Методическое пособие на тему «Выполнение заданий демонстрационного экзамена IT специалистов колледжа»

Демоэкзамен

Образец заданий и их выполнение

 

В компании «SoC» возникла необходимость внедрения DLP системы для лучшей защиты корпоративной информации и предотвращения утечек данных. Вам необходимо установить и настроить компоненты системы в соответствии с выданным заданием.

 

Серверные компоненты установлены, сетевые интерфейсы настроены.

 

 

Подготовлены следующие виртуальные машины для дальнейшей работы:

Контроллер домена;

DLP сервер установлен, активирована лицензия, есть LDAP синхронизация;

 

Виртуальная машина с установленным сервером агентского мониторинга;

Виртуальная машина «нарушителя» в домене (1 шт).

 

В компании развернут домен со всеми сотрудниками с указанием ФИО, должности и контактов.

 

При выполнении заданий можно пользоваться разрешенными справочными ресурсами в сети Интернет и/или документацией на компьютерах и/или в общем сетевом каталоге.

Все логины, пароли, сетевые настройки и прочее указаны в дополнительной карточке задания.

 

Модуль 1: Эксплуатация автоматизированных (информационных) систем в защищенном исполнении

 

При выполнении задания модуля необходимо достичь следующих целей:

Настроенный контроллер домена.

Работоспособный сервер мониторинга сетевого трафика.

Установленный и работоспособный сервер агентского мониторинга.

Установленные и работоспособные агент мониторинга на клиентском устройстве.

 

Если в задании указано сделать скриншот, необходимо называть его по номеру задания, например, «Задание_5_копирование.jpg».

Все скриншоты и отчеты сохраняются на рабочий стол физического компьютера в один каталог или документ (важно соблюдать последовательность заданий).

При создании снимков экрана необходимо делать либо полный снимок экрана, либо целого окна.

Не стоит вырезать только маленький кусочек (например, сообщение о событии), т. к. это не будет являться явным подтверждением работы.

 

Допускается последующее выделение рамкой, стрелкой или иным способом результата работы.

 

Задание модуля 1:

 

Задача 1: Настройка контроллера домена

Создать подразделение “DemoExam” в контроллере домена.

 

 

Внутри созданного подразделения “DemoExam” необходимо создать и настроить следующих доменных пользователей с соответствующими правами:

 

– Логин: web-officer, пароль: xxXX3344, права пользователя домена;

– Логин: ldap-sync, пароль: xxXX3344, права пользователя домена;

 

– Логин: device-officer, пароль: xxXX3344, права администратора домена и локального администратора;

 

– Логин: violator, пароль xxXX3344, права пользователя домена.

Предоставляем device-officer, пароль: xxXX3344, права администратора домена

Предоставляем device-officer, пароль: xxXX3344, права и локального администратора;

Запускаем оснастку «Active Directory — пользователи и компьютеры» и создаем глобальную группу безопасности. Для ясности назовем ее «Администраторы локальных машин»

Далее, запускаем оснастку «Управление групповой политикой» и создаем новый объект групповой политики. Назовем политику «Локальные администраторы» 

Далее, изменяем созданную политику. Выбираем ветку: «Конфигурация компьютера» → «Конфигурация Windows» → «Параметры безопасности» → Группы с ограниченным доступом

Выбираем Добавить группу…

При добавлении группы указываем ранее созданную группу «Администраторы локальных машин»

 

Далее добавляем запись в нижней части «Эта группа входит в:»

Указываем группу «Администраторы»

Жмем Ок. Политика создана.

Можно посмотреть политику перейдя на вкладку «Параметры»

https://subreal-team.com/local-admins/

 

 

Задача 2: Настройка DLP сервера

DLP-сервер контроля сетевого трафика уже предустановлен, но не настроен:

 

– необходимо узнать IP-адрес сервера через локальную консоль виртуальной машины:

«Ещё – Управление – состояние системы»

и проверить настройки DNS на сервере для корректной работы, в случае несовпадений настроить DNS правильно;

проверяем сетевые настройки

ifconfig

\

 

Проверить адрес сервера можно командой:

cat /etc/resolv.conf

 

 

Изменить адрес DNS можно командой:

sudo vi /etc/resolv.conf или vi /etc/resolv.conf

 

Также изменить адрес можно командой:

sudo ifconfig eth0 192.168.0.1 netmask 255.255.255.0

 

Для установления шлюза по умолчанию для интерфейса eth0 введите комнаду:

sudo route add default gw 19.168.0.253 eth0

 

Для отображения таблицы маршрутизации с целью проверки сетевых настроек введите команду:

route –n

 

– синхронизировать каталог пользователей и компьютеров LDAP с домена с помощью ранее созданного пользователя ldap-sync;

Для работы шифрованного LDAP через порт 389 требуется внести изменения в конфигурационном файле /etc/openldap/ldap.conf.

Для этого добавьте в него следующую запись и сохраните изменения: TLS_REQCERT never.

Без данной записи попытка синхронизации с AD будет отклонена

Для внесения изменения открываем файловый менеджер, пишем:

мc

Далее в менеджере находим конфигурационный файл /etc/openldap/ldap.conf.

Перемещаем курсор на этот файл и жмем F4.

В открывшимся окне, перемещаемся на строку ниже последней записи и пишем:

TLS_REQCERT never.

Жмем F2 и далее Save:

Далее выходим из этого окна жмем F10.

Проверьте правильность сохранения внесенных изменений:

F3 проверяем сохранение внесенных изменений и далее F10 и повторно F10 для выхода из файлового менеджера.

 

 

– для входа в веб-консоль необходимо настроить использование ранее созданного пользователя домена web-officer с полными правами системы.

В ВМ, развернутой для консоли IWTM, вводим пользователя домена web-officer и от его имени входим в ОС и далее в консоль IWTM.

ВНИМАНИЕ!

Все ВМ должны быть введены в домен.

Порядок ввода ВМ в домен смотри в папке ДЭ_2023 В помощь студенту – Вводим ВМ в домен.

 

 

Запишите IP-адреса, токен, логины и пароли от учетных записей, а также все прочие нестандартные данные (измененные вами) вашей системы в текстовом файле «отчет.txt» на рабочем столе компьютера.

 

Задача 3: Установка и настройка сервера агентского мониторинга

Используя виртуальную машину агентского мониторинга:

– необходимо ввести сервер в домен, после перезагрузки войти в систему от ранее созданного пользователя device-officer (важно);

Выполнение:

Виртуальная машина с установленным сервером агентского мониторинга должна быть предустановлена.

Вам необходимо ВМ с IWDM (сервер агентского мониторинга) ввести в домен. Порядок ввода ВМ в домен смотри в папке ДЭ_2023 В помощь студенту – Вводим ВМ в домен.

Пользователь device-officer должен быть создан, пароль: xxXX3344, права администратора домена и локального администратора.

Необходимо ввести device-officer в качестве пользователя ВМ с IWDM (сервер агентского мониторинга)

Windows 7

 

Windows 10/ Server 2016

Win+R

control userpasswords2

 

 

– после входа в систему необходимо переместить введенный в домен компьютер в ранее созданное подразделение “DemoExam” на домене;

Выполнение:

В домене: диспетчер серверов, средства, пользователи и компьютеры Aktive Direсtory

Перетащите левой кнопкой мыши компьютер в подразделение “DemoExam”

 

 

– установить базу данных PostgreSQL или функциональный аналог с паролем суперпользователя QWEasd123;

Выполнение:

Путь к базе данных: \\fserv1\Soft\307 soft\InfoWatch\DeviceMonitor

Необходимо настроить общую папку ВМ и включить общий доступ к файлам.

Возможно понадобится изменить настройки в службах Function Discovery Resource Publication (Публикация ресурсов обнаружения функции) и Function Discovery Provider Host (Хост поставщика функции обнаружения) (смотри инструкцию Вводим ВМ в домен), а также в настройках ВМ подключить образ диска дополнений гостевой ВМ через: Устройства, Подключить образ диска.

Перед установкой БД измените имя компьютера:

Win+R

sysdm.cpl

Скопируйте дистрибутив БД - 9.5 на рабочий стол ВМ и запустите установку БД.

 

 

Проверяем имя хоста и сетевые настройки ВМ с БД

Win+R

cmd

 

имя хоста - hostname

 

сетевые настройки - ipconfig

 

 

 

 

– установить сервер агентского мониторинга с параметрами по умолчанию, подключившись к ранее созданной БД;

Выполнение:

В начале задания указано, что сервер агентского мониторинга должен быть предустановлен.

В этом задании требуется установить сервер агентского мониторинга с параметрами по умолчанию, подключившись к ранее созданной БД.

Эта неточность требует уточнения у Главного эксперта перед началом экзамена.

 

Установим сервер агентского мониторинга с параметрами по умолчанию на ВМ с установленной БД, подключившись к ранее созданной БД.

Жмем на иконку установщика и далее по скриншотам:

Запускаем консоль управления.

Адрес сервера:localhost Логин: adm Пароль: QWEasd123

 

 

 

– при установке сервера агентского мониторинга необходимо установить соединение с DLP-сервером по IP-адресу и токену, но можно сделать это и после установки. При установке настроить локального пользователя консоли управления: web-officer с паролем QWEasd123;

Выполнение:

Настроить локального пользователя консоли управления: web-officer с паролем QWEasd123;

Кликаем: Инструменты, Пользователи консоли и создаем пользователя web-officer с паролем QWEasd123 и правами офицера безопасности.

 

Cоединение с DLP-сервером по IP-адресу и токену:

В IWDM: Инструменты, Натройки, Синхронизация политик Traffic Monitor

Вводим ip-адрес и токен. Далее Применить и Сохранить

В IWTM ip-адрес и токен смотрим:

Ещё, Состояние системы

Ещё,Плагины,Токены

 

 

 

 

– синхронизировать каталог пользователей и компьютеров с контроллером домена.

Выполнение:

В IWDM: Инструменты, Настройки, Интеграция с Active Directory

В поле Имя сервера укажите доменное имя или IP-адрес сервера LDAP.

При необходимости укажите порт, к которому будут выполняться запросы в тех случаях, когда порт, используемый по умолчанию (389), недоступен.

 

Чтобы добавить настройку синхронизации с Active Directory или Astra Linux Directory:

1 В области Настройки синхронизации нажмите +.

2 В диалоговом окне укажите параметры синхронизации:

Имя домена. Имя домена, с которым должна производиться синхронизация (можно

ввести вручную или выбрать из леса доменов);

Логин. Для аутентификации в домене (если выбран флаг Аутентификация в домене);

Пароль. Для аутентификации в домене (если выбран флаг Аутентификация в

домене);

Синхронизировать. Объекты синхронизации - Компьютеры или Пользователи;

Синхронизируемые директории. Директории Active Directory или Astra Linux Directory,

которые необходимо синхронизировать. Для этого:

Нажмите ….

В дереве укажите директории для синхронизации.

Нажмите Выбрать.

Уровень вложенности групп (если необходимо). Максимальный уровень вложенности

равен 100;

Политика по умолчанию. Политика, которая будет назначена на синхронизируемые

группы после первой синхронизации;

Описание. Комментарии в свободной форме (если необходимо);

3 После выбора флага Аутентификация в домене (при вводе логина и пароля) нажмите

Проверка соединения для проверки связи с доменом.

4 Если соединение успешно установлено, нажмите ОК.

5 Чтобы настройки вступили в силу, нажмите Применить в окне Настройки.

Поля Имя домена и Синхронизируемые директории являются обязательными.

 

Запишите IP-адреса, логины и пароли от учетных записей, а также все прочие данные, измененные вами, в текстовом файле «отчет.txt» с на рабочем столе компьютера.

 

Задача 4: Установка агента мониторинга на машине нарушителя

Используя виртуальную машину нарушителя:

 

– необходимо ввести клиентскую машину в домен, после перезагрузки войти в систему от ранее созданного пользователя violator;

Выполнение:

Введите ВМ нарушителя в домен по рекомендации «Вводим ВМ в домен» (в папке ПМ02 в пмощь студенту)

 

 

– после входа в систему необходимо переместить введённый в домен компьютер в ранее созданное подразделение “DemoExam” на домене.

Выполнение:

В домене: Средства, Пользователи и компьютеры Active Directory добавьте правой кнопкой компьютер в ранее созданное подразделение “DemoExam” на домене.

 

 

На машину нарушителя (violator) средствами групповых политик или сервера мониторинга установить агент мониторинга.

Необходимо учесть, что установка осуществляется только с правами администратора (доменного или локального).

 

Ручная установка с помощью создания и переноса любым способом пакета установки является некорректным выполнением задания.

 

В случае проблем при установке компонентов стоит проверить настройки брандмауэра и DNS.

Выполнение:

Отключаем антивирус и брандмауэр.

ВМ нарушителей должны «пинговаться» и быть распознаны в домене.

Включаем общий доступ к файлам и принтерам.

Win+R

regedit.exe

В реестре, в ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\System, добавьте параметр DWORD (32-bit) с названием

LocalAccountTokenFilterPolicy. Установите для него значение 1.

Перезагрузите ОС.

Перейдите к разделу Задачи.

Выполните одно из следующих действий:

в главном меню выберите команду Правка > Добавить задачу;

н ажмите Добавить задачу в верхней части раздела Задачи.

Откроется диалоговое окно Мастера создания задачи.

Выберите Задача первичного распространения введите имя задачи и её описание, затем нажмите Далее.

Создайте список компьютеров, на которые необходимо установить Агент Device Monitor.

Нажмите Добавить. В открывшемся окне вы можете выбрать компьютеры:

 

из директории;

из сетевого окружения Microsoft Windows Network;

из дерева ALD;

из числа ранее зарегистрированных в Системе (например, в результате ручной установки Агента Device Monitor) и уже принадлежащих существующим группам Device Monitor (узел Группы компьютеров DM).

Выберите необходимые компьютеры или группы компьютеров. Свёрнутые группы отмечены пиктограммой ; развёрнутые - . Чтобы развернуть или свернуть группу, нажмите на или дважды нажмите на названии группы левой кнопкой мыши.

Вы также можете указать имена или IP-адреса компьютеров следующими способами:

 

вручную в строке, расположенной внизу диалогового окна. При перечислении используйте точку с запятой;

нажать Импорт и загрузить текстовый файл, где перечислены IP-адреса или

DNS-имена компьютеров: каждая запись должна начинаться с новой строки;

 

пустых строк быть не должно.

 

После того, как вы выберете компьютеры, нажмите ОК. Диалоговое окно Выбор компьютеров будет закрыто, а в окне мастера создания задачи отобразится список выбранных компьютеров.

 

Чтобы удалить компьютер из списка, выберите его имя и нажмите Удалить. Когда вы полностью определите список компьютеров, нажмите Далее.

 

Мастер создания задачи отобразит сервера, которые на данный момент зарегистрированы в Системе.

Нажмите Далее.

 

Мастер создания задачи отобразит уникальное имя для сертификата proxy-сервера

 

Device Monitor (Issuer Distinguished name, Proxy Root Issuer DN). При необходимости вы можете изменить его параметры; при этом имя должно соответствовать стандарту X.509, обязательно содержать поле CN (Common Name), поля внутри имени должны быть разделены запятой.

 

Нажмите Далее.

 

Определите настройки работы Агента:

 

Чтобы защитить Агент от удаления сотрудником, укажите пароль, который будет запрашиваться при попытке удалить Агент Device Monitor, и подтвердите его.

Выводить сотруднику уведомления о работе Device Monitor Client – признак того, что при попытке сотрудника выполнить действие, запрещенное политикой безопасности (DM), ему будет отображаться предупреждающее уведомление.

 

Скрывать присутствие агента на рабочей станции – признак того, что Система будет скрывать присутствие Агента на рабочих станциях.

Если данная настройка не отмечена, в области уведомлений панели задач

 

Windows на компьютере, где установлен Агент, будет отображаться пиктограмма

 

. При нажатии на этот значок доступна информация о работе Агента, а также список контролируемых в данный момент устройств.

 

 

Задача 5: Защита системы с помощью сертификатов

 

Создайте дерево сертификатов формата PKCS для защиты веб-соединения с DLP-сервером по протоколу HTTPS. Сертификат и используемый ключ должен удовлетворять общепринятым на сегодня стандартам и требованиям (по длительности не более 1 года, длине ключа не менее 2048 бит и т. п.), параметры сертификата должны соответствовать атрибутам компании.

Утилита для создания сертификата — на выбор участника из доступных в операционных системах и дистрибутивах (openssl или аналоги).

 

 

Дерево сертификатов должно включать: корневой root-сертификат (ca); серверный (server) сертификат;

 

по желанию допускается использование пользовательского и промежуточного сертификата.

 

Дополнительная информация сертификатов должна включать в себя: Страна: RU.

 

Город: Moscow.

 

Компания (и иные дополнительные поля): DemoExam. Отдел: SoC.

 

Пароли ключей (если применимо): QWEasd123.

 

Остальные поля заполняются самостоятельно.

 

После генерации сертификатов необходимо установить серверный сертификат на веб-сервер DLP-системы, а также установить корневой сертификат как доверенный в контроллер домена для использования на всех компьютерах в сети.

 

В случае невозможности — это сделать, установить сертификат на машину домена и отобразить это в отчете.

 

Итоговый результат должен включать:

 

– Дерево из сертификатов, упакованных в пакет PKCS (.p12), а также представленные в виде отдельных файлов ключей и сертификатов, расположенных на рабочем столе в каталоге «Сертификаты».

 

– Содержимое команд по генерации ключей и сертификатов в текстовом файле «сертификаты.txt» на рабочем столе с комментариями.

 

– Скриншоты успешного подключения к консоли сервера DLP без ошибок сертификата, скриншоты окон просмотра сертификата в системе с помощью оснастки «Сертификаты» операционной системы (вкладки «Общие», «Путь сертификации»).

 

– Сертификаты не должны содержать ошибок, предупреждений (warnings), неверной информации и т. п.

Выполнение:

Вставляем флешку в USB

В ВМ настраиваем USB:

Устройства_USB_Настроить USB_ выбираем в предлагаемом перечне нужную флешку

 

После выполнения инициализации флэшки в редакторе IWTM необходимо найти правильное название флэшки. Это может быть sdd, sdb или еще похожее название, также возможно добавление какой-либо цифры 1,2 и т.п.

В дальнейшем при копировании файла на флэшку, а также при монтировании и отмонтировании в тексте команды нужно будет вводить это правильное её название.

Создаем папку для монтирования:

sudo mkdir /media/usb

Теперь монтируем флешку с помощью команды mount:

sudo mount /dev/sdc1 /media/usb

Проверяем наличие этой папки в каталоге /nedia для этого запускаем файловый менеджер командой mc

mc_ /media /usb

Выходим из файлового менеджера F10_Yes

Генерация приватного ключа RSA используя параметры по умолчанию (ключ будет сохранён в файл с именем rootCA.key):

 

 

Создание самоподписанного корневого сертификата

Д алее заполняем характеристику объекта:

Country name [Страна]: RU

State or Province [Край или область]: Altay [можно пропустить]

Locality Name [Населенный пункт]: Barnaul

Organization Name: Apek

Organization Unit Name: DemoEx

Common Name: [обычно указывается адрес сайта] demo.lab

email: [можно пропустить]

 

Если ни чего не пишем, то ставим точку .

 

 

 

 

К опируем файл rootCA.crt в директорию флэшки /media/usb

cp /rootCA.crt /media/USB

 

и проверьте выполнение копирования через файловый менеджер

mc

 

 

 

 

 

 

 

Проверяем в файловом менеджере выполнение копирования

mc

 

Выпускаем сертификат

openssl x509 -req -in org.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out org.crt -days 365 -sha256

Копируем файл rootCA.crt в директорию флэшки /media/usb

cp /org.crt /media/USB

Проверяем в файловом менеджере выполнение копирования

mc

 

 

После завершения работы с флешкой не забудьте ее отмонтировать. Потому что иначе данные могут быть не сохранны или вообще повреждена файловая система флешки:

sudo umount /dev/sdc1

 

Добавляем корневой сертификат в доверенные в Windows на уровне системы

1. Мастер импорта сертификатов

Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:

В открывшемся окне нажмите кнопку «Установить сертификат»:

Выберите один из вариантов:

«Текущий пользователь» - сертификат будет иметь эффект только для одного пользователя

«Локальный компьютер» - сертификат будет иметь эффект для всех пользователей данного компьютера

Выберите «Пометить все сертификаты в следующие хранилища»:

Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:

Нажмите «Далее»:

Нажмите «Готово»:

Сообщение об успешном импорте:

Теперь сертификат будет доступен в Менеджере Сертификатов:

. Добавление root CA сертификата в Менеджере Сертификатов

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

Кликните правой кнопкой мыши по пункту «Доверенные корневые центры сертификации», выберите пункт «Все задачи» → «Импорт»:

Нажмите «Далее»:

Укажите папку и имя файла:

 

Нажмите «Далее»:

Всё готово:

Подтвердите:

Теперь действительно всё готово:

Только что импортированный сертификат в Менеджере Сертификатов:

 

Добавляем в Linux корневых сертификатов X.509 локального корпоративного Центра сертификации

Некоторые службы и приложения в Linux могут использовать в своей работе сетевые соединения, защищаемые с помощью SSL/TLS. Иногда требуется, чтобы цифровой сертификат, используемый для защиты соединений и предоставляемый каким-то удалённым сервером из локальной сети, принимался локальной Linux-системой как доверенный. Для этого в Linux-систему может потребоваться добавить корневой сертификат Центра сертификации (ЦС), которым были выданы сертификаты, используемые для защиты соединений. Типичный пример, когда локальная Linux-система для механизмов аутентификации и авторизации подключается с помощью ldap-клиента (например OpenLDAP) к контроллеру домена Active Directory (AD) и контроллер домена предоставляет ldap-клиенту для защиты соединения сертификат, выданным локальным корпоративным ЦС.

Здесь мы рассмотрим простой пример того, как в Linux-систему добавить корневые сертификаты локального корпоративного ЦС.

О том, как «выуживать» корневые сертификаты ЦС, которыми подписаны сертификаты контроллеров домена AD, я приводил пример ранее. Если под руками есть доменная Windows-машина, то можно выгрузить корневой сертификат из оснастки управления сертификатами из раздела корневых сертификатов доверенных ЦС. Если корневой сертификат не один, а несколько (цепочка), то каждый корневой сертификат цепочки выгрузим в файл в кодировке Base-64, сразу присвоив им расширение PEM вместо CER

В результате такой выгрузки в нашем примере получится пара файлов AD-RootCA.pem (корневой сертификат ЦС верхнего уровня) и AD-SubCA.pem (корневой сертификат подчинённого ЦС). Скопируем полученные pem-файлы на наш Linux-сервер, например с помощью утилиты pscp, во временный каталог.

С:\Tools\PuTTy>pscp.exe С:\Temp\AD-*.pem linux-user@LINUX-SERVER:/tmp

AD-RootCA.pem | 1 kB | 1.3 kB/s | ETA: 00:00:00 | 100%

AD-SubCA.pem | 1 kB | 1.9 kB/s | ETA: 00:00:00 | 100%

Перейдём на консоль Linux-сервера и переместим файлы коневых сертификатов из временного каталога в каталог, который мы создадим специально для хранения наших корневых сертификатов и подправим на эти сертификаты права (если требуется)

# mkdir /etc/ssl/certs-corp-ca

# mv /tmp/AD-*.pem /etc/ssl/certs-corp-ca

# chown root:root /etc/ssl/certs-corp-ca/AD-*.pem

# ls -la /etc/ssl/certs-corp-ca

...

-rw-r--r-- 1 root root 1344 Mar 6 19:35 AD-RootCA.pem

-rw-r--r-- 1 root root 1922 Mar 6 19:35 AD-SubCA.pem

Теперь обработаем содержимое каталога с нашими сертификатами утилитой OpenSSL - c_rehash:

# c_rehash /etc/ssl/certs-corp-ca

Doing /etc/ssl/certs-corp-ca

AD-RootCA.pem => 36865f67.0

AD-RootCA.pem => bb8428b0.0

AD-SubCA.pem => e740e31e.0

AD-SubCA.pem => 536fc63e.0

В результате выполнения этой команды в этом же каталоге будут созданы специальные хеш-ссылки на файлы сертификатов.

# ls -la /etc/ssl/certs-corp-ca

...

lrwxrwxrwx 1 root root 13 Mar 6 20:06 36865f67.0 -> AD-RootCA.pem

lrwxrwxrwx 1 root root 12 Mar 6 20:06 536fc63e.0 -> AD-SubCA.pem

-rw-r--r-- 1 root root 1344 Mar 6 19:59 AD-RootCA.pem

-rw-r--r-- 1 root root 1922 Mar 6 19:59 AD-SubCA.pem

lrwxrwxrwx 1 root root 13 Mar 6 20:06 bb8428b0.0 -> AD-RootCA.pem

lrwxrwxrwx 1 root root 12 Mar 6 20:06 e740e31e.0 -> AD-SubCA.pem

Помните про то, что если в дальнейшем в данный каталог потребуется снова добавить дополнительный сертификат, то команду c_rehash нужно будет выполнить для каталога заново, чтобы сгенерировались хеш-ссылки для добавленных сертификатов. И напротив, если из каталога будут удаляться какие-то сертификаты, то нужно будет выполнить команду, которая вычистит все хеш-ссылки на уже несуществующие файлы сертификатов:

# find -L /etc/ssl/certs-corp-ca -type l -exec rm {} +

Итак, каталог с сертификатами подготовлен, теперь можно его указывать в качестве источника доверенных корневых сертификатов для разных служб и приложений в нашей Linux-системе.

В качестве примера рассмотрим клиента OpenLDAP, для которого можно указать созданный нами каталог в конфигурационном файле ldap.conf (/etc/ldap/ldap.conf) в дополнительной опции TLS_CACERTDIR, таким образом, чтобы эта опция шла после имеющейся по умолчанию опции TLS_CACERT (подробнее об этих опциях можно найти в man ldap.conf):

ldap.conf

...

# TLS certificates (needed for GnuTLS)

TLS_CACERT /etc/ssl/certs/ca-certificates.crt

 

# Corp CA root certificates storage

TLS_CACERTDIR /etc/ssl/certs-corp-ca

Примечание.
В Debian GNU/Linux параметр TLS_CACERTDIR может игнорироваться, о чём сказано в man ldap.conf.

TLS_CACERTDIR
Specifies the path of a directory that contains Certificate Authority certificates in separate individual files. The TLS_CACERT is always used before TLS_CACERTDIR. This parameter is ignored with GnuTLS. On Debian openldap is linked against GnuTLS…

В таком случае используйте для хранения доверенных корневых сертификатов отдельный файл (бандл, в который собраны все доверенные корневые сертификаты) и указывайте его расположение через параметр TLS_CACERT.

Собрать все нужные доверенные корневые сертификаты Центров сертификации в бандл можно простой склейкой содерживого PAM-файлов в колировке Base-64:

# mkdir /etc/ssl/certs-corp-ca-chain

# cd /etc/ssl/certs-corp-ca

# cat ./AD-RootCA.pem ./AD-SubCA.pem > /etc/ssl/certs-corp-ca-chain/AD-Chain.pem

# cat /etc/ssl/certs-corp-ca-chain/AD-Chain.pem

-----BEGIN CERTIFICATE-----

...

<содержимое первого сертификата>

...

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

...

<содержимое второго сертификата>

...

-----END CERTIFICATE-----

Соответственно, применительно к ранее упомянутому клиенту OpenLDAP в Debian GNU/Linux настройка конфигурации будет такой:

ldap.conf

...

# TLS certificates (needed for GnuTLS)

TLS_CACERT /etc/ssl/certs-corp-ca-chain/AD-Chain.pem

 

# Corp CA root certificates storage

#TLS_CACERTDIR /etc/ssl/certs-corp-ca

 

Конвертация ключей и сертификатов

PEM и DER преобразование

Преобразование сертификата между форматами PEM и DER выполняется с помощью инструмента x509. Чтобы преобразовать сертификат из формата PEM в DER:

Чтобы преобразовать сертификат из DER в формат PEM:

Синтаксис идентичен, если вам нужно преобразовать закрытые ключи между форматами DER и PEM, но используются разные команды: rsa для ключей RSA и dsa для ключей DSA.

Конвертация PKCS#12 (PFX)

Одна команда — это все, что нужно для преобразования ключа и сертификатов в формате PEM в PKCS#12. В следующем примере ключ (fd.key), сертификат (fd.crt) и промежуточные сертификаты (fd-chain.crt) преобразуются в эквивалентный один файл PKCS#12:

Обратное преобразование не так просто. Вы можете использовать одну команду, но в этом случае вы получите все содержимое в одном файле:

 

 

Корневые CA сертификаты, которые добавил пользователь, хранятся в файле ~/.pki/nssdb/cert9.db, их можно просмотреть командой:

Также вы можете просмотреть корневые CA сертификаты в настройках браузера:

Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации, на английском это Privacy and security → Manage certificates → Authorities.

 

 

 

Модуль 2: Защита информации в автоматизированных системах программными и программно-аппаратными средствами

 

При выполнении задания модуля необходимо достичь следующих целей: 1.Настройка сервера агентского мониторинга для правильной работы системы.

 

Разработка политик и правил безопасности, предотвращающих утечки или попытку использования устройств и сервисов пользователями.

 

Разработка групповых политик домена для ограничения пользовательских действий.

Проверка работоспособности политик и правил безопасности

 

Задания выполняются только с помощью компонентов DLP системы или групповых политик (указано в задании).

 

Все сценарии заданий (где применимо) необходимо воспроизвести и зафиксировать результат.

Называйте созданные вами разделы/политики/группы и т. п. в соответствии с заданием, например, «Политика 1» или «Правило 1.2» и т. д., иначе проверка заданий может быть невозможна.

 

 

Выполнение отдельных заданий необходимо подтвердить скриншотом. В этом случае необходимо протоколировать свои результаты с помощью двух и более скриншотов для каждого задания (скриншот заданной политики и скриншот ее работы). Для некоторых заданий необходимо после фиксации результатов в виде скриншотов удалить заданную политику, что будет оговорено отдельно в тексте задания.

Все скриншоты необходимо сохранить в папке «Модуль 2».

 

Формат названия скриншотов политик:

 

Пример 1 для сохранения скриншота созданной политики: CR-1.jpg где СR – сокращение от англ. сreating а rule, 1 – номер задания

 

Пример 2 для сохранения скриншота работающей политики: RW-1.jpg где RW – сокращение от англ. rule work, 1 – номер задания.

 

Пример 3 для сохранения нескольких скриншотов одной работающей политики: RW-1-2.jpg где RW – сокращение от англ. rule1 work, 1 – номер задания; 2 – номер скриншота для задания 1.

 

Задание модуля 2:

 

Задача 1: Проверка работоспособности системы

 

Необходимо создать проверочную политику на правило передачи, копирования, хранения и буфера обмена (или работы в приложениях), все 4 варианта срабатывания событий для данных, содержащих термин «Проверка системы» (в любом регистре), установить низкий уровень угрозы для всех событий, добавить тег «Проверка».

Для отработки правил через сервер агентского мониторинга необходимо создавать правила в отдельной политике «Модуль 2».

Для передачи

Для копирования

Для хранения

Для буфера обмена

Модуль 2

После отработки политик необходимо оставить политику и открепить ее от групп компьютеров или выключить правила, но не удалять.

Переведите статус влево

Проверить срабатывание всеми четырьмя возможными способами (передачи, копирования, хранения и буфера обмена, хотя бы 1 событие на каждый тип) с помощью виртуальной машины нарушителя с установленным агентом.

Сделать одну выборку, в которой будет отображено только по одному событию каждого типа (суммарно 4 события: передачи, копирования, хранения и буфера обмена), настроив конструктор выборки вручную.

 

Задача 2: подготовка сервера агентского мониторинга

 

Необходимо создать новую группу компьютеров: «DemoGroup»,

(на скриншоте название компьютеров отличаются от задания, но принципиально не важно)

Жмем Группа компьютеров, включаем в группу компьютеры из demo.lab, переименовываем название группы и далее жмем Сохранить.

 

а также создать новую политику: «DemoPolicy».

Создаем новую политику DemoPolicy

Жмем Политики, переименовываем и сохраняем

Политика должна применяться на ранее созданную группу компьютеров.

Жмем группы компьютеров и проверяем политику на эти компьютеры

 

Компьютер нарушителя необходимо переместить в группу «DemoGroup»

В группе компьютеров жмем изменить, далее в открывшейся вкладке добавить,

в следующей вкладке находим компьютер нарушителя и сохраняем.

 

Зафиксировать выполнение скриншотом.

 

Задача 3: смена пароля удаления агента

 

Необходимо установить (сменить) пароль для удаления агента мониторинга на всех машинах нарушителей с помощью средств сервера агентского мониторинга (удаленно).

 

Пароль: QWEasd123

Зафиксировать выполнение скриншотом.

Выполнение:

Перейдите к разделу Задачи.

 

Выполните одно из следующих действий:

в главном меню выберите команду Правка > Добавить задачу;

воспользуйтесь кнопкой Добавить задачу, расположенной в верхней части раздела Задачи.

 

результате выполнения любого из этих действий на экран будет выведено диалоговое окно Мастера создания задачи.

 

На шаге 1 выберите Задача смены пароля деинсталляции, введите имя задачи и ее описание, затем нажмите Далее.

На шаге 2 создайте список компьютеров, на которых необходимо сменить пароль деинсталляции. Чтобы добавить компьютер (или несколько компьютеров):

Нажмите Добавить. В открывшемся диалоговом окне Выбор компьютеров, в узле Группы компьютеров DM, отобразится перечень компьютеров, на которые установлен Агент Device Monitor. Вы также можете использовать строку поиска

 

Фильтр по названию компьютера. Чтобы найти компьютер, нажмите Найти.

 

Выберите необходимые компьютеры или группы компьютеров, отмечая их. Свернутые группы отмечены пиктограммой ; развернутые - . Для того, чтобы развернуть или свернуть группу, дважды нажмите на ней левой кнопкой мыши.

 

После того, как вы укажете компьютеры, нажмите Выбрать. Диалоговое окно Выбор компьютеров будет закрыто, а в окне мастера создания задачи будет отображен перечень выбранных компьютеров.

 

Чтобы удалить компьютер из списка, выберите ее имя и нажмите Удалить. После того, как вы полностью определите список компьютеров, нажмите Далее.

 

 

На шаге 3 укажите:

Пароль, который будет запрашиваться у сотрудника при попытке удалить Агент Device Monitor. Подтвердите пароль.

Параметры перезапуска задачи: они будут использованы, если первый запуск по каким-либо причинам не произошел; если запуск завершился с ошибкой, то повторный запуск производиться не будет. Укажите количество попыток и время между попытками, в минутах.

 

При необходимости, отметьте поле Запустить задачу немедленно: задача будет запущена сразу же после ее сохранения.

 

Нажмите Далее.

Просмотрите сводку информации о задаче. если какие-либо параметры требуется изменить, вы можете вернуться к настройкам (кнопка Назад). если все указано верно, нажмите Готово.

Следующие правила создаются в политике «DemoPolicy». Правило 1

 

Запретить печать документов на сетевых принтерах.

 

Зафиксировать факт настройки правил (политик) скриншотами.

Выполнение:

1. Откройте окно создания правила и в поле Наименование укажите название правила.

2. В поле Перехватчик выберите Application Monitor.

3. В блоке Блокирование печати укажите приложения, печать из которых требуется

запретить, а также тип принтера:

• локальный;

• сетевой;

• терминальный.

Пользователь не сможет отправить на печать данные в указанных приложениях. Также

ему будут недоступны выбранные типы принтеров.

Определите период действия правила (DM). По умолчанию выбрана настройка

Действует всегда. Чтобы определить период, снимите отметку и в полях Действует

с и По укажите даты и время.

После того, как вы определите все необходимые параметры, нажмите Сохранить.

Также необходимо отдельным правилом разрешить печать на локальных принтерах.

Измените режим белых и черных списков, сделав активными белые списки. Добавьте в белые списки Правило 1. В запрет печати включите список Правило 1 и Тип принтера Локальный.

Правило 2

 

Необходимо полностью запретить использование облачного сервиса GoogleDrive, разрешить полное использование сервиса YandexDisk, остальные сервисы настроить только в режиме чтения (разрешить скачивание).

 

Зафиксировать факт настройки правил (политик) скриншотами.

Выполнение:

1. Откройте окно создания правила и в поле Наименование укажите название правила.

2. В поле Перехватчик выберите Cloud Storage Monitor.

3. В области Настройка доступа к облачным хранилищам отметьте необходимый

вариант ограничения доступа.

4. Определите период действия правила (DM). По умолчанию выбрана настройка

Действует всегда. Чтобы определить период, снимите отметку и в полях Действует с и

По укажите даты и время.

После того, как вы определите все необходимые параметры, нажмите Сохранить.

 

 

Правило 3

Запретить запуск приложения wordpad или Libre/Open office Writer.

 

Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.

Выполнение:

Создайте Правило 3 и включите приложения из иконки Добавить приложения вручную.

Далее создаем правило 3 и в списке белых приложения указываем Правило 3

 

 

Правило 4

Необходимо запретить создание снимков экрана в текстовых редакторах для

предотвращения утечки.

 

Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.

Выполнение:

1. Откройте окно создания правила и в поле Наименование укажите название правила.

2. В поле Перехватчик, выберите ScreenShot Control Monitor.

3. В области Запрещать сотруднику создавать снимок экрана определите, в каком

случае накладывается запрет. Возможные значения:

• Всегда;

• Если запущены приложения. Если выбрана эта опция, нажмите , чтобы

указать приложения. Нужно создать Правило 4, включив в него текстовые редакторы.

4. Определите период действия правила (DM). По умолчанию выбрана настройка

Действует всегда. Чтобы определить период, снимите отметку и в полях Действует

с и По укажите даты и время.

После того, как вы определите все необходимые параметры, нажмите Сохранить.

 

Правило 5

Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них.

В случае отсутствия USB-накопителей создать правило на сетевые расположения.

 

Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.

Выполнение:

Правило 5 – разрешаем только чтение

Правило 5+ - разрешаем копирование со съемных устройств

Правило 6

С учетом ранее созданной блокировки необходимо разрешить копирование только на один доверенный USB-накопитель.

 

Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.

Выполнение:

Включите в белый список Другое устройство USB. Для сохранения результата понадобится идентификатор устройства. Для получения идентификатора необходимо использовать устройство USB.

Уточните у главного эксперта о возможности использования устройства USB.

И/или сделайте скриншот, подтверждающий выполнение задания.

Правило 7

 

Полностью заблокируйте доступ к CD/DVD на клиентском компьютере (виртуальной машине).

В случае отсутствия CD/DVD привода его необходимо создать.

 

Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.

Выполнение:

 

Правило 8

Осуществить выдачу временного доступа (30 минут) клиенту до заблокированного CD/DVD привода.

 

Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Необходимо зафиксировать основные шаги выдачи доступа (например, ввод кода).

Выполнение:

 

Правило 9

Необходимо установить контроль за компьютером потенциального нарушителя в случае использования браузера путем создания снимков экрана каждые 30 секунд или при переходе в другое окно.

 

Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Также необходим скриншот сохраненных снимков экрана в системе.

Выполнение:

 

Правило 10

 

Запретить передачу файлов документов типа PDF на съемные носители информации и в сетевые каталоги.

 

Проверить работоспособность любым из правил, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.

Выполнение:

Съемные носители

Сетевые каталоги

 

Групповые политики домена

 

Групповые применяются только на компьютер нарушителя (violator), должны быть созданы в домене, необходимо создать или 1 общий объект для всех политик и применить его к группе компьютеров/пользователей (или к конкретному компьютеру/пользователю), или по 1 объекту на каждую политику и применить их к группе компьютеров/пользователей (или к конкретному компьютеру/пользователю).

 

Зафиксировать настройку политик скриншотами, при возможности проверки зафиксировать скриншотами проверку политик (например, запрет запуска).

Использование компонентов DLP будет считаться некорректным выполнением задания.

 

Групповая политика 1

Настроить политику паролей и блокировки:

 

Максимальный срок действия пароля: 47 дней

Минимальная длина пароля: 8 символов

Блокировка пользователя при неправильном вводе пароля: 5

 

Блокировка учетной записи при вводе пароля: 20 минут Зафиксировать настройки политики скриншотами.

 

Выполнение:

Запускаем Windows Server 2016.

В диспетчере серверов кликаем Средства, в выпадающем окне находим Управление групповой политикой, Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика паролей и по скриншотам:

 

Блокировки выполняйте в каталоге Политика блокировки учетной записи

 

 

 

 

 

 

Групповая политика 2

Отключить анимацию первого входа в систему

Зафиксировать настройки политики скриншотами

Выполнение:

Откройте редактор локальной (gpedit.msc) или доменной групповой политики ( gpmc.msc ) и перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Logon;

Откройте параметры политики с именем Show first sign-in animation и измените ее значение на Disable

 

Групповая политика 3

Запретить использование командной строки (терминала) пользователем стандартной политикой запрета (не с помощью списка, при наличии).

Зафиксировать настройки политики и выполнение скриншотами.

Выполнение:

Запретить пользователям использовать командную строку можно, проведя настройку групповой политики

Откройте на сервере Управление групповой политикой, далее Объекты групповой политики, далее правой кнопкой по Default Domain Policy и откроется окно Редактора управления групповой политикой

далее

Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки

 

 

Групповая политика 4

Запретить пользователю самостоятельный запуск панели управления.

 

Зафиксировать настройки политики и выполнение скриншотами.

Выполнение:

Настраиваем аналогично предыдущему заданию, только кликаем по Панель управления в Административных шаблонах

 

Групповая политика 5

Изменить изображение рабочего стола пользователя групповыми политиками.

 

Изображение необходимо создать самостоятельно, должно содержать в себе название компании («DemoExam») текстом в картинке.

 

Изменение изображения вручную не будет считаться корректным выполнением задания.

Выполнение:

Открываем окно "Редактор локальной групповой политики".

Идем тут в "Конфигурация пользователя -> Административные шаблоны -> Рабочий стол" и находим тут "Фоновые рисунки рабочего стола"

Кликаем на нее двойным кликом мыши.

Далее переводим данный параметр в состояние "Включено"

Далее надо указать путь в параметрах, где лежит рисунок, который Вы хотите установить. У меня он лежит локально на том же терминальнике, можно его хранить где в сети в расшаренной папке. Вписываем путь вместе с названием изображения, Выбираем стиль, как оно будет выглядить (заместить, по центру, растянуть, заполнить). У меня стоит заполнение.

Все, нажимаем кнопку ОК.

После этого не забываем обновить политику.

Чтобы не перезагружать сервер, сделаем это принудительно. Для этого опять вызываем "Выполнить" через сочетание "Win+R" и пишем в нем "cmd"

В командной строке выполняем "gpupdate /force" и дожидаемся ее успешного завершения.