“”/
актуальные новости и полезные материалы в telegram канале
 
Вход
11 января 2024


Статья 2. Механизмы базовой защиты Secret Net Studio

Цикл «Знакомство с SNS и SN LSP»
Приветствуем вас во второй статье цикла «Знакомство с SNS и SN LSP», где мы обсудим архитектуру решения, а также компоненты, входящие в базовую защиту Secret Net Studio 8.10.
Архитектура Secret Net Studio
Secret Net Studio состоит из следующих программных пакетов:

1.Сервер безопасности, который реализует функции контроля и управления защищаемыми компьютерами.

Компонент осуществляет централизованный сбор, хранение и архивирование журналов. Координирует работу объектов управления, получает и обрабатывает информацию о состоянии защищаемых компьютеров.

В состав ПО сервера безопасности входит сервер авторизации, отвечающий за работу механизма межсетевого экранирования, и шлюз, который обеспечивает взаимодействие двух серверов безопасности.

2.Центр управления: компонент устанавливается на рабочем месте администратора.
С помощью него можно централизованно управлять защищаемыми компьютерами.

3.Клиент: осуществляет защиту компьютера.
Серверу безопасности могут быть подчинены компьютеры с установленным на них клиентом Secret Net Studio или программным обеспечением Secret Net LSP.

Клиент Secret Net Studio поддерживает работу в двух режимах:
  • Автономный режим
    Предоставляет возможность защиты отдельных рабочих станций и серверов. Управление защитными механизмами осуществляется локально на одном компьютере. В этом случае требуется установить только ПО клиента Secret Net Studio и проводить дальнейшую настройку механизмов защиты с помощью Локального центра управления;
  • Сетевой режим
    Позволяет локально и централизованно управлять механизмами защиты, организовать мониторинг и аудит в Центре управления. В сетевом варианте серверу безопасности подчиняются как защищаемые компьютеры, так и другие сервера безопасности.
При развертывании системы Secret Net Studio в сетевом режиме все компьютеры входят в состав домена безопасности. Он может формироваться из организационного подразделения или всего домена Active Directory.

Несколько доменов безопасности образуют лес доменов, в рамках которого можно установить несколько серверов безопасности. Каждый из серверов контролирует работу определенной группы защищаемых компьютеров и имеет свою базу данных.

Сетевая структура допускает объединение нескольких лесов безопасности с подчинением по иерархическому принципу. В этом случае один из лесов становится родительским (корневым), а другие являются дочерними (подчиненными) по отношению к нему.

Леса взаимодействуют между собой при помощи шлюза, который размещается в каждом из дочерних лесов безопасности, а также синхронизируют данные между собой с помощью службы синхронизации. Таким образом все леса безопасности складываются в единое объединение: федерация.
В состав клиента системы Secret Net Studio входят следующие функциональные компоненты:
  • основные программные службы, модули и защитные подсистемы, формирующие базовую защиту;
  • дополнительно подключаемые функциональные компоненты:
  • локальная защита;
  • доверенная среда;
  • защита от вирусов и вредоносного ПО;
  • сетевая защита.

! Изменения в развертывании и обновлении продукта


  • Добавлены новые варианты установки компонентов. Помимо локальной и централизованной установки, имеется возможность развертывания СЗИ Secret Net Studio через сервер обновлений, на котором хранятся дистрибутивы и пакеты обновлений продукта;

  • Кроме того, для развертывания СЗИ Secret Net Studio может использоваться автономный пакет установки. Он представляет собой легковесный агент, который содержит в себе файл со сценарием локальной или централизованной установки клиента. Данный пакет запускается на компьютере, затем происходит установка клиента Secret Net Studio в соответствии со сценарием установки, указанном при создании пакета.;

  • Добавлена фильтрация по версиям/патчам защищаемых компьютеров на странице развертывания. Этот фильтр удобно использовать при большом количестве установленных клиентов
  • Доступна новая утилита SNSRemover, позволяющая повторно установить Secret Net Studio без переустановки ОС

! Общесистемные изменения


  • Обеспечена совместимость с Windows 10 22H2 и Windows 11 22H2
Базовая защита
В базовую защиту входят:
  • Ядро: управляет подсистемами, отвечает за обмен данных между ними. Обрабатывает поступающую информацию о событиях, связанных с безопасностью системы, и регистрирует их в журнале Secret Net Studio;
  • Агент: с помощью него клиент взаимодействует с сервером безопасности;
  • Средства локального управления: управляют защитными механизмами, параметрами пользователей, объектами защиты
В них входят:
  • Подсистема локальной аутентификации
    Реализует механизм защиты входа в систему
  • Подсистема работы с аппаратной поддержкой
    Используется в механизме защиты входа в систему для работы с устройствами аппаратной поддержки
  • Подсистема контроля целостности
    Выполняет проверку целостности ресурсов компьютера
  • Подсистема самозащиты
    Предотвращает несанкционированную остановку критических служб и процессов
Остановимся подробнее на средствах локального управления.
Подсистема локальной аутентификации
Вход пользователя в систему может выполняться разными способами:
  • По имени: вводятся учетные данные пользователя;
  • Только по идентификатору: для входа предъявляется идентификатор, инициализированный и присвоенный пользователю в программе управления пользователями Secret Net Studio;
  • Смешанный: могут использоваться как персональный идентификатор, так и учетные данные пользователя.

Аутентификация пользователя может быть стандартной и усиленной.

Усиленная аутентификация, помимо стандартной, подразумевает дополнительную аутентификацию пользователя по паролю средствами системы Secret Net Studio. Если пароль не был сохранен в базе данных системы Secret Net Studio, то пользователь не сможет войти в систему.

Начиная с версии Secret Net Studio 8.7, процедура усиленной аутентификации подверглась изменениям: в сетевом режиме она осуществляется через сервер аутентификации Secret Net Studio. До этого усиленная аутентификации выполнялась за счет базы данных сервера безопасности, что вело к значительным нагрузкам на сервер при большом количестве пользователей. В текущей версии база данных усиленной аутентификации размещается на сервере аутентификации. Есть возможность сохранить логин и пароль в базу данных сервера аутентификации при первом входе пользователя в систему.
В групповых и локальных политиках настройка локальной аутентификации выполняется в группе параметров «Вход в систему». Здесь можно задать парольную политику, настроить оповещения для пользователей до входа в систему и после успешных входов. А также установить количество неудачных попыток аутентификации, максимальный период неактивности до блокировки экрана и другие параметры.
Для администратора предусмотрен вход в систему в административном режиме. Он необходим для получения доступа к компьютеру в обход действующих механизмов защиты, а также для прерывания выполнения инициализации подсистем.

Администратору доступна блокировка рабочей станции пользователя как локально, так и централизованно. В программе управления пользователями администратор безопасности может просматривать информацию о всех доменных и локальных пользователях, производить замену паролей, присваивать пользователям персональные идентификаторы.
Помимо настройки параметров входа в систему, подсистема локальной аутентификации включает в себя механизм функционального контроля, который проверяет корректное функционирование основных подсистем Secret Net Studio. Он запускается во время загрузки компьютера перед входом пользователя в систему. Если все подсистемы работают корректно, то вход пользователя разрешен.

В противном случае:
  • Блокируется вход для всех непривилегированных пользователей, вход доступен только администратору;
  • Администратор получает уведомление о нарушении функционального контроля;
  • В журнале Secret Net Studio регистрируется событие о попытке несанкционированного доступа

Проведение функционального контроля доступно в Центре управления или локальном центре управления.
Предусмотрена интеграция ПАК «Соболь» и Secret Net Studio, позволяющая осуществлять вход доменных или локальных пользователей на компьютерах с ПАК «Соболь» с помощью персонального идентификатора.

Для входа в систему при использовании комплекса «Соболь» реализован механизм двухфакторной аутентификации. Сначала пользователь предъявляет персональный идентификатор, затем вводит пароль (если он не записан в идентификатор). При этом в ПАК «Соболь» из Secret Net Studio передаются параметры «Минимальная длина пароля» и «Количество неудачных попыток аутентификации», в свою очередь, из него в журналы Secret Net Studio передаются журналы регистрации событий комплекса.

! Изменения в базовой защите


  • Добавлены новые политики защиты входа в систему, в частности добавилась политика «Контроль аутентификации». Теперь помимо выбора режима аутентификации пользователя можно выбрать средства аутентификации (модуль входа в систему).

Доступно 3 модуля входа:
  • Жесткий режим
    Вход в систему только через модуль входа Secret Net Studio
  • Мягкий режим
    Пользователь имеет возможность выбрать модуль входа (Secret Net Studio или других провайдеров, в частности стандартный вход по паролю в ОС Windows)
  • Отключен
    Модуль входа Secret Net Studio не используется
Реализована совместимость со сторонним провайдером входа ID-Logon.

  • Произошли изменения в парольной политике. Добавлен параметр «Минимальное число измененных символов нового пароля», учитывающий количество измененных символов;
  • Реализована новая политика механизма защиты входа в систему «Запрет смены пользователя без перезагрузки». Смена пользователя может быть возможна только при перезагрузке компьютера;
  • Добавлена поддержка входа пользователя в систему по графическому паролю ОС Windows, а также Windows Live ID
Подсистема работы с локальной поддержкой
В подсистему аппаратной поддержки входит управление персональными идентификаторами пользователей.

Они применяются для идентификации и аутентификации пользователей, а также для хранения ключей, предназначенных для работы с криптоконтейнерами. Администратор безопасности выдает персональные идентификаторы пользователям, при этом нельзя использовать один и тот же идентификатор для множества пользователей.

В Secret Net Studio могут использоваться персональные идентификаторы eToken, Rutoken, JaCarta, ESMART, Guardant ID, vdToken или идентификаторы iButton.

Операции с персональными идентификаторами выполняются в программе управления пользователями. Для начала необходимо провести инициализацию идентификатора, которая позволит использовать его в системе Secret Net Studio.

Для инициализации в меню «Сервис» необходимо выбрать команду «Инициализация идентификатора», затем предъявить его.
После инициализации необходимо присвоить идентификатор пользователю. Для этого в диалоге «Параметры безопасности» выбранного пользователя необходимо нажать на кнопку «Добавить». Появится окно настройки режимов использования идентификаторов.
Доступно выполнение операций:
  • Включение режима хранения пароля. В базу данных Secret Net Studio добавляются сведения о том, что для пользователя включен режим хранения пароля в идентификаторе;
  • Записать пароль в идентификатор. После записи пароль не вводится с клавиатуры, а считывается из идентификатора;
  • Записать в идентификатор закрытый ключ пользователя. Записывается текущий закрытый ключ пользователя
Для получения информации о том, какому пользователю был присвоен конкретный идентификатор, можно выполнить проверку принадлежности. Для этого в меню «Сервис» необходимо выбрать команду «Проверка идентификатора».
Сведения об идентификаторах, присвоенных пользователю, можно посмотреть в диалоговом окне «Идентификатор» в параметрах безопасности.
Для прохождения процедуры аутентификации на компьютере с установленным клиентом Secret Net Studio может использоваться идентификатор для входа в ПАК «Соболь» (при условии функционирования сетевого режима и интеграции программно-аппаратного комплекса с Secret Net Studio).

Для этого доменному пользователю необходимо присвоить идентификатор с включенным режимом входа в ПАК «Соболь» и сформировать список компьютеров, на которых разрешается входить в программно-аппаратный комплекс. Добавление компьютеров осуществляется в группе «ПАК «Соболь» в параметрах безопасности каждого из пользователей.

! Изменения в аппаратной поддержке


Добавлена поддержка новых аппаратных средств аутентификации RuToken ЭЦП 3.0, RuToken ЭЦП 3.0 NFC, RuToken Lite.
Подсистема самозащиты
Подсистема самозащиты предотвращает несанкционированные изменения конфигурации Secret Net Studio.

Контролируются следующие операции:
  • Остановка критических служб и процессов
  • Выгрузка драйверов
  • Модификация или удаление ключей системного реестра
  • Модификация или удаление файлов, в том числе от имени системной учетной записи
  • Изменение прав доступа к файлам, папкам и ключам системного реестра
Выполнение этих операций на компьютерах с установленным клиентом Secret Net Studio с помощью средств администрирования ОС и специализированных утилит запрещается. Их могут выполнять только пользователи с соответствующими привилегиями.

Для локального управления пользователь должен входить в локальную группу администраторов компьютера, а также в список учетных записей с привилегией на локальное управление механизмом самозащиты. По умолчанию в список включена группа локальных администраторов.

Для централизованного управления пользователь должен входить в группу администраторов домена безопасности и иметь привилегии "Администрирование системы защиты" и "Редактирование политик".

По умолчанию они предоставлены группе администраторов домена безопасности.
В политиках так же можно включить контроль административных привилегий.

Функция обеспечивает контроль доступа пользователей к средствам управления Secret Net Studio:
  • Локальный центр управления;
  • Контроль программ и данных (локальный и централизованный режимы);
  • Программа настройки подсистемы полномочного управления доступом;
  • Управление пользователями;
  • Программа установки клиента в режиме удаления;
  • Диалоговое окно "Управление Secret Net Studio" в Панели управления Windows

Для доступа к ним в режиме администрирования необходимо указать PIN администратора, задаваемый в политиках базовой защиты.

Подсистема самозащиты включается после установки клиента Secret Net Studio, все связанные события регистрируются в журнале Secret Net Studio.

В общем случае порядок настройки механизма самозащиты выглядит следующим образом:

  1. Добавление пользователей для управления механизмом защиты, предоставление им необходимых привилегий;
  2. Настройка параметров самозащиты в групповых/локальных политиках;
  3. Настройка регистрации событий для подсистемы самозащиты.
Контроль целостности
Работа механизма контроля целостности основана на параметрах, которые описываются единой моделью данных. Она хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.

В модели данных используются следующие категории объектов в порядке от низшего уровня иерархии к высшему:
  • Ресурс
    Описание файла, каталога, переменной реестра или ключа реестра Windows. Однозначно определяет место нахождения контролируемого ресурса и его тип
  • Группа ресурсов
    Объединяет описание ресурсов одного типа. Однозначно определяется типом ресурсов, входящих в группу
  • Задача
    Набор групп ресурсов одного и того же или разных типов
  • Задание
    Определяет параметры проведения контроля целостности
  • Субъект управления
    Компьютеры, пользователи, группы компьютеров и пользователей
На каждом компьютере в локальной базе данных КЦ-ЗПС хранится модель данных, относящаяся к этому компьютеру. В сетевом режиме для клиентов формируется центральная база данных КЦ-ЗПС, в которой создаются две модели данных: для компьютеров под управлением 32-разрядных версий ОС Windows и для компьютеров с 64-разрядными версиями операционных систем.

Центральная и локальная базы данных могут синхронизироваться между собой. Все изменения, внесенные в ЦБД КЦ-ЗПС, передаются на назначаемые компьютеры в их локальные модели данных. В результате синхронизации в ЛБД КЦ-ЗПС формируется объединенная актуальная модель данных, включающая локально и централизованно созданные задания, а также связанные с ними задачи, группы ресурсов и ресурсы.

Настройка механизма контроля целостности выполняется в следующем порядке:

1. Формируется новая модель данных с настройкой контроля по умолчанию
В новую модель данных добавляются описания для ресурсов ОС Windows, и прикладных программ. Сформировать новую модель можно в программе «Контроль программ и данных» командой «Файл → Новая модель данных».

Настройки контроля по умолчанию в централизованном и локальном режимах выглядят следующим образом:
2. Добавляются задачи в модель данных
Затем новая модель данных дополняется задачами, которые могут быть созданы вручную с добавлением в них групп с ресурсами или с помощью механизма генерации задач. Механизм генерации задач рекомендуется использовать в случае создания сложных задач с большим количеством ресурсов.
3. Созданные задачи включаются в задания
На этом этапе формируются задания на основе задач. Новое задание создается с помощью команды «Задание → Создать задание».
В созданном задании для контроля целостности необходимо задать следующие параметры:
  • Методы и алгоритмы контроля ресурсов;
  • Реакция системы в случае нарушения целостности ресурсов;
  • События, регистрируемые в журнале;
  • Расписание проверки.
В созданное задание необходимо включить задачи командой «Добавить задачи/группы → Существующие».

В результате сформируется следующая структура:
4. Создаются эталоны контролируемых ресурсов.
На этом этапе выполняется расчет эталонов для контролируемых ресурсов, так как во время проведения контроля целостности текущие значения сравниваются с эталонными. В локальном режиме расчет эталонов может выполняться для всех контролируемых ресурсов локальной модели данных, а также для отдельных заданий.

В централизованном режиме может выполняться расчет тиражируемых и нетиражируемых заданий. В тиражируемых заданиях эталонные значения рассчитываются централизованно и хранятся в ЦБД КЦ-ЗПС. Для нетиражируемых заданий эталонные значения вычисляются на рабочих станциях и хранятся в ЛБД КЦ-ЗПС.

Для расчета эталонов следует воспользоваться командой «Эталоны → Расчет» в меню «Сервис». В открывшемся диалоге можно оставить старые значения эталонов ресурса, а также настроить реакцию системы на ошибки при расчете эталонов.

Возможны следующие реакции:
  • Игнорировать – реакция отсутствует;
  • Выводить запрос – при ошибке выводится сообщение и запрос на выполнение дальнейших действий;
  • Удалять ресурс – ресурс удаляется из модели данных;
  • Ресурс снимать с контроля – ресурс остается в модели данных, но снимается с контроля во всех заданиях, где он задействован.
Далее выполняется расчет эталонов.
5. Включается механизм контроля целостности. Проверяется корректность параметров заданий.
Действие механизма контроля целостности включается при установлении связи заданий с субъектами "Компьютер" или "Группа". Для включения механизма необходимо выбрать категорию «Субъекты управления», затем необходимый компьютер или группу компьютеров и с помощью команды «Добавить задания → Существующие» назначить задание.
Перед тем, как эксплуатировать механизм, следует провести проверку заданий на наличие ошибок. Отдельная проверка выполняется для каждого задания при условии рассчитанных для него эталонов и связей с субъектом. Задания могут проверяться в облегченном режиме (события не регистрируются, реакция на ошибки не отрабатывается) или в режиме полной имитации (события регистрируются, реакция отрабатывается). Запустить проверку можно с помощью команды «Сервис → Запуск задания».
В дальнейшем, если при эксплуатации механизма обнаружено несоответствие текущих и эталонных значений, то система оповещает администратора о нарушении целостности ресурсов и выполняет заданное при настройке задания действие.
В существующую модель данных можно вносить изменения: добавлять, связывать и удалять объекты. Однако если планируется почти полностью переработать данную модель, лучше сформировать новую модель данных.

На этом мы заканчиваем вторую статью, в которой мы с вами рассмотрели архитектуру решения, а также провели обзор подсистем, входящих в базовую защиту Secret Net Studio 8.10. В следующей статье цикла мы перейдем к обзору подключаемых функциональных компонентов продукта.

Авторы статьи: Влада Нестеренко, Николай Быстров
Системные инженеры TS Solution