Варлашин Д.В. , Начовний І.І.

Національний Гірничий Університет, Україна

 Підвищення ефективності захисту атрибутів облікових записів користувачів а АС3, що працюють під управлінням операційних систем Windows

На даний час Україна є активним учасником світового процесу інформатизації, який можна охарактеризувати широким застосуванням сучасних інформаційних технологій у багатьох сферах суспільного життя, включаючи важливі державні та комерційні системи управління, контролю та зв’язку. Але без активної співпраці щодо розбудови світового інформаційного простору, без заміни паперових технологій документообігу електронними країна не може розраховувати на швидке економічне зростання. Для забезпечення розвитку соціальної інфраструктури, інститутів громадянського суспільства, задоволення інформаційних та культурних потреб громадян, організації управління та контролю різних сфер державних інтересів, для забезпечення інформаційної безпеки держави необхідний оперативний доступ до інформаційних і обчислювальних ресурсів глобальних інформаційно-комунікаційних мереж. Очевидно, однак, що участь України у міжнародних системах телекомунікацій та інформаційного обміну неможлива без використання сучасного програмного забезпечення як для управління роботою електронно-обчислювальних машин та іншим обладнанням, за допомогою яких здійснюється доступ до інформаційних ресурсів глобальних мереж (системне програмне забезпечення), так і програмного забезпечення, за допомогою якого організується безпосередній доступ до цих ресурсів (прикладне програмне забезпечення).

Стосовно прикладного програмного забезпечення, то Україна в достатньому обсязі забезпечена програмними продуктами власного виробництва і експортує їх для забезпечення потреб комерційних організацій

інших країн. Що   ж  стосується   системного   програмного забезпечення та

великих програмних комплексів для управління роботою електронно-обчислювальних машин (операційних систем), то державні і комерційні організації України, окремі користувачі змушені використовувати операційні системи закордонного виробництва, що зменшує рівень інформаційної безпеки держави.

В персональних інформаційно-комунікаційних системах різного призначення більш як 90% організацій світу використовують операційні системи сімейства Windows, розробником яких є корпорація Microsoft – про це свідчать опубліковані результати досліджень міжнародної організації Netmarketshare [24]: Microsoft Windows – 76.34%; Linux (with Android) – 15.85%; MacOS – 5.00%; iOS – 1.13%; Java ME – 0.86%; Symbian – 0.27%; інші – 0.39%.

Згідно НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу»: «інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб являють собою певну цінність, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю сутністю впливів, які можуть призвести до зниження цінності інформації з обмеженим доступом. Впливи, які призводять до зниження цінності інформаційних ресурсів, називаються несприятливими. Потенційно можливий несприятливий вплив називається загрозою.

Захист інформації, що обробляється в автоматизованих системах (АС), полягає в створенні і підтримці в дієздатному стані системи заходів, як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що дозволяють запобігти або ускладнити можливість реалізації загроз, а також знизити потенційні збитки. Іншими словами, захист інформації спрямовано на забезпечення безпеки оброблюваної інформації і АС в цілому, тобто такого стану, який забезпечує збереження заданих властивостей інформації і АС, що її обробляє».

Досвід показує, що одним із найважливіших механізмів забезпечення безпеки оброблюваної інформації в автоматизованих системах є механізм розмежування доступу, що реалізується створенням в АС користувачів з різними повноваженнями та правами доступу. Вся інформація, що описує користувача АС, зберігається у виді набору атрибутів облікового запису. 

Для будь-якої компанії, державної організації або окремого користувача, де потрібно захистити дані, транзакції, репутацію, важливо забезпечити безпеку інформації, елементами якої є процедури ідентифікації та автентифікації користувачів. Тому для підвищення рівня безпеки інформації, що циркулює в автоматизованих системах, важливою складовою є розробка заходів і визначення засобів для протидії компрометації атрибутів облікових записів, що підтверджує актуальність теми магістерської дипломної роботи.

В даній науковій роботі виконано та експериментальне дослідження можливості компрометації атрибутів облікових записів в АС 3, що працюють під управлінням ОС сімейства Windows, за допомогою розробленої автором методики.

В результаті проведення експериментального дослідження встановлено можливість компрометації атрибутів облікових записів в АС 3, що працюють під управлінням ОС сімейства Windows, та виявлено «слабкі місця» в реалізації послуг безпеки ОС сімейства Windows.

Для протидії компрометації атрибутів облікових записів в АС 3, що працюють під управлінням ОС сімейства Windows, автором розроблено практичні рекомендації та виконана перевірка їх ефективності. Таким чином, використання наведених рекомендацій дозволило підвищити ступінь захисту автоматизованих систем від атак метою яких є компрометація атрибутів облікових записів користувачів, що базуються на вразливостях протоколу NTLM.

В даній науковій роботі виконано розрахунок витрат на розробку методики та програмного засобу для перевірки можливості компрометації атрибутів облікових записів автоматизованих систем класу 3, що працюють під управлінням ОС сімейства Windows, та рекомендацій щодо протидії такій компрометації, що склали 7528.83 грн. Термін окупності капітальних інвестицій на розробку власної методики та програмного засобу складає 5.6 місяців. Як видно з розрахунків проект визнано економічно доцільним, так як розрахунковий коефіцієнт ефективності перевищує річний рівень прибутковості альтернативного варіанта. Таким чином можна зробити висновок, що  розроблена методика та програмний засіб будуть економічно ефективними та конкурентоспроможними на ринку аудиту інформаційної безпеки.

Незважаючи на можливість виконувати розмежування і контроль доступу до інформаційних ресурсів мережевих робочих станцій та персональних комп’ютерів при функціонуванні у складі розподіленої обчислювальної мережі (клас АС 3), результати дипломної роботи дозволяють стверджувати  про існування «слабких місць» у механізмах захисту ОС сімейства Microsoft Windows.

Тому автором виконано теоретичне та експериментальне дослідження можливості компрометації атрибутів облікових записів в АС 3, що працюють під управлінням операційних систем сімейства Windows, та розроблені рекомендації по підвищенню рівня захищеності від атак, метою яких є компрометація атрибутів облікових записів.

Для досягнення цих результатів було вирішені наступні задачі :

1     Проведено перевірку можливості компрометації  атрибутів облікових записів  в АС 3, що працюють під управлінням ОС сімейства Windows та встановлено можливість їх компрометації. Додатково встановлено, що в результаті удосконалення КЗЗ нових версій ОС сімейства Windows існуючі методики перевірки є неефективними.

2     З використанням документації розробників запропоновано заходи щодо удосконалення існуючих методів перевірки безпеки автентифікації та розроблено удосконалену методику перевірки можливості компрометації  атрибутів облікових записів  в розподіленої обчислювальної мережі, що працюють під управлінням будь-якої ОС сімейства Windows.

3     Розроблено рекомендації по підвищенню рівня захищеності від атак, метою яких є компрометація атрибутів облікових записів в АС 3.

4     Розроблено рекомендації по підвищенню рівня захищеності від атак, метою яких є компрометація атрибутів облікових записів в АС 3.

5     Проведено експериментальну перевірку захищеності атрибутів облікових записів  в АС 3, що працюють під управлінням ОС сімейства Windows, після використання  запропонованих практичних рекомендацій, яка показала ефективність запропонованих автором рекомендацій по захисту атрибутів облікових записів  в АС 3, що працюють під управлінням будь-якої ОС сімейства Windows.

В економічному розділі виконано економічне обґрунтування розробленої методики та програмного засобу.

У розділі «Охорона праці» розроблено інженерно-технічні заходи щодо охорони праці на робочому місці адміністратора безпеки на підприємстві та рекомендації щодо організації робочого місця адміністратора безпеки підприємства.

Результатом дипломної роботи є методика перевірки можливості компрометації атрибутів облікових записів в АС 3, що працюють під управлінням операційних систем сімейства Windows, та рекомендації по підвищенню рівня захищеності від атак, метою яких є компрометація атрибутів облікових записів.