ОКБ САПР ПСКЗИ "ШИПКА"Зачем и от кого защищать вход в операционную систему?
  windows 7 Review bit-info.com on alexa.com

Зачем и от кого защищать вход в операционную систему?


В этом разделе:

Зачем и от кого защищать вход в операционную систему?

Этим вопросом сегодня уже никто не задается. Понимание разницы между своим и чужим приходит к человеку, говорят, года в три. И довольно быстро после осознания этой разницы человек начинает относиться к своему - очень бережно (<а вот он взял МОЁ ведерко!>), а к чужому - с плохо скрываемым интересом (не стоит приводить примеры). Поэтому агитировать за использование простых методов аутентификации при входе в ОС (когда при загрузке необходимо ввести логин и пароль) - никого особенно не надо: действия не сложные, а ощущение защищенности дают.

Стоит ли доверять этому ощущению?

Это вопрос менее однозначный.

Если программа идентификации/аутентификации работает в ОС, то запускается она тогда, когда ОС полностью загружена на компьютер, просто еще не <предъявлена> пользователю. Программа запрашивает Ваш идентификатор (login) и пароль (password). Вы вводите требуемые контрольные данные, они проверяются программой, и если все хорошо - загружается Ваш профиль. Обеспечивают ли описанные процедуры сколь-нибудь надежную защиту? Скорее всего - нет. Чтобы в этом убедиться, рассмотрим другой вероятный ход событий.

Программа запрашивает Ваш идентификатор (login) и пароль (password). Вы вводите требуемые контрольные данные, и в этот момент программа <зависает>. Вероятный это ход событий? Конечно, да, с каждым из нас такое случалось многократно. Какими будут Ваши действия? Нет никаких сомнений, что в этом случае Вы перезагрузитесь и вновь введете идентификатор и пароль. Скорее всего, проверка завершится успешно, вы получите разрешение на работу. И только по прошествии значительного времени Вы поймете, что сбой компьютера в первый раз был не случаен. Оказывается, тогда, много дней тому назад, Ваши логин и пароль запрашивала программа-перехватчик, которая сымитировала запрос пароля, получила его, и потом <подвесила> Ваш компьютер, имитируя случайный сбой. Таким образом, Ваш пароль уже давно попал в руки злоумышленника, и все последнее время Ваш компьютер находился под его контролем. <Приятная> ситуация, не правда ли?

Как Вы думаете, сложно написать такую программу-перехватчик? Конечно, нет. Это задача для студента второго курса. Значит, Ваш компьютер только выглядит защищенным, имитация контрольных процедур только зря успокаивает Вас, не являясь средством защиты, и, по сути, помогает злоумышленнику.

Радикальное средство от атаки такого рода - это обеспечение режима доверенной загрузки ОС. Это такой режим, при котором средства контроля стартуют ДО операционной системы и из независимого от ПК и недоступного для модификаций устройства. Но такие средства защиты довольно дороги и не во всех случаях их применение адекватно рискам.

Если цена вопроса не так высока, но защитить свой профиль от проникновений все же хотелось бы, можно, не устанавливая Аппаратного модуля доверенной загрузки, защитить вход в ОС с помощью ПСКЗИ ШИПКА. Выглядеть такой вход будет очень просто - вместо стандартного окошка ввода логина и пароля Вам будет предлагаться подключить ШИПКУ и ввести ее PIN-код.

То есть ненадежную аутентификацию в ОС, в которую можно встроить программу-перехватчик, заменяет аутентификация непосредственно в ШИПКЕ, которая производится в ее недоступном для модификаций процессоре, а уже ШИПКА передает в систему логин и пароль пользователя, которые зарегистрированы в его учетной записи.

Такая схема защиты входа в ОС не заменяет доверенной загрузки, однако она является несомненно более защищенной, чем вход по логину и паролю.

Чтобы входить в систему таким образом, сначала нужно запустить программу <Настройка защищенного входа в ОС> и произвести ряд несложных процедур.

Итак, на экран выводится окно программы. По умолчанию открыта вкладка <Регистрация пользователей>.

 

Перед началом работы нужно выбрать конкретное устройство ШИПКА с помощью кнопки в правом углу панели задач. После выбора устройства может появиться сообщение следующего содержания <Создать новую базу данных?>. Это означает, что в устройстве ШИПКА не создан файл для записи сведений о пользователях и компьютерах, на которых выполняется авторизация.

В этом случае необходимо базу создать и после этого зарегистрировать пользователя (или пользователей, если, например, у Вас на этом компьютере несколько профилей, а не один).

В меню выбираете кнопку <Зарегистрировать пользователя в ПСКЗИ ШИПКА> (на панели задач вторая слева кнопка с изображением ПК и знаком плюс). На экран выводится окно, в котором можно выбрать имя пользователя, который уже зарегистрирован в базе пользователей ОС и ввести его пароль.

В программе настройки защищенного входа в ОС предусмотрена возможность регистрации в одном устройстве ШИПКА нескольких учетных записей <имя пользователя - имя компьютера>. Это отнюдь не значит, что в Вашем ПСКЗИШИПКА должен быть зарегистрирован кто-то кроме Вас.

Но если Вы - пользователь нескольких компьютеров, то на каждом из этих компьютеров Вы можете настроить защищенный вход в систему по своей ШИПКЕ. При этом не нужно будет запоминать разные пароли и логины. ШИПКА сама разберется, к какому компьютеру ее подключили, и какие у Вас аутентификационные данные в учетной записи на этом компьютере.

Для активизации подсистемы защищенного входа во вкладке <Установка входа в ОС> выбираем кнопку <Установка>.

 

Выполнение процедуры установки завершается сообщением <Система успешно установлена>, и после  этого становится активной кнопка <Настройка>.

Здесь можно установить, что должно произойти с ОС при отключении ШИПКИ во время работы.

Можно, например, заблокировать экран и клавиатуру, чтобы вернуться в рабочий режим было возможно только после подключения ШИПКИ и ввода PIN-кода. Или можно полностью выключить компьютер через заданный интервал времени после отключения ШИПКИ.

После установки и настройки системы защиты нужно перезагрузить компьютер, и при загрузке ОС уже потребуется подключить устройство ШИПКА и ввести PIN-код.

Хорошо понятно, в чем преимущества такого метода защиты входа в ОС перед штатной идентификацией/аутентификацией, встроенной в Windows по умолчанию. Во-первых, это так называемый <второй фактор аутентификации>, то есть когда от пользователя требуется предъявление чего-то еще, кроме знания пароля. Как правило это <что-то еще> - какой-то предмет (аналогично распиленному надвое амулету). Систем, предлагающих двухфакторную аутентификацию сегодня очень много и они закономерно популярны. Но это не единственное преимущество применения для входа в систему ШИПКИ. Ведь пароль в такой системе, по сути, предъявляет вообще не пользователь, а ШИПКА, и только после того, как пользователь надежно (то есть аппаратно!) был аутентифицирован ее процессором. Встроить программу-перехватчик в ШИПКУ - невозможно.

Работа с этой функцией ПСКЗИ ШИПКА достаточно проста и понятна, однако ее настройка требует учета большого количества нюансов, поэтому прежде чем использовать эту программу, необходимо обязательно прочитать соответствующий раздел Руководства Пользователя, а не полагаться на интуитивно понятный интерфейс!