За время работы были получены благодарности:
За время работы были получены благодарности:
За время работы были получены благодарности:
За время работы были получены благодарности:
За время работы были получены благодарности:
Методические указания по освоению:
- раздела 1. Установка, конфигурирование и устранение неисправностей в системе корпоративной защиты от внутренних угроз;
- раздела 2. Технологии защиты узла и агентского мониторинга
по МДК 02.01 Администрирование сетевых операционных систем
Тема 2.4. Создание правил
После того как первоначальная настройка сервера выполнена, можно переходить к следующему этапу — настройке системы для контроля рабочих станций.
Анализ данных осуществляется на основе политик. Политики — это наборы правил, которые указывают какие данные, с каких устройств и по каким каналам связи необходимо контролировать. Политики назначаются группам сотрудников и группам рабочих станций.
Политики, группы станций и сотрудников, белые списки устройств и сигнатуры форматов файлов в совокупности называются «Схемой безопасности».
В процессе работы схема безопасности может неоднократно редактироваться, при этом последняя сохранённая версия считается текущей. Старые варианты схем безопасности не удаляются, а хранятся в базе данных. Всегда можно вернуться к прежней схеме или же посмотреть когда и кем она редактировалась.
Средство управления конфигурациями позволяет как редактировать существующие политики, так и создавать новые.
Задача 4: Создание правил
Разработать правила агентского мониторинга.
Следующие правила создаются в политике «Test1».
Правило 1. Необходимо запретить пользоваться Microsoft Paint, так как участились случаи подделки печатей компании.Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 2. Необходимо запретить печать на сетевых принтерах. Зафиксировать создание политики скриншотом.
Следующие правила создаются в политике «Test2».
Правило 3. Заблокируйте доступ к CD/DVD на клиентском компьютере (виртуальной машине).Проверить работоспособность и зафиксировать выполнение скриншотом.
Правило 4. Создать политику по блокировке копирования файлов формата zip на USB накопители.
Видео - инструкция:
Задания для самостоятельного выполнения:
1 вариант:
Следующие правила создаются в политике «Отдел 1».
Правило 1
Запретить печать документов на сетевых принтерах. Также необходимо отдельным правилом разрешить печать на локальных принтерах. Зафиксировать факт настройки правил (политик) скриншотами.
Правило 2
Необходимо полностью запретить использование облачного сервиса OneDrive, разрешить полное использование сервиса DropBox, остальные сервисы настроить только в режиме чтения (разрешить скачивание). Зафиксировать факт настройки правил (политик) скриншотами.
Правило 3
Запретить запуск приложения notepad и notepad++. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 4
Необходимо запретить создание снимков экрана в калькуляторе (calc) для предотвращения утечки секретных расчетов. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 5
Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них. В случае отсутствия USB-накопителей создать правило на сетевые расположения. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 6
С учетом ранее созданной блокировки необходимо разрешить копирование только на один доверенный USB-накопитель с помощью белого списка. В случае отсутствия USB-накопителей создать исключение для любого другого конкретного устройства (кроме CD/DVD). Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 7
Полностью заблокируйте доступ к CD/DVD на клиентском компьютере (виртуальной машине). В случае отсутствия CD/DVD привода его необходимо создать. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 8
Осуществить выдачу временного доступа (60 минут) клиенту до заблокированного CD/DVD привода.
Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Необходимо зафиксировать основные шаги выдачи доступа (например ввод кода).
Следующие правила создаются в политике «Отдел 2».
Правило 9
Необходимо запретить доступ к буферу обмена в приложениях notepad и chrome.
Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 10
Необходимо поставить на контроль печать документов на принтерах. Продемонстрировать работоспособность на любую из политик IWTM. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами (обязательно с рабочим событием печати в веб-консоли).
Правило 11
На машине нарушителя необходимо запретить использование буфера обмена при подключении к удаленным машинам по протоколу RDP. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Для проверки работоспособности необходимо будет включить RDP доступ на любой из машин.
Правило 12
Необходимо установить контроль за компьютером потенциального нарушителя в случае использования браузера Firefox путем создания снимков экрана каждые 60 секунд или при переходе в другое окно. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Также необходим скриншот сохраненных снимков экрана в системе.
Правило 13
Запретить передачу файлов типа .exe и .dll на съемные носители информации и в сетевые каталоги. Проверить работоспособность любым из правил, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
2 вариант:
Следующие правила создаются в политике «Подразделение 1».
Правило 1
Запретить печать документов на сетевых принтерах. Также необходимо отдельным правилом разрешить печать на локальных принтерах. Зафиксировать факт настройки правил (политик) скриншотами.
Правило 2
Необходимо полностью запретить использование облачного сервиса GoogleDrive, разрешить полное использование сервиса DropBox, остальные сервисы настроить только в режиме чтения (разрешить скачивание). Зафиксировать факт настройки правил (политик) скриншотами.
Правило 3
Запретить запуск приложения wordpad и charmap. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 4
Необходимо запретить создание снимков экрана в текстовых редакторах (notepad или notepad++) для предотвращения утечки. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 5
Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них. В случае отсутствия USB-накопителей создать правило на сетевые расположения. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 6
С учетом ранее созданной блокировки необходимо разрешить копирование только на один доверенный USB-накопитель с помощью белого списка. В случае отсутствия USB-накопителей создать исключение для любого другого конкретного устройства (кроме CD/DVD). Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 7
Полностью заблокируйте доступ к CD/DVD на клиентском компьютере (виртуальной машине). В случае отсутствия CD/DVD привода его необходимо создать. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 8
Осуществить выдачу временного доступа (120 минут) клиенту до заблокированного CD/DVD привода.
Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Необходимо зафиксировать основные шаги выдачи доступа (например ввод кода).
Следующие правила создаются в политике «Подразделение 2».
Правило 9
Необходимо запретить доступ к буферу обмена в приложениях mspaint и msinfo32. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 10
Необходимо поставить на контроль печать документов на принтерах. Продемонстрировать работоспособность на любую из политик IWTM. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами (обязательно с рабочим событием печати в веб-консоли).
Правило 11
На машине нарушителя необходимо запретить использование буфера обмена при подключении к удаленным машинам по протоколу RDP. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Для проверки работоспособности необходимо будет включить RDP доступ на любой из машин.
Правило 12
Необходимо установить контроль за компьютером потенциального нарушителя в случае использования браузера Chrome путем создания снимков экрана каждые 30 секунд или при переходе в другое окно. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Также необходим скриншот сохраненных снимков экрана в системе.
Правило 13
Запретить передачу файлов документов типа PDF на съемные носители информации и в сетевые каталоги. Проверить работоспособность любым из правил, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
3 вариант:
Следующие правила создаются в политике «Лаборатория 1».
Правило 1
Запретить печать документов на сетевых принтерах. Также необходимо отдельным правилом разрешить печать на локальных принтерах. Зафиксировать факт настройки правил (политик) скриншотами.
Правило 2
Необходимо полностью запретить использование облачного сервиса EverNote, разрешить полное использование сервиса YandexDisk, остальные сервисы настроить только в режиме чтения (разрешить скачивание). Зафиксировать факт настройки правил (политик) скриншотами.
Правило 3
Запретить запуск приложения ipconfig и nslookup. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 4
Необходимо запретить создание снимков экрана в текстовых редакторах (notepad или notepad++) для предотвращения утечки. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 5
Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них. В случае отсутствия USB-накопителей создать правило на сетевые расположения. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 6
С учетом ранее созданной блокировки необходимо разрешить копирование только на один доверенный USB-накопитель с помощью белого списка. В случае отсутствия USB-накопителей создать исключение для любого другого конкретного устройства (кроме CD/DVD).Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 7
Полностью заблокируйте доступ к CD/DVD на клиентском компьютере (виртуальной машине). В случае отсутствия CD/DVD привода его необходимо создать. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 8
Осуществить выдачу временного доступа (120 минут) клиенту до заблокированного CD/DVD привода.
Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Необходимо зафиксировать основные шаги выдачи доступа (например ввод кода).
Следующие правила создаются в политике «Лаборатория 2».
Правило 9
Необходимо запретить доступ к буферу обмена в приложениях SnippingTool и wordpad. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 10
Необходимо поставить на контроль печать документов на принтерах. Продемонстрировать работоспособность на любую из политик IWTM. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами (обязательно с рабочим событием печати в веб-консоли).
Правило 11
На машине нарушителя необходимо запретить использование буфера обмена при подключении к удаленным машинам по протоколу RDP. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Для проверки работоспособности необходимо будет включить RDP доступ на любой из машин.
Правило 12
Необходимо установить контроль за компьютером потенциального нарушителя в случае использования wordpad путем создания снимков экрана каждые 60 секунд или при переходе в другое окно. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Также необходим скриншот сохраненных снимков экрана в системе.
Правило 13
Запретить передачу файлов изображений на съемные носители информации и в сетевые каталоги. Проверить работоспособность любым из правил, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
4 вариант:
Следующие правила создаются в политике «Комната 1».
Правило 1
Запретить печать документов на сетевых принтерах. Также необходимо отдельным правилом разрешить печать на локальных принтерах. Зафиксировать факт настройки правил (политик) скриншотами.
Правило 2
Необходимо полностью запретить использование облачного сервиса YandexDisk, разрешить полное использование сервиса EverNote, остальные сервисы настроить только в режиме чтения (разрешить скачивание). Зафиксировать факт настройки правил (политик) скриншотами.
Правило 3
Запретить запуск приложения charmap и control.exe. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 4
Необходимо запретить создание снимков экрана в wordpad для предотвращения утечки секретных документов. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 5
Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них. В случае отсутствия USB-накопителей создать правило на сетевые расположения. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 6
С учетом ранее созданной блокировки необходимо разрешить копирование только на один доверенный USB-накопитель с помощью белого списка. В случае отсутствия USB-накопителей создать исключение для любого другого конкретного устройства (кроме CD/DVD). Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 7
Полностью заблокируйте доступ к CD/DVD на клиентском компьютере (виртуальной машине). В случае отсутствия CD/DVD привода его необходимо создать. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 8
Осуществить выдачу временного доступа (240 минут) клиенту до заблокированного CD/DVD привода.
Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Необходимо зафиксировать основные шаги выдачи доступа (например ввод кода).
Следующие правила создаются в политике «Комната 2».
Правило 9
Необходимо запретить доступ к буферу обмена в приложениях notepad и putty. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 10
Необходимо поставить на контроль печать документов на принтерах. Продемонстрировать работоспособность на любую из политик IWTM. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами (обязательно с рабочим событием печати в веб-консоли).
Правило 11
На машине нарушителя необходимо запретить использование буфера обмена при подключении к удаленным машинам по протоколу RDP. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Для проверки работоспособности необходимо будет включить RDP доступ на любой из машин.
Правило 12
Необходимо установить контроль за компьютером потенциального нарушителя в случае использования калькулятора путем создания снимков экрана каждые 60 секунд или при переходе в другое окно. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Также необходим скриншот сохраненных снимков экрана в системе.
Правило 13
Запретить передачу файлов архивов zip и rar на съемные носители информации и в сетевые каталоги. Проверить работоспособность любым из правил, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
5 вариант:
Следующие правила создаются в политике «Цех 1».
Правило 1
Запретить печать документов на сетевых принтерах. Также необходимо отдельным правилом разрешить печать на локальных принтерах.Зафиксировать факт настройки правил (политик) скриншотами.
Правило 2
Необходимо полностью запретить использование облачного сервиса EverNote, разрешить полное использование сервиса YandexDisk, остальные сервисы настроить только в режиме чтения (разрешить скачивание). Зафиксировать факт настройки правил (политик) скриншотами.
Правило 3
Запретить запуск приложения ipconfig и nslookup. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 4
Необходимо запретить создание снимков экрана в текстовых редакторах (notepad или notepad++) для предотвращения утечки. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 5
Необходимо запретить запись файлов на все съемные носители информации (флешки), оставив возможность чтения и копирования с них. В случае отсутствия USB-накопителей создать правило на сетевые расположения. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 6
С учетом ранее созданной блокировки необходимо разрешить копирование только на один доверенный USB-накопитель с помощью белого списка. В случае отсутствия USB-накопителей создать исключение для любого другого конкретного устройства (кроме CD/DVD). Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 7
Полностью заблокируйте доступ к CD/DVD на клиентском компьютере (виртуальной машине). В случае отсутствия CD/DVD привода его необходимо создать. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 8
Осуществить выдачу временного доступа (120 минут) клиенту до заблокированного CD/DVD привода.
Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Необходимо зафиксировать основные шаги выдачи доступа (например ввод кода).
Следующие правила создаются в политике «Цех 2».
Правило 9
Необходимо запретить доступ к буферу обмена в приложениях SnippingTool и wordpad. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.
Правило 10
Необходимо поставить на контроль печать документов на принтерах. Продемонстрировать работоспособность на любую из политик IWTM. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами (обязательно с рабочим событием печати в веб-консоли).
Правило 11
На машине нарушителя необходимо запретить использование буфера обмена при подключении к удаленным машинам по протоколу RDP. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Для проверки работоспособности необходимо будет включить RDP доступ на любой из машин.
Правило 12
Необходимо установить контроль за компьютером потенциального нарушителя в случае использования wordpad путем создания снимков экрана каждые 60 секунд или при переходе в другое окно. Проверить работоспособность, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами. Также необходим скриншот сохраненных снимков экрана в системе.
Правило 13
Запретить передачу файлов изображений на съемные носители информации и в сетевые каталоги. Проверить работоспособность любым из правил, зафиксировать факт настройки правил (политик) и их работоспособность скриншотами.