Замкнутой программной среды
Замкнутая программная среда - это «белый» список приложений, которые пользователю разрешается запускать на компьютере. В этот список включаются все компоненты ПО: исполняемые файлы, программные библиотеки, драйверы, оверлейные модули, исполняемые сценарии, экранные заставки и т.п. Система должна обеспечивать
блокирование возможности использования программных модулей, не входящих в «белый» список, а также исключать возможность внесения изменений в сами программные модули, включенные в список.
Штатные средства Windows, позволяющие организовать работу в режиме замкнутой программной среды, появились начиная с Windows XP, где они фигурируют под названием политик ограничения ПО (Software Restriction Policies). Эти политики настраиваются среди прочих параметров безопасности в групповых политиках Active Directory, что позволяет легко тиражировать указанные настройки на большое количество компьютеров. Следует отметить, что эту функцию, во-первых, не поддерживает Windows 2000, поэтому для ее реализации приходится искать альтернативные решения, а во-вторых, процесс настройки ограничений ПО в групповых политиках чрезвычайно трудоемок: каждый модуль, включаемый в список, приходится вносить вручную (выбрать с помощью стандартного системного диалога выбора файла, при этом отсутствует возможность выделить и выбрать несколько файлов одновременно), никаких средств автоматизации также не предусмотрено.
Кроме Software Restriction Policies, реализация замкнутой программной среды включается в состав программной части всех сертифицированных ФСТЭК России СЗИ НСД. Во времена однозадачных ОС это было реализовано через формирование меню, с помощью которого пользователи могли запустить только ограниченный перечень программ, при этом 1даструкции запрещали включать в число пунктов меню программы типа Norton Commander, позволявшие в свою очередь запустгаъ что угодно. В современных многозадачных ОС, в состав СЗИ НСД входит специальный системный драйвер, «отфильтровывающий» обращения к программным компонентам, не включенным в список, ассоциированный на данном компьютере с данным пользователем.
Дополнительная защита доверенной программной среды осуществляется либо встроенными в СЗИ НСД средствами контроля целостности, на которьш ставятся модули, включенные в список замкнутой программной среды для пользователя (при этом приходится идти на определенный компромисс, чтобы такой контроль не занимал слишком много времени и не отнимал слишком много системных ресурсов притом, что объем контролируемых данных достаточно велик - обычно вся папка Windows и половина прикладного ПО, имеющегося на компьютере), либо контролем атрибутов доступа - т.е. включенные в список файлы не должны быть доступны пользователю на запись.
В частности, именно контроль атрибутов доступа используется в СЗИ Secret Net версии 4.0. В СЗИ Secret Net 5.0 разработчики вернулись к идее контроля целостности файлов, а не только атрибутов доступа - возросшее в последнее время быстродействие компьютеров сделало такой подход осуществимым, хотя запуск приложений и занимает в несколько раз больше времени.
Другая полезная особенность реализации замкнутой программной среды (ЗПС) в СЗИ НСД - это возможности автоматизированного построения списка разрешенных для запуска программ. В СЗИ Secret Net это сделано несколькими способами. Во-первых, может использоваться информация из системного реестра Windows, сохраненная службой Installer: какие файлы были записаны на жесткий диск и какие добавления внесены в реестр при установке приложения. Во-вторых, за основу может быть взят программный ярлык приложения: анализируется, какой исполняемый файл запускается этим ярлыком, какие вызовы динамических библиотек DLL и других программных модулей содержатся в исполняемом коде этого файла. Соответствующие файлы добавляются в список, а также подвергаются такому же анализу, что в свою очередь может приводить к дополнениям в списке. Наконец, анализируется журнал регистрации событий, в котором фактически собрана информация - какие программы пользователь запускал, какие динамические библиотеки (*.dll) он при этом загружал. Для сбора этой информации механизм замкнутой программной среды сначала включается для пользователя в «мягком», отладочном режиме, при котором система не блокирует запуск/загрузку программных модулей, но фиксирует в журнале регистрации событие НСД «Запрет запуска программы» - потом именно по этим событиям происходит автоматическое дополнение списка. Файлы, добавляемые в список на базе анализа журнала, в свою очередь анализируются на предмет вызовов других программных модулей, которые тоже добавляются в список.
Следует иметь в виду, что наряду с настройкой замкнутой программной среды следует внести и другие дополнения в рабочую среду пользователя: убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. Это делается уже изменением стандартных настроек Windows через групповые политики либо другие программы настройки.
Дата добавления: 2018-03-01; просмотров: 4175;