Revizija windows operativnih sistema

Generalno, ne postoji kompletna i adekvatna definicija operativnih sistema. Mnogo je lakše definisati operativne sisteme po onome što oni rade, nego po onome šta oni zapravo jesu. Operativni sistem objedinjuje u celinu raznorodne delove računara i praktično ”sakriva” od krajnjeg korisnika detalje njegovog funkcionisanja. Operativni sistem stvara za korisnika radno okruženje koje rukuje procesima i datotekama, umesto bitovima, bajtovima i blokovima.

Dinamičan razvoj informacionih tehnologija je doveo do toga da u svetu postoji više različitih operativnih sistema. Na našim prostorima su najčešće u primeni različite verzije Windows operativnih sistema. Pored njih, u upotrebi su, mada ređe i razne verzije operativnih sistema kao što su: Linux i Unix, Solaris, IBM AIX i IBM z/OS, Mac OS X koji ekskluzivno radi na Mac računarima. U masovnoj upotrebi su i operativni sistemi za mobilne jedinice kao što su Android zasnovan na Linux-u, Windows Phone, iPhone iOS i drugi.

U mnogim korisničkim pa i menadžerskim strukturama postoji uvreženo mišljenje da je svaki operativni sistem savršeni softverski sistem, koji besprekorno obavlja svoju funkciju. Korisnici ga doživljavaju kao svojevrsnu crnu kutiju, (black box) kojoj ne bi trebalo prilaziti i dirati. Pri tom, u svemu tome je najporaznije to da sami korisnici nisu svesni svoje velike zablude. Nasuprot ovom uvreženom shvatanju, praksa pokazuje da su operativni sistemi jako ”ranjivi” i da je u cilju preventivnog smanjenja rizika, izuzetno bitna uloga internih IT revizora.

Problem sigurnog rada operativnog sistema i mogućeg upravljanja njegovim rizicima je teško kvantitativno proceniti. Međutim, to je moguće uraditi kroz uvođenje matrice rizika, stavljanjem procene rizika bezbednosti informacije kao model ocene rizika po matrici rizika definisanoj od strane stručnjaka. Pri tome je posebno važno za ocenu ovog procesa definisana pravila rada i analitički hijerarhijski proces – AHP (( AHP – Analytic Hierarchy Process, je strukturirana tehnika za organizovanje i analizu složenih odluka. Na osnovu matematike i psihologije, AHP je razvijen od strane Thomas L. Saati tokom 70-tih godina prošlog veka, a intenzivno je proučavan i dopunjen od tada. Model ima posebnu primenu u grupnom donošenju odluka (zajedničko odlučivanje) i koristi se širom sveta u najrazličitijim situacijama odluka, u oblastima kao što su vlade, preduzeća, industrije, zdravstva i obrazovanja. Umesto propisivanje “ispravne” odluke, analitički hijerarhijski proces – AHP pomaže donosiocima odluka da pronađu onu koja najbolje odgovara njihovom cilju i njihovom razumevanju problema. Analitički hijerarhijski proces – AHP pruža sveobuhvatan i racionalan okvir za strukturiranje problema odlučivanja, za zastupanje i kvantifikovanje svojih elemenata, za one elemente koji se odnose na opšte ciljeve, kao i za procenu alternativnih rešenja. Svako želi da zna veličinu i prirodu rizika koji se veže uz donešenja odluke u određenoj situaciji. Analiza rizika se u većini slučajeva zasniva na procenama i verovatnoći )) procene rizika radi postizanja kvantitativne procene za siguran rad sistema za upravljanje rizikom i unapređenje objektivnosti operativnog sistema, kvantitativnom procenom rizika.

Sve ovo ukazuje da se interni IT revizori nalaze pred mnogo različitih verzija operativnih sistema u poslovnim okruženjima. To iziskuje potrebu da interni IT revizori nađu vreme za svoju familijarizaciju sa operativnim sistemima u svakoj poslovnoj organizaciji, jer svaka organizacija predstavlja i zasebnu situaciju. U praksi neće svi koristiti da rade sa svim operativnim sistemima. Međutim, u nekim situacijama postoji host u mrežama poslovne organizacije a da nije podržavan od strane operativnih sistema Microsoft-a (Windows-a). Istovremeno, metodološki pristup IT revizije kod operativnih sistema je isti za sve operativne sisteme, uz određene specifičnosti koje se vezuju za svaki ooperativni sistem. Sigurno da postoje dodatne tehnološke kontrole koje bi trebalo da zaštite operativne sisteme, koje sprečavaju mrežne napade ili propagaciju malicioznih programskih paketa.

Zbog masovnosti primene u našem poslovnom okruženju, pažnju ćemo zadržati samo na Windows operativnom sistemu.

U procesu IT revizije operativnog sistema, komandna linija i raspoloživi softverski alati igraju bitnu ulogu. Komandna linija je funkcija operativnog sistema Windows koja obezbeđuje ulaznu tačku za kucanje MS‑DOS ((MS DOS – Microsoft Disk Operating System )) komandi i drugih komandi na računaru. Najvažnija stvar koju treba znati jeste da kucanjem komandi možete da izvršavate zadatke na računaru bez korišćenja grafičkog interfejsa operativnog sistema Windows. Međutim neke komande koje možete da pokrenete pomoću komandne linije zahtevaju pune ili administratorske privilegije. Važno je ukazati da rad iz komamandne linije neautorizovanih, nestručnih ili malicioznih lica predstavlja izuzetno veliki rizik po ceo informacioni sistem.

Zbirna Microsoftva sredstva softverske opreme u Windows okruženju sadrže više od 120 različitih alata za: administriranje sistema, potencijalni “lov na probleme“, upravljanje aktivnim direktorijumima, konfigurisanjem bezbedonosnih delova i još mnogo toga.

Windows Sysinternals (( Windows Sysinternals – je deo web sajta koji nudi tehničke resurse i uslužne programe (utilities) za upravljanje, dijagnostikovanje, rešavanje problema, i nadgleda okruženje Microsoft Windows )) predstavlja besplatan Microsoft repozitorijum za uslužne alate koji brzo sekciraju unutrašnji rad operativnog sistema i proizvode značajne rezultate. To je suštinski važno za pomoć administratorima u upravljanju serverima. Neke poslovne organizacije donose odluke da uključe neke od PS – alata (ps-tools) kao deo standardne izgradnje za servere i klijente. Interni IT revizori bi trebalo da pažljivo razmisle o tim odlukama zato što to nije podesno za sve situacije. Na primer, u praksi DMZ ((DMZ – De-Militarised Zone, demilitarizovabna zona, DMZ Ethernet konekcija mreža i kompjutera kontrolisana od strane različitih tela.  Izvor rečnik Foldoc )) server i drugi host računari bi trebalo da se liše svega što nije neophodno za rad.

Za revizorske svrhe, interni IT revizori uvek mogu da “napune” alate koji su im potrebni u folder na serveru i da otvore comand prompt ((comand prompt – u računarstvu, karakter u komandnoj liniji interfejsa koji ukazuje da je kompjuter spreman da prihvati ukucani ulaz, izvor Wikipedia )) i pristupe ka tom da folderu da bi izvršavali memorisane alate iz komandne linije.

Pored toga postoji mnogo drugih raspoloživih alata. Neki od njih su besplatni alati kao što je Windows forenzičarska kutija alata WFT ((WFT – Windows Forensic Toolchest – Windows forenzičarska kutija alata )), koju je napisao Monty McDougal ((Monti McDougal je radio na polju bezbednosti računara tokom poslednjih 12 godina. Pre toga je proveo 5 godina rada na poslovima  vezanim za kompjutersku delatnost gde je obavljao poslove u rasponu od programiranja do administracije sistema )). Ovi alati služe kao svojevrstan nosač za puštanje alata iz komandne linije. Oni su tekući deo SANS ((SANS – SysAdmin, Audit, Networking, and Security, administriranje sistemom, revizija, umrežavanje i bezbednost )) forenzičarskog praćenja.

Izvršavanje procesa IT revizije operativnog sistema Windows

Ključ za uspešnu reviziju Windows servera ili klijenata se zasniva na temeljnom pregledu samog hosta i u konjukciji sa mnogim drugim mogućim konekcijama koje propuštaju podatke u i od posmatranog hosta.

Sledeći revizorski koraci fokusiraju se samo na host i ne pokrivaju ekstenzivno razmatranje previše aplikacija ili poverljivih relacijskih odnosa sa spoljašnim sistemima. Takođe se, u ovom koraku interne IT revizije, ne pokrivaju metode ulaza podataka i izlaza podataka i njihova ispravnost. Koraci opisani ovde su tipični za mnoge revizije servera i reprezentuju dobru razmenu između mnoštva pokrivenih rizika i količine potrebnog vremena da bi se razmatrao neki host.

U praksi postoje mnoge liste provere interne IT revizije Windows operativnog sistema a u ovom izlaganju ukazujemo samo na neka od pitanja i postupaka provere. U sklopu toga, interni IT revizori bi između ostalog trebalo da obuhvate sledeće:

• Potrebno je prikupiti sistemske informacije i verzije servisnih paketa i uporediti ih sa zahtevanim poltikama bezbednosti.
• Odrediti da li server izvodi firewall nabavljen od strane poslovne organizacije.
• Odrediti da li se na serveru izvodi anti virus program koji je nabavljen od strane poslovne organizacije.
• Potrebno je osigurati da su sve odobrene programske zakrpe (patchs) u okviru poslovne organizacije instalirane prema politici upravljanja serverom.
• Potrebno je razmotriti i potvrditi informacije kod startup sistema (informacije kod podizanja sistema).
• Potrebno je odrediti koji su servisi omogućeni na sistemu i proverite njihovu neophodnost sa sistem administratorom. Za neophodne servise razmotrite i ocenite procedure za procenu pripadajuće ranjivosti i za te servise je potrebno obezbediti redovno održavajnje njihovih programskih zakrpa (patchs).
• Osigurajte da su u okviru poslovne organizacije instalirane na sistemu samo odobrene aplikacije, prema poltici poslovne organizacije za upravljanje serverom.
  Osigurajte da se na sistemu izvršavaju samo planirani odobreni zadaci.
• Potrebno je razmotriti i oceniti procedure za kreiranje korisničkih naloga, odnosno prijava i osigurati da su nalozi, odnosno prijave kreirani samo kada postoji legitimna poslovna potreba. Takođe je potrebno razmotriti i oceniti procese za osiguravanje da su nalozi – prijave ukinuti ili onesposobljeni na blagovremeni način u slučaju prekida ili promene posla (zaposlenja).
• Potrebno je razmotriti i oceniti korišćernje grupih naloga, odnosno prijava pristupa i odrediti krajnju restriktivnost njihovog koriščenja.
• Razmotriti i oceniti strogost, odnosno snagu sistema lozinki.
• Potrebno je razmotriti i oceniti korišćenje određenih kontrola koje su vezane za lozinke na serveru, takve kao što su dužina, trajanje – zastarevanje, složenost, istoriju i politiku zaključavanja – blokada lozinki.
• Razmotriti i oceniti korišćenje korisničkih prava i bezbedonosnih opcija pridodatih elementima u podešavanju politike bezbednosti.
• Razmotriti i oceniti korišćenje i potrebu udaljenog pristupa uključujući i RAS ((RAS – Remote Access Services, usluge udaljenog pristupa )) konekciju FTP ((FTP – File Transfer Protocol, protokol za prenos datoteka ​​je najčešće korišćeni protokol za prenos podataka između dva računara na mreži )), Telnet ((Telnet – je mrežni protokol unutar grupe Internet protokola. Namena ovog protokola je uspostavljanje dvosmernog osmobitnog komunikacionog kanala između dva umrežena računara )), SSH ((SSH – Secure Shell, mrežni protokol koji korisnicima omogućava uspostavljanje sigurnog komunikacionog kanala između dva računara putem nesigurne računarske mreže )), VPN ((VPN – Virtual Private Network, virtuelna privatna mreža )) i druge metode.
• Potrebno je osigurati da je prisutna i prikazana poruka na baneru koja upozorava o zakonskim posledicama kada se vrši neovlašćeno konektovanje na system.
• Proveriti i oceniti korišćenje zajedničkih naloga na hostu.
• Osigurati da je na serveru omogućen postupak revizije prema politici ili praksi poslovne organizacije.
• Razmotriti i oceniti procedure sistem administratora za nadzor (monitoring) stanja bezbednosti na sistemu.

U daljem izlaganju izložićemo nastavak oblasti i postupke u kojima deluje interna IT revizija.

• Middleware i  revizija baze podataka
• Revizija aplikacija
• Revizija kompanijskih projekata
• Okvir i standardi
• Forenzičko računovodstvo
• Forenzička IT revizija