Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/7777
Title: Система кібербезпеки промислової мережі підприємства
Authors: Кунченко-Харченко, Валентина Іванівна
Драчук, Сергій Юрійович
Keywords: кібербезпека корпоративних мереж;промислові комп’ютерні мережі;windows server;керування доступом;загрози та вразливості мереж;система захисту інформації
Issue Date: 2022
Abstract: Розроблення та практична реалізація системи кібербезпеки промислової корпоративної мережі з використанням механізмів авторизації, керування доступом та групових політик
URI: https://er.chdtu.edu.ua/handle/ChSTU/7777
Appears in Collections:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:
File Description SizeFormat 
М_125_Драчук_Кунченко-Харченко.pdf
  Restricted Access
5.27 MBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
 
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ І РОБОТОТЕХНІКИ 
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА 
КІБЕРБЕЗПЕКИ 
 
 
До захисту допущено  
завідувач кафедри РТСК 
д.т.н., професор  
_______________ В.В. Палагін  
"_____" _____________ 2022 року 
 
 
Пояснювальна записка 
до дипломного проекту (роботи) 
                 магістра              
 
(освітньо-кваліфікаційний рівень) 
на тему «Система кібербезпеки промислової мережі підприємства» 
 
Виконав: студент  2  курсу, групи    БІ-011    
Спеціальності         125 – «Кібербезпека» , 
(шифр і назва спеціальності) 
 
освітньої програми  «Безпека інформаційних і 
комунікаційних систем»  
                         (назва освітньої програми) 
                            Драчук С.Ю.   
(прізвище та ініціали) 
Керівник   Кунченко-Харченко В.І.  
(прізвище та ініціали) 
Рецензент    
(прізвище та ініціали) 
 
 
 
 
Черкаси – 2022 року 
Форма № Н-9.01 
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
Факультет електронних технологій, автотранспорту та машинобудування  
Кафедра  робототехнічних і телекомунікаційних систем та кібербезпеки  
Освітньо-кваліфікаційний рівень  магістр  
Спеціальність  125 – Кібербезпека  
Освітня програма  – Безпека інформаційних і комунікаційних систем  
 
 
 
 
 
ЗАТВЕРДЖУЮ 
Завідувач кафедри  В.В. Палагін 
“_____” ___________________ 2022 року 
 
 
 
ЗАВДАННЯ 
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ 
 
                                           Драчука Сергія Юрійовича _____________________ 
(прізвище, ім’я, по батькові) 
1. Тема проекту (роботи) Система кібербезпеки промислової мережі підприємства  
керівник проекту (роботи)  Кунченко-Харченко Валентина Іванівна  
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання) 
затверджені наказом вищого навчального закладу від «___» __________2022 року № ____ 
 
2. Термін здачі студентом закінченої роботи  “ 10 ” грудня 2022 року _________ 
 
3. Вихідні дані до роботи: Нормативно-правові документи, державні стандарти та 
міжнародні рекомендації у сфері кібербезпеки інформаційних та промислових мереж; 
наукові та методичні джерела з питань захисту комп’ютерних мереж підприємств і 
промислових систем автоматизації; технології побудови та адміністрування 
корпоративних мереж на базі операційної системи Windows Server; відомості про 
потенційні загрози та вразливості промислових комп’ютерних мереж підприємств; 
типова структура корпоративної промислової мережі підприємства та програмно-
апаратні засоби забезпечення її кібербезпеки.      
 
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити) 
Аналіз структури, топології та особливостей функціонування промислових 
комп’ютерних мереж підприємств як об’єктів кіберзахисту; дослідження потенційних 
загроз і вразливостей промислових мереж та аналіз засобів їх захисту; обґрунтування 
вибору системи кібербезпеки промислової мережі підприємства на базі технологій 
Windows Server; розроблення та практична реалізація системи кібербезпеки промислової 
корпоративної мережі з використанням механізмів авторизації, керування доступом та 
групових політик.  
 
5.  Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів)  
1. Структурна схема промислової комп’ютерної мережі підприємства; 2. Схема 
організації системи кібербезпеки корпоративної мережі підприємства; 3. Схема 
реалізації механізмів авторизації та керування доступом у корпоративній мережі.  
 
.6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються 
Підпис, дата 
Прізвище, ініціали та посада 
Розділ завдання завдання 
консультанта 
видав прийняв 
    
    
 
 
7. Дата видачі завдання    
  
 
КАЛЕНДАРНИЙ ПЛАН 
 
Термін  
№ Назва етапів дипломного проекту  
виконання етапів Примітка  
з/п (роботи)  
проекту (роботи) 
1. Аналіз технічного завдання та пошук 
18.09.22 – 09.10.22  
літератури 
2. Аналіз структури, топології та особливостей 
функціонування промислових комп’ютерних 10.10.22 – 24.10.22  
мереж підприємств як об’єктів кіберзахисту 
3. Дослідження потенційних загроз і 
вразливостей промислових мереж та аналіз 25.10.22 – 10.11.22  
засобів їх захисту 
4. Обґрунтування вибору системи кібербезпеки 
промислової мережі підприємства на базі 11.11.22 – 25.11.22  
технологій Windows Server 
5. Розроблення та практична реалізація системи 
кібербезпеки промислової корпоративної 
мережі з використанням механізмів 11.11.22 – 25.11.22  
авторизації, керування доступом та групових 
політик 
8. Оформлення пояснювальної записки 27.11.22 – 01.12.22  
9. Оформлення презентації 02.12.22 – 09.12.22  
 
 
 
Студент        Драчук С.Ю.  
 ( підпис ) (прізвище та ініціали) 
 
Керівник проекту (роботи) ________________________Кунченко-Харченко В.І.  
 ( підпис ) (прізвище та ініціали) 
 
ВСТУП 
 
 
Сучасні кіберзагрози для критично важливої інфраструктури існують і 
вони наразі є актуальними. У рамках національного дивізіону кібербезпеки 
США (NCSD) функціонує спеціальна програма захисту систем управління, а 
також команда реагування на кібер-загрози в промислових системах (ICS-
CERT - Industrial Control Systems Cyber Emergency Response Team) [1].  
В Україні лише починає формуватися розуміння актуальності подібних 
загроз. В зв’язку з чим прийнятий Закон «Про внесення змін до Закону України 
«Про Державну службу спеціального зв'язку та захисту інформації України» 
[2] розширено повноваження Держспецзв'язку щодо забезпечення доступності 
телекомунікаційних мереж загального користування в особливих умовах. 
Актуальною задачею є системи кібербезпеки промислової мережі 
підприємства, яка б могла ефективно протидіяти широкому спектру 
шкідливих впливів, враховуючи типові інсайдерські. При цьому така система 
кібербезпеки не повинна впливати на роботу корпоративної комп’ютерної 
мережі та процеси бізнес-діяльності організації.   
Об`єктом дослідження  є – система кібербезпеки підприємства, 
побудована на основі технології Ethernet. 
Предметом дослідження виступають механізми та технології захисту 
інформації в промисловій комп’ютерній мережі від негативних зовнішніх та 
внутрішніх впливів. 
Метою роботи є дослідження система кібербезпеки підприємства, 
побудованої на основі технології Ethernet. 
Для досягнення мети необхідно розв’язати наступні задачі: 
− Проаналізувати структуру, топологію та призначення промислової 
мережі підприємства, типові та потенційни загрози в промислових 
компютерних мережах підприємства. 
− Спроектувати спеціалізовані засоби та системи безпеки 
промислових мереж на організаційному, апаратному, компютерному та 
фізичному рівнях. 
− Спланувати корпоративну комп’ютерну мережу промислового 
підприємства та налаштування систему управління доступу для окремих 
сегментів мережі. 
− Організувати захищене корпоративне середовища збереження 
інформації та створити систему суб'єктів доступу до ресурсів корпоративної 
мережі на основі існуючої політики безпеки. 
− Провести практичну реалізацію та тестування створеної системи 
механізм авторизованого доступу до інформації в КМ, групових політик 
доступу для бізнес-сегменту промислової КМ підприємства 
Структура та обсяг роботи. Пояснювальна записка до кваліфікаційної 
роботи магістра складається зі вступу, 3 розділів та загальних висновків, 
переліку використаних джерел, що містить 15 найменувань на 2 сторінках. 
Загальний обсяг роботи – 90 сторінок, з них 84 сторінки основного 
тексту та додаток обсягом 6 сторінок. 
 
 
 
 
 
 
 
 
 
 
 
 
РОЗДІЛ 1 
 
ПРОМИСЛОВА КОМП’ЮТЕРНА МЕРЕЖА ПІДПРИЄМСТВА, 
ЯК ОБ’ЄКТ ЗАХИСТУ 
 
 
1.1 Структура, топологія та призначення промислової мережі 
підприємства 
 
Використання промислової мережі дозволяє розташувати вузли, в якості 
яких виступають контролери та інтелектуальні пристрої введення-виведення, 
максимально наближено до крайовим пристроїв (датчиків і виконавчих 
механізмів), завдяки чому довжина аналогових ліній скорочується до 
мінімуму. Кожен вузол промислової мережі виконує кілька функцій [3]: 
- Прийом команд і даних від інших вузлів промислової мережі; 
- Зчитування даних з підключених датчиків; 
- Перетворення отриманих даних в цифрову форму; 
- Відпрацювання запрограмованого технологічного алгоритму; 
- Видача керуючих впливів на підключення виконавчі механізми по 
команді іншого вузла або згідно з технологічним алгоритмом. 
Існуюча топологія промислової мережі підприємства показана на 
рис.1.1. Як видно дана корпоративна промислова мережа працює на базі 
технології Ethernet. 
Корпоративна мережа складається з двох сегментів та дімілітарізованої 
зони в якій розташовані основні Internet-сервісам підприємства: web-сервер, e-
mail сервер. 
 
 
Рис.1.1 – Існуюча топологія промислової мережі підприємства 
 
Сегмент мережі, в якому функціонує системи промислової автоматизації 
відділена від бізнес сегменту корпоративної мережі за допомогою 
міжмережевого екрану. 
 
1.2 Застосування Windows Server в системах промислової 
автоматизації 
 
Мережі ІТ-інфраструктури з контролерами домену, схожі на показану на 
рис.1.1 топологію промислової мережі підприємства, використовуються в 
багатьох галузях промисловості та виробництва. Для адміністрування доступу 
операторів та адміністраторів до працюючої в промисловому сегменті SCADA 
системи використовують версії Windows Server. В рамках даної технології 
ключову роль в процесу розмежування доступу до промислових програмних 
засобів – додатків крає активний каталог або контролер домену. 
Контролер домену — це сервер, який використовується для 
централізованого керування комп’ютерами або користувачами. Таким чином 
використання переваг контролера домену Windows Server економиться багато 
часу та спрощує реалізацію рішень промислової автоматизації під час 
експлуатації та обслуговування системи. 
В системах промислової автоматизації SCADA системи часто працюють 
на тонких клієнтах під управлінням спеціалізованих ОС, наприклад, WinCС. 
ОС Simatic WinCC (Windows Control Center) є система HMI. Вона представляє 
собою програмне забезпечення для створення людино-машинного інтерфейсу. 
Дане ПЗ є складовою частиною сімейства систем автоматизації Simatic, яке  
виробляється компанією Siemens AG. Працює така ОС під керуванням 
операційних систем сімейства Microsoft Windows і використовує базу даних 
Microsoft SQL Server (починаючи з версій 6.0). 
Інтегрування середовища функціонування ОС WinCC V7/V15 
Professional на комп’ютері, який є членом домену AD Windows Server є 
поширеною практикою в проектах промислової автоматизації. Таке 
практикується в рамках великих корпорації, які мають розвинуту мережеву 
інфраструктуру. ІКС подібних корпорацій також адмініструються засобами 
мережевих ОС типу Windows Server. 
 
1.4 Структура ОС Windows Server 
 
Практично всі версії ОС Windows Server розроблюються компанією 
Microsoft. Дана серверна ОС призначена для реалізації багатьох необхідних в 
рамках корпорації функцій, таких як: 
- "віртуалізація" 
- "дедуплікація даних" 
- "інтеграція з активним каталогом".  
Серед функцій управління корпоративною комп’ютерною мережею 
можна виділити і забезпечення безпеки інформаційних ресурсів компанії за 
рахунок ефективного механізму розмежування доступу до інформації та 
механізм керування груповими політиками. 
 В зв’язку з тим, что промислова мережа містить два окремих ізольованих 
сегменти, один з яких є виключно виробничим – його задачею є підтримка 
функціонування АСУ ТП, то вибір ефективного ПЗ, яке має змогу 
централізованого адміністрування обома сегментами є вкрай важливим для 
створення системи кібербезпеки даної ІКС. В ролі такої ПЗ можна розглянути 
одну з версій ОС MS Windows Server [4]. 
Windows Server 2012 R2 має 4 редакції [5,6]: 
− Datacenter – максимально повна за кількістю функцій редакція 
ОС, призначена для великих компаній, які часто використовують 
віртуалізацію. Головна її перевага – можливість підключення необмеженої 
кількості віртуальних машин. Необхідна ліцензія на сервер та на клієнтський 
доступ (CAL). Datacenter покриває два фізичні процесори, тому, якщо Вам 
потрібна ОС для чотирипроцесорного сервера, Ви можете купити Windows 
Server 2012 R2 Datacenter у двох примірниках, тобто. замовити 2 ліцензії. 
− Standart - не відрізняється від версії Datacenter за функціоналом, 
але дозволяє підключити до двох віртуальних машин. Зручна вона буде тим 
компаніям, які рідко використовують віртуалізацію. При необхідності 
збільшення кількості віртуальних машин можна повторно купити Windows 
Server 2012 R2 Standart, адже кожна ліцензія запускає дві віртуальні машини. 
Ліцензія потрібна як на сервер, так і на клієнтський доступ до нього (CAL). 
− Essentials – редакція обмеженої функціональності, що підійде для 
невеликих компаній. Вона не дозволяє запускати віртуальні машини. Також 
важливо пам'ятати, що Ви не можете замовити Windows Server 2012 R2 
Essentials для компанії з кількістю користувачів понад 25 осіб. Ліцензія CAL 
(Client access license) у цьому випадку не потрібна, продукт ліцензується на 
сервер, ліцензія покриває один-два процесори. Запуск Essentials може бути 
проведений як у фізичному, так і віртуальному середовищі. Foundation – 
найбільш обмежена за функціоналом редакція Windows Server 2012 R2, яку Ви 
не зможете купити в коробковій версії або придбати корпоративний варіант 
ліцензії. 
− Foundation поставляється лише разом із готовими серверами та 
купується у виробника. Вона не дозволяє запускати віртуальні машини і не 
використовується у віртуальному середовищі, дозволяє підключити до 15 
користувачів і використовується тільки на серверах з одним процесором. 
Налаштування Windows Server 2012 доступне досвідченим 
користувачам. Взагалі, дане ПЗ використовується для розв’язку широкого 
кола задач з побудови та адміністрування корпоративних інформаційних 
сервісів на базі КМ з різною топологією. Це можуть бути локальні мережі в 
межах одного сегмента, так і мережі, що географічно доволі сильно віддалені 
одна від одної та з’єднані через vpn тощо. Насамперед потрібно зрозуміти для 
чого конкретно планується використовувати сервер windows. Це спеціальний 
засіб для конкретних цілей і вирішення поставлених завдань. 
З огляду на наведений перелік можна версію Standart Windows Server 
2012 R2. Підприємство не використовує технології віртуалізації, віртуальні 
контейнери, а всі іншш властивості даної версії цілком піходять під супровід 
та створення механізмів безпеки для бізнес частини та АСУ ТП. 
 
2.1 Потенційні загрози в системах промислових мереж 
 
Джерела потенційних загроз для промислових систем доцільно ділити 
на три класи: 
- зовнішні; 
- внутрішні; 
- бездротові. 
Зовнішні напряму пов'язані із цільовими атаками на критичну 
інфраструктуру. Компанія Trend Micro у 2013 році провела дослідження, 
розмістивши спеціальну пастку (honeypot) для залучення цільових атак на 
КВО [7]. Країнами-лідерами за кількістю джерел загроз виявилися Росія, 
Китай, Палестина та Німеччина. В якості внутрішніх джерел загроз слід 
зазначити впровадження шкідливого коду за допомогою знімних пристроїв, 
використання сторонніх додатків, підключення сторонніх ноутбуків і 
планшетів під час проведення регламентних робіт. Також для обміну 
інформацією між сегментами промислових мереж з АСУ ТП найчастіше 
використовуються мережі типу WiFi або 3G/4G, що за відсутності захисних 
механізмів та відповідних налаштувань може бути серйозною загрозою. 
Проблемою є і те, що далеко не на всіх терміналах операторів та 
адміністраторів систем є можливість встановити антивірус, а на робочих 
станціях управління повсюдно використовується операційні системи Windows 
XP/7, що знімається з підтримки, останнє оновлення безпеки яких виходило 
вже дуже давно. Таке положення викликає збільшення проблем безпеки. 
В якості базових рекомендацій щодо забезпечення безпеки АСУ ТП при 
її роботі в складі корпоративної мережі можна навести такі: 
- контроль додатків та з'єднань у та з мережі; 
- контроль додатків та з'єднань у мережі; 
- контроль суб’єктів  взаємодії із системами АСУ ТП; 
- моніторинг мережі на предмет вірусів та атак та забезпечення 
можливості швидкого реагування. 
 
 
 
 
 
 
 
 
 
 
 
 
РОЗДІЛ 2 
 
ВИБІР СИСТЕМИ КІБЕРБЕЗПЕКИ ПРОМИСЛОВОЇ МЕРЕЖІ 
ПІДПРИЄМСТВА 
 
 
2.1 Спеціалізовані засоби та системи безпеки промислових мереж 
 
Ефективними засобами, що забезпечують виконання завдань по захисту 
промислових мереж, є міжмережеві екрани наступного покоління та пристрої 
комплексного захисту від загроз такі, як: Next-Generation Firewall та UTM. Їх 
можна використовувати, зокрема, для сегментування мереж, глибокого 
аналізу трафіку додатків та для спеціалізованих задач спеціалізованих, 
забезпечення ідентифікації та автентифікації користувачів, захист від загроз 
«нульового дня» тощо. Комплексна система захисту, що поєднує такі 
пристрої, антивірусне програмне забезпечення, яке функціонує на рівні 
кінцевих точок, системи управління подіями безпеки, що дозволяє 
відстежувати та здійснювати кореляцію інцидентів у мережах АСУ ТП, а 
також відповідні організаційні заходи, за умови адекватних налаштувань може 
значно знизити ризики виведення з ладу об'єктів мережі внаслідок цільових 
атак.  
Захист SCADA-систем в корпоративній промисловій мереж від загроз є 
завданням, яке потребує комплексного підходу [8,9]. Система безпеки АСУ 
ТП має розроблятися ще на етапі технічного завдання систему – тоді вона 
зможе забезпечити адекватний рівень захисту. При цьому враховується склад 
її елементів та базові принципи функціонування (рис.2.1). На етапі 
впровадження SCADA-системи розробляються політики підприємства із 
забезпечення інформаційної безпеки. Але, в будь-якому випадку всі заходи 
щодо забезпечення кібербезпеки мають бути економічно обґрунтовані та 
порівнюваним за складністю та вартістю з можливими ризиками та втратами. 
 
Рис.2.1 – склад типових елементів SCADA – системи в структурі 
промислової комп’ютерної мережі підприємства [8] 
 
Можна виділити кілька рівнів захисту систем SCADA від загроз: 
− фізичний рівень; 
− організаційний рівень; 
− програмно-апаратний рівень. 
2.1.1 Фізичний рівень захисту передбачає такі заходи: 
− відеоспостереження та охорону приміщень з обладнанням АСУ 
(автоматизованої системи управління) ТП (технологічним процесом), 
особливо таких як серверні, операторні, приміщення з джерелами 
безперебійного живлення та ін.; 
− забезпечення контролю доступу персоналу до обладнання та 
програмного забезпечення автоматизованої системи; 
− систематичний контроль устаткування системи та каналів зв'язку 
щодо «зайвих» відгалужень, пристроїв передачі, підозрілих модулів тощо. 
2.1.2 Організаційний рівень захисту передбачає такі заходи: 
− розробка стандарту підприємства щодо забезпечення 
інформаційної безпеки; 
− підбір та навчання обслуговуючого персоналу, систематичне 
підвищення його кваліфікації; 
− координація дій щодо забезпечення інформаційної безпеки 
автоматизованих систем з боку служб ІТ та АСУ ТП на підприємстві, т.к. у 
цих службах часто відсутнє порозуміння у цьому питанні; 
− систематичне оновлення операційних систем; SCADA-систем для 
захисту їх від виявлених вразливостей; 
− своєчасне проведення заходів щодо обслуговування бази даних 
SCADA-системи, регламентних робіт АСУ ТП, створення резервних копій 
архівної інформації; 
− проведення регулярного аудиту системних журналів, журналів 
авторизації, журналів дій обслуговуючого персоналу щодо виявлення 
«підозрілих» записів; 
− розробка програми лояльності співробітників, з метою того, щоб 
«ображений» співробітник не став джерелом витоку інформації або шляхом 
доставки та встановлення шкідливого програмного забезпечення. 
 
2.1.3 Програмно-апаратний рівень захисту передбачає такі заходи: 
− чітке розмежування прав доступу для обслуговуючого персоналу 
АСУ ТП та іншого спеціалізованого промислового ПЗ; 
− застосування спеціальних програмно-апаратних засобів для 
виявлення в реальному часі кібератак, «підозрілих» дій з метою 
оперативнішого реагування на загрози; 
− застосування на серверах та АРМ (автоматизоване робоче місце) 
операторів спеціалізованого антивірусного програмного забезпечення; 
− використання різних каналів зв'язку для SCADA-систем та 
корпоративних систем; блокування інтеграції SCADA-систем до глобальної 
комп'ютерної мережі Інтернет. У разі неможливості даних дій застосування 
спеціальних програмно-апаратних засобів, таких як міжмережеві екрани, 
віртуальні приватні мережі тощо; 
− обмеження або виключення використання бездротового та 
віддаленого доступу до АСУ ТП без авторизації та автентифікації. 
  
2.2 Система кібербезпеки на базі рішень Windows Server 
 
За таких умов, наприклад, ОС WinCC V7/V15 Professional, яка 
функціонує на PLC контролері SCADA системи слід фізично розташовувати 
на комп’ютері, який є членом домену AD Windows Server (рис.2.2). 
 
Рис.2.2 - функціонування ОС WinCC V7/V15 Professional на комп’ютері, 
який є членом домену AD Windows Server 
 
Через складність топології сучасних ІКС мережі ІТ-інфраструктури в 
багатьох областях промислових і виробничих підприємств можливі 
конфігурації можуть охоплюють два основні сценарії встановлення та роботи 
WinCC V7/V15 Professional [10]: 
- встановлення на комп'ютер, уже інтегрований у домен. 
- встановлення на комп'ютер поза доменом з подальшою 
інтеграцією в домен. 
Зараз багато з промислових піддприємства та організацій намагаються 
суміщувати процеси адміністрування своїх КМ та захист даних, то з точки 
зору систем промислової автоматизації Windows Server є інструментом, який 
здатен захистити мережі EtherNet/IP, PROFINET IO і Modbus TCP. Адже, 
однією з нагальних проблем, які вони мають, є ідентифікація та відстежувати 
осіб, які мають доступ до мереж керування. Одним з рішень є використання 
Active Directory – одного з інструментів Microsoft Windows, який 
використовується в ІТ-підрозділі для авторизації доступу. 
 
2.3 Планування захищеної промислової корпоративної мережі 
 
Перед тим, як приступити до розгортання та налаштування тих чи інших 
складових, компонент управління корпоративною мережею з використанням 
ПЗ Windows Server необхідно ретельно спланувати склад, структуру, вид 
управління, передбачити які технології необхідно використовувати для 
адміністрування КМ, розгортання та подальшої підтримки корпоративної 
комп’ютерної мережі. Слід також ретельно пропрацювати механізми 
підтримки даних технологій в конкретній реалізації ПЗ Windows Server. 
 2.3.1 Марштуризація та топологія системи кібербезпеки 
підприємства 
Для створення та перевірки коректності рішень по захисту промислової 
мережі підприємства використаємо середовище віртуалізаціїx, VMWare 
WorkStation, яке довзоляює створювати та керувати віртуальними 
компонентами комп‘ютерної корпоративної промислової мережі та окремими 
операційними системами. Програмне забезпечення ОС для емуляції роботи 
корпоративної промислової мережі підприємства будемо використовувати 
типу Windows Server, Windows 7/10 Professional Edition. 
Налаштуємо мережі на віртуальних машинах (рис.2.3). Для цього 
перейдемо до налаштувань парку віртуальних машини, які імітують реальні в 
такому порядку: 
1) бізнес сегмент мережі: 
1) srv1: - ім`я комп`ютера – srv1; операційна система - Windows Server 
2012 r2; ім`я адміністратора – administrator; пароль – відповідно до 
офіційних рекомендацій; IP адреса – 192.168.100.2; IP DNS – 
192.168.100.2 
2) srv2: ім`я комп`ютера – srv2; операційна система - Windows Server 
2012 r2; ім`я адміністратора – administrator; пароль – відповідно до 
офіційних рекомендацій; IP адреса – 192.168.100.3; IP DNS – 
192.168.100.2 
3) srv3: - ім`я комп`ютера – srv3; операційна система - Windows Server 
2012 r2; ім`я адміністратора – administrator; пароль – відповідно до 
рекомендацій; IP адреса – 192.168.100.4; IP DNS – 192.168.100.2 
4) srv4: - ім`я комп`ютера – srv4; операційна система - Windows Server 
2012 r2; ім`я адміністратора – administrator; пароль – відповідно до 
офіційних рекомендацій; ІР адреса – 192.168.100.5; ІР DNS – 
192.168.100.2; 
5) srv5: - ім`я комп`ютера – srv6; операційна система - Windows Server 
2012 r2; ім`я адміністратора – administrator; пароль – відповідно до 
рекомендацій; IP – 192.168.100.6; IP DNS – 192.168.100.2; 
6) srv6: ім`я комп`ютера – srv6; операційна система - Windows Server 
2012 r2 Standard Edition; ім`я адміністратора – administrator; пароль – 
відповідно до рекомендацій; IP – 192.168.100.7; IP DNS – 
192.168.100.2; 
7) kl1: ім`я комп`ютера – kl1; операційна система - Windows 2010 
Professional Edition; ім`я адміністратора – administrator; пароль – 
відповідно до рекомендацій; IP – 192.168.100.8; IP DNS – 
192.168.100.2. 
2) промисловий сегмент мережі: 
1) kl2: ім`я комп`ютера – kl2; операційна система - Windows 2010 
Professional Edition; ім`я адміністратора – administrator; пароль – 
відповідно до рекомендацій; IP – 192.168.0.3; IP DNS – 192.168.0.10. 
2) kl3: ім`я комп`ютера – kl3; операційна система - Windows 2010 
Professional Edition; ім`я адміністратора – administrator; пароль – 
відповідно до рекомендацій; IP – 192.168.0.4; IP DNS – 192.168.0.10. 
3) srv_S: ім`я комп`ютера – srv_S; операційна система - Windows Server 
2016 Standard Edition; ім`я адміністратора – administrator; пароль – 
відповідно до рекомендацій; IP – 192.168.0.10; IP DNS – 
192.168.100.10; 
4) srv_A: ім`я комп`ютера – srv_S; операційна система - Windows Server 
2016 Standard Edition; ім`я адміністратора – administrator; пароль – 
відповідно до рекомендацій; IP – 192.168.0.11; IP DNS – 
192.168.100.10. 
 
 
Рис.2.3 – зовнішній вигляд середовища віртуалізації VMWare 
Workstation 
 
 Після розгортання необхідної кількості віртуальних машин в сегментах 
комп’ютерної мережі слід налаштувати маршрутизацію між ними. Для цього, 
відкривши меню налаштувань, відкриваємо вкладку Network Adapter, 
обираємо тип Custom, далі у випадаючому меню обираємо VMNet2 (рис.2.4). 
Після встановлення образів ОС всіх ВМ віртуального парку можна побачити 
мережеві інтерфейси всіх ПК з КМ, а їх назва починається з позначення VMNet 
(рис.2.4). 
 
 
Рис.2.4 – перелік віртуальних мережевих адаптерів з парку ВМ КМ 
 
Далі на кожному комп’ютері відкриваємо провідник (рис.2.5). 
Переходимо в Network та дозволяємо режим мережевого визначення. 
 
Рис. 2.5 – дозвіл режиму мережевого визначення для ПК парку ВМ 
 
Після перевіримо маршрутизацію трафіка за допомогою команди ping. 
Результати представлені далі для кожної віртуальної машини.  
Результати перевірки маршрутизації трафіку в КМ для srv1 показані на 
рис.2.6. 
 
Рис.2.6 – результати перевірки маршрутизації трафіку для srv1 
 
Результати перевірки маршрутизації трафіку в КМ для srv3 показані на 
рис.2.7. 
 
Рис.2.7 – Результати перевірки маршрутизації трафіку в КМ для srv3 
 
 Аналогічні результати тестування тестування доступності мережевих 
адаптерів ПК будуть отримані і для інших ПК даної КМ. Це означає, що всі 
ПК доступні в мережі і маршрутищуються через віртуальний маршрутизатор 
сегменту КМ. 
 Після налаштування маршрутизації між клієнтами КМ необхідно 
розгорнути активний каталог – Active Directory (AD). Саме даний каталог при 
адмініструванні промилової КМ засобами ПЗ Windows Server здійснює 
основну роль в захисті інформаційних ресурсів [11]. 
 
 
2.3.2  Встановлення та налаштування каталогу AD та контролера 
домену DС в середовищі Windows Server 2012 r2 
 Для встановлення ролі Active Directory Domain Services на Windows 
Server 2012 R2 потрібно комп'ютер під керуванням Windows Server 2012 R2. 
На ньому і встановимо надалі Active Directory.  
Перед початком встановлення ролі Active Directory Domain Services 
необхідно дати серверу коректне ім'я відповідно до стандартів компанії, а 
потім вказати статичну IP-адресу в налаштуваннях мережного підключення 
(це потрібно для простоти налаштування маршрутів до сервісів 
адміністрування Windows Server в майбутньому). 
Далі переходимо до налаштування Domains Services встановленого AD 
(рис.2.8). 
   
 
Рис.2.8 - налаштування Domains Services встановленого AD 
 
        Асоціюємо даний сервер з контролером домена Domainn Controller (DC) 
(фізичне місце розташування бази даних AD) (рис.2.9). 
 
  
 
Рис.2.9 - асоціація встановленого сервера Windows Server з контролером 
домена DC 
 
        Далі отримаємо наступне вікно (рис.2.10). Тут потрібно створити новий 
ліс.  
 
Рис.2.10 – створення нового лісу в структурі КМ компанії 
 
Створенням нового лісу розпочинається процес побудови корпоративної 
системи доменних імен. Всі наступні рівні ієрархії надалі будуть 
відштовхуватися від звстановленого на даному етапі доменного імені 
kpi.atep.ua. 
 
2.3.2 Система доменів для корпоративної мережі 
Доменна мережа поєднує всі ресурси компанії в єдиний робочий 
простір. У домен можна ввести сховище файлів, сервер 1С або сервер для 
віддаленої роботи. Увійшовши до системи свого комп'ютера, співробітник 
автоматично отримає доступ до ресурсів мережі. 
Під час планування структури корпоративної мережі виникає 
необхідність створити окремі групи, які відповідають окремими структурним 
одиницям даної компанії або корпорації – відділи, філії, господарські 
підрозділи тощо. Для даної компанії маємо її назву – КПІ-сервіс, а її 
виробничий профіль технічне обслуговування та монтаж теплового 
обладнання, котлів, енергоагрегатів, компресорів та засобів промислової 
автоматизації. Відповідно, доменна структура першого рівня для даного 
підприємства матиме назву kpi.atep.ua. 
Підприємство «КПІ-сервіс» має такі структурні підрозділи: 
- відділ розробки; 
- технічний відділ; 
- бухгалтерія. 
Кількість облікових записів та груп визначаємо по кількості основних 
співробітників, яким необхідний досту до інформації в КМ за родом діяльності 
– 8 при загільній кількості в 12 осіб.  
Таким чином можна утворити дерево доменів (рис.2.11), що значно 
спроcтить надалі керування груповими політиками безпеки в рамках всієї 
компютерної підприємства. 
kpi.atep.ua 
dev_department.kpi.atep
accounting.kpi.atep.ua .ua 
tech_department.kpi.atep
.ua 
 
 Рис.2.11 – дерево доменної структури компанії 
 
Маємо 3 домени – бухгалтерії, відділу розробки, технічного відділу, 8 
облікових записів (2 для бухгалтерії, по 3 для відділів) та 2 групи. 
Після створення більш складної доменної структури зявляється 
можливість створювати довірчі відносини із зовнішніми доменами, які не 
входять до складу лісу (наприклад, з майбутніми філіями або структурними 
підрозділами). 
Імена доменів в рамках технології Active Directory формуються за такою 
ж схемою, що й імена у просторі імен сервера DNS - це не випадково. Служба 
DNS є одночасно засобом для пошуку компонентів домену — насамперед 
контролерів домену [10]. 
 
2.3.3 Налаштування та обслуговування AD в корпоративній мережі. 
Після визначення системи доменів для корпоративної мережі та 
планування структурних одиниць dns служби можна перейти до служб 
активного каталогу Windows Server. 
У вікні (рис.2.12) вказуємо бажану назву доменною зону КМ та 
вказуємо, що створюємо новий ліс в межах AD. Після натиску на Next, система 
перевіряє чи не використовується дане ім’я в доступному мережевому 
оточенні. 
       При необхідності існує можливість ввімкнути режим зворотної 
сумісності з попередніми версіями служби каталогу AD Windows Server. Це 
робиться в тому випадку, якщо відбувається модернізація системи управління 
КМ, яка вже має систему управління на основі Windows Server попередній 
випусків.  
 
 Рис.2.12 - вказування назви доменної зони КМ та створення нового лісу 
в межах AD 
 
       Важливо вказати пароль для відновлення AD. Даний пароль знадобиться 
для відновлення системи, яке може знадобитися при ліквідації наслідків збоїв 
або в процесі некоректної роботі фізичного обладнання при втраті контролю 
над обліковими записами адміністратором (атаки, забудькуватість 
адміністратора або зміна фізична зміна адміністратора).  На рис.2.13 показано 
процес введення пароля для активації сервісу відновлення директорії (AD) у 
відповідному вікні графічного інтерфейсу Windows Server. 
 
Рис.2.13 - процес введення пароля для активації сервісу відновлення 
директорії (AD) 
 
        В зв’язку з тим, що DNS сервер не був налаштований раніше, то 
пропускаємо даний етап (рис.2.14). Його налаштування проведемо згодом. 
 
Рис.2.14 – пропуск етапу налаштування dns – сервера 
 
Після перевірки незайнятості першого рівня доменного імені, WS видає 
шляхи до місць фізичного розташування каталогів AD, log-файлів та колекцій 
папок, точок репарації файлової системи та параметрів групової політики, що 
реплікуються службою реплікації файлів (FRS) (рис.2.15). 
 
Рис.2.15 - шляхи до місць фізичного розташування каталогів AD, log-
файлів та колекцій папок, точок репарації файлової системи та 
параметрів групової політики 
 
       З налаштуванням збереження за замовчування можна погодитися, але, 
якщо надалі даний сервер буде використовуватися в реальній роботі, то шляхи 
до цих специфічних каталогів будемо змінювати (так само слід видалити 
обліковий запис адміністратор WS, попередньо додавши інший обліковий 
запис (не Admin) з правами адміністратора). Такі зміни пов’язані з 
міркуваннями безпеки [11]. 
       Після того, як WS перевірить всі попередньо проведенні налаштування, 
переходимо до встановлення DC з розгорнутим AD (рис.2.16). 
 
Рис.2.16 – перехід до процесу встановлення DC з розгорнутим AD 
 
        Далі чекаємо на розгортання AD в фізичному сховищі (на SSD 
накопичувачі) (рис.2.17).  
Термін Domain Controller (DC) в технології керування КМ Windows 
Server часто трактується, як фізичне місце розташування базового активного 
каталогу- Active Directory (AD). Отже, при першому встановленні активного 
каталогу в обране для цього фізичне сховище зберігання, відбуватиметься 
одночасне формування основного (оригінального) образу активного каталогу 
- Domain Controller (DC). Надалі, даний каталог може бути реплікований задля 
покращення надійності зберігнання його даних [12]. 
 
Рис.2.17 - розгортання AD в фізичному сховищі 
 
        Після завантаження, переходимо в середовище управління щойно 
створеним контролером домену після відповідної авторизації вже в рамках 
активного каталогу AD (рис.2.18). 
 
Рис.2.18 - авторизація в середовищі управління щойно створеним 
контролером домену 
       Даний етап завершений. Далі слід перейти до етапу створення політик 
доступу до об’єктів AD. 
 
2.3.4 Створення структури піддоменів в лісі з батьківським  
контролером 
На першому сервері (srv1) встановлюємо відповідну роль 
батьківського домену, але перш за все слід ввімкнути серверну роль 
на  контролері домена.  
Для встановлення доменних служб Active Directory, так само, як і 
для  встановлення всіх інших ролей сервера і компонентів в Windows Server 
2012,  використовується диспетчер сервера, де ввімкнена серверна роль 
контролера  
 Для реалізації доменної структури підприємства, наведеної на рис.2.5 
спочатку встановимо доменні служби Active Directory для трьох ПК, які 
будуть використані як дочірні домени (Рис.2.19). 
.  
Рис.2.19 - встановлена роль доменних служб для ПК srv2, srv3, srv4 
  
Наступним кроком необхідно налаштувати контролер домену як 
дочірнього домену до батьківського. Для цього перейдемо до його 
налаштувань у вікні подій (Рис.2.20). 
 
Рис. 2.20 – налаштування контролеру домену як дочірнього домену до 
батьківського 
Далі налаштуємо дочірні домени. Для цього введемо дані для серверу на 
srv1 (ім’я користувача та пароль), що дозволить обрати батьківський домен, 
який встановлено на даному ПК. Продемонструємо для приклада узагальний 
вигляд вікна налаштувань домена бухгалтерії (accounting) (рис.2.21). 
 
Рис.2.21 - Вікно налашутвань розгортання дочірнього домену в 
існуючому лісі 
 
Далі налаштуємо опції контролеру дочірнього домену (Рис.2.22). 
 
Рис.2.22 - Параметри опцій контролеру дочірного домену 
 
Параметри DNS не змінюємо (Рис.2.23). 
 
Рис.2.23 Налаштуання DNS служби 
 
 Результатом створення дочірніх доменів буде наступна структура (Рис. 
2.24). 
 
Рис.2.24 - Результуюча структура домену 
 
 Наступним етапом створення системи кібербезпеки промислової 
комп’ютерної мережі підприємства є вибір та налаштування технології 
надійного та продуктивного сховища інформації та даних.  
 
2.4 Організація захищеного корпоративного середовища збереження 
інформації 
 
Далі слід створити сховище для інформаційних активів підприємства. З 
даною метою використовуються різні технології. Одна з найбільш надійних та 
продуктивних з них – технологія RAID [13,14]. 
В зв’язку з тим, що для даної компанії необхідно отримати надійне 
сховище даних з прийнятною швидкістю даних, то обираємо технологію RAID 
1 (рис.2.25). 
 
Рис.2.25 – схема технології збереження даних RAID-1 
 
Обраний для реалізації тип дискового масиву працює за принципом 
mirroring — «дзеркалювання»). Такий масив можна організувати з двох (або 
більше) дисків, які є повними копіями один одного. До перваг даної технології 
можна віднести:  
- забезпечує прийнятну швидкість запису (таку ж, як і без 
дублювання; 
- виграш за швидкістю читання при розпаралелювання запитів [13]. 
- високу надійність – працює доти, доки функціонує хоча б один 
диск у масиві. 
Імовірність виходу з ладу відразу двох дисків дорівнює добутку 
ймовірностей відмови кожного диска, тобто значно нижча від ймовірності 
виходу з ладу окремого диска. Насправді при виході з ладу однієї з дисків слід 
терміново вживати заходів — знову відновлювати надмірність. Для цього із 
будь-яким рівнем RAID (крім нульового) відповідно до рекомендацій 
підприємство має диски гарячого резерву. 
Для того, щоб створити систему об’єктів доступу для учасників 
корпоративної мережі (принтери, каталоги, файли, облікові записи) необхідно 
зайти в File and Storage в ролях і серверних групах (рис.2.26). 
  
Рис.2.26 – зовнішній вигляд меню File and Storage в ролях і серверних 
групах 
 
  Далі переходимо до створення дискових та інших ресурсів, які будуть 
виступати в якості сховища для суб’єктів доступу (рис.2.27).  
  
Рис.2.27 - створення дискових та інших ресурсів, які будуть виступати в 
якості сховища для суб’єктів доступу 
 
Спочатку створюємо дискові ресурси, які будуть виступати в якості 
сховища для суб’єктів доступу (надалі дане сховище буде доступно для 
користувачів (суб’єктів) даного корпоративного домену, які матимуть для 
цього відповідні права). Ці права зберігатимуться в AD. 
Для створення такого сховища заходимо в налаштування ВМ srv1 (але 
може бути будь-які інші локації) – рис.2.28. 
Створимо диски, в яких надалі буде зберігатися необхідні для роботи 
користувачів спільні ресурси доступу (об’єкти). 
Таких дисків для обраної технології RAID-1 встановимо два (для 
реплікації даних ресурсів). 
  
 
Рис.2.28 – створення дискових масивів у ВМ для RAID-1 масиву 
 
В результаті, конфігурація віртуальної машини srv1 стає такою, як 
показано на рис.2.29. 
 
Рис.2.29 - конфігурація ВМ srv1 після створення у ВМ дискових 
RAID-масивів 
 
 Далі в розділі Каталоги диски – Management Windows Server 
оновлюємо конфігурацію і бачимо створену нову конфігурацію дискові 
ресурсів, які будуть виступати в якості сховища для суб’єктів доступу надалі 
(рис.2.30). 
 
Рис.2.30 - створена нову конфігурація дискових ресурсів 
 
Далі необхідно ініціалізувати 2 створених дисків для того, щоб вони 
стали видимими і доступними для мережевої файлової системи Windows 
Server NFS в майбутньому (пункт Bring Online в контекстному меню диску). 
Що і робимо надалі (рис.2.31). 
 
  
Рис.2.31 – інціалізація 2 створених дисків для їх видимості і доступності 
для мережевої файлової системи Windows Server NFS 
 
 В результаті підключення даних дискових ресурсів побачимо, що їх 
статус змінився в On-line (рис.2.32). 
  
Рис.2.32 – зміна статусу дискових ресурсів в результаті їх підключення 
   
Далі розмічаємо диски і створюємо логічні томи.  Після ініціалізації 
створюємо логічний розділ на дисках і форматуємо в форматі обраної 
файлової системи (рис.2.33).  
Рис.2.33 – ініціалізація диску та форматування 
 
На даному етапі можна створити декілька логічних томів (залежить від 
цілей адміністрування ресурсів КМ, розміру диску тощо).  
        Можемо обрати варіанти однієї з двох файлових систем NTFS або більш 
нову ReFS. Причому, якщо в майбутньому буде необхідно адмініструвати або 
додавати в домен машини більш старих версій ОС Windows (7 і більш 
старших), то це буде можливо, але вони не будуть мати доступу до спільних 
файлів через те, що в таких версіях ОС ще відсутня підтримка файлової 
системи ReFS.  
Строюємо дзеркало диску E на неформатований Диск 2 (рис.2.34): 
 
Рис.2.34 - створення дзеркала диску E на неформатований Диск 2 
 
 Додаємо дзеркало до наявного тому з метою забезпечення 
надлишковості даних за рахунок збереження декількох копій даних тома на 
різних дисках (рис.2.35). 
 
Рис.2.35 - додавання RAID - дзеркала до наявного тому 
 
 В результаті створення дзеркалу диску з корпоративними ресурсами ОС 
WS створено один логічний диск E, який складається з двох фізичних дисків 
(рис.2.36). 
 
Рис. 2.36 – створений логічний диск E(Corporate), який є RAID-1 
масивом з двох фізичних дисків (Disk-1 та Disk 2) 
  
Далі, на розміченому і відформатованому диску створимо необхідні 
каталоги та файли (вони ж об’єкти) доступу (рис.2.37) для учасників 
корпоративної мережі (рис.2.38). 
 
Рис.2.37 – створення каталогів та файлів для доступу в межах дискових 
ресурсів 
Для зберігання особливо важливої для функціонування бізнес-процесів 
підприємства інформації створимо два каталоги: General Files і Private Files, а 
також файл зі службовою інформацією: top_secret. 
  
Рис.2.38 – створення каталогів і файлів для доступу учасників КМ 
 
Створені каталоги General Files і Private Files і текстовий файл top_secret 
розмістимо на щойно створено RAID-1 сховищі для гарантування 
підвищеного рівня надійності збереження інформації. 
Даний RAID масив буде фактично являти собою RAID-1. Якщо 
необхідно змінити тип дзеркалювання, але необхідно, щоб це підтримувалося 
на рівні BIOS даного компютера. Створюємо додаткові об’єкти доступу - 
каталоги і файли для кожного зі створених доменів (рис.2.39). 
 
Рис. 2.39 - додатково створені об'єкти доступу (файли та каталоги) 
 
Після того, як був розгорнутий активний каталог можна перейти до 
етапу підготовки до створення суб’єктів доступу до інформаційних ресурсів 
даної корпоративної промислової мережі підприємства. 
2.8 Суб'єкти доступу до ресурсів корпоративної мережі та базові 
механізми безпеки 
 
Для реалізації запланованої ієрархії доступу переходимо в оснащення 
AD DS – Tools, яке відповідає за створення суб’єктів доступу (рис.2.40). 
   
 
Рис.2.40 - оснащення AD DS – Tools, яке відповідає за створення суб’єктів 
доступу 
         
Windows Server інтерпритує дві категорії суб’єктів доступу до 
корпоративних інформаційних ресурсів – Користувачі (Users) та Комп‘ютери 
(Computers).  
В оснащенні меню налаштувань AD DS – Tools видно відкрите 
оснащення для адміністрування суб’єктів доступу корпоративної мережі 
(рис.2.41). 
Для створення користувачів КМ переходимо в меню Users та починаємо 
створювати користувачів, для яких надалі буде відбуватися групове 
редагування прав доступу (права для всіх численних членів групи надалі 
будуть однаковими і імплементуватися централізовано)) (рис.2.42). 
 
   
Рис.2.41 – оснащення для адміністрування суб’єктів доступу 
корпоративної мережі 
 
            Створення груп користувачів, так само, як і самих користувачів логічно 
провести після того, було проведено планування структури корпоративної 
комп’ютерної мережі (враховується організаційна структура підрозділів, 
філій, структур, відокремлених господарських одиниць компанії або 
підприємства). Початкові налаштування та склад створених в даному 
останщенні суб’єктів доступу корпоративної мережі надалі можна змінювати 
або доповнювати в разі звільнення або влаштування на роботу нових 
користувачів або додавання нових підроздів тощо. В таких випадках потрібно 
буде редагувати та доповнювати групи та додавати туди користувачів. Всі 
процеси по створенню та редагуванню здійснює адміністратор КМ Windows 
Server. 
При створенні облікових записів користувачів використовуємо літери 
латинського алфавіту. 
 
Рис.2.42 – створювати користувачів (облікових записів) для активного 
каталога Windows Server 
 
На практиці не обов’язково використовувати офіційні правила 
транслітерації написання імен та прізвищ працівників в логінах користувачів. 
Але слід пам’ятати, що далі змінити створені логіни буде складно 
(рекомендується видаляти і створювати нові). 
 
Рис.2.43 - приклад введення даних нового користувача для групи 
  
Після створення кожного користувача система пропонує ввести 
початкові налаштування загальної парольної політики користувача. Необхідно 
уважно та відповідально ставитися до налаштувань парольної політики, 
показаних на рис.2.43, адже невірні або некоректні налаштуваня негативно 
впливатимуть в майбутньому на безпеку та стабільність функціонування КМ 
Windows Server. 
На рис.2.44 показані налаштування за замовчування, які пропонує 
Windows Server стосовно парольних політик користувачів. Зробимо так, щоб 
користувач при першій авторизації в системі заходив би в неї під паролем, 
який створює адміністратор в поточний момент, але після першої ж вдалої 
авторизації змінював пароль на власний (власний пароль повинен відповідати 
парольній політиці, які існує в конкретній версії Windows Server). 
Вибір пункту «User cannot change password» призведе до того, що 
користувач системи повинен буди використовувати тільки той пароль, який 
заведено адміністратором (не обов’язково, щоб це робив саме адміністратор). 
На практиці це реалізується так – користувачі запрошуються до терміналу 
адміністратора і вводять там бажаний пароль. 
 
Рис.2.44 – пропоновані Windows Server початкові налаштування 
загальної парольної політики користувача  
  
Ми ввели початковий пароль, що повинен бути «складним» (див. вимоги 
до складності паролю Windows Server 2012 r2), який надалі слід змінити  
Після створення всіх запланованих користувачів КМ слід додати 
створених користувачів в ті, групи доступу, які відповідають запланованим 
правам доступу (рис.2.45). 
Взагалі, при плануванні функціональних груп будемо користуватися 
принципом – «Скільки потрібно створити типів обмеження на доступ – стільки 
і створюємо і груп». 
 
 
Рис.2.45 - створення нової функціональної групи в КМ 
 
Групи використовуються для збору облікових записів користувачів, 
облікові записи комп'ютерів та інших груп у керовані підрозділи. Робота з 
групами, а не з окремими користувачами спрощує обслуговування та 
адміністрування мережі. 
 Створимо 8 користувачів да 2 групи для промисловоъ КМ даного 
підприємства (рис. 2.46). 
 
Рис.2.46 - створені групи та користувачі 
 
 Далі розподіляємо створених користувачів (облікові записів по 
запланованим групам) та переходимо до встановлення рівнів доступу для 
функціональних груп, створення та застосування групових політик безпеки 
КМ.  
        
 
 
 
 
 
 
 
 
 
РОЗДІЛ 3 
 
РЕАЛІЗАЦІЯ СИСТЕМИ КІБЕРБЕЗПЕКИ ПРОМИСЛОВОЇ МЕРЕЖІ 
ПІДПРИЄМСТВА 
 
 
3.1 Механізм авторизованого доступу до інформації в КМ 
 
Для реалізації механізмів авторизованого доступу до створених груп 
користувачів, необхідно зробити наступне - заходимо в пункт «Shares» та 
обираємо «New Share» (Рис. 3.1). 
 
Рис. 3.1 – реалізація авторизованого доступу до створених груп 
 
Оберемо необхідний тип, в нашому випадку базовий профіль доступу з 
використанням технології SMB (рис. 3.2) [15]. 
 
Рис.3.2 Вибір базового профілю доступу 
 
  Далі оберемо окрему папку на диску С (рис.3.3). 
 
Рис.3.3 -  Вибір шляху до папки ресурсу 
 
 Оберемо налаштування для обраного розділу для загального доступу з 
акаунтів (рис.3.4). 
 
Рис.3.4 -  Вибір налаштувань для загального доступу 
 
 Наступним кроком налаштуємо дозволи для доступу та групи, які 
можуть отримати даний вид доступу згідно встановлених політик (рис.3.5). 
Приберемо всі дозволи за замовченням та залишимо дозволи лише, як для 
адміністраторів для домену accounting (рис.3.5). 
 
Рис.3.5 - дозволи на доступ після редагування 
  
Після коректного виконання бачимо підтвердження для 
автентифікованого доступу до інформаційного ресурсу через протокол SMB, 
яке виглядає наступним чином (рис.3.6). 
 
Рис.3.6 - екран підтвердження наданих дозволів доступу 
 
 Далі для отримання доступу до папки з загальним доступом з ПК 
необхідно додати необхідний ПК до домену. Для цього спочатку слід зайти до 
контрольної панелі та перейти в налаштування ПК користувача. У відкритому 
вікні налаштувань обираємо зміну домену (рис.3.7). 
 
Рис.3.7 -  встановлення змін домену для ПК користувача КМ 
 
 Як результат, бачимо, що в мережевому оточенні необхідного ПК 
користувача КМ в з’явиться сервер, в якому буде створена раніше папка та 
файли для яких і було встановлено доступ (рис.3.8). 
 
Рис.3.8 – встановлений доступ до папки для ПК з домену accounting 
 
Таким чином, в створених доменах було додатково створено декілька 
груп доступу та вісім користувачів, яким було надано дозволи для редагування 
та переглядання файлів та папок. Для організації доступу до ресурсу було 
створено спеціальний об’єкт доступу “Share”, який реалізує доступ з інших 
ПК.  
 
3.2 Конфгурування групових політик доступу 
 
Групові політики використаємо для спрощення адміністрування даної 
КМ відповідно до існуючих політик безпеки підприємства. 
Відповідно до політик безпеки необхідно обмежувати активність 
облікових записів облікових корпоративної мережі підприємства у 
відповідбності з даними таблиці 3.1. 
Для реалізації процесу адміністрування облікових записів користувачів 
та управління їх профілями необхідно відредагувати параметри облікових 
записів згідно наведених вимог. 
 
Таблиця 3.1 
Режим робочої активності корпоративних облікових записів 
 
Користувач Час входження Комп'ютери, на Строк дії  
в систему яких можлива облікового 
реєстрація запису 
Користувачі групи З 8.00 до 17.00  Kl2 До 22.03.23  
захищеного доступу домену Понеділок-
ACCOUNTING п'ятниця 
(Nastya Cherep) 
Користувачі домену З 6.00 до 23.00 Зі всіх комп'ютерів До 22.03.23  
ACCOUNTING Понеділок-
(Nick Star) субота 
Користувачі групи З 6.00 до 24.00 Зі всіх комп'ютерів До 22.03.23  
проектантів та системних Понеділок-
інженерів домену пятниця 
DEV_DEPART 
(Brat I, Brat II) 
Користувачі групи ремонту З 8.00 до 13.00 Зі всіх комп'ютерів До 22.03.10  
TECH_DEPART та 14.00 до 17.00 
(Murlok Volnovod) Понеділок-
пятниця 
Супервізори домену Цілодобово Зі всіх комп'ютерів Необмежено  
TECH_DEPART кожен день 
(Gnol Smotritel) 
 
 Спочатку перейдемо до налаштувань комп’ютерів та користувачів 
Active Directory (рис.3.9). Цей крок буде необхідно виконувати для кожного 
домену та його користувачів. Почнемо з домену ACCOUNTING. 
 
 
Рис. 3.9 - налаштування користувачів та комп'ютерів 
 
 Далі оберемо необхідного в нашому випадку користувача. Це 
користувач групи Secure_Access з іменем Nastya Cherep. Виконаємо необхідні 
налаштування. Змінимо доступний час входження в систему (рис. 3.10). 
 
Рис. 3.10 -налаштування часу входу для користувача 
 
 Наступним кроком замінимо комп’ютери, з яких можлива авторизація 
даного користувача. Використаємо ім’я з BIOS даного ПК (рис. 3.11). 
 
Рис. 3.11 – ім’я комп’ютера з дозволом на авторизацію 
 
 Останнім кроком налаштування користувача буде задання часу 
активності облікового запису. Задамо його відповідно до завдання (рис.3.12). 
 
Рис. 3.12 – встановлення періоду активності облікового запису 
 
Після завершення налаштувань переходимого до наступного 
користувача. Це користувач групи Domain_Users з іменем Nisk Star. 
Виконаємо необхідні налаштування. Змінимо доступний час входження в 
систему (рис. 3.13). 
 
Рис. 3.13 - налаштування часу входу для користувача 
 
Наступним кроком замінимо комп’ютери, з яких можлива авторизація 
для даного користувача (рис.3.14). 
 
 
Рис. 3.14 - комп’ютери з дозволом на авторизацію для користувача 
 
Останнім кроком в налаштування періоду активності користувача буде 
встановлення часу активності облікового запису. Задамо його відповідно до 
даних таблиці 3.1 (рис. 3.15). 
 
 
Рис. 3.15 – встановлення періоду активності облікового запису 
користувача 
 
Після завершення налаштувань переходимого до наступного домену та 
користувача. Це користувач домену Dev_Depart групи Project Workers з іменем 
Brat I. Виконаємо необхідні налаштування. Змінимо доступний час входження 
в систему для даного облікового запису (рис.3.16). 
 
Рис. 3.16 - налаштування часу входу в систему для користувача 
 
Далі змінимо імена комп’ютерів КМ, з яких можлива авторизація для 
даного користувача (рис. 3.17). 
 
Рис. 3.17 - комп’ютери КМ з дозволом на авторизацію даного 
користувача 
 
Завершується налаштування для користувача встановленням часу 
активності облікового запису. Задамо його відповідно до даних таблиці 3.1 
(рис. 3.18). 
 
 
Рис. 3.18 – встановлення часу активності облікового запису 
користувача КМ 
 
Після завершення налаштувань переходимого до налаштувань іншого 
користувача. Це користувач домену Dev_Depart групи Software Engineers з 
іменем Brat II. Виконаємо необхідні налаштування. Змінимо доступний час 
входження в систему (Рис.3.19). 
 
 
Рис. 3.19 - налаштування часу входу для користувача 
 
Наступним кроком замінимо комп’ютери, з яких можлива авторизація 
даного користувача (рис.3.20). 
 
Рис.3.20 - встановлення комп’ютерів КМ з дозволом на авторизацію 
даного користувача 
 
Останнім кроком налаштування користувача буде задання часу 
активності облікового запису. Задамо його відповідно до завдання (Рис.3.21). 
 
Рис.3.21 - час активності облікового запису 
 
Після завершення налаштувань переходимого до наступного домену та 
користувача. Це користувач домену Tech_Depart групи Maintenance з іменем 
Murlok Volnovod на srv4. Виконаємо необхідні налаштування. Змінимо 
доступний час входження в систему (рис.3.22). 
 
Рис. 3.22 - налаштування часу активності акаунту для користувача 
Murlok Volnovod 
 
Наступним кроком замінимо комп’ютери, з яких можлива авторизація 
даного користувача (рис.3.23). 
 
Рис.3.23 - Комп’ютери з дозволом на авторизацію 
 
Останнім кроком налаштування користувача буде задання часу 
активності облікового запису на ПК srv4. Задамо його відповідно до завдання 
(рис.3.24). 
Аналогічні налаштування виконуємо і для інших облікових запичів, 
відповідно до обмежень, наведених в таблиці 3.1. 
 
Рис.3.24 – налаштування часу активності облікового запису Murlok 
Volnovod 
 
Після виконнання всіх налаштувань зайдемо на ПК Kl2 та спробуємо 
перевірити роботу створеної системи обмежень активності облікових записів. 
Для цього в заборонений час намагаємося авторизуватися в акаунту Насті 
(рис.3.25). Відповідно до вимог, щодо активності акаунту, заданого в таблиці 
3.1 для даного облікового запису це з 8.00 до 17.00 з понеділка по п'ятниця. 
Природньо, що при спробі доступу з даного запису до КМ 23:12 це виявляється 
марним. 
Таким же чином можна перевірити функціонування безпекового 
обмеження на доступ по іншим акаунтам КМ. 
 
Рис. 3.25 Заблокований доступ через часові обмеження 
 
Було налаштовано облікові записи користувачів різних груп. Серед 
налаштувань було використано обмеження доступу за часом, що дозволить 
чітко обмежити працездатність облікових записів робочими годинами 
працівників, час існування облікових записів, що дозволяє автоматично 
видаляти непотрібні або тимчасові записи та комп’ютери, яким надається 
доступ для входу в обліковий запис, що підвищує захищеність нашої системи 
від доступу з неавторизованого ПК. 
 
3.3 Створення групових політик для учасників корпоративної 
мережі 
 
Відповідно до проведеного аудиту, невиконання існуючих політики 
безпеки підприємства приводить до того, що користувачі КМ несанкціоновано 
використовують встановлені програми, використовують браузер не за 
презначенням, через що на більшості з ПК даної КМ знайдене втсановлене 
шкідливе ПЗ, трояни тощо. Тому, для всіх створених груп необхідно створити 
такі політики, які мінімізують потраплання та встановлення небажаного та 
шкідливого ПЗ, використання доступу до мережі не за призначееням. Для 
цього для всіх користувачів бізнес-семгенту КМ слід передбачити: 
− встановлення на робочий стіл за замовчуванням графічного 
логотипу компанії; 
− для всіх робочих груп одного з доменів прибрати з меню всі 
додатки, окрім “Paint”, “Блокнот”, “Калькулятор” та саме меню пуск; 
− для всіх груп окрім одної (обрати самостійно) забороняють роботу 
служби оновлення Windows (Windows Update); 
− дозволити встановлювати додатки тільки одній з груп - 
адміністраторам або їх аналогам; 
− встановити аудит на контроль неправильного введення паролів 
для однієї з груп на вибір. 
Спочатку створюємо організаційний контейнер та його підрозділи, до 
яких будемо застосовувати створювані групові політики. Для цього 
переходимо в меню WS - Active Directory Users and Computers та створюємо 
організаційний unit для нашого домену. В цьому контейнері створюємо два 
під-контейнери: Users та Computers. В розділі Users створюємо додаткові 
контейнери в кількості, яка відповідає даній задачі. Після виконання 
вищеописаних кроків отримуємо наступний результат (рис.3.26). 
 
 
Рис.3.26 - Архітектура створеного організаційного контейнера 
 
Далі переходимо до пункта меню Group Policy Manager. В ньому вже 
існує новостворений контейнер для групової політики, отже необхідно 
створити відповідні контейнери для потрібних користувачів. Об'єкти групової 
політики призначаються на певний контейнер (домен, сайт або OU-
організаційний юніт) та застосовуються до всіх об'єктів у даному контейнері. 
При грамотно організованій структурі домену цього цілком достатньо, щоб 
забезпечити обмеження застосування політик певною групою користувачів 
(облікових записів). 
Натиснувши праву клавішу миші на контейнері для зміни малюнку 
робочого столу, обираємо пункт Create a GPO and Link it here (рис.3.27). 
 
 
Рис.3.27 - Розташування нової групової політики для контейнеру 
при створенні 
 
Створимо нову політику для зміни фону робочого столу, згідно до 
корпоративних правил (рис. 3.28). 
 
Рис.3.28 - Створення нової групової політики для фону робочого 
столу 
 
Перейдемо до новоствореної політики. В звязку з тим, що забезпечити 
обмеження застосування політик певною групою користувачів неможливо, то 
потрібно обрати пункт додавання груп та користувачів в фільтр безпеки (рис. 
3.29). 
 
Рис.3.29 - параметри та властивості політики в фільтрі безпеки 
 
Додаємо групу, в якій знаходяться необхідні нам користувачі до 
налаштувань безпеки (рис.3.30). 
 
Рис.3.30 - додавання групи користувачів до налаштувань безпеки 
 
Налаштуємо створену політику наступним чином: переходимо до 
вкладки User Configuration, далі Administrative Templates, Desktop, потім 
Desktop. У списку деталей, двічі натискаємо Desktop Wallpaper (рис.3.31). 
 
 
 
Рис.3.31 - Налаштування створеної політики завантаження на 
робочі столи всіх користувачів групи корпоративного логотипу 
 
Змінимо стан політики на ввімкнений та введемо шлях до файлу 
корпоративного логотипу робочого столу (рис.3.32). Таким чином, в 
майбутньому окремий користувач не зможе змінити вручну корпоративний 
логотип робочого столу. Це можна буде зробити в разі зміни фільтру безпеки 
групових політик. 
 
Рис.3.32 - параметри групової політики налаштування робочого столу 
 
Перевіряємо створені параметри групової політики налаштування 
робочого столу бачимо робочий стіл з корпоративним логотипом при 
авторизації та наступному вході до КМ користувача (рис.3.33).  
 
Рис.3.33 - робочий стіл з корпоративним графічним логотипом 
Створимо нову політику для видалення зайвих та потенційно 
небезпечних програм та пунктів з меню Start ОС Windows в рамках групової 
політики (рис.3.34). 
 
 
Рис.3.34 - створення нової групової політики для стартового меню 
клієнтських ПК користувачів КМ 
 
Перейдемо до новоствореної політики. В даному вікні нам потрібен пункт 
додавання груп та користувачів в фільтр безпеки. Додаємо групу, в якій 
знаходяться необхідні нам користувачі до даного фільтру (рис.3.35). 
 
Рис.3.35 - додавання групи до фільтру налаштувань безпеки 
 
Налаштуємо створену політику наступним чином: переходимо до 
вкладки User Configuration, далі Administrative Templates, Start Menu and 
Taskbar. В переліку обираємо пункт «Start Screen Layot» та встановлюємо його 
в положення Enabled (рис.3.36), додаємо доступ до xml – файлу з 
налаштуваннями конфігурації вигляду стартового меню клієнтських ОС 
Windows (рис.3.37). 
 
Рис. 3.36 застосування групової політики налаштування стартового 
меню клієнтського ПК  
  
Кастомізація стартового меню можлива тільки шляхом зміни опису або 
створення такого xml – файлу. Даний процес відбувається вручну. 
 
Рис. 3.37 програмний xml – файл для налаштування пунктів і 
зовнішнього виду стартового меню ОС Windows клієнтського ПК 
 
Перевіримо роботу створених і застосованих групових політик (GPO) на 
прикладі меню програм ОС будь-якого клієнського ПК мережі. Результат 
застосовання групових політик для стартового меню наведений на рис.3.38. 
 
Рис.3.38 – перевірка застосування групових політик стартового меню на 
клієнтському комп’ютері 
 
Як видно з рис.3.38 в стартовому клієнських машин, відповідно до вимог 
політик безпеки корпорації залишено можливість запусук програм, а на 
робочому столі виведені тільки програми “Paint”, “Блокнот”, “Калькулятор” та 
саме меню пуск. 
Функція автооновлення в ОС існує штатно, але її використання на 
клієнтських ПК часто не бажано через те, що деякі оновлення можуть 
призвести до сбою в роботі. Тому, часто підтримкою, завантаженням на 
наглядом за оновленням ОС та її модулями займається адміністротор КС. 
Отже, створимо нову політику для відключення автооновлення 
Windows(рис.3.39). 
 
Рис.3.39 - Створення нової групової політики для відключення 
автооновлень ОС 
 
Перейдемо до новоствореної політики. Тепер потрібно перейти до 
пункту додавання груп та користувачів у фільтр безпеки. Додаємо групу 
безпеки, в якій знаходяться необхідні нам користувачі (рис.3.40). 
 
 
Рис.3.40 - додавання групи користувачів до налаштувань безпеки 
 
Налаштуємо створену політику наступним чином: переходимо до 
вкладки Computer Configuration, далі Administrative Templates, Windows 
Components, Windows Update. У переліку обираємо Configure Automatic 
Updates та переводимо його у положення Disabled (рис.3.41). 
 
 
Рис.3.41 - Налаштування створених політик 
 
Для того, аби у користувачів КМ не було можливості встановлювати 
самостійно програми, створимо нову політику для заборони самовільного 
встановлення користувачами на клієнтських ПК програмного забезпечення 
(рис.3.42). 
 
Рис.3.42 - створення нової групової політики для заборони самовільного 
встановілення ПЗ на клієнтських ПК 
 
Адміністратор системи має самостійно вирішувати питання про те, яке 
саме ПЗ потрібно користувачам даної КМ. Самостійне встановлення ПК 
власниками корпоративних акаунтів значно підвищує ризики потрапляння на 
ком’пютер вірузного та шкідливого ПЗ, яке може легко розповсюджуватися і 
на інші ПК мережі. 
Далі перейдемо до новоствореної політики. У вікні налаштувань 
обираємо пункт додавання груп та користувачів в фільтр безпеки. Додаємо 
групу, в якій знаходяться необхідні нам користувачі (рис.3.43). 
 
Рис.3.43 - додавання групи у фільтр безпеки безпеки  
 
Налаштуємо створену політику наступним чином: переходимо до 
вкладки Navigate Computer Configuration, далі Policies, Administrative 
Templates, Windows Components, Windows Installer. Обираємо «Prohibit User 
Install» та переводимо в положення Enabled (рис.3.44). 
 
 
Рис. 3.44 – Налаштування створених політик на активацію 
 
Для того, щоб фіксувати можливі спроби інсайдерських втручанб в 
роботу КМ налаштуємо аудит навдалих спроб входу до облікового запису 
користувачів (рис.3.45). 
 
 
Рис.3.45 - створення нової групової політики для аудиту невдалих 
спроб входу 
 
Перейдемо до новоствореної політики. У вікні налаштувань вводимо 
потрібний пункт додавання груп та користувачів в фільтр безпеки. Додаємо 
групу, в якій знаходяться необхідні користувачі КМ (рис.3.46). 
 
 
 
Рис.3.47 - Додавання групи до налаштувань безпеки удиту входу в 
систему 
 
Налаштуємо створену політику наступним чином: переходимо до 
вкладки Computer Configuration, далі Policies, Windows Settings, Security 
Settings, Audit Policy та обираємо пункт «Audit account logon events» (рис.3.48). 
Аудит входів до системи в змозі відстежує, як користувачів в домені, так 
і мережні облікові записи. Кожна подія входу вказує на обліковий запис 
користувача, за допомогою якого відбувалася авторизація. Тут також можна 
побачити, коли користувачі вийшов з системи. 
 
Рис.3.48 - налаштування політик аудиту входу в систему 
 
В налаштуваннях вмикаємо аудит невдалих спроб входу (рис.3.49). В 
налаштуваннях адуиту входу можна ввімкнути також журналювання кількості 
вдалих входів, але з точки зору подальшого аналізу це мало що дасть. Але при 
цьому значно збільшить обсяг журналу, який необхідно вести для обліку таких 
спроб. 
 
Рис.3.49 - обрані параметри для політики аудиту спроб входу в систему 
 
Після завершення всіх проведених налаштувань безпеки групових 
політик корпорації отримаємо наступний вид організаційного контейнеру 
(рис.3.50). 
Взагалі, для застосування політики об'єкт повинен мати права на її 
читання (Read) та застосування (Apply group policy), які є у групи Authenticated 
Users. Відповідно, щоб політика застосовувалася не до всіх, а лише до певної 
групи, необхідно видалити зі списку Authenticated Users, потім додати 
потрібну групу і видати їй відповідні права. В даному випадку створювані 
політики стосуються тільки корпоративних користувачів типу Authenticated 
Users. Всі інші не мають права автентифікуватися в системі – за цим слідкує 
окрема інженерно-технічна система контролю доступу до приміщень 
корпорації. 
 
Рис.3.50 - фінальний стан контейнеру групових політик після всіх 
проведених налаштувань безпеки групових політик корпорації 
 
Далі переходимо до утиліти Active Directory Users and Computers та 
переносимо необхідні групи до відповідних контейнерів, до яких 
застосовуються ті чи інші політики доступу (рис.3.51). 
Взагалі, контейнер групової політики (GPC) — це контейнер Active 
Directory, який містить властивості GPO, такі, як інформація про версії, статус 
GPO та інші параметри компонентів в контейнері: N=Policies, CN=System, 
DC=…. Контейнер реплікується за допомогою механізму реплікації AD. 
Якщо видалити, створений в процесі розробки групови політики 
контейнер, наприклад той, що наведений на рис.3.42, то GPO необхідно 
видалити, як об'єкти Active Directory, так і папку GPT. Однак, якщо користувач 
не має достатньої кількості дозволів в Active Directory, то видалення може 
вивести з ладу весь контейнер GPC.  
 
 
Рис.3.51 - додавання груп до контейнерів 
 
Таким чином, створені групові політики є многофункціональним 
засобом зміни мережевого простору для учасників КМ. Такі зміни в даному 
випадку суттєво покращили щагальну безпеку полмислової корпоративної 
мережі та ще надійніше ізолювали її бізнес-частину від промислової, в якій 
функціонує АСУ ТП. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ЗАГАЛЬНІ ВИСНОВКИ 
 
 
 В результаті дослідження та створення системи кібербезпеки 
промислової корпоративної мережі підпримства було: 
− проаналізувано структуру, топологію та призначення промислової 
мережі підприємства, типові та потенційни загрози в промисловій 
комп‘ютерній мережі підприємства; 
− спроектувано спеціалізовані засоби та системи безпеки 
промислових мереж на організаційному (політики безпеки, інструктажі, 
тести), апаратному (використано апаратний міжмережевий екран), 
комп‘ютерному (налаштування міжмережевого екрану) та фізичному рівнях. 
− спланувано корпоративну комп’ютерну мережу промислового 
підприємства з доменною структурою для покращення продуктивності роботи 
та підвіщення рівня безпеки інформації; 
− встановлено та налаштовано систему управління доступом до 
корпоративної інформації на базі активного каталогу Windows Server 2012 r2 
та контролера домену DС в середовищі Windows Server з відповідною до 
задачі захисту системою доменів бізнес-сегменту корпоративної мережі. 
− на основі активного каталогу організувати захищене корпоративне 
середовища збереження інформації у вигляді масиву дисків RAID-1; 
− створено систему суб'єктів доступу до ресурсів корпоративної 
мережі на основі існуючої політики безпеки. 
− проведено практичну реалізацію та тестування створеної системи 
механізм авторизованого доступу до інформації в КМ, групових політик 
доступу для бізнес-сегменту промислової КМ підприємства з обмеженням 
доступу на оновлення програм, запуску несанкціоновагого ПЗ та заборони на 
встановлення стороннього ПЗ. 
 
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
 
1. Industrial Control System Cyber Emeregency Response Team. 
Homeland Security /US Department of Homeland Security Access via: 
//https://homeport.uscg.mil/Lists/Content/Attachments/1094/ICS-
CERT_140520.pdf 
2. Закон України “Про Державну службу спеціального зв’язку та 
захисту інформації України” / Верховна Рада України. – 2022. Access via: 
https://zakon.rada.gov.ua/laws/show/3475-15#Text 
3. Промышленные сети / Schneider Electric. C.217-249. Access via: 
https://www.electrocentr.com.ua/files/documentation/SE/TechLibrary/SolutionGui
de/9-Fieldbus.pdf 
4. Трегубенко, І. Б. Безпека корпоративних мереж. Служба каталогу 
Active Directory [Електронний ресурс]: навчальний посібник / І. Б. Трегубенко, 
О. В. Коваль; М-во освіти і науки України, Черкас. держ. технол. ун-т. – 
Черкаси: ЧДТУ, 2010. – 319 с. – ISBN 978-966-402-067-8 
5. Stanek, William (2014). Windows Server 2012 R2 Inside Out Volume 
1: Configuration, Storage, & Essentials. Microsoft Press. ISBN 978-0-7356-8267-2. 
6. Stanek, William (2014). Windows Server 2012 R2 Inside Out Volume 
2: Services, Security, & Infrastructure. Microsoft Press. ISBN 978-0-7356-8255-9. 
7. Stephen Hilt, Federico Maggi, Charles Perine, Lord Remorin, Martin 
Rösler, and Rainer Vosseler. Caught in the Act: Running a Realistic Factory 
Honeypot to Capture Real Threats / y Trend Micro, Incorporated/. 2020. Access via: 
https://documents.trendmicro.com/assets/white_papers/wp-caught-in-the-act-
running-a-realistic-factory-honeypot-to-capture-real- threats.pdf 
8. Защита SCADA-систем от угроз. Автоматизированные системы", 
Украина, г.Харьков. – 2020. Access via: http://a-sys.com.ua/helpful/zashhita-
scada-ot-ugroz.html 
9. Интегрированные системы проектирования и управления: 
SCADA-системы: учебное пособие / И. А. Елизаров, А. А. Третьяков, А. Н. 
Пчелинцев и др. – Тамбов : Изд-во ФГБОУ ВПО «ТГТУ», 2015. – 160 с. – 400 
экз. – ISBN 978-5-8265-1469-6. 
10. Installation and Operation of WinCC V7.5 / WinCC V15.1 Professional 
in a Windows Domain WinCC in a Domain / Entry-ID: 78346833, V1.0, 05/2019. 
47 pp. 
https://cache.industry.siemens.com/dl/files/833/78346833/att_981753/v3/7834683
3_wincc_v7_v15_1_Prof_domain_en.pdf 
11. Halsey, Mike. Windows Networking Troubleshooting [electronic 
resource] / by Mike Halsey, Joli Ballew.. 1st ed. 2017. Berkeley, CA : Apress : 
Imprint: Apress, 2017. XVII, 150 p. 107 illus., 101 illus. in color. online resource. 
http://id.loc.gov/vocabulary/relators/aut 
12. The Windows 10 Productivity Handbook [electronic resource] : 
Discover Expert Tips, Tricks, and Hidden Features in Windows 10 / by Mike Halsey. 
1st ed. 2017. Berkeley, CA : Apress : Imprint: Apress, 2017. XIII, 129 p. 91 illus. in 
color. online resource. http://id.loc.gov/vocabulary/relators/au 
13. Patterson, D. A. A Case for Redundant Arrays of Inexpensive Disks 
(RAID) : [арх. 18 сентября 2006] // SIGMOD '88 : Proceedings of the 1988 ACM 
SIGMOD international conference on Management of data : [англ.] / D. A. 
Patterson, G. Gibson, R. H. Katz. — 1988. — June. — P. 109–116. — 
doi:10.1145/50202.50214. 
14. Patterson, D. A. A Case for Redundant Arrays of Inexpensive Disks 
(RAID) : [арх. 18 сентября 2006] // SIGMOD '88 : Proceedings of the 1988 ACM 
SIGMOD international conference on Management of data : [англ.] / D. A. 
Patterson, G. Gibson, R. H. Katz. — 1988. — June. — P. 109–116. — 
doi:10.1145/50202.50214. 
15. Patterson, D. A. A Case for Redundant Arrays of Inexpensive Disks 
(RAID) : [арх. 18 сентября 2006] // SIGMOD '88 : Proceedings of the 1988 ACM 
SIGMOD international conference on Management of data : [англ.] / D. A. 
Patterson, G. Gibson, R. H. Katz. — 1988. — June. — P. 109–116. — 
doi:10.1145/50202.50214.