,

Санкт-Петербургский государственный политехнический университет

АНАЛИЗ БЕЗОПАСНОСТИ НАСТРОЕК
В ОПЕРАЦИОННЫХ СИСТЕМАХ ОБЩЕГО НАЗНАЧЕНИЯ

Приводится описание применения системы "Декарт" для автоматизированного поиска уязвимостей настроек безопасности в ОС общего назначения

Задача обеспечения безопасности ОС общего назначения (например, Windows, NIX-системы) решается путем внедрения в состав таких систем разнообразных механизмов защиты. При этом возникает проблема поддержания защищенности огромного количества ресурсов, поскольку ОС общего назначения предназначены для комфортной работы широкого круга людей разного уровня компьютерной грамотности. Дружественность интерфейса таких ОС достигается путем внедрения и поддержания работы огромного количества системных и пользовательских объектов. В результате, администрирование безопасности ОС рассматриваемого типа обеспечивается путем конфигурирования огромного множества настроек защищаемых объектов и параметров ОС, например: прав доступа ко всем именованным объектам (от файлов и ключей реестра до потоков и семафоров), членства пользователей в группах, привилегий, групповых политик.

Примером ОС общего назначения является семейство Microsoft Windows NT (NT4, 2000/XP, 2003 Server), которое сочетает в себе и удобство пользовательского интерфейса, и возможность защиты информации. Однако для поддержания безопасности ОС необходимо отслеживать весь набор настроек безопасности и учитывать их косвенное влияние друг на друга, что весьма затруднительно по причине множества объектов и их атрибутов: общее количество различных комбинаций настроек безопасности исчисляется десятками миллионов. В результате, согласно данным CERT, ошибки администрирования являются причиной 20% уязвимостей для ОС Windows. Причем, уязвимости этого типа устранимы лишь вручную настройкой параметров ОС или заданием атрибутов доступа (например, прав, владельца, флагов наследования) к ресурсам. Для облегчения задачи администрирования безопасности в ОС Windows и автоматизации рутинной процедуры анализа защищенности авторами разработана система "Декарт".

НЕ нашли? Не то? Что вы ищете?

Система "Декарт" функционирует в среде Windows. Она позволяет администратору графически задавать и редактировать логические ограничения на операции доступа к множеству объектов ОС. Ограничения играют роль критериев, при нарушении которых ОС считается незащищенной. Система "Декарт" поддерживает разнообразные формы критериев: проверка существования объекта ("ОС безопасна, если присутствует ключ реестра X"), проверка маски прав ("ОС безопасна, если на файл X стоят права Y для пользователя Z"), проверка возможности осуществления действия над объектом с учетом влияния различных настроек ("ОС безопасна, если пользователь Z не может удалить процесс X") и т. д. Проверка безопасности настроек системы выполняется автоматически на множестве собранных данных о параметрах ОС. Анализ заданных администратором ограничений производится при помощи специальной машины вывода, учитывающей модель безопасности ОС Windows. В результате оператору предоставляются наборы инструкций по устранению нарушений, выявленных в ходе проверки ограничений. Каждая инструкция содержит руководство по исправлению сложившейся ситуации путем изменения настроек безопасности.

Быстродействие системы "Декарт" сопоставимо, а в ряде случаев превышает этот показатель семейства близких по функционалу программных продуктов — антивирусных сканеров. Например, проверка всего множества шаблонов безопасности Microsoft (порядка 5000 тестов), выполняемая посредством системы "Декарт" и включающая сбор данных, их обработку и формирование отчета с инструкциями по исправлению нарушений, занимает несколько десятков секунд.

От существующих анализаторов безопасности систему "Декарт" выгодно отличают возможность графического составления критериев проверки, сбор настроек безопасности для всех типов объектов, генерация отчетов в форме инструкций по исправлению обнаруженных нарушений, наличие платформо-независимого вычислительного ядра.

Система "Декарт" является высокотехнологичной отечественной разработкой, основанной на применении методов искусственного интеллекта и логического моделирования.

Применение системы "Декарт" в повседневной работе администратора позволяет существенно облегчить задачу безопасного конфигурирования ОС Windows и значительно сократить риски, связанные с ошибками администрирования. Помимо решения задач администрирования система "Декарт" применяется для обеспечения сертификационных испытаний, в ходе которых должны проводиться проверки гарантированности защиты. Система "Декарт" используется в образовательном процессе для обучения навыкам настройки безопасности ОС.