Опубликован: 01.08.2008 | Уровень: специалист | Доступ: платный
Лекция 7:

Технология Microsoft обеспечения информационной безопасности

< Лекция 6 || Лекция 7: 1234 || Лекция 8 >
Аннотация: В данной лекции рассматривается стратегия, технологии и решения компании Microsoft по построению защищенных информационных систем
Ключевые слова: процесс обеспечения, ITIL, анализ, нарушение информационной безопасности, trustworthy, Computing, безопасность, Windows, Active, directory, политика использования, Active Directory, ip security, Windows Server, домен, групповая политика, стоимость, потребности пользователей, объект групповой политики, GPOS, WMI, выключение компьютера, window manager, instrumentation, область действия, инфраструктура, контроль, инфраструктуры открытых ключей, PKI, public key, infrastructure, центр сертификации, CA, Certification Authority, RA, registration, server, MMC, certification, управление сертификатами, корпоративная информационная система, субъект сертификата, сертификат открытого ключа, аутентификация, корпоративные сети, смарт-карта, пользователь, ПО, сертификаты пользователей, защита коммуникаций, обмен данными, Internet, механизмы, 3DES, генерация ключей, информация, сеанс, ISA, security, AND, acceleration, ISA Server, межсетевой экран, virtual, private, VPN, информационные системы, сервер, частная виртуальная сеть, производительность, расходы, защищенная область, пакетный фильтр, information, IIS, XML, SOAP, интеграция, exchange, live, communications server, централизованное управление, spyware, MCP, сетевые угрозы, malicious software, safety, mobile, сертификаты устройств, доступ, Дополнение, мобильное устройство, terminal, сеть доступа, шифрование, secure, layer, SSL, transport, TLS, взаимная аутентификация, симметричные алгоритмы, RDP, data protection, manager, кластер, MSCS, файловая служба, служба печати, load balancer, интервал, теневые копии, system, center, DPM, диск, резервное копирование, копирование, assessment, инструментарий

Процесс обеспечения безопасности относится к оперативным процессам и, в соответствии с библиотекой ITIL [ 2.3 ] , входит в блок процессов поддержки ИТ-сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на уровень предоставления ИТ-сервисов:

  • снижение уровня доступности вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам;
  • полная или частичная потеря данных;
  • несанкционированная модификация данных;
  • получение доступа посторонних пользователей к конфиденциальной информации.

Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:

  • ошибки конфигурирования программных и аппаратных средств ИС;
  • случайные или умышленные действия конечных пользователей и сотрудников ИТ-службы;
  • сбои в работе программного и аппаратного обеспечения ИС;
  • злоумышленные действия посторонних по отношению к информационной системе лиц.

Компания Microsoft разрабатывает стратегию построения защищенных информационных систем (Trustworthy Computing) - это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей [ 7.2 ] .

Концепция защищенных компьютерных систем построена на четырех принципах:

  • безопасность, которая предполагает создание максимально защищенных ИТ-инфраструктур;
  • конфиденциальность, которая подразумевает внедрение в состав и технологий и продуктов средств защиты конфиденциальности на протяжении всего периода их эксплуатации;
  • надежность, которая требует повышения уровня надежности процессов и технологий разработки программного обеспечения информационных систем;
  • целостность деловых подходов для укрепления доверия клиентов, партнеров, государственных учреждений.

Данные принципы реализуются в программных продуктах Microsoft. Компания Microsoft предлагает обеспечивать безопасность операционных систем семейства Windows с помощью технологии единого каталога (Active Directory) и групповых политик. Использование групповой политики и Active Directory позволяет централизовано управлять параметрами безопасности как для одного пользователя или компьютера, так и для группы пользователей, управлять безопасностью серверов и рабочих станций.

Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологии [ 7.3 ] :

  • Active Directory – единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь;
  • двухэтапная аутентификация на основе открытых/закрытых ключей и смарт-карт;
  • шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов);
  • создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x;
  • шифрование файловой системы;
  • защита от вредоносного кода;
  • организация безопасного доступа мобильных и удаленных пользователей;
  • защита данных на основе кластеризации, резервного копирования и ограничения несанкционированного доступа;
  • служба сбора событий из системных журналов безопасности.

7.1 Групповые политики

Управление групповыми политиками в Microsoft Windows Server 2003 позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров [ 7.4 ] . Реализуется эта функциональность с помощью оснастки "Редактор объектов групповой политики", общий вид которой приведен на рис. 7.1

Оснастка "Редактор объектов групповой политики"

увеличить изображение
Рис. 7.1. Оснастка "Редактор объектов групповой политики"

Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units).

Групповые политики и Active Directory позволяют:

  • централизованно управлять пользователями и компьютерами в масштабах предприятия;
  • автоматически применять политики информационной безопасности;
  • понижать сложность административных задач (например, обновление операционных систем, установка приложений);
  • унифицировать параметры безопасности в масштабах предприятия;
  • обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей.

При управлении безопасностью информационной системы предприятия групповая политика позволяет управлять контроллерами доменов и серверами, определять наборы параметров для конкретной группы пользователей, параметры защиты, сетевой конфигурации и ряд других параметров, применяемых к определенной группе компьютеров.

Active Directory позволяет управлять через групповые политики любыми службами и компонентами на платформе Windows.

Групповые политики Active Directory позволяют администраторам централизованно управлять ИТ-инфраструктурой предприятия. С помощью групповой политики можно создавать управляемую ИТ-инфраструктуру информационной системы. Эти возможности позволяют снизить уровень ошибок пользователей при модификации параметров операционных систем и приложений, а также совокупную стоимость владения информационной системы, связанную с администрированием распределенных сетей.

Групповая политика позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированных в строгом соответствии с их должностными обязанностями и уровнем квалификации.

Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих правил:

  • объекты групповой политики (GPO) хранятся в каждом домене индивидуально;
  • с одним сайтом, доменом или организационной единицей может быть сопоставлено несколько GPO;
  • с нескольких сайтов, доменов или организационных единиц могут использовать единственную GPO;
  • любому сайту, домену или организационной единице можно сопоставить любую GPO;
  • параметры, определяемые GPO, можно фильтровать для конкретных групп пользователей или компьютеров на основе их членства в группах безопасности или с помощью WMI-фильтров.

При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности:

  • политика на основе реестра. С помощью редактора объектов групповой политики можно задать параметры в реестре для приложений, операционной системы и её компонентов (например администратор может удалить из главного меню значок "Моя музыка", что представлено на рис. 7.2);
  • параметры безопасности. Администраторы могут указывать параметры локальной, доменной и сетевой защиты для компьютеров и пользователей в области действия GPO, используя шаблоны безопасности ( рис. 7.3);
Удаление значка из главного меню профиля пользователя

увеличить изображение
Рис. 7.2. Удаление значка из главного меню профиля пользователя
Оснастка Политика учетных записей шаблонов безопасности

увеличить изображение
Рис. 7.3. Оснастка Политика учетных записей шаблонов безопасности
  • ограничения на использование программ. Данные ограничения предназначены для защиты от вирусов, выполнения нежелательных программ и атак на компьютеры;
  • распространение и установка программ. Обеспечивается возможность централизованного управления установкой, обновлением и удалением приложений;
  • сценарии для компьютеров и пользователей. Данные средства позволяют автоматизировать операции, выполняемые при запуске и выключении компьютера, при входе и выходе пользователя;
  • мобильные пользовательские профили и перенаправление папок. Профили хранятся на сервере и позволяют загружаться на тот компьютер, где пользователь входит в систему. Перенаправление папок позволяет размещать важные для пользователя папки на сервере;
  • автономные папки. Данный механизм позволяет создавать копии сетевых папок, синхронизировать их с сетью и работать с ними при отключении сети;
  • поддержка Internet Explorer. Эта возможность позволяет администраторам проводить управление конфигурацией Microsoft Internet Explorer на компьютерах с поддержкой групповой политики.

Для общего контроля применения групповой политики используются механизм WMI – фильтров (Windows Management Instrumentation). Данное решение позволяет администраторам создавать и модифицировать WMI – запросы для фильтрации параметров безопасности, определяемых групповыми политиками. WMI – фильтры позволяют динамически задавать область действия групповой политики на основе атрибутов целевого компьютера.

Применение механизма групповой политики для ИТ-инфраструктуры предприятия способствует снижению сложности решения задач развертывания обновлений, установки приложений, настройки профилей пользователей и, в целом, администрирования информационной системы. Применение групповой политики в информационной системе предприятия дает следующие преимущества:

  • повышение эффективности использования инфраструктуры Active Directory;
  • повышение гибкости выбора области администрирования для предприятий, различающихся по размеру и отраслевой принадлежности, при происходящих изменениях в бизнесе;
  • наличие интегрированного средства управления групповой политикой на основе консоли GPMC;
  • простота в использовании, которая обеспечивается удобным и понятным пользовательским интерфейсом консоли GPMC, что приводит к сокращению расходов на обучение и повышает эффективность труда администраторов;
  • надежность и безопасность действий администраторов за счет автоматизации процесса ввода групповых политик в действие;
  • централизованное управление конфигурациями на основе стандартизации пользовательских вычислительных сред.
< Лекция 6 || Лекция 7: 1234 || Лекция 8 >
Александр Медов
Александр Медов

Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны?

Андрей Стрельников
Андрей Стрельников

Какой документ выдается по программе профпереподготовки Управление ИТ-инфраструктурой? В разделе Дипломы указан сертификат, аналогичный бесплатным курсам.

Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989