Куда я попал?
Цель: предотвращение несанкционированного доступа к программным и техническим ресурсам средства вычислительной техники (СВТ) на этапе его включения и загрузки операционной системы.
Основная задача — исключить запуск нештатных ОС, загрузку с внешних носителей, а также внедрение вредоносного ПО (например, буткитов) до старта основной системы. Это обеспечивает защиту от атак, связанных с физическим доступом к устройству или попытками обойти стандартные средства защиты
Доверенная загрузка может реализовываться на разных уровнях:
Основная задача — исключить запуск нештатных ОС, загрузку с внешних носителей, а также внедрение вредоносного ПО (например, буткитов) до старта основной системы. Это обеспечивает защиту от атак, связанных с физическим доступом к устройству или попытками обойти стандартные средства защиты
Доверенная загрузка может реализовываться на разных уровнях:
- BIOS/UEFI - контроль порядка загрузки, запрет загрузки с внешних носителей, установка пароля на BIOS/UEFI. Настройка производится в оболочке BIOS/UEFI, Secure Boot.
- Аппаратный модуль (АПМДЗ, TPM) - обеспечивают контроль целостности и аутентификации до загрузки ОС. Являются наложенными средствами защиты, встраиваемые на аппаратном уровне.
- Загрузочная запись - обеспечивает контроль целостности MBR, шифрование загрузочного сектора.
- Программный уровень - осуществляет проверку целостности системных файлов, журналирование действий.
Основные этапы доверенной загрузки:
- Инициализация оборудования (BIOS/UEFI).
- Передача управления модулю доверенной загрузки (СДЗ/АПМДЗ).
- Проверка целостности аппаратных и программных компонентов.
- Аутентификация пользователя (пароль, токен, смарт-карта).
- Контроль цепочки загрузки ОС.
- Передача управления загрузчику ОС только при успешном прохождении всех проверок.
Мера также возможна к применению, если в составе системы защиты функционируют "наложенные" средства защиты информации (СЗИ), обеспечивающие доверенную загрузку.
Примеры решений (СДЗ/АПМДЗ):
Примеры решений (СДЗ/АПМДЗ):
- ПАК «Соболь»
- Аккорд-АМДЗ
- ViPNet SafeBoot
- АПМДЗ КРИПТОН-ЗАМОК
- Aladdin Trusted Security Module
Альтернативные защитные меры:
- TPM (Trusted Platform Module) - используется для хранения ключей шифрования, проверки целостности UEFI и загрузчика.
- В Windows — обязательна для Secure Boot и BitLocker.
- В Linux — поддержка через LUKS и Trusted Keys.
- BIOS/UEFI - включение Secure Boot.
- Запрет загрузки с USB/CD/DVD/Network.
- Установка пароля на изменение настроек BIOS/UEFI.
- Шифрование дисков:
- BitLocker (Windows) с использованием TPM+PIN.
- LUKS (Linux) с интеграцией TPM.
Рекомендации к заполнению карточки:
- Используемое СЗИ добавить в Модуль активов в реестр средств защиты информации;
- Указать используемое СЗИ в качестве инструмента к мере;
Область действия: Вся организация
Классификация
Тип
Техническая
?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.