ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/6507Full metadata record
| DC Field | Value | Language |
|---|---|---|
| dc.contributor.advisor | Гавриш, Олександр Степанович | - |
| dc.contributor.author | Сімонов, Владислав Олександрович | - |
| dc.date.accessioned | 2025-12-23T17:11:50Z | - |
| dc.date.available | 2025-12-23T17:11:50Z | - |
| dc.date.issued | 2025 | - |
| dc.identifier.uri | https://er.chdtu.edu.ua/handle/ChSTU/6507 | - |
| dc.description.abstract | "Об’єкт дослідження – політики доступу до інформаційних ресурсів, що застосовуються в КМ приватного підприємства Метою роботи є покращення рівня інформаційної безпеки корпоративної мережі через обмеження доступу користувачів до інформаційних ресурсів за допомогою Active Directory та групових політик. Методи дослідження – проектування рольової моделі до інформаційних ресурсів за допомогою Active Directory та сегементації мережі" | uk_UA |
| dc.language.iso | uk | uk_UA |
| dc.subject | корпоративна мережа | uk_UA |
| dc.subject | розмежування доступу | uk_UA |
| dc.subject | інформаційна безпека | uk_UA |
| dc.subject | active directory | uk_UA |
| dc.subject | group policy | uk_UA |
| dc.subject | applocker | uk_UA |
| dc.title | Політики доступу в корпоративній мережі приватного підприємства | uk_UA |
| dc.type | Master Thesis | uk_UA |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) | |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Сімонов_Гавриш.pdf Restricted Access | 3.69 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА
МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор __________
Володимир ПАЛАГІН
"_____" грудня 2025 року
Пояснювальна записка
до випускної роботи
освітнього ступеня «магістр»
на тему: «Політики доступу в корпоративній мережі приватного підприємства»
Виконав студент 2 курсу, групи мБІ-41
Спеціальність – 125 «Кібербезпека та захист
інформації»
Освітня програма – «Безпека інформаційних і
комунікаційних систем»
СИМОНОВ Владислав Олександрович
Керівник роботи ГАВРИШ Олександр
Рецензент ЛАВДАНСЬКИЙ Артем
Черкаси 2025
Форма № Н-9.01
Черкаський державний технологічний університет
(назва вузу)
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра Робототехнічних і телекомунікаційних систем та кібербезпеки
Освітній ступінь магістр
Спеціальність 125 - Кібербезпека та захист інформації
Освітня програма Безпека інформаційних і комунікаційних систем
ЗАТВЕРДЖУЮ
Завідувач кафедри РТСК
д.т.н., професор Володимир ПАЛАГІН
« » 2025 р.
ЗАВДАННЯ
на дипломний проект (роботу) студенту
Сімонову Владиславу Олександровичу
(прізвище, ім'я, по батькові)
1. Тема проекту (роботи) Політики доступу в корпоративній мережі приватного
підприємства
керівник проекту (роботи) Гавриш Олександр Степанович, к.ф.-м.н., доцент
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджена наказом по університету від « » 2025 р. №
2. Строк подання студентом проекту (роботи) 1 грудня 2025 р.
3. Вихідні дані до проекту (роботи) Підприємства з доменною інфраструктурою,
клієнтські ПК під керуванням Windows 10 / Windows 11, використання Active Directory, Group
Policy Objects, AppLocker , сегментація користувачів за підмережами
4. Зміст розрахунково-пояснювальної записки (перелік питань, які потрібно розробити)______
1. Аналіз загроз інформаційній безпеці корпоративної мережі та методів
розмежування доступу. 2. Проєктування системи розмежування доступу користувачів
корпоративної мережі.3. Реалізація та тестування системи розмежування доступу
Висновки.Список використаних джерел.
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень)
Презентація обсягом 15 плакатів
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Ро зділ Прізвище, ініціали та посада завдання завдання
консультанта видав прийняв
7. Дата видачі завдання
К АЛЕНДАРНИЙ ПЛАН
№ Назва етапів дипломного С т рок виконання Примітка
з/п проекту (роботи) етапів
проекту (роботи)
Аналіз предметної області та постановка 04.09.2025
задачі
Аналіз загроз інформаційній безпеці 17.09.2025
корпоративної мережі
Аналіз методів і моделей 25.09.2025
розмежування доступу користувачів
Проєктування системи розмежування 01.10.2025
доступу користувачів
Розгортання доменної інфраструктури 15.10.2025
Active Directory
Реалізація політик доступу засобами GPO 25.10.2025
та AppLocker
Реалізація мережевої сегментації та 05.11.2025
тестування системи
Оформлення пояснювальної записки та 25.11.2025
підготовка до захисту
Студент СІМОНОВ Владислав
(підпис) (прізвище та ініціали)
Керівник проекту (роботи) ГАВРИШ Олександр
(підпис) (прізвище та ініціали)
Зміст
Список умовних позначень і скорочень ........................................................................ 2
ВСТУП .................................................................................................................................. 3
РОЗДІЛ 1 СТРУКТУРА ПІДПРИЄМСТВА ТА ОРГАНІЗАЦІЙНО-
УПРАВЛІНСЬКА СКЛАДОВА ....................................................................................... 5
1.1 Аналіз структури та характеру бізнес-процесів приватного підприємства .. 5
1.2 Класифікація інформаційних активів підприємства ........................................ 8
1.3 ІКС підприємства та її складники ....................................................................... 12
1.4 Функціональний профіль захищеності проксі-сервера підприємства ......... 17
РОЗДІЛ 2 ПРОЕКТУВАННЯ ПОЛІТИКИ ДОСТУПУ ДО ІА В КМ
ПІДПРИЄМСТВА ............................................................................................................ 18
2.1 Правила доступу до інформації на ПП ............................................................... 19
РОЗДІЛ 3 ПРОЕКТУВАННЯ ТА РЕАЛІЗАЦІЯ ПОЛІТИК ДОСТУПУ ............. 25
3.1. Налаштування контролеру домену .................................................................. 25
3.2. Налаштування статичної ip-адреси для серверу ........................................... 32
3.3. Створення підрозділів для групування користувачів ................................. 33
3.4. Створення користувачів .................................................................................... 39
3.5. Додавання користувачів в групи ..................................................................... 41
3.6. Додавання пк до груп користувачів ................................................................ 44
3.7. Налаштування групових політик .................................................................... 46
3.8. Оновлення групових політик та перевірка працездатності ....................... 58
3.9. Налаштування мережевої папки ...................................................................... 64
3.10. Мережеві налаштування ................................................................................. 72
ЗАГАЛЬНІ ВИСНОВКИ ................................................................................................. 91
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ..................................................................... 93
Список умовних позначень і скорочень
АС – автоматизована система.
ЗУ – закон України.
ІА – інформаційний актив.
ІБ -інформаційна безпека.
ІКС – інформаційно-комунікаційна система.
ІС – інформаційна система.
ОС – операційна система.
КСЗІ – комплексна система захисту інформації.
КМ – корпоративна мережа.
ЛОМ – локальна обчислювальна мережа.
НД – нормативний документ.
НСД – несанкціонований доступ.
ПЗ – програмне забезпечення.
ПП – приватне підприємство.
ТЗІ – технічний захист інформації.
ВСТУП
Корпоративні мережі різного складу та топології забезпечують нормальне
протікання бізнес-процесів на великій кількості підприємств. Для таких мереж
характерна велика кількість сегментів ІКС, що входять до їх складу та ієрархічність
організації. Як правило, в таких КМ можуть діяти різні політики доступу до ІА, що
залежить від застосовних моделей ІБ.
В приватному підприємстві при застосуванні однакової політики безпеки
доступу до інформації часто виникають ситуації, коли політики доступу
залишаються встановленими однаковими за правилом «default». Це створює
проблеми з несанкціонованим інсайдерським впливом на інформацію, сприяє її
витокам або неправомірному поширенню та використанню особам, які не мають на
це законних підстав, тому задача проектування та застосування раціональнину х
політики доступу до інформації в КМ приватного підприємства є актуальною.
Приймаючи до уваги той факт, що інформаційне забезпечення діяльності
Приватного підприємства «Brain Basket» включає інформацію, яка має ознаки
конфіденційності, містить персональні дані, для керування такої КМ слід розробляти
спеціалізовані політики доступу до ІА, які враховують статистику інцидентів ІБ. Це
дасть змогу суворо контролювати доступ до інформації та знизити ризики
порушення цілісності, конфіденційності та доступності ІА підприємства.
Об’єкт дослідження – політики доступу до інформаційних ресурсів, що
застосовуються в КМ приватного підприємства
Метою роботи є покращення рівня інформаційної безпеки корпоративної
мережі через обмеження доступу користувачів до інформаційних ресурсів за
допомогою Active Directory та групових політик.
Методи дослідження – проектування рольової моделі до інформаційних
ресурсів за допомогою Active Directory та сегементації мережі
Для досягнення мети роботи слід розв’язати наступні задачі:
1. Провести дослідження інформаційної та організаційної складової
протікання бізнес-процесів ПП.
2. Здійснити класифікацію наявних інформаційних активів, що підлягають
захисту і обрати необхідні методи та механізми захисту даних об’єктів.
3. Обрати інструментальний засіб реалізації політик доступу до ресурсів
КМ підприємства та сформувати матриці доступу.
4. Спроектувати та реалізувати застосування матриць доступу наявними
механізмами захисту доступу ОС.
Структура та обсяг роботи. Робота складається із вступу, 3 розділів та
загальних висновків, переліку використаних джерел, що містить 15 найменувань, 89
рисунків, 5 таблиць.
Загальний обсяг роботи – 97 сторінки, з них 89 сторінок основного тексту.
РОЗДІЛ 1 СТРУКТУРА ПІДПРИЄМСТВА ТА ОРГАНІЗАЦІЙНО-
УПРАВЛІНСЬКА СКЛАДОВА
1.1 Аналіз структури та характеру бізнес-процесів приватного підприємства
Фонд «Brain Basket» є некомерційною організацією, яка займається
розробками, що пов’язані з галуззю освіти в Україні. Основною сферою діяльності
даного підприємства є організація проектів, які пов’язані з навчання новим освітнім
технологіям в галузі ІТ вчителів та викладачів. В процесі реалізації даних проектів
створюється програмний код Internet – порталів та вузлів, новинних та пошукових
систем, алгоритмів штучного інтелекту, створенням систем інтелектуального аналізу
даних [1].
Офіс підприємства розташовується в двоповерховій будівлі торгівельно-
офісного центру на 1 поверсі.
Дана будівля має закриту територію та обладнано пунктом зовнішнього
спостереження, черговим постом охорони та шлагбаумом.
1.1.1 Бізнес-процеси ПП «Brain Basket»
Сумарно штат ПП складається з 17 осіб, 16 з яких є суб’єктами доступу до
ІКС підприємства, а саме:
1. Директор (1 особа).
2. Заступник директора (1 особа).
3. Офіс-менеджер (1 особа).
4. Керівник проектів (2 особи).
5. Front-end розробник (3 особи).
6. Full-stack розробник (4 особа).
7. Back-end розробник (2 особа).
8. Фахівець з розробки систем штучного інтелекту (2 особи).
На чолі підприємства знаходиться його засновник - директор. В задачі
директора входить стратегічне планування напрямків роботи, визначення ліній
трендів розвитку, проведення бізнес-перемовин з партнерами, здійснення загальної
контрольно-наглядової функції за процесом роботи та управління.
В безпосередньому підпорядковуванні директора знаходяться:
- заступник директора;
- бухгалтер;
- офіс-менеджер.
Схему ієрархічного взаємного підпорядковування посадовців ПП «Brain
Basket» показано на рис.1.1.
Рисунок.1.1 – Схема взаємної підпорядкованості суб’єктів діяльності
Кожен з суб’єктів бізнес діяльності ПП «Brain Basket» здійснює свою
діяльність відповідно до затверджених посадових інструкцій. Розмежування доступу
до інформації здійснюється за правилами, затвердженими керівником підприємства.
1.1.2 Нормативно-правові засади здійснення бізнес діяльності ПП
Свою господарчу діяльність ФОП здійснює на підставі наступних законодавчих
документів:
- господарський кодекс України;
- цивільний кодекс України;
- закон України Про державну реєстрацію юридичних осіб, фізичних осіб
— підприємців та громадських формувань
1.1.3 Інформаційні активи та їх обробка в структурних одиницях
Інформація є одним з найбільш важливих виробничих активів, від якого в
значній мірі залежить ефективність діяльності підприємства і його
життєздатність. Головні інформаційні активи підприємства це створюваний
програмний код, список замовників, внутрішні фінансові дані.
Відповідно до ст.20, 21 Закону України «Про інформацію» [2] та відповідно до
Статуту ФОП, наказів по підприємству в існуючій ІКС циркулює інформація з
обмеженим доступом. Зокрема, інформації у видах:
- особові картки працюючих співробітників;
- проектна інформація (технічне завдання, програмні коди тощо);
- накази, розпорядження, довідки тощо;
- облікові та реєстраційні дані співробітників та клієнтів;
- інформація про потенційних замовників та клієнтів тощо;
- індивідуальні трудові договори з працівниками та клієнтами;
- комерційні пропозиції, договори з клієнтами;
- звіти про службові розслідування інцидентів безпеки, дані фінансових
внутрішніх аудитів, результати закритих нарад тощо.
- інформація про діяльність підприємства, що оприлюднюється на сайті
(вакансії та акційні пропозиції, інформація про напрямки роботи, інформація про
Замовників).
Відповідно до «Закону про доступ до публічної інформації», розділу 2, статей
5 – 9 [3] та Закону України «Про захист персональних даних» [4] вся інформація, що
циркулює в ІС ФОП відноситься до таких категорій, як: публічна, таємна,
конфіденційна, службова, персональні дані.
1.2 Класифікація інформаційних активів підприємства
Для того, щоб політики доступу до інформації відповідали вимогам чинних
нормативно-правових документів необхідно здійснити початкову класифікацію
інформації, що циркулює в ІКС КМ підприємства. Проведення класифікації дасть
змогу спроектувати адекватні політики безпеки та сформувати матриці доступу.
1.2.1 Віднесення даних ПП до таємної інформації.
Таємна інформація є особливим видом інформації та, відповідно ст.6 ЗУ «Про
доступ до публічної інформації» до даного переліку входить інформація, яка містить
державну, професійну, банківську таємницю, таємницю слідства та іншу
передбачену законом таємницю [4].
З огляду на положення даної статті ЗУ проектна інформація (технічне
завдання, програмні коди тощо), договори з клієнтами, тендерні та комерційні
пропозиції, договори з виконавцями можна віднести до таємної.
1.2.2 Віднесення даних ІА до конфіденційної інформації
До конфіденційної інформації, відповідно до ЗУ відносять відомості,
включаючи "ноу-хау", що стосуються предметів договорів (контрактів), укладених в
ході двостороннього співробітництва, які мають дійсну або потенційну комерційну
цінність, невідомі третім особам, до яких немає вільного доступу на законній
підставі, і власник яких вживає заходів для забезпечення їх конфіденційності. Також,
до конфіденційної інформації належать: інформація про обліковий запис та пароль
користувача, за допомогою якого забезпечується доступ до авторизованого
електронного майданчика, інформація про учасника та його тендерну пропозицію до
моменту розкриття тендерних пропозицій та інформація, що визначена учасником як
конфіденційна.
1.2.3 Віднесення даних ФОП до службової інформації
Накази, розпорядження, довідки, звіти про службові розслідування інцидентів
безпеки, дані фінансових внутрішніх аудитів, результати закритих нарад тощо,
відповідно до існуючого законодавства можуть бути віднесені до такої інформації.
1.2.4 Віднесення даних ФОП до публічної інформації
Інформація про діяльність підприємства, що оприлюднюється на сайті
(вакансії та акційні пропозиції, інформація про напрямки роботи, інформація про
Замовників).
1.2.5 Віднесення інформації ФОП до персональних даних
Відповідно до статті 32 Конституції України Закон України «Про захист
персональних даних» (далі – Закон), який набрав чинності з 1 січня 2011 року до
персональних даних відносимо дані, які наводиться в абзаці восьмому статті 2
Закону «Про захист персональних даних», відповідно до якого персональними
даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована
або може бути конкретно ідентифікована [4]. Тобто, це: особові картки працюючих
співробітників; індивідуальні трудові договори ФОП з працівниками та ФОП –
клієнтами.
В таблиці 1.1 наведені результати класифікація інформаційних активів ФОП
Ткаченко у відповідності з вимогами існуючого законодавства.
Таблиця 1.1 - Класифікація інформаційних активів ПП «Brain Basket»
Продовження таблиці 1.1, на наступній сторінці
Як видно з даних, наведених в таблиці 1.1 інформації, що складала б державну
таємницю та повинна охоронятися у відповідності до ЗУ «Про державну таємницю»
тут немає. Всі види інформації, що циркулюють в ІКС підприємства підлягають
захисту у відповідності до норм ЗУ «Про захист інформації в інформаційно-
телекомунікаційних системах» [5].
1.3 ІКС підприємства та її складники
Інформаційно-комунікаційна система підприємства базується на технології
Ethernet та має зіркоподібну топологію. Окремі сегменти КМ, що комутуються
маршрутизаторами R1, R2, R3 рівня L2 обмежують можливість здійснення атак типу
spoofing. Міжсегментну комутацію окремих ЛОМ в КМ забезпечує маршрутизатор
R4 рівня L3. Він же здійснює перенаправлення запитів клієнтів ПК в Internet та їх
зворотну обробку з використанням технології NAT.
Рисунок 1.2 – Топологія КМ підприємства
На схемі 1.2 топології з’єднання суб’єктів КМ підприємства наведені наступні
умовні позначення:
ПК – персональний комп’ютер працівника;
R1 – маршрутизатор рівня L2 Ethernet комутації першого приміщення;
R2 – маршрутизатор рівня L2 Ethernet комутації другого приміщення;
R3 – маршрутизатор рівня L2 Ethernet комутації третього приміщення;
R4 – маршрутизатор рівня L4 Ethernet міжсегментної комутації ІКС;
Web-сервер – корпоративний http та e-mail сервер підприємства.
1.3.1 Список ПЗ робочих місць
До складу КМ входить 16 ПК, що є робочими місцями працівників приватного
підприємства «Brain Basket». Три маршрутизатора комутують з’єднання між
учасниками трьох ЛОМ в складі КМ підприємства. Маршрутизатор R4 комутує
міжсегментні з’єднання в ЛОМ. Він містить міжмережевий екран та забезпечує
доступ в Internet для всіх учасників КМ з використанням технології NAT.
Всі робочі місця працівників-розробників (Front-end розробник, Full-stack
розробник, Back-end розробник, фахівець з розробки систем штучного інтелекту) та
керівника проектів базуються на ПК, що мають наступну технічну специфікацію
(табл.1.2).
Таблиця 1.2 - Технічна специфікація робочого місця розробника
Назва компонента Характеристика
Процесор Intel iCore 7 (3,4 ГГц, 3 МБ L3)ASUS PRIME
X870-P WiFi
Материнська плата ASUS PRIME X870-P WiFi
Відеокарта GeForce RTX 4060 8 ГБ, DDR5
Пам`ять 16 ГБ DDR4-2400
Накопичувач SSD 1,5 ТБ,
Корпус Middle Tower ATX, 500 Вт
Робоче місце контент-менеджера та голови ФОП є мобільними є являють
собою ноутбуки.
Схема існуючої ІКС з розмежуванням по окремим групам доступу показано
на рис.2.1.
1. Директор (1 особа).
2. Заступник директора (1 особа).
3. Офіс-менеджер (1 особа).
4. Тестувальник (1 особа).
5. Керівник проектів (2 особи).
6. Front-end розробник (3 особи).
7. Full-stack розробник (4 особа).
8. Back-end розробник (2 особа).
9. Фахівець з розробки систем штучного інтелекту (2 особи).
Інформація в мережі між робочими місцями працівників передається по
екранованому мережевому кабелю, типу «кручена пара» cat.5e. Інші канали зв’язку
(Wi-Fi, Bluetooth та інші) використовуються керівником проекту та ФОП, так і
клієнтами (надається парольний доступ до мережі Internet через Wi-Fi).
Для 3 розробників (Full-stack розробник, Front-end) передбачений окремий
ізольований LAN, що комутується на спеціалізованому комутаторі з використанням
технології віртуального розділення (VLAN1). Керівник проектів та контент-
менеджер включені до загальної ІКС через технології віртуального розділення
(VLAN2). Голова ФОП виходить в мережу через бездротовий роутер (Wi-Fi Router)
каналом SSID1. Гостьові підключення організовані через той же бездротовий роутер,
але каналом SSID2.
1.3.2 Програмне забезпечення діяльності виробничого процесу ПП
На ПП «Brain Basket» використовується програмне забезпечення, що
відповідає функціональним можливостям апаратного забезпечення підприємства, а
саме:
1. Операційні системи:
На всі комп`ютери встановлено Windows 11
2. Пакети офісних програм: Libre Office.
3. Браузери: Google Chrome, Mozilla FireFox, Internet Explorer.
Браузери оновлюється автоматично.
4. Персональний захист ПК антивірусом Eset Smart Security – популярний
антивірус. Оновлення автоматично, після запуску ПК.
5. Спеціалізовані програми:
InteliJ IDEA – комерційне інтегроване середовище розробки для різних мов
програмування (Java, Python, Scala, PHP та ін.[3]) від компанії JetBrains.
Node.JS – платформа з відкритим кодом для виконання високопродуктивних
мережевих застосунків, написаних мовою JavaScript.
Adobe PhotoShop – багатофункціональний графічний редактор, який працює з
растровими зображеннями, але має інструменти для обробки векторної графіки.
MatCAD – система комп'ютерної алгебри з класу систем автоматизованого
проектування, орієнтована на підготовку інтерактивних документів з обчислення и
візуальнім супроводження, має застосування для колективної роботи.
MatLAB – пакет прикладних програм для вирішення задач технічних
обчислень і однойменний мову програмування, що використовується в цьому пакеті.
Git – система керування версій ПЗ.
Android Studio – інтегроване середовище розробки (IDE) для роботи з
платформою Android.
WMVare WorkStation -
C# - ООМП для розробки додатків для платформи Microsoft .NET Framework.
CMS Joomla – відкрита універсальна система керування вмістом для
публікації інформації в інтернеті для створення корпоративних сайтів, інтернет
порталів, онлайн-магазинів, сайтів спільнот і персональних сторінок.
CMS WordPress – система керування вмістом з відкритим кодом, яка
застосовується для створення веб-сайті, блогів. Має вбудовану систему тем і
плагінів.
6. Додаткові програми використовуються у випадку необхідності за
погодженням з керівником проекту та директором. Такі програми мають ліцензію
GNU. Окрім спеціалізованих програм під вимоги проекту використовуються
наступні:
− Ccleaner призначений для видалення “сміття”, чистки регістру, очистки
кешів програм. Оновлення автоматично, перевірка на наявність нової версії кожен
день.
− WinRar – працює з архівами, архівація файлів. Не оновлюється.
Для організації корпоративного документообігу використовується хмарний
сервіс google docs.
Кожна з цих програм може працювати без збоїв на будь-якому ПК в зв’язку з
тим, що їх мінімальні вимоги нижчі ніж характеристики ПК
1.4 Функціональний профіль захищеності проксі-сервера підприємства
Для того, щоб можна було обрати ті чи інші нормативні акти з нормативно-
методологічної бази для вибору і реалізації вимог з захисту інформації в
автоматизованій системі, сформуємо функціональний профіль захищеності КМ для
якої проектуються політики доступу.
КМ є одним з видів автоматизованих систем, яка, відповідно до існуючої
політики безпеки підприємства повинна реалізовувати захист таких властивостей
інформації, як конфіденційність та цілісність першу чергу. Отже, така АС може бути
віднесена до класу «3» — розподілений багатомашинний багатокористувацький
комплекс, який обробляє інформацію різних ступенів обмеження доступу. Такий
клас АС характеризується необхідністю передавання інформації через незахищене
середовище або, в загальному випадку, наявність вузлів, що реалізують різну
політику безпеки [6]. В якості потенційно незахищеного середовища виступає
глобальна мережа Internet.
З НД ТЗІ 2.5-005-99 оберемо профіль № 7.3.4, який належить до стандартних
функціональних профілів захищеності в КС, що входять до складу АС класу 3, з
підвищеними вимогами до забезпечення конфіденційності і цілісності оброблюваної
інформації [7]. На основі якого сформулюємо власний функціональний профіль
захищеності інформації в КС виду:
3.КЦ.2 = { КД-2, КО-1, КВ-1,
ЦД-1, ЦО-1, ЦВ-1,
НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1, НВ-1, НА-1 }
Зазначені в профілі послуги регламентують гарантування наступного:
1. по відношенню до конфіденційності захисту інформації:
КД — довірча конфіденційність;
КО — повторне використання об’єктів;
КВ — конфіденційність при обміні.
2. по відношенню до цілісності інформації:
ЦД — довірча цілісність;
ЦО — відкат;
ЦВ — цілісність при обміні.
3. по відношенню до спостережності:
НР — реєстрація;
НИ — ідентифікація и автентифікація;
НК — достовірний канал;
НО — розподіл обов’язків;
НЦ — цілісність КЗЗ;
НТ — самотестування;
НВ — автентифікація при обміні;
НА — автентифікація відправника.
РОЗДІЛ 2 ПРОЕКТУВАННЯ ПОЛІТИКИ ДОСТУПУ ДО ІА В КМ
ПІДПРИЄМСТВА
Проектування політик доступу до інформаційних ресурсів можливо після
ретельного аналізу системи правил доступу до інформації, що існує на підприємстві.
Дана політики тісно пов’язана з функціональними обов’язками працівників, яким по
роду роботи необхідний доступ до тих чи інших документів, зразків, програмного
коду тощо.
2.1 Правила доступу до інформації на ПП
Заступник директор здійснює безпосередній контроль за станом роботи по
проектам, проводить поточні переговори з клієнтами по етапам роботи, готує звіти
по виконанню робіт, здійснює тактичне планування та безпосередньо контролює
бухгалтера, керівників проектів, офіс-менеджера та тестувальника створюваного
програмного коду та ІС, веде кадровий облік персоналу.
Бухгалтер здійснює обробку первинної фінансової документації, здійснює
нарахування заробітної платні, готує фінансові звіти, проводить первинний
фінансовий аналіз діяльності.
Офіс – менеджер має за обов’язок керувати поточним обслуговування офісу та
забезпечувати координацію роботи охорони, обслуговування ЛОМ та комп’ютерної
техніки та периферійного обладнання.
Посадові обов’язки керівників проектів полягають у розподілі обсягів робіт
між виконавцями, проведення переговорів із Замовниками по поточним питанням
експлуатації створених інформаційних систем, робота з системами керування
версій, оформлення технічної документації та супровід робіт по створенню
програмного коду.
Тестувальник здійснює поточне тестування окремих блоків програмного коду,
так і частин або закінчених програмних проектів за затвердженими методиками,
формує звіти та оцінює якість готових робіт для вищого керівництва. Дана посадова
особа має доступ до технічної інформації по всім проектам, що знаходяться в роботі
на ПП.
Фахівці відділів Front-end, back-end, full-stack розробки та відділу систем
штучного інтелекту мають доступ до інформації виключно по проектам, в яких вони
задіяні та то загальних ресурсів відділів.
Рис.2.1 – Схема існуючої ІКС офісу з розмежуванням по окремим групам
На схемі існуючої ІКС показано:
- зеленим кольором мережеві зв’язки для групи 1 (розробники 1) в складі:
full-stack розробник (ПК5, ПК6, ПК7, ПК8), керівник проекту (ПК9), тестувальник
(ПК10);
- помаранчевим кольором мережеві зв’язки для групи 2 (розробники 2) в
складі: back-end розробників (ПК12, ПК13), фахівців з розробки систем штучного
інтелекту (ПК14, ПК15) та керівника проекту (ПК16);
- синім кольором мережеві зв’язки для групи 3 (господарчі) в складі:
заступник директора (ПК2), офіс-менеджер (ПК3);
- синім кольором виділено також ПК1 групи 4 (гостьовий), який входять
до сегменту Router 3, але є гостьовим і використовуються в якості демонстратора та
навчання клієнтів роботі з розробленими ПЗ, проведення презентацій та семінарів в
демо-залі;
- синім кольором виділено також групу 5 (адміністратор) в яку входить
ПК 2 директора ПП. Він має доступ типу «Адміністратор» з найбільшими
дозволеними рівнями доступу, дозволеними ОС за замовченням.
Бухгалтер постійно не присутній в офісі. У випадку необхідності він
використовує бездротовий доступ через Wi-Fi AP.
Правила розмежування доступу являють собою частину політики безпеки, що
регламентує правила доступу користувачів і процесів до пасивних об’єктів [8]. В
якості таких пасивних об’єктів будемо розглядати наступні:
- Файли;
- папки;
- принтери;
- інші ресурси доступу.
В якості активного об’єкту (той, який виконує операцію доступу або її
ініціалізує) будемо розглядати користувача або групу користувачів.
Коли користувачі або процеси намагаються одержати доступ до пасивних
об'єктів, механізми, що реалізують керування доступом, на підставі політики
безпеки і перевірки атрибутів доступу можуть «прийняти рішення» про легальність
запиту. Використовуючи набір атрибутів доступу відповідно до прийнятої політики
безпеки, можна реалізувати довірче керування доступом, адміністративне, контроль
за цілісністю та інші види керування доступом.
Для відображення функціональності комп’ютерної системи використовується
концепція матриці доступу. Матриця доступу являє собою таблицю, уздовж
кожного виміру якої відкладені ідентифікатори об'єктів комп’ютерної системи, а
елементами матриці виступають дозволені або заборонені режими доступу.
Для даного випадку проектування політик доступу обмежимося двовимірною
матрицею доступу (користувачі/пасивні об'єкти). Далі сформуємо матрицю доступу
до інформаційних ресурсів для окремих умовних категорій працівників- учасників
КМ даного підприємства (таблиця 2.1-2.3).
Таблиця 2.1 - Матриця доступ до інформаційних ресурсів ПК учасників групи 1
№ ПК Посада/базо ІА, що захищаються та права доступу до них
ві обов’язки
Назва Категорія Розташування Права
засобу ресурсу* ресурсу доступу до
* ресурсу
InteliJ IDEA П C:\Program Files RWE
Sublime
XAMPP
Google Crome
Libre Office П C:\Windows\Program RWD
Files
Adobe PhotoShop П C:\Program Files RWE
google docs Т Хмарний RDW
Git С Хмарний RWE
Програмні коди Т С:\Профіль RWDE
користувача\Докуме
нти\Папка1
Загальні документи С С:\Профіль RW
по проектам користувача\Докуме
нти\Папка2
* R-читання, W-запис, D-видалення, Е-виконання.
** П - публічна; Т- таємна; С – службова; ПД – персональні дані; К – конфіденційна.
ПК5-ПК10
full-stack, керівник проекту, тестувальник
Таблиця 2.2 - Матриця доступ до інформаційних ресурсів ПК учасників групи 2
(back-end розробники, фахівці з розробки систем штучного інтелекту, керівник
проекту)
№ Посада/базові ІА, що захищаються та права доступу до них
ПК обов’язки
Назва Категорія Розташування Права
ресурсу ресурсу** ресурсу доступу до ІА
InteliJ IDEA П C:\Program Files\ RWE
MatLab
MatCAD
Node.JS
Libre Office П C:\Program Files\ RDWE
google docs Т Хмарний RDW
Git С Хмарний RWE
Програмні коди Т С:\Профіль RWDE
користувача\Доку
менти\Папка1
Google Chrome С C:\Program Files\ RWE
Safari
* R-читання, W-запис, D-видалення, Е-виконання.
** П - публічна; Т- таємна; С – службова; ПД – персональні дані; К – конфіденційна.
ПК 12-ПК16
back-end розробники, фахівці з розробки
систем штучного інтелекту, керівник
проекту
Таблиця 2.3 - Матриця доступ до інформаційних ресурсів ПК учасників групи 3
(заступник директора, офіс-менеджер)
№ Посада/базові ІА, що захищаються та права доступу до них
п/п обов’язки
Назва Категорія Розташування Права доступу
ресурсу ресурсу** ресурсу до ІА
Паспортні дані ПД С:\Общие RW
користувачів, копії документы\Пап
документів про освіту ка2
та підвищення
кваліфікації
Облікові дані К С:\Общие RW
користувачів документы\Пап
ка2
Google docs Т Хмарний RDW
Google Chrome П C:\Program RWE
Files\
Libre Office ПД C:\Documents RWDE
and Settings\
профиль
пользователя
* R-читання, W-запис, D-видалення, Е-виконання.
** П - публічна; Т- таємна; С – службова; ПД – персональні дані; К – конфіденційна.
Показані в таблицях 2.1, 2.2 та 2.3 матриці доступу покладемо за основу
політик доступу в складі ЛПБ ОС Windows на ПК-робочих місцях працівників.
ПК2, ПК3
заступник директора, офіс-
менеджер
РОЗДІЛ 3 ПРОЕКТУВАННЯ ТА РЕАЛІЗАЦІЯ ПОЛІТИК ДОСТУПУ
3.1. Налаштування контролеру домену
• Відкрити «Server manger» та у відкритому вікні вибрати
Рисунок. 3.1 – Вікно «Server manger»
• Натиснути в усіх подальших відкритих вікнах кнопку «Next» і у відкритому
вікні встановлення компонентів вибрати наступні пункти як показано на
рисунку 3.2
Рисунок 3.2 - Вікно встановлення компонентів
• При завершенні всіх пунктів натиснути кнопку «install» та перезавантажити
сервер. По завершенню встановлення всіх необхідних компонентів необхідно
натиснути на посилання як показано на рисунку 3.3 для подальшого
налаштування контролера домену
Рисунок 3.3 – Вікно налаштування контролеру
• У відкритому вікні для налаштувань необхідно вказати дані як показано на
рисунку 3.4
Рисунок 3.4 – Вікно налаштування лісу домену
• У наступному відкритому вікні необхідно ввести пароль для відновлення
домену
Рисунок 3.5 – Вікно налаштування паролю для відновлення
• Після успішного виконання минулих дій з’являється вікно з доменним ім’ям
Рисунок 3.6 – Вікно налаштування доменного ім’я
• Після чого з’являється вікно в якому пропонується теоретичне місце
зберігання БД доменної системи
Рисунок 3.7 – Налаштування місця зберігання
• Після успішного проходження тесту машиною на встановлення доменної
системи у відкритому вікні необхідно натиснути кнопку «install»
Рисунок 3.8 – Завершення встановлення компонентів
3.2. Налаштування статичної ip-адреси для серверу
• Для початку потрібно зайти в Панель керування – Мережа й інтернет – Центр
мережевих підключень – Змінити настройки адаптеру – після чого має
з’явитися вікно, як показано на рисунку 3.9 далі необхідно вибрати мережу
для якої налаштовуємо ip
Рисунок 3.9 – Налаштування статичної ip-адреси
• Після чого відкриється вікно інформації про стан мережі в якому потрібно
вибрати пункт «Властивості» - Ip версіїї 4 – в наступному вікні вибрати пункту
«Використовувати таку ip адресу» та виставити наступні дані як показано на
рисунку 3.10, після чого в полі основний dns записати ip адресу самого серверу
якому налаштовується ip так як даний сервер є контролером домену та dns
сервером одночасно – натиснути кнопку ОК.
Рисунок 3.10 – Налаштування статичної ip-адреси
3.3. Створення підрозділів для групування користувачів
• Для початку необхідно сформувати які саме групи потрібно створити та хто
буде до них відноситися.
Група 1. Management – директор та заступник директора
Група 2. Finace - бухгалтер
Група 3. Office -офіс-менеджер
Група 4. Projects – керівники проєктів
Група 5. QA - тестувальники
Група 6. Development – front-end, back-end, full-stack
• Далі необхідно перейти на сервер та створити ці самі групи, які були визначені
раніше, щоб в подальшому додати до них користувачів та налаштувати
правила. Для цього необхідно натиснути кнопку «Пуск» - Засоби
адміністрування Windows - Active Directory Users and Computers
Рисунок 3.11 – Створення організаційної одиниці для користувачів
• Далі необхідно натиснути ПКМ на назву домену(BrainBasket.local) у
випадаючому списку вибрати пункт «Створити» - Organization Unit(OU) та
створити групи, які були визначені раніше.
Рисунок 3.12 – Створення організаційної одиниці для користувачів
• Після чого з’явиться вікно в якому необхідно ввести назву створюваної групи
та пророби дані кроки для створення кожної раніше визначеної групи
Рисунок 3.13 – Створення організаційної одиниці для користувачів
• Вікно Active Directory Users and Computers має наступний вигляд після
додавання нових груп
Рисунок 3.14 – Створення організаційної одиниці для користувачів
• В OU Development створюємо для кожного відділу організаційну
одиницю(OU) відповідно до рисунку 3.15
Рисунок 3.15 – Створення організаційної одиниці для користувачів
• Далі необхідно створити групи для кожного відділу розробники щоб в
подальшому була можливість налаштовувати правила для цих користувачів
Рисунок 3.16 – Створення організаційної одиниці для користувачів
Рисунок 3.17 – Створення груп користувачів
3.4. Створення користувачів
• Для додавання користувача необхідно вибрати організаційну одиницю, до
прикладу як на рисунку 3.18, Back-end – далі натиснути ПКМ – Створити –
User
Рисунок 3.18 -Створення користувачів
• Далі з’являється вікно створення користувача необхідно ввести дані, до
прикладу як показано на рисунку 3.19
Рисунок 3.19 -Створення профілю користувача
• Після чого з’являється вікно для створення паролю та постановки
першочергових правил для паролю користувача, натиснути кнопку «Далі» і у
новому відкритому вікні натиснути кнопку «Готово» після чого новий
користувач буде успішно створеним.
Рисунок 3.20 -Створення профілю користувача
3.5. Додавання користувачів в групи
Необхідно відкрити «Active Directory Users and Computers» після цього
знайти відповідну групу до якої потрібно додати користувача – натиснути на неї
ЛКМ двічі щоб відкрити властивості групи – натиснути кнопку Members - Add –
Додатково – у новому відкритому вікні натиснути «Знайти» - виділити необхідного
користувача та натиснути «ОК»
Рисунок 3.21 – Додавання користувача до групи
Рисунок 3.22 – Додавання користувача до групи
Рисунок 3.23 – Додавання користувача до групи
3.6. Додавання пк до груп користувачів
Після створення та додавання до груп користувачів необхідно підключитися з
пк. Після входу до системи з пк користувача потрібно виконати наступні кроки як
показано на рисунках 3.24 – 3.26.
Рисунок 3.24 – Додавання пк до групи
Рисунок 3.25 – Додавання пк до групи
Рисунок 3.26 – Додавання пк до групи
3.7. Налаштування групових політик
Для налаштування необхідно в папці «Засоби адміністрування Windows»
вибрати пункт «Group Policy Management»
Рисунок 3.27 - Налаштування групових політик
Далі необхідно вибрати групу користувачів для яких будуть створюватися
правила та натиснути кнопку створити ГП
Рисунок 3.28 - Налаштування групових політик
У відкритому вікні необхідно придумати назву політики
Рисунок 3.29 - Налаштування групових політик
Після чого у вікні з’явиться новостворена політика, натиснути ПКМ на
політику та вибрати пункт «Edit»
Рисунок 3.30 - Налаштування групових політик
У новому відкритому вікні необхідно відкрити пункт «AppLocker» шлях
показано на рисунку 3.31
Рисунок 3.31 - Налаштування групових політик
Далі необхідно натиснути ПКМ по пункту «Executable Rules» - Create default
rules(дозволить нормальній роботі віндовс запуск ос програм та інше) далі ств
правила для заборони конкретних програм
Рисунок 3.32 - Налаштування групових політик
• Знову необхідно натиснути ПКМ по пункту «Executable Rules» - Create new
rules
Рисунок 3.33 - Налаштування групових політик
У новому відкритому вікні необхідно вибрати налаштування як показано на
рисунку 3.34
Рисунок 3.34 - Налаштування групових політик
Далі необхідно вибрати групу для якої буде застосовуватися правило
Рисунок 3.35 - Налаштування групових політик
Після чого попередньо відкрите вікно налаштувань буде мати такий вигляд
Рисунок 3.36 - Налаштування групових політик
Після чого необхідно із списку вибрати пункт Patch для створення певного
правила для певного файлу
Рисунок 3.37 - Налаштування групових політик
У наступному пункті необхідно вибрати файл до якого ми дозволяємо чи
забороняємо доступ для певної групи
Рисунок 3.38 - Налаштування групових політик
Після успішного завершення в списку з’явиться новостворене привило
Рисунок 3.39 – Вікно з налаштованими правилами
Далі необхідно провести ідентичні кроки для програм які є дозволеними для
цієї групи користувачів і результат буде мати наступний вигляд
Рисунок 3.40 – Вікно з налаштованими правилами
Наступний крок створення правила який забороняє все інше, тобто користувач
зможе запускати EXE тільки ті що були дозволеними
Рисунок 3.41 – Вікно з налаштуванням правила на заборону
Далі необхідно провести ідентичні налаштування як було показано при
налаштуванні дозволених ПЗ. Кінцевий вигляд після налаштування правил для ПЗ
має наступний вигляд
Рисунок 3.42 – Вікно з налаштованими правилами
3.8. Оновлення групових політик та перевірка працездатності
Для коректної роботи політики її потрібно оновити для пк користувача для
цього на сервері необхідно зайти пункт групова політика далі знайти групу якій було
додано правила та натиснути ПКМ і вибрати оновити
Рисунок 3.43 – Оновлення групових політик
У відкритому вікні підтвердити оновлення політики
Рисунок 3.44 – Оновлення групових політик
Після успішного оновлення з’явиться наступне повідомлення
Рисунок 3.44 – Оновлення групових політик
Наступним кроком необхідно додати в пункт фільтр безпеки на групу та пк які
будуть до неї відноситися щоб сервер міг правильно фільтрувати пк та користувачів
для блокування певних функції
Рисунок 3.45 – Вікно фільтру безпеки
Рисунок 3.46 – Налаштування фільтру безпеки
Рисунок 3.47 – Налаштування фільтру безпеки
Рисунок 3.48 – Налаштування фільтру безпеки
3.9. Налаштування мережевої папки
Після успішного застосування фільтру безпеки необхідно створити папку та
налаштувати доступ для користувачів щоб в подальшому завантажити в неї
дозволене ПЗ та виставити наступні параметри для групи налаштування NTFS
правила
Рисунок 3.49 – Налаштування доступу до мережевої папки
Після чого необхідно здійснити налаштування ярлику папки з файлами у
організаційній одиниці групи для якої потрібна ця папка
Рисунок 3.50 – Налаштування ярлику мережевої папки
Рисунок 3.51 – Створення політики
Рисунок 3.52 – Створення ярлику
У відкритому вікні необхідно заповнити дані як показано на рисунку 3.53
Рисунок 3.53 – Створення ярлику
Після чого необхідно налаштувати обмеження для відображення папки тільки
для групи користувачів які відносяться до Backend
Рисунок 3.54 – Створення обмеження на доступ до папки
Рисунок 3.55 – Створення обмеження на доступ до папки
Рисунок 3.56 – Створення обмеження на доступ до папки
Далі необхідно налаштувати фільтри безпеки та додати наступні групи і пк
Рисунок 3.57 – Налаштування фільтру безпеки
Після чого на робочій станцїї користувача необхідно вийти\увійти в обліковий
запис та на робочому столі з’явиться папка з необхідним пз.
Усі вище перераховані кроки необхідно проробити для кожного відділу щоб
загальна картина налаштованих правила була подібна до рисунка 3.58
Рисунок 3.58 – Налаштовані правила до груп користувачів
3.10. Мережеві налаштування
На початку була поставлена задача зробити 5 різних підмереж для цього
будемо використовувати вільні порти на обладнанні Mikrotik, виділишви 2-4 порт,
ієрархія підмереж наступна:
2 порт
• Підмережа: 192.168.2.0/24
• Порт MikroTik: ether2
• Для якої групи користувачів: для системного адмністратора та домену
3 порт
• Підмережа: 192.168.3.0/24
• Порт MikroTik: ether3
• Для якої групи користувачів: Офіс,директор,замісник,бухгалтер
4 порт
• Підмережа: 192.168.4.0/24
• Порт MikroTik: ether4
• Для якої групи користувачів: Project manager, BackEnd, AI
5 порт
• Підмережа: 192.168.4.0/24
• Порт MikroTik: ether4
• Для якої групи користувачів: Project manager, FrontEnd, тестувальники
Гостьовий wi-fi
• Підмережа: 192.168.50.0/24
• Для якої групи користувачів: гості на підприємстві
Для початку необхідно налаштувати порт 2 який буде використовуватися для
домену.
Для цього перш за все потребується задати які ip-адреси будуть задаватися
саме на цьому порту як показано на рисунку , такі ж налаштування потрібно задати
для всіх інших портів та задати ip-адреси які були визначеними раніше, результатом
проробленої роботи по задаванню ip-адрес
Рисунок 3.59 – Налаштування 2-о порту роутеру
Рисунок 3.60– Налаштування ip-адрес для портів роутеру
Наступним пунктом необхідно налаштувати dhcp, налаштування цього пункту
показано на рисунку
Рисунок 3.61 – Налаштування Dhcp
Також можна виділити 2 моменти з налаштуванню Dhcp при формуванні пулу
адрес, які будуть присвоюватися, в подальшому, до підключених приладі:
1. Необхідно зарезервувати перші 50 ip-адрес для комфортного
налаштування в подальшому
2. В полі DNS Сервер необхідно вказати ip-адресу контролера домену так
як показано на рисунку
Рисунок 3.62 – Налаштування ip адреси серверу для dhcp відведеного для 2-о
порту
Далі продовжується робота з налаштуванням dhcp та відповідно до минулого
пункту необхідно проробити дані кроки і з іншими інерфейсами а саме 3-4 та
остаточний результат після налаштування показано на рисунку
Рисунок 3.63 – Вікно з свтореними налаштуваннями dhcp
Для доступу в інтернет необхідно створити правило для всіх мереж, дотримуючись
інструкцій як показано на рис
Рисунок 3.64 – Налаштування NAT
Рисунок 3.65 – Налаштування NAT
Після чого необхідно створити гостьову мережу для гостів які будуть приходити в
компанію для більш ізольованого простору
Рисунок 3.66 - Створення нового мосту для гостьової точки доступу
Рисунок 3.67 – Створення SSID
Рисунок 3.68 – Створення SSID
Рисунок 3.69 – Створення SSID
Для коректної роботи гостьового вайфаю необхідно також проробити кроки по
свторенню ip-адерс та налаштуванню dhsp серверу після чого wi-fi почне працювати
Для перевірки коректної роботи інтерфейсу необхідно виконати наступні кроки як
показано рисунку 3.70
Рисунок 3.70 – Перевірка роботи інтернету на 2-порті
Так як на інтерфейсі 2 ще немає піключенчних корситувачів необхідно зайти в
пукнт advanced та написати ip-адресу яку налаштували для інтрефесу 2 та здійснити
виконати пінг
Рисунок 3.71 – Приклад роботи 2-о порту
Такі ж кроки необхідно проробити для кожного із налаштованих портів
Рисунок 3.72 - Приклад роботи 3-о порту
Рисунок 3.73 – Приклад роботи 4-о порту
Налаштування Firewall між віддалами, раніше було описано які ip-адреси необхідно
налаштувтаи та, які користувачі будуть до них відноситися, тому налаштування
правил будуть виконуватися відповідно інструкції яку було розроблено
Для початку необхідно зробити налаштування правил щоб інтерент не обривався для
перевірок раніше підключених користувачів які були дозволеними
Рисунок 3.74 – Налаштування правил
Рисунок 3.75– Приклад новоствореного правила
Далі необхідно здійснити налаштування доступу до домену всім користувачам
Рисунок 3.76 – Налаштування правил tcp
Необхідно задати правило для наступних портів 53,88,135,389,445,464,636,3268 для
правильної роботи інтрернету
• 53 – необхідний для повноцінної та коректної роботи домену( пошук
доменного контролера, вхід у домен)
• 88 – аутентицікація користувачів
• 135 – службовий порт для запуску доменних сервісів, групових політик,
взаємодія між клієнтом та сервером
• 389 – каталог контролера домену( групи користувачі, пк і тд)
• 445 -доступ до доменних ресурісів
• 464 – зміна пароля
• 636 – безпека та ширфування ldap
• 3268 – пошук по домену швидка аутентифікаця пошук користувачів у
структурах
Рисунок 3.77 – Налаштування правил udp
Далі необхідно зробити налшатування заборони офісним користувачам бачити в
мережі пк розробників
Рисунок 3.78 – Налаштування заборони користувачам пк бачити один одного в
мережі
Рисунок 3.79 – Налаштування заборони користувачам пк бачити один одного в
мережі
Також свторюється налаштування фаєрволу для гостовї мережі щоб точно
відокремити її від робочих підмереж
Рисунок 3.80 – Відокрмелення гостьової мережі від робочих
Рисунок 3.81 – Відокрмелення гостьової мережі від робочих
Також необхідно додати ще 2 правила на заборону вхаємодії між іншими підмержами
Рисунок 3.82 - Заборонити гостю ping САМОГО роутера
Рисунок 3.83 - Заборонити гостю ping ІНШИХ внутрішніх мереж (forward)
Наглядно на рисунку можна побачити, що при підключенні гостем до wi-fi без
завстовування правила взаємодія між гостьовою мережею та робочою була
Рисунок 3.84 - Взаємодія між гостьовою мережею та робочою до налаштування
правил
Рисунок 3.85 - Взаємодія між гостьовою мережею та робочою після налаштування
правил
Також для наглядного прикладу на рисунку показано всі правила, які були
застосовані до даної роботи
Рисунок 3.86 – Налаштовані правила до мережі
ЗАГАЛЬНІ ВИСНОВКИ
Під час виконання магістерської роботи було досягнуто поставленої мети, яка
полягала у проєктуванні та практичній реалізації доменної інфраструктури
приватного підприємтсва з урахуванням вимог інформаційної безпеки,
централізованого керування користувачами та ресурсами, а також сегментації
мережі.
У ході роботи був здійснений аналіз сучасних підходів до побудови доменних
середовищ на базі служби Active Directory, визначено її роль у забезпеченні
централізованого керування обліковими записами, групами безпеки та політиками
доступу в корпоративних інформаційних системах. Запровадження використання
доменної моделі дозволяє підвищити керованість, масштабованість і рівень
захищеності інфраструктури організації.
У практичній частині роботи спроєктовано та реалізовано доменну інфраструктуру
на базі операційної системи Windows Server 2019 із застосуванням служби Active
Directory Domain Services. Побудовано логічну структуру домену, створено
організаційні підрозділи відповідно до функціональної структури організації,
налаштовано користувачів, групи безпеки та механізми розмежування доступу.
Реалізована структура забезпечує чіткий поділ прав користувачів та спрощує
адміністрування доменного середовища.
Для підвищення рівня інформаційної безпеки було впроваджено групові політики,
що обмежують дії користувачів на робочих станціях, а також налаштовано
механізми контролю запуску програмного забезпечення. Застосування таких
підходів дозволяє мінімізувати ризики несанкціонованого доступу, запуску
шкідливого програмного забезпечення та порушення політик безпеки організації.
Окрему увагу в роботі приділено сегментації мережі. Реалізоване логічне
розмежування мережевих сегментів за допомогою фізичних портів, це дозволило
ізолювати групи користувачів, зменшити зону потенційного ураження у разі
інцидентів інформаційної безпеки та підвищити загальну надійність мережевої
інфраструктури. Налаштована взаємодія між сегментами забезпечує необхідний
рівень доступності ресурсів без порушення вимог безпеки.
Результати практичної реалізації підтверджують працездатність і ефективність
запропонованих рішень. Побудована доменна інфраструктура забезпечує стабільну
роботу користувачів, централізоване адміністрування та можливість подальшого
масштабування системи відповідно до потреб організації. Запропонована модель
може бути використана як основа для впровадження корпоративних доменних
середовищ у закладах, установах та підприємствах різного профілю.
Отримані в ході виконання магістерської роботи результати мають практичну
цінність та можуть бути використані під час проєктування, впровадження або
модернізації доменних і мережевих інфраструктур з урахуванням вимог
кібербезпеки. Подальший розвиток роботи може бути спрямований на впровадження
додаткових механізмів моніторингу безпеки, резервного копіювання та інтеграції з
сучасними засобами захисту інформації.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. BrainBasket Foundation [Електронний ресурс]. – 2019. – Режим доступу
до ресурсу: https://brainbasket.org/ru/homepage/.
2. Закон України «Про інформацію» від 01 липня 2015 р. № 2657-ХII //
Відомості Верховної Ради (ВВР). – 1992, – № 48. – Ст. 650.
3. Закон України «Про доступ до публічної інформації» від 13 січня 2011
р. № 2939-VI // Відомості Верховної Ради України (ВВР), 2011, № 32.
4. Закон України від 23.02.2012 р. «Про захист персональних даних» зі
змінами від 19.04.2014 [Електронний ресурс] / Законодавство України. – 2018. –
Режим доступу до ресурсу: http://zakon.rada.gov.ua/laws/show/80/94-
%D0%B2%D1%80.
5. Закон України від 11 травня 2004 р. №1703-VI зі змінами від 27 березня
2014 р. “Про захист інформації в інформаційно-телекомунікаційних системах” //
Відомості Верховної Ради України (ВВР), 1994, N 31, ст.286.
6. НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в
комп'ютерних системах від несанкціонованого доступу. Затверджено наказом
ДСТСЗІ СБ України від 28.04.99р. зі змінами від 28.12.2012 / Департамент
спеціальних телекомунікаційних систем та захисту інформації Служби безпеки
України. К. – 61 с.
7. НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні
функціональні профілі захищеності оброблюваної інформації від несанкціонованого
доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.99р. № 22 зі зміною
№1, затвердженою наказом Адміністрації Держспецзв’язку від 15.10.2008 № 172 /
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби
безпеки України. К. – 19 с.
8. Політика безпеки [Електронний ресурс] // The Wikipedia. – 2017. –
Режим доступу до ресурсу:
https://ua.wikipedia.org/wiki/%D0%9F%D0%BE%D0%BB%D0%B8%D1%82%D0%B8
%D0%BA%D0%B0_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%
81%D0%BD%D0%BE%D1%81%D1%82%D0%B8.
9. Створення політик доступу [Електронний ресурс] // Microsoft Co. Центр
Windows для IT - специалистов. – 2019. – Режим доступу до ресурсу:
https://docs.microsoft.com/ua-ua/windows-server/networking/technologies/ipam/create-an-
access-policy.
10. Google Диск [Електронний ресурс] // The Wikipedia. – 2019. – Режим
доступу до ресурсу:
https://ru.wikipedia.org/wiki/Google_%D0%94%D0%B8%D1%81%D0%BA.
11. Система управління інформаційною безпекою як ключовий чинник
успішності організації [Електронний ресурс] // INSTYTUT KSZTAŁCENIA
MENADŻERÓW JAKOŚCI. – 2018. – Режим доступу до ресурсу:
https://ua.ikmj.com/isms/.
14. НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в
комп'ютерних системах від несанкціонованого доступу. Чинний від 1999-07-01.
Затверджено наказом ДСТСЗІ СБ України від 28.04.99р. / Департамент спеціальних
телекомунікаційних систем та захисту інформації Служби безпеки України. К. – 18
с.
15. Tague, Nancy R. (2005) [1995]. "Plan–Do–Study–Act cycle". The quality
toolbox(2nd ed.). Milwaukee: ASQ Quality Press. pp. 390–392. ISBN 978-0873896399.
OCLC 57251077.