Обеспечение информационной безопасности – это системный вопрос и программно-аппаратный комплекс ЕГАИС – не исключение. Учитывая, что в текущих условиях рабочее место кассира (а это целый комплекс: касса, универсальный транспортный модуль и т.п.) получает выход в Интернет, очевидно необходим комплекс мероприятий по повышению защищенности каждого элемента этого комплекса.
Рассмотрим один из элементов системы — программную платформу, в составе операционной системы и специализированного программного обеспечения ЕГАИС. В качестве операционной системы используем ориентированную на розницу (иначе говоря – ритейл) Microsoft Windows Embedded POSReady 7 (о которой писали в отдельной статье) в которой активируем встроенные защитные системы.
Описанное далее, для опытных пользователей и администраторов операционных систем и прикладного программного обеспечения наверняка покажется очевидным, однако некоторые практические аспекты использования возможности операционных систем будут интересны и им.
Начнем с очевидного:
— должны быть созданы различные пользователи – условно «User» и «Administrator» — пользователи имеющие принципиально различные права на управление операционной системой. «Administrator» может вносить изменения в перечень прикладного программного обеспечения и настройки системы. «User» — должен взаимодействовать с заранее определенным перечнем программ;
— очень удобно использовать AppLocker – простой и гибкий механизм, позволяющий администраторам системы настраивать список приложений, допущенных к использованию в рамках данного рабочего места;
— даже если вы не инсталлируете антивирусного программного обеспечения – обратите ваше внимание на то, что в операционной системе имеется встроенный «Защитник Windows» который обеспечивает защиту, как минимум, от «троянов»;
— конечно необходимо настроить «Windows Firewall».
С него и начнем.
Windows Firewall
Как и написано в описании этой компоненты – она помогает предотвратить несанкционированный доступ к данному компьютеру. Как бы вы не относились ко встроенной Firewall — ее использование существенно увеличит надежность работы, если ее правильно настроить. Мы предполагаем, что программно-аппаратный комплекс ЕГАИС будет работать не в корпоративной сети, где администраторы уже предприняли ряд мер для предупреждения внешних угроз, а в так называемой «Общественной сети». Поэтому надо внимательно настроить Firewall:
Рис. 1
Видно, что для Общественной сети мы заблокировали все входящие подключения. Кроме того, можно настроить индивидуальные правила для входящих и исходящих соединений. К примеру: известно, что для отправки данных от компьютера до сервера ЕГАИС должен быть открыт исходящий порт ТСР 443. Это легко можно настроить в режиме уточнения:
Рис. 2
Указанные манипуляции можно выполнить и для иных компонент программной части комплекса ЕГАИС или учетной подсистемы заказчика – например для кассового решения.
Теперь расскажем более подробно о специфических возможностях самой операционной системы.
Фильтр диалоговых окон
Часто у пользователя возникает желание запустить приложение, не предназначенное для ежедневной работы. Например, Windows Media Player, RDP и т.д. Одним из способов блокирования возможности использования такого рода приложений позволяет фильтр диалоговых окон. Основная его функция – отключение любых уведомлений, выводящихся на экран работающей системы, но можно его использовать и в другом качестве.
Этот фильтр является дополнительным пакетом и легко инсталлируется в систему при помощи утилиты DISM (примечание: здесь и далее рассматривается один из многих способов использования утилит и встроенных возможностей):
DISM /Online /Add-Package /PackagePath: Е:\DS\winemb-dialog-filter.cab
Причем, это можно сделать прямо на работающей системе (параметр: /Online). Далее запускаем Windows Media и из командной строки запускаем редактор диалоговых окон DialogFilterEditor.exe:
Рис. 3
Находим приложение, например, Windows Media, дважды кликаем на нем и определяем правила действий с этим приложением – «Закрыть»:
Рис. 4
Сохраняем конфигурацию отредактированного фильтра диалоговых окон, закрываем все открытые нами приложения, запуск которых мы блокировали. Добавляем запуск фильтра диалоговых окон в Автозапуск.
Для этого редактируем реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ? мы добавляем DialogFilter.exe в перечень программ, которые запускаются при загрузке для всех пользователей.
Клавиатурный фильтр
Одним из путей защиты от случайных или преднамеренных воздействий пользователя на систему и работающие в ней приложения – является использование встроенного клавиатурного фильтра. Этот фильтр так же является дополнительным пакетом, который надо загрузить в систему. Делается это аналогично загрузке фильтра диалоговых окон, но используется E:\DS\winemb-keyboard-filter.cab. После загрузки, в командной строке, с правами администратора, открываем редактор групповых политик Gpedit.msc.
Далее нам необходимо выйти в секцию Computer Configuration\Administrative Templates\System\Keyboard Filter. Для примера – выбираем секцию Security Keys и в ней блокируем каждое действе пользователя (Рис. 6)
Рис. 5
Рис. 6
Состояние «Включить» – сообщает о том, что данная комбинация клавиш – заблокирована.
Таким образом мы существенно ограничили возможности пользователя для манипулирования системой. Понятно, что блокировки клавиш можно и продолжить.
Обновления безопасности
Стандартное явление — пользователи забывают, что операционная система – развивающийся организм. Обычно, после инсталляции системы, не выполняются работы по обновлению системы. Это серьезная ошибка! Особенно, если дело касается систем типа комплекса ЕГАИС – именно в этом случае надо уделять особое внимание обновлениям, касающимся выявленным уязвимостям операционной системы и приложений.
Обычно этот процесс не выполняют автоматически – только под управлением администратора. Это связано с тем, что обновления могут затронуть функциональность используемого прикладного программного обеспечения. Чтобы исключить такую возможность – можно оставить за собой право ставить только те обновления, которые касаются безопасности (из анализа контекста):
Рис. 7
В рамках данной статьи мы не претендуем на раскрытие всего многообразия подходов к повышению устойчивости и надежности работы программно-аппаратного комплекса ЕГАИС. Однако, приведенные выше рекомендации могут существенно упростить первые шаги в направлении надежно работающей системы. Да и еще – все описанное было выполнено штатными средствами компании Microsoft, входящими в состав операционной системы Microsoft Windows Embedded POSReady 7.
Рассмотрим один из элементов системы — программную платформу, в составе операционной системы и специализированного программного обеспечения ЕГАИС. В качестве операционной системы используем ориентированную на розницу (иначе говоря – ритейл) Microsoft Windows Embedded POSReady 7 (о которой писали в отдельной статье) в которой активируем встроенные защитные системы.
Описанное далее, для опытных пользователей и администраторов операционных систем и прикладного программного обеспечения наверняка покажется очевидным, однако некоторые практические аспекты использования возможности операционных систем будут интересны и им.
Начнем с очевидного:
— должны быть созданы различные пользователи – условно «User» и «Administrator» — пользователи имеющие принципиально различные права на управление операционной системой. «Administrator» может вносить изменения в перечень прикладного программного обеспечения и настройки системы. «User» — должен взаимодействовать с заранее определенным перечнем программ;
— очень удобно использовать AppLocker – простой и гибкий механизм, позволяющий администраторам системы настраивать список приложений, допущенных к использованию в рамках данного рабочего места;
— даже если вы не инсталлируете антивирусного программного обеспечения – обратите ваше внимание на то, что в операционной системе имеется встроенный «Защитник Windows» который обеспечивает защиту, как минимум, от «троянов»;
— конечно необходимо настроить «Windows Firewall».
С него и начнем.
Windows Firewall
Как и написано в описании этой компоненты – она помогает предотвратить несанкционированный доступ к данному компьютеру. Как бы вы не относились ко встроенной Firewall — ее использование существенно увеличит надежность работы, если ее правильно настроить. Мы предполагаем, что программно-аппаратный комплекс ЕГАИС будет работать не в корпоративной сети, где администраторы уже предприняли ряд мер для предупреждения внешних угроз, а в так называемой «Общественной сети». Поэтому надо внимательно настроить Firewall:
Рис. 1
Видно, что для Общественной сети мы заблокировали все входящие подключения. Кроме того, можно настроить индивидуальные правила для входящих и исходящих соединений. К примеру: известно, что для отправки данных от компьютера до сервера ЕГАИС должен быть открыт исходящий порт ТСР 443. Это легко можно настроить в режиме уточнения:
Рис. 2
Указанные манипуляции можно выполнить и для иных компонент программной части комплекса ЕГАИС или учетной подсистемы заказчика – например для кассового решения.
Теперь расскажем более подробно о специфических возможностях самой операционной системы.
Фильтр диалоговых окон
Часто у пользователя возникает желание запустить приложение, не предназначенное для ежедневной работы. Например, Windows Media Player, RDP и т.д. Одним из способов блокирования возможности использования такого рода приложений позволяет фильтр диалоговых окон. Основная его функция – отключение любых уведомлений, выводящихся на экран работающей системы, но можно его использовать и в другом качестве.
Этот фильтр является дополнительным пакетом и легко инсталлируется в систему при помощи утилиты DISM (примечание: здесь и далее рассматривается один из многих способов использования утилит и встроенных возможностей):
DISM /Online /Add-Package /PackagePath: Е:\DS\winemb-dialog-filter.cab
Причем, это можно сделать прямо на работающей системе (параметр: /Online). Далее запускаем Windows Media и из командной строки запускаем редактор диалоговых окон DialogFilterEditor.exe:
Рис. 3
Находим приложение, например, Windows Media, дважды кликаем на нем и определяем правила действий с этим приложением – «Закрыть»:
Рис. 4
Сохраняем конфигурацию отредактированного фильтра диалоговых окон, закрываем все открытые нами приложения, запуск которых мы блокировали. Добавляем запуск фильтра диалоговых окон в Автозапуск.
Для этого редактируем реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ? мы добавляем DialogFilter.exe в перечень программ, которые запускаются при загрузке для всех пользователей.
Клавиатурный фильтр
Одним из путей защиты от случайных или преднамеренных воздействий пользователя на систему и работающие в ней приложения – является использование встроенного клавиатурного фильтра. Этот фильтр так же является дополнительным пакетом, который надо загрузить в систему. Делается это аналогично загрузке фильтра диалоговых окон, но используется E:\DS\winemb-keyboard-filter.cab. После загрузки, в командной строке, с правами администратора, открываем редактор групповых политик Gpedit.msc.
Далее нам необходимо выйти в секцию Computer Configuration\Administrative Templates\System\Keyboard Filter. Для примера – выбираем секцию Security Keys и в ней блокируем каждое действе пользователя (Рис. 6)
Рис. 5
Рис. 6
Состояние «Включить» – сообщает о том, что данная комбинация клавиш – заблокирована.
Таким образом мы существенно ограничили возможности пользователя для манипулирования системой. Понятно, что блокировки клавиш можно и продолжить.
Обновления безопасности
Стандартное явление — пользователи забывают, что операционная система – развивающийся организм. Обычно, после инсталляции системы, не выполняются работы по обновлению системы. Это серьезная ошибка! Особенно, если дело касается систем типа комплекса ЕГАИС – именно в этом случае надо уделять особое внимание обновлениям, касающимся выявленным уязвимостям операционной системы и приложений.
Обычно этот процесс не выполняют автоматически – только под управлением администратора. Это связано с тем, что обновления могут затронуть функциональность используемого прикладного программного обеспечения. Чтобы исключить такую возможность – можно оставить за собой право ставить только те обновления, которые касаются безопасности (из анализа контекста):
Рис. 7
В рамках данной статьи мы не претендуем на раскрытие всего многообразия подходов к повышению устойчивости и надежности работы программно-аппаратного комплекса ЕГАИС. Однако, приведенные выше рекомендации могут существенно упростить первые шаги в направлении надежно работающей системы. Да и еще – все описанное было выполнено штатными средствами компании Microsoft, входящими в состав операционной системы Microsoft Windows Embedded POSReady 7.
yosemity
При чем тут ЕГАИС и зачем запрещать пользователю блокировать POS-терминал?
Quarta
К ЕГАИС это имеет самое непосредственное отношение. Как, используя имеющиеся средства (подчеркиваю — имеющиеся) — существенно увеличить надежность работы терминала. Минимизация времени простоя — это будет главным в обслуживании алкогольной продукции. В статье не предлагается панацея — только соображения здравого смысла и реальный опыт.
По поводу блокировки терминала — а собственно зачем кассиру его блокировать? Админ — да, наверное?! Он на то и уполномочен.
Остальные — делают только то, что необходимо для рабочего процесса. Наверное так.
yosemity
Блокировать терминал иногда нужно за тем же, зачем и запирать денежный ящик.
Quarta
Собственно и не спорю — понятно, что это сделано для исключения доступа посторонних лиц.
Вопрос в другом — и сам пользователь может нанести «нечаянный» вред программной среде разными комбинациями клавиш, если они не заблокированы. Т.е. типично — что-то нажали, что-то «вылезло» — что-то «нажали» — и теперь — "… да всегда все не работает". Вот этого не хочется. Надо оставить «нужные комбинации» — остальные убрать. Это не сложно.
Да и манипуляции персонала — даже с инсталлированными программами — наверное не всегда полезно для бизнеса.