Методики построения систем защиты информации

Лабораторная работа 1. Сбор данных об информационной системе с помощью средств администрирования Windows (оснасток MMC)

Для проведения оценки рисков необходимо провести инвентаризацию активов информационной системы (ИС). Если в ИС используются домены Windows, для получения данных о системе можно использовать средства администрирования, реализованные в виде оснасток консоли администрирования (Microsoft management console - mmc).

Используемые в данной работе инструменты могут быть запущены из раздела "Администрирование" меню "Пуск" или через "Панель управления" (Пуск —> Панель управления —> Администрирование).

Целью данной лабораторной работы является сбор данных об имеющихся компьютерах, установленных на них операционных системах, предоставляемых в общий доступ файловых ресурсах.

Из раздела "Администрирование" запустите Active Directory Users and Computers. В раскрывающемся списке объектов выберите Ваш домен, там откройте перечень компьютеров (папка Computers - рис. 1.1).

Рис. 1.1. Получение перечня компьютеров домена

С помощью кнопки панели инструментов "Экспорт списка" (на кнопке изображение списка и стрелки) список компьютеров можно экспортировать в текстовый файл для дальнейшей обработки. В свойствах компьютера отображается название и версия установленной операционной системы ( рис. 1.2). Также там может быть дополнительная информация, например, описывающая размещение.

Аналогичные данные о контроллерах домена можно получить в разделе Domain Controllers. Данные о пользователях и их группах доступны в разделе Users. Надо отметить, что представленное распределение по разделам не является обязательным. В процессе администрирования могут создаваться новые подразделения (OU - Organization Unit) и объекты (например, пользователи или компьютеры) - помещаться в них.

Рис. 1.2. Информация о компьютере

Информацию о соответствии имен компьютеров IP-адресам можно получить, используя утилиту командной строки nslookup или административную оснастку "DNS". Например, узнать IP-адрес компьютера http://comp1.mcompany.ru можно с помощью команды nslookup comp1.mcompany.ru Часто действующие настройки в сети таковы, что ip-адреса компьютерам выделяются динамически, с использованием службы dhcp, и могут периодически меняться. Как правило, у серверов ip-адреса постоянны.

Теперь перейдем к этапу сбора данных об информационных ресурсах, поддерживаемых на компьютере. Перечень предоставляемых в общий доступ папок можно получить с помощью оснастки "Управление компьютером". На рис. 1.3 представлен пример перечня ресурсов рабочей станции, предоставляемых в общий доступ в служебных целях. Этот список можно также экспортировать в текстовый файл.

увеличить изображение
Рис. 1.3. Пример перечня общих ресурсов рабочей станции

Более интересен будет подобный список для файлового сервера. Чтобы его увидеть, надо подключить оснастку "Управление компьютером" для сервера. Запустите консоль MMC ( Пуск—>Выполнить—>mmc ), в меню выберите добавление новой оснастки ( рис. 1.4), выберите оснастку "Управление компьютером" и укажите, что она будет использоваться для другого компьютера ( рис. 1.5).

увеличить изображение
Рис. 1.4. Добавление новой оснастки

Рис. 1.5. Выбор компьютера

В остальном для пользователя все будет происходить так же, как и при работе с локальным компьютером.

В свойствах ресурса можно узнать о разрешениях, которые установлены на него как для разделяемого ресурса ( рис. 1.6), а на вкладке "Безопасность" - разрешениях файловой системы NTFS (если папка расположена на разделе с этой файловой системой, а не с FAT).

Рис. 1.6. Разрешения

Задание

1. Получите перечень компьютеров и контроллеров домена. Для указанных преподавателем 1-2 компьютеров выясните установленную операционную систему и используемые ими ip-адреса. Занесите данные в отчет.
2. Получите перечень предоставляемых в общий доступ каталогов на вашем компьютере и на компьютерах, данные о которых Вы собирали на этапе 1. Опишите хранимые там данные и охарактеризуйте степень их важности. Занесите полученную информацию в отчет.
3. Для указанных ресурсов и выбранных пользователей опишите действующие разрешения на доступ. При этом надо учитывать, что:
   • эффективное (действующее) разрешение складывается из разрешений для пользователя лично и разрешений всех групп, в которые пользователь входит;
   • запрещение имеет больший приоритет, чем разрешение;
   • при комбинации разрешений для общего ресурса с разрешениями NTFS, приоритетными будут разрешения, максимально ограничивающие доступ.

Информацию о членстве пользователя в доменных группах можно получить через оснастку Active Directory Users and Computers, о локальных группах - через "Управление компьютером".