика и осуществляется анализ таких ситуаций. «Зависания»  своевременно обнаруживаются, и вычислительный процесс восстанавливается. При  восстановлении, как правило, необходимо повторить выполнение прерванной программы  с начала или с контрольной  точки, если используется механизм контрольных  точек. Такой механизм используется при выполнении сложных вычислительных программ, требующих значительного  времени для их реализации.

Одним из главных условий  обеспечения целостности и доступности  информации в ПК является ее дублирование. Стратегия дублирования выбирается с учетом важности информации, требований к непрерывности работы ПК, трудоемкости восстановления данных.

В защищенном ПК должно использоваться только разрешенное программное  обеспечение (ПО). Простейшим методом контроля целостности программ является метод контрольных сумм. Для исключения возможности внесения изменений в контролируемый файл с последующей коррекцией контрольной суммы необходимо хранить контрольную сумму в зашифрованном виде или использовать секретный алгоритм вычисления контрольной суммы.

Однако наиболее приемлемым методом контроля целостности информации является использование хэш-функции. Значение хэш-функции практически  невозможно подделать без знания ключа, поэтому следует хранить  в зашифрованном виде или в  памяти, недоступной злоумышленнику, только ключ хэширования (стартовый вектор хэширования)

З. Защита процессов  переработки информации в редакторах и программах. Резервное копирование. Ограниченная функциональность. Защита созданных файлов.

Внешний аспект защищенности процессов переработки информации в локальном сегменте КС анализируется  при злоумышленном воздействии  субъектов внешней среды (например, сети Интернет), т. е. при внешнем  злоумышленном воздействии. Необходимо учесть, что в подавляющем большинстве  случаев локальный сегмент КС технически реализован на одном или  нескольких связанных сегментах  ЛВС и использует общее стандартизированное  программное обеспечение в части  коммуникации. Стандартной является и операционная среда (среды) всей ЛВС.

Исходя из указанных положений  уточним положения модели воздействия  на КС извне следующим образом. В едином пространстве объектов рассматриваемого локального сегмента КС (который соответствует, как правило, корпоративной сети организации) действует один или несколько субъектов (телекоммуникационных программных модулей) с возможностью внешнего управления. Внешнее управление реализуется возможностями телекоммуникационной программы по двунаправленной передаче данных по командам, исходящим от субъекта, принадлежащего внешнему сегменту КС. Под командами в данном случае понимается поток от ассоциированных объектов внешнего субъекта к ассоциированным объектам локального телекоммуникационного субъекта, причем указанные ассоциированные объекты, измененные под воздействием потока от внешнего субъекта, существенно влияют на текущее состояние локального субъекта. При этом модули телекоммуникационного ПО, расположенные в локальном сегменте, имеют доступ к объектам этого сегмента, как прочие локальные субъекты.

Отличие данного подхода  заключается в том, что фактически частью локальных субъектов управляет  легальный пользователь, а частью — удаленный анонимный пользователь, который потенциально преследует злоумышленные  цели.

Выделим пассивное воздействие, исходящее от субъектов внешней  сети (чтение и транспортирование  объектов локального сегмента во внешнюю  сеть), и активное воздействие (модификация  локальных объектов). Пассивное воздействие  связано с нарушением конфиденциальности корпоративной информации (компрометация), активное — с нарушением целостности.