Служба каталога Active Directory (AD)

Слайд 2

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Слайд 3

Список контроля доступа

Слайд 4

Получение доступа

Идентификация
Аутентификация
Авторизация

Слайд 5

Три кита аутентификации

«Что ты знаешь» - пароль
«Что ты имеешь» - единственный ключ
«Что

Слайд 6

Хранилище учётных данных

Учётные данные пользователя могут храниться
на локальном компьютере

Проблема: потребуется создать

Слайд 7

Отношение доверия

Доверие

Слайд 8

Домен Windows NT

Требует наличия как минимум одного контроллера домена (PDC)
Граница репликации домена

Слайд 9

Лес Active Directory

Состоит из одного и более доменов Active Directory
Первый домен в

Слайд 10

Домен Active Directory

Требует наличия как минимум одного контроллера домена
Граница репликации доменного раздела

Слайд 11

Подразделения

Объекты
Пользователи
Компьютеры
Подразделения
Контейнеры для группировки объектов в домене
Подразделения создаются:
Для делегирования разрешений
Для назначения групповых политик

Слайд 12

Доверительные отношения в лесу Active Directory

Слайд 13

Хранилище учётных данных

Роль контроллера домена при аутентификации

Проверка учётных данных

Слайд 14

Хранилище данных Active Directory

%systemroot%\NTDS\ntds.dit
Логические разделы
Домен
Схема
Конфигурация
Глобальный каталог
DNS
SYSVOL
%systemroot%\SYSVOL
Скрипты входа в систему
Политики

Слайд 15

Сайты

Объекты Active Directory, представляющие сегменты сети с надёжным соединением
Ассоциируются с подсетями.
Внутрисайтовая и

Слайд 16

Учётные записи пользователей

Учётная запись пользователя:
Позволяет проводить аутентификацию пользователя с помощью атрибутов, например

Слайд 17

Процесс входа пользователя в систему в домене

Логин + пароль

Логин + хэш пароля

Разрешение
на

Слайд 18

Пользователь обращается к ресурсу \\file1.study.example.com

Процесс доступа к сетевым ресурсам в домене

Запрос доступа

Разрешение

Слайд 19

Использование групп для контроля доступа на основе ролей

Пользователь

Группа роли

Группа доступа

Ресурсы

Иван Иванов

Пётр Петров

Василий

Слайд 20

Диапазоны применения групп

U Пользователь DLG Локальная группа в домене C Компьютер UG Универсальная группа GG Глобальная группа

Слайд 21

Вложение групп

Пользователь

Пользователь

Аудиторы (глобальная группа)

Маркетинг (глобальная группа)

ACL_Sales_Read (локальная в домене)

Identities (пользователи и компьютеры)

Слайд 22

Типы групп

Группы распространения

Группы безопасности

Используются приложениями электронной почты
Не имеют идентификатора безопасности

Имеют идентификатор безопасности,

Слайд 23

Учётные записи компьютеров

Компьютер является участником безопасности как и пользователь
Учётная запись компьютера необходима

Слайд 24

Доверительные отношения между лесами

Слайд 25

Взаимодействие с Интернет. Firewall (брандмауэр, межсетевой экран)

Слайд 26

Модель эшелонированной обороны

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

Слайд 27

Набор технологий

Proxy
VPN
Контентная фильтрация
Аутентификация
Трансляция сетевых адресов
Пакетные фильтры

Слайд 28

Простые конфигурации

Слайд 29

Демилиторизованная зона (сеть периметра)

Слайд 30

Windows Firewall?

Слайд 31

Персональный брандмауэр

Слайд 32

Windows Firewall с расширенными возможностями

Слайд 33

Windows Firewall с расширенными возможностями

Слайд 34

Windows Firewall с расширенными возможностями

Слайд 35

Windows Firewall с расширенными возможностями

Слайд 36

Windows Firewall с расширенными возможностями

Слайд 37

Windows Firewall с расширенными возможностями

Слайд 38

Windows Firewall с расширенными возможностями

Слайд 39

Windows Firewall с расширенными возможностями

Слайд 40

Windows Firewall с расширенными возможностями

Слайд 41

Слайд 42

Слайд 43

Конфиденциальность

EF

SK

F

PK

SK

OK

ESK

OK

Слайд 44

Целостность и аутентификация

F

H

F

PK

OK

EH

OK

HF

H

H’

HF

Слайд 45

Списки управления доступом

Горячев Александр Вадимович
Доцент кафедры ИБ
[email protected]

Слайд 46

Модель эшелонированной обороны

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

Хранение

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

SC

Слайд 47

Список контроля доступа

Слайд 48

Список контроля доступа (ACL)

Слайд 49

Маркер доступа (AT)

Слайд 50

Обеспечение доступности информации при хранении

Горячев Александр Вадимович
Доцент кафедры Информационной безопасности
[email protected]

Слайд 51

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Слайд 52

Резервное копирование. Настройка

Слайд 53

Резервное копирование. Схемы

Полная копирование
Инкрементальное копирование
Дифференциальное копирование
Копирование на конкретную дату

Слайд 54

Резервное копирование. Правила

ТРИ экземпляра копии, один – «OffSite»
Регулярная проверка целостности копии
Резервная копия

Слайд 55

Дисковые массивы. Зеркало

Слайд 56

Дисковые массивы. RAID 5

Слайд 57

Дисковые массивы. Hot Spare

Слайд 58

Shadow Copy

Слайд 59

Кластер надежности

Слайд 60

Групповые политики службы каталога Active Directory

Горячев Александр Вадимович
Доцент кафедры Информационной безопасности

Слайд 61

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Слайд 62

Локальная политика безопасности

Слайд 63

Шаблоны безопасности

Слайд 64

Анализ и конфигурация безопасности

Слайд 65

Домен Windows NT

Требует наличия как минимум одного контроллера домена (PDC)
Граница репликации домена

Слайд 66

Подразделения (организационные единицы)

Объекты
Пользователи
Компьютеры
Подразделения
Контейнеры для группировки объектов в домене
Подразделения создаются:
Для делегирования разрешений
Для назначения

Слайд 67

Хранилище данных Active Directory

%systemroot%\NTDS\ntds.dit
Логические разделы
Домен
Схема
Конфигурация
Глобальный каталог
DNS
SYSVOL
%systemroot%\SYSVOL
Скрипты входа в систему
Политики

Слайд 68

Учётные записи компьютеров

Компьютер является участником безопасности как и пользователь
Учётная запись компьютера необходима

Слайд 69

Параметры групповой политики

Детальное определение изменений в конфигурации
Предотвратить доступ к реестру
Назначить установку приложения
Выполнить

Слайд 70

Объекты групповой политики

Контейнер для параметров групповой политики
Применяется на определённом уровне иерархии Active

Слайд 71

Административные шаблоны

Параметры политик из Административных Шаблонов производят изменения в реестре
HKCU\Software\Microsoft\ Windows\CurrentVersion\ Policies\System
DisableRegeditMode
1 – Отключить

Слайд 72

Клиент групповой политики и Client-side extensions

Клиент групповой политики получает список GPO с порядком

Слайд 73

Применение политик разными операционными системами

Минимальный поддерживаемый уровень
Client Side Extensions
Синхронное и асинхронное применение

Слайд 74

Расширение функционала с помощью административных шаблонов

Административные шаблоны позволяют централизованно управлять программным обеспечением:
Microsoft

Слайд 75

Порядок применения GPO

OU

OU

GPO5

GPO1

Локальная группа

Слайд 76

Блокирование наследования

OU

OU

GPO5

GPO1

Локальная группа

Слайд 77

Фильтрация по безопасности

Слайд 78

Фильтрация WMI

Слайд 79

Область применения

Область применения
Определение объектов (пользователей и компьютеров) к которым применяется GPO
Связи GPO
GPO

Слайд 80

Обновление групповых политик

Когда применяются параметры GPO
Конфигурация компьютера
Включение
Каждые 90-120 минут
GPUpdate
Конфигурация пользователя
Вход в систему
Каждые

Слайд 81

Предпочтения групповой политики

Предпочтения групповых политик расширяют диапазон настраиваемых параметров GPO и:
Способы применения

Слайд 82

Нацеливание предпочтений групповой политики

Нацеливание на уровень элемента
В одном GPO может быть

Слайд 83

Loopback policy processing

При входе пользователя в систему применяются пользовательские параметры GPO нацеленные

Слайд 84

Обработка групповых политик при медленном соединении

Клиент групповой политики определяет, находится ли контроллер

Слайд 85

Подводя итог

Групповые политики АД – мощный инструмент управления конфигурацией компьютера
Применение требует тщательного

Слайд 86

Шифрованная файловая система (EFS)

Горячев Александр Вадимович
Доцент кафедры Информационной безопасности
[email protected]

Слайд 87

Модель эшелонированной обороны

EFS

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

Слайд 88

Список контроля доступа

Слайд 89

Список контроля доступа

Слайд 90

Список контроля доступа

ACL

Слайд 91

Шифрование с симметричным ключом

T(a,x) = e
T-1(e,x) = a

Слайд 92

Простейший вариант

F

EF

F

SK

?

Слайд 93

Шифрование с асимметричным ключом (открытым и закрытым ключами)

G->(o,p)
T(a,o) = e
T-1(e,p) = a

G->(o,p)
T(a,p)

Слайд 94

А можно так?

F

EF

F

PK

OK

?

?

Слайд 95

Уже правильнее

Слайд 96

EFS

RK

OK

ESK

ESK

SK

Слайд 97

Формирование сертификата

ОК

Кто?

Зачем?

?

Заявка на сертификат

СА

СА

Инфо

S

Слайд 98

Сертификат

Слайд 99

Сертификат

Слайд 100

Интерфейс управления EFS

Слайд 101

Взаимодействие внутри корпоративной сети. IPsecurity. SSL.

Слайд 102

Модель эшелонированной обороны

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

Firewall

RMS

IPSec

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

SSL

Слайд 103

Конфиденциальность

EF

SK

F

PK

SK

OK

ESK

OK

Слайд 104

Целостность и аутентификация

F

H

F

PK

OK

EH

OK

HF

H

H’

HF

Слайд 105

Настройка IP Security

Слайд 106

Настройка политики IP Security

Слайд 107

Настройка правил IP Security

Слайд 108

Настройка правил IP Security

Слайд 109

Настройка аутентификации IP Security

Слайд 110

Мониторинг IPSecurity

Слайд 111

Secure Socket Layers (SSL)

EF

SK

F

PK

SK

OK

ESK

OK

Клиент

Сервер

Слайд 112

Установка соединения SSL

Слайд 113

Суртификаты SSL

Слайд 114

Сертификаты SSL

Слайд 115

Работа с SSL

Слайд 116

VPN

Горячев Александр Вадимович
Доцент кафедры ИБ
[email protected]

Слайд 117

Модель эшелонированной обороны

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

Firewall

RMS

IPSec

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

SSL

Слайд 118

Технологии выхода в Интернет из корпоративной сети

Маршрутизация
Статическая трансляция адресов (публикация ресурсов)
Динамическая трансляция

Слайд 119

Маршрутизация

195.131.5.235

131.13.15.35

131.15.98.1

131.15.98.34

Слайд 120

Статическая трансляция адресов (статический NAT)

195.131.5.235

131.13.15.35
131.13.15.36

192.168.2.1

192.168.2.15

192.168.2.37

Статический
NAT

Слайд 121

Статический NAT – как выглядит снаружи

195.131.5.235

131.13.15.1

131.13.15.35

131.13.15.35

Слайд 122

Динамическая трансляция адресов (динамический NAT)

195.131.5.23

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Динамический
NAT

198.13.44.12

Пакет прямой:
Отправитель:131.13.15.35:34555
Получатель: 198.13.44.12:80

Пакет ответный:
Отправитель: 198.13.44.12:80
Получатель: 131.13.15.35:34555

Слайд 123

Прокси (Proxy)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Proxy Server

HTTPS

HTTP

Слайд 124

Технологии доступа из Интернет к ресурсам корпоративной сети
Статическая трансляция адресов (публикация)
Обратный прокси

Слайд 125

Web Application Proxy (Обратный прокси)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Web Application Proxy

HTTPS

HTTP

Слайд 126

Виртуальные частные сети (VPN)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

13.3.44.2

VPN сервер

10.0.0.134

10.0.0.1

Слайд 127

Виртуальные частные сети (VPN)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Сервер доступа

13.3.44.2

VPN сервер

Слайд 128

Настройка VPN в RRAS

Слайд 129

Настройка параметров подключения

Слайд 130

Терминальный доступ

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Сервер Терминального
Доступа

RDP

Слайд 131

Терминальный доступ

Слайд 132

Терминальный доступ

Слайд 133

Терминальный доступ

Слайд 134

Терминальный доступ

Слайд 135

Спасибо за внимание!

Слайд 136

Сертификаты. Инфраструктура шифрования с открытым ключом (PKI)

Горячев Александр Вадимович
Доцент кафедры ИБ
[email protected]

Слайд 137

Хранение

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Слайд 138

Список контроля доступа

Слайд 139

Список контроля доступа

Слайд 140

Список контроля доступа

ACL

Слайд 141

Шифрование с симметричным ключом

T(a,x) = e
T-1(e,x) = a

Слайд 142

Простейший вариант

F

EF

F

SK

?

Слайд 143

Шифрование с асимметричным ключом (открытым и закрытым ключами)

G->(o,p)
T(a,o) = e
T-1(e,p) = a

G->(o,p)
T(a,p)

Слайд 144

А можно так?

F

EF

F

PK

OK

?

?

Слайд 145

Уже правильнее

Слайд 146

Передача - Конфиденциальность

EF

SK

F

PK

SK

OK

ESK

OK

Слайд 147

Целостность и аутентификация

F

H

F

PK

OK

EH

OK

HF

H

H’

HF

Слайд 148

Формирование сертификата

ОК

PК

Кто?

Зачем?

?

Заявка на сертификат

СА

СА

Инфо

S

Слайд 149

Сертификат

Слайд 150

Сертификат

Слайд 151

Типы СА

Слайд 152

Имя и сертификат

Слайд 153

Консоль центра сертификатов

Слайд 154

Выданные сертификаты

Слайд 155

Шаблоны сертификатов

Слайд 156

Заголовок файла

Слайд 157

Отзыв сертификата

Слайд 158

Отзыв сертификата - причина

Слайд 159

Отмена отзыва сертификата

Слайд 160

Запрос сертификата через Web

Слайд 161

Детали запроса

Слайд 162

Установка готового сертификата

Слайд 163

Личные сертификаты

Слайд 164

Полученный сертификат

Слайд 165

Доверенные сертификаты

Слайд 166

Защита компьютерной информации. Защита информации на уровне кода

Горячев Александр Вадимович
Доцент кафедры Информационной

Слайд 167

Хранение

Модель эшелонированной обороны

Хранение

Хранение

Обработка

Приложения

OS/.NET

редача

Передача

Intranet

Internet

Физический доступ

Политики, процедуры, осведомленность

PKI

AD

Хранилища

Обновления

Обновления

Аутентификация

Антивирус

Контроль доступа

Слайд 168

Обновления – какие проблемы?

Ошибки изначального кода
Уязвимости

Как бороться?

«Заплатки» (Patch)
Замена кода

Start

Bad code

Finish

Good

Слайд 169

Все ли изменения нужны?

Security – ДА!!!
…
Feature-pack – Нет!

Слайд 170

Центр обновлений Windows

Слайд 171

Типы атак

Слайд 172

Phishing

Получение паролей, PIN-кодов и пр.

Пассивное наблюдение
Спровоцировать передачу неавторизованному участнику
Проникновение с кражей

Слайд 173

USB-флэш атака

Из 30 разбросанных по территории предприятия флэшек 20 «откликнулись» в течении

Слайд 174

Вирус

Репликатор
Маскировщик (полиморфизм)
Тело вируса

Файлы
Система
Загрузочная зона
Макровирусы

Программа-акцептор

Программа-донор

Слайд 175

Черви

Средство проникновения
Инсталлятор
Средство поиска
Сканнер
Тело червя

Червь

Тело

Поиск

Интрудер

Инст

Слайд 176

Троян

Контейнер – полезная программа
Тело трояна

Программа-контейнер

Вирус

Тело

Логическая бомба

Слайд 177

Root Kit

Встраивается на уровне драйверов операционной системы
Очень сложно обнаружить

Слайд 178

Методы обнаружения угроз ПО

Обнаружение по маске – сканирование
Анализ логов
Обнаружение по маске при

Слайд 179

Защита от вирусов и…

Слайд 180

Контроль доступа (UAC)

Слайд 181

Обеспечение качества кода в ходе разработки

Слайд 182

Модель угроз STRIDE

Слайд 183

Анатомия атаки

Замести следы

Анализ и планирование

Проникновение

Выполнить задачу

Повышение привилегий

1

2

3

4

5

Слайд 184

Борьба…