Основные проблемы ИТ-безопасности сегодня и завтра
Статья опубликована в журнале
Безопасность это процесс, непрерывный, динамический, требующий постоянных усилий. Любая ошибка может привести к потере данных и утрате доверия клиентов.
Компьютерная безопасность это целый комплекс мер направленных на решение простых по определению задач — защитить информацию и обеспечить непрерывность бизнес процессов. Сегодня любая компания полностью зависит от ИТ инфраструктуры обеспечивающей связь, обмен и хранение данных. С момента появления первых компьютеров технологии постоянно развивались и усложнялись. В месте с ними увеличивался и спектр потенциальных ИТ-угроз и возможных источников опасностей. Все это в итоге привело и к росту количества технологий систем защиты, которые чтобы быть актуальным современной ситуации становились более разнообразными, и не менее сложными и запутанными. И на сегодня придумано множество инструментов самого разного назначения: межсетевые экраны, системы обнаружения атак, сканеры безопасности, системы мониторинга событий, антивирусы и антишпионы, антиспам с немалым количеством сопутствующих технологий, вроде черных списков, расширений к протоколам и так далее. Назначение большинства из них известно практически каждому пользователю со стажем и составляют стандартный набор защитных приложений в любой организации. Настроек по умолчанию в большинстве ситуаций уже не достаточно, в каждом конкретном случае требуется подгонка параметров под конкретные требования, иначе система защиты не будет отрабатывать максимально эффективно.
Подсчитан объем мирового рынка UTM в 2011 году
Согласно оценкам компании Gartner, мировой рынок универсальных устройств сетевой безопасности UTM (Unified Threat Management) в 2011 году вырос на 19,5% и достиг значения в 1,28 млрд. долл. Несмотря на снижение динамики роста, аналитики полагают, что далее этот рынок будет развиваться очень стремительно и до 2017 г. среднегодовой темп роста составит около 15%.
К категории UTM аналитики Gartner относят комплексные решения сетевой безопасности для SMB имеющих от от 100 до 1000 пользователей и годовым доходом 50 млн до 1 млрд. долл. Высокой популярности этого типа решений способствуют в первую очередь простота развертывания и обслуживания, возможность обновления и главное удобство для предприятий малого и среднего бизнеса.
Росту сегмента UTM способствует увеличение числа малых предприятий (менее 100 работников), в которых первую очередь востребованы такие системы, обновление первого поколения устройств в Северной Америке и Западной Европе, а также активное их освоение в странах с развивающейся экономикой.
На снижение динамики влияют: растущая популярность облачных шлюзов безопасности (SWG), в силу гибкого ценообразования весьма привлекательных для малого бизнеса; широкое использование облачных служб электронной почты; популяризация смартфонов и планшетов, оборудованных для прямого беспроводного подключения к сети провайдера.
Что касается традиционного магического квадрата Gartner, то в мартовском отчете компания включила в квадрат лидеров таких поставщиков, как Fortinet, SonicWALL, Check Point, WatchGuard и Sophos (Astaro). В число претендентов на лидирующие позиции вошли Cisco и Juniper Networks, а среди визионеров упомянуты Cyberoam и Netasq.
Получаем ключ Windows при помощи PowerShell
Иногда нужно получить ключ Windows, который находится в реестре, но он там записан в виде ID, а поэтому его после считывания необходимо преобразовать в соответствующий вид.
function Get-ProductKey { $map="BCDFGHJKMPQRTVWXY2346789" $value = (get-itemproperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").digitalproductid[0x34..0x42] $ProductKey = "" for ($i = 24; $i -ge 0; $i--) { $r = 0 for ($j = 14; $j -ge 0; $j--) { $r = ($r * 256) -bxor $value[$j] $value[$j] = [math]::Floor([double]($r/24)) $r = $r % 24 } $ProductKey = $map[$r] + $ProductKey if (($i % 5) -eq 0 -and $i -ne 0) { $ProductKey = "-" + $ProductKey } } $ProductKey }
Симбиоз PKI и VPN в Windows Server 2008R2 и Windows 7
Реализация VPN в Windows Server 2008R2 претерпела значительные изменения, теперь успех зависит в том числе и от умения управлять сертификатами.
Сегодня большая редкость, когда все части компании находятся в одном здании, чаще офисы территориально размещены ближе к заказчикам в разных районах города или регионам страны. Единственным безопасным способом объединить их в единую сеть и обеспечить прозрачный доступ к информации это использовать технологию виртуальных частных сетей (ВЧС, англ. Virtual Private Network, VPN). Последнее реализовать можно разными средствами и способами, используя как программные так и аппаратные решения. Не остались в стороне разработчики Microsoft, в последней серверной версии Windows Server 2008 R2 поддерживается четыре протокола VPN (PPTP, L2TP, IPsec и SSTP) плюс технология DirectAcces. Все они используют для аутентификации цифровые сертификаты. Например, аутентификация не считается сильной стороной PPTP, но в Windows Server 2008R2 поддерживается расширение EAP-TLS, обеспечивающее наибольшую безопасность для PPTP. Вот для его работы нам и потребуется сертификат сервера. В корпоративной среде таких сертификатов может насчитываться десятки и сотни, поэтому разворачивают инфраструктуру управления открытыми ключами (PKI — Public Key Infrustructure). Рассмотрим, как заставить работать вместе VPN и PKI.
Читать дальше »
Установка и работа с Код Безопасности: Инвентаризация
«Код Безопасности: Инвентаризация» представляет собой решение позволяющее производить автоматическую инвентаризацию и систематизировать подробную информацию об аппаратном обеспечении и программах установленных на компьютерах и серверах работающих под управлением ОС Windows в LAN, определять, кто работает за компьютером, распределять ПК по подразделениями и кабинетам, построить список всего ПО используемого в организации, вести учет лицензий. Для контроля администратор может создавать списки запрещенных и разрешенных приложений и получать информацию при установке их пользователями.
Для сбора данных используется WMI и опрос реестра, также производиться сканирование разделов жесткого диска и с целью обнаружения программ (дистрибутивов и portable версий работающих без установки), музыки, видео и т.д.
При наличии Active Directory КБИ задействует ее возможности для получения информации о пользователях и сбора информации о компьютера и не требует установки на клиентские ПК программ-агентов. Если компьютер не включен в локальную сеть или не используется Active Directory, на клиентские системы устанавливается агент, который может функционировать автоматически (как служба) или запускаться вручную по мере необходимости.
В качестве сервера может использовать любой ПК работающий под управлением x86/x64 версий Windows XP SP2/Vista/7 и 2003/2008. Собранная информация сохраняется в Microsoft SQL Server 2005/2008 в т.ч. и бесплатном Express), для генерации отчетов используется SQL Server Reporting Services.
Процесс развертывания сервера КБИ очень прост, причем для Windows XP/2003 возможен вариант автоматической установки с параметрами по умолчанию, когда от администратора потребуется минимальное вмешательство. Дистрибутив содержит все необходимые компоненты для разрешения зависимостей, после запуска программы установки будет произведена проверка и отмечены те которые уже имеются в системе.
Установка по сути заключается в нажатии несколько раз кнопки Далее. Затем указываем учетную запись от имени которой будет работать сервер.
По окончании запускается Конфигуратор сервера КБИ, в нем необходимо выбрать первый пункт, активирующий процесс создания базы данных и отчетов.
Другие пункты конфигуратора позволяют подключиться к уже существующей БД, экспортировать и импортировать библиотеку ПО, настроить удаленный доступ к серверу с других ПК на которых установлена Программа настройки и добавить собственные настройки и отчеты.
При первом вызове программы управления запускается Мастер инспектирования компьютера, который в пошаговом режиме поможет разобраться в порядке настройки.
После инвентаризации компьютер появляется в списке известных и собранную информацию можно будет просмотреть в окне программы управления КБИ.
Создание параметров реестра при помощи PowerShell
Небольшая функция позволит достаточно просто создавать новые ключи реестра
function New-RegKey { param($key) $key = $key -replace ':','' $parts = $key -split '\\' $tempkey = '' $parts | ForEach-Object { $tempkey += ($_ + "\") if ( (Test-Path "Registry::$tempkey") -eq $false) { New-Item "Registry::$tempkey" | Out-Null } } }
Вызывается просто:
PS> New-RegKey HKCU\Software\Test\SubKey\AnotherOne\Finally
Можно развить идею:
function New-Regkey { param($key) $key = $key -replace ':','' $parts = $key -split '\\' $tempkey = '' $parts | ForEach-Object { $tempkey += ($_ + "\") if ( (Test-Path "Registry::$tempkey") -eq $false) { New-Item "Registry::$tempkey" | Out-Null } } } function Set-RegistryValue { param( $key, $name, $value, $type='String' ) $key = $key -replace ':','' New-Regkey $key $regkey = "Registry::$key" Set-ItemProperty -Path $regkey -Name $name -Value $value -Type $type }
Вызов такой:
PS> Set-RegistryValue HKCU:\Software\TestKey Testvalue -Value 123 –Type DWORD
Поиск ошибок дисковых контролеров при помощи PowerShell
Проанализировав журнал событий системы на наличие события с Event ID : 3221487627 можно получить информацию об ошибках контроллера диска :
PS> Get-EventLog -LogName System -InstanceId 3221487627 -ea 0 | ForEach-Object { $_.ReplacementStrings[0] } | Group-Object -NoElement | Sort-Object Count -Descending Count Name ----- ---- 23 \Device\Harddisk2\DR4 21 \Device\Harddisk2\DR2 7 \Device\Harddisk2\DR3
Такие ошибки могут указывать на сбой диска, но токже они могут появиться если удалить USB флэшку не размонтировав ее.
Выбираем систему групповой работы
Не секрет, что применения средств groupware позволяют повысить эффективность работы сотрудников организации. В статье рассмотрим наиболее популярные решения.
Сегодня тяжело представить функционирования любой организации без средств коллективной работы. Наверное, поэтому соответствующие системы являются одними из наиболее востребованных и занимают один из больших сегментов рынка ПО. Задача подобных решений проста – создается единое пространство, обеспечивающие в первую очередь удобство пользователю в обмене сообщениями и документами, поиске данных, планировании времени и контроль совместных работ. Но если начать выбирать для своей организации подходящую реализацию, можно столкнуться с тем, что функции у groupware систем различных разработчиков существенно отличаются.
Что ждать от Groupware?
Вышел Advanced IP Scanner 2.2
Обновилась популярная программа Advanced IP Scanner, которая представляет собой быстрый многопоточный сканер локальной сети. После сканирования программы выводит список доступных ресурсов (общие папки, HTTP, HTTPS и FTP), к которым можно получить доступ одним кликом. В новой версии на основании МАС-адреса определяется производитель сетевой карты. Если на компьютере запущен Radmin Server к нему доступ можно получить одним кликом мышки. Поддерживается возможность удаленного выключения системы (при наличии прав) и включения если система поддерживает технологию Wake-on-LAN. Результаты сканирования можно экспортировать либо в HTML, либо CVS. Чтобы в последствии не пересканировать сеть, системы можно добавить в Избранное, откуда и управлять ими. Интерфейс программы прост, после установки будут найдены все сетевые интерфейсы и их IP адреса уже будут записаны в строку поиска. В новой версии можно указать и DNS имя удаленной системы. Предыдущая версия имела проблемы при работе с сетями VPN и Cisco, теперь эта проблема решена. Получили исправления проблемы с кодировкой, определением HTTP-ресурсов и прочие мелкие недоработки. А о выходе новой версии вам сообщит специально встроенная служба программы.
Конвертируем время Unix при помощи PowerShell
Некоторые значения в реестре не очень удобны для дальнейшего использования:
$key = 'HKLM:\Software\Microsoft\Windows NT\CurrentVersion' Get-ItemProperty $key | Select-Object -ExpandProperty InstallDate
В результате InstallDate вернет значение в секундах отсчитываемых 1.01.1970 так называемый Unix формат. Небольшая функция поможет преобразовать его к удобном виду.
function ConvertFrom-UnixTime { param( [Parameter(Mandatory=$true, ValueFromPipeline=$true)] [Int32] $UnixTime ) begin { $startdate = Get-Date –Date '01/01/1970' } process { $timespan = New-Timespan -Seconds $UnixTime $startdate + $timespan } }
Теперь может считывать правильную дату.
$key = 'HKLM:\Software\Microsoft\Windows NT\CurrentVersion' Get-ItemProperty $key | Select-Object -ExpandProperty InstallDate | ConvertFrom-UnixTime
Так можно прочитать время с установки Windows.
$key = 'HKLM:\Software\Microsoft\Windows NT\CurrentVersion' Get-ItemProperty $key | Select-Object -ExpandProperty InstallDate | ConvertFrom-UnixTime | New-TimeSpan | Select-Object -ExpandProperty Days
Есть еще один вариант
[int](((get-date -u %s)-(Get-ItemProperty 'HKLM:\Software\Microsoft\Windows NT\CurrentVersion' | Select-Object -ExpandProperty InstallDate))/86400)