Лаб№2
.docxМинистерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Сибирский государственный аэрокосмический университет имени академика М.Ф.Решетнева» (СибГАУ)
ИНСТИТУТ Информатики и телекоммуникаций КАФЕДРА Безопасность информационных технологий СПЕЦИАЛЬНОСТЬ 090900.62-Информационная безопасность
Отчет о выполнении лабораторной работы№2 «Развёртывание защищённой программной среды средствами Windows NT»
Студенты группы БКБ11-01 (Калачёв В.К.) (Резанов А.К. Принял (Кукарцев А.М.)
Красноярск 2012
ВВЕДЕНИЕ
Цель работы:
Создать ЗПС на базе Windows NT с помощью сертификата.
Задачи:
-
Загрузка генерального сертификата;
-
Установка личных сертификатов;
-
Сертификация и взлом программы. Создание ЗПС;
-
Сертификация документов;
ХОД РАБОТЫ
-
Делаем доверенную загрузку генерального сертификата.
-
Используя КриптоПро CSP устанавливаем личные сертификаты.
-
Устанавливаем СОС. Процесс развертывания инфраструктуры открытых ключей на этом завершен.
-
Далее необходимо подписать программу, используя Signtool. Подписав, создаем копию exe файла программы, и взламываем подписанную копию, в следствие чего подпись станет недействительной.
-
Далее необходимо развернуть защищенную программную среду, т.е. запуск программ должен происходить при наличии корректной ЭЦП.
-
Необходимо активировать контроль программ по ЭЦП. Для этого нужно зайти в групповую политику -> конфигурации Windows -> Параметры безопасности -> Политика ограниченного использования программ -> Создать политику ограниченного использования программ
-
Создав политику ограниченного использования программ нужно настроить дополнительные правила. Создать дополнительные правила для сертификатов, выбрав сертификат, который использовался для подписи программы, выбрать уровень безопасности Неограниченный. Далее создать правило для пути: указать путь и выбрать уровень безопасности Запрещено.
-
Далее нужно вернуться в политику ограниченного использования программ зайти в Назначенные типы файлов и из списка удалить LNK (тип отвечающий за работу ярлыков).
-
Далее необходимо включить ключ шифрования для проверки действительности сертификатов [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"AuthenticodeEnabled"=dword:ffffffff
-
На этом развертывание ЗПС завершено. Программа с действительной ЭЦП будет работать корректно, программа без ЭЦП и с недействительной ЭЦП будет запрещена для использования.
ВЫВОД
Мы создали ЗПС на базе Windows NT с помощью сертификата.