Возможности усечения прав и контроля действий системного администратора средствами защиты КСЗИ «Панцирь+»
25 Декабря 2017
Атаки на информационную систему инсайдером администратором, либо с правами системного администратора, наиболее критичны, ввиду практически неограниченного его доступа к защищаемым ресурсам.
КСЗИ «Панцирь+» позволяет значительно усекать права доступа и контролировать действия системного администратора:
- может быть предотвращена возможность доступа к файлам, создаваемым интерактивными пользователями (к обрабатываемым данным);
- может быть реализована возможность администрирования только с использованием соответствующих штатных оснасток Windows, в том числе инсталлятора (из папки System 32, которые можно запретить модифицировать), можно запретить использование командных интерпретаторов, либо ограничить для них чтение командных файлов;
- можно запретить, либо контролировать (регистрировать соответствующие действия в журналах аудита), установку системных драйверов, динамических библиотек, служб и процессов, командных файлов, запуск администратором исполнимых файлов.
В общем случае КСЗИ «Панцирь+» позволяет реализовать администратором безопасности для системного администратора любую разграничительную политику его доступа к объектам информационной системы и любую политику контроля (регистрирования в журналах аудита) его действий.
Такая возможность обеспечивается реализацией эффективной самозащиты КСЗИ «Панцирь».
Реализованная в КСЗИ «Панцирь+» технология самозащиты предполагает невозможность несанкционированного доступа к защищаемым обрабатываемым данным и к системным объектам – к которым запрещен доступ соответствующему субъекту с любыми правами в субъекта системе, без предварительного осуществления успешной атаки на КСЗИ «Панцирь+», что обеспечивается следующим.
1. Задача самозащиты реализована на уровне ядра ОС – решается не системной службой, а системными драйверами из состава КСЗИ «Панцирь+».
2. Драйверы КСЗИ «Панцирь+» выполнены как не выгружаемые из системы, их нельзя выгрузить даже системным процессом или службой.
3. Службу КСЗИ «Панцирь+» нельзя остановить с правами администратора.
4. Системные объекты (файловые объекты и объекты реестра) КСЗИ «Панцирь+» защищены разграничительной политикой доступа, реализуемой драйверами КСЗИ «Панцирь+».
5. Основной драйвер КСЗИ «Панцирь+» отслеживает активность службы с ее автоматическим перезапуском при несанкционированном останове, при невозможности перезапуска службы автоматически перезагружается компьютер.
6. Разграничительная политика доступа продолжает реализовываться драйверами КСЗИ «Панцирь+» и при автоматическом останове службы.
7. Именованные объекты устройств, созданные драйверами, доступны для открытия только определенным программа из состава КСЗИ «Панцирь+».
8. В драйверы КСЗИ «Панцирь+» не могут попасть блоки памяти, расположенные в пользовательском адресном пространстве или на выгружаемых страницах памяти.
9. Предпринят и ряд иных мер, защищающих драйверы КСЗИ «Панцирь+» от атак со стороны администратора, системных процессов и служб.
Более подробно с изложенной технологией защиты, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf
КСЗИ «Панцирь+» позволяет значительно усекать права доступа и контролировать действия системного администратора:
- может быть предотвращена возможность доступа к файлам, создаваемым интерактивными пользователями (к обрабатываемым данным);
- может быть реализована возможность администрирования только с использованием соответствующих штатных оснасток Windows, в том числе инсталлятора (из папки System 32, которые можно запретить модифицировать), можно запретить использование командных интерпретаторов, либо ограничить для них чтение командных файлов;
- можно запретить, либо контролировать (регистрировать соответствующие действия в журналах аудита), установку системных драйверов, динамических библиотек, служб и процессов, командных файлов, запуск администратором исполнимых файлов.
В общем случае КСЗИ «Панцирь+» позволяет реализовать администратором безопасности для системного администратора любую разграничительную политику его доступа к объектам информационной системы и любую политику контроля (регистрирования в журналах аудита) его действий.
Такая возможность обеспечивается реализацией эффективной самозащиты КСЗИ «Панцирь».
Реализованная в КСЗИ «Панцирь+» технология самозащиты предполагает невозможность несанкционированного доступа к защищаемым обрабатываемым данным и к системным объектам – к которым запрещен доступ соответствующему субъекту с любыми правами в субъекта системе, без предварительного осуществления успешной атаки на КСЗИ «Панцирь+», что обеспечивается следующим.
1. Задача самозащиты реализована на уровне ядра ОС – решается не системной службой, а системными драйверами из состава КСЗИ «Панцирь+».
2. Драйверы КСЗИ «Панцирь+» выполнены как не выгружаемые из системы, их нельзя выгрузить даже системным процессом или службой.
3. Службу КСЗИ «Панцирь+» нельзя остановить с правами администратора.
4. Системные объекты (файловые объекты и объекты реестра) КСЗИ «Панцирь+» защищены разграничительной политикой доступа, реализуемой драйверами КСЗИ «Панцирь+».
5. Основной драйвер КСЗИ «Панцирь+» отслеживает активность службы с ее автоматическим перезапуском при несанкционированном останове, при невозможности перезапуска службы автоматически перезагружается компьютер.
6. Разграничительная политика доступа продолжает реализовываться драйверами КСЗИ «Панцирь+» и при автоматическом останове службы.
7. Именованные объекты устройств, созданные драйверами, доступны для открытия только определенным программа из состава КСЗИ «Панцирь+».
8. В драйверы КСЗИ «Панцирь+» не могут попасть блоки памяти, расположенные в пользовательском адресном пространстве или на выгружаемых страницах памяти.
9. Предпринят и ряд иных мер, защищающих драйверы КСЗИ «Панцирь+» от атак со стороны администратора, системных процессов и служб.
Более подробно с изложенной технологией защиты, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf
Последние новости раздела
22 апреля 2024
22 апреля 2024
19 апреля 2024