Управление доступом к дискам, каталогам и файлам

Кафедра: Информационные Технологии

Лабораторная Работа

На тему: Управление доступом к дискам, каталогам и файлам

Москва, 2008 год

1. Общие сведения

Система Secret Net включает в свой состав средства, позволяющие организовать полномочное управление доступом пользователей к ресурсам файловой системы компьютера.

При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных и подключенных сетевых дисках компьютера, назначается категория конфиденциальности. Категории конфиденциальности соответствует уровень доступа к конфиденциальной информации, устанавливаемый для пользователей компьютера.

Включение и настройка режима полномочного управления доступом осуществляется в окне управления общими параметрами системы защиты.

Для настройки режима необходимо:

Вызвать на экран окно управления общими параметрами.

Активизировать диалог «Режимы»:

Рис. 21. Диалог «Режимы» (настройка общих параметров)

Поставить отметку в поле «Полномочное управление доступом». При установке отметки поля выключателей, с помощью которых осуществляется дополнительная настройка режима, становятся доступными для изменений.

Установить отметку в поле «Контроль потоков данных», чтобы разрешить системе защиты контролировать потоки данных приложений, работающих с конфиденциальной информацией.

Если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое, поставить отметку в поле «Контроль буфера обмена».

Установить отметку в поле «Контроль печати» для включения режима, обеспечивающего:

печать конфиденциальных документов только средствами редактора MS Word (версии 8.0 и выше) или редактора SnetWPad, входящего в комплект поставки системы Secret Net;

Для изменения шаблона грифа конфиденциальности, нажать кнопку «Гриф». На экране появится окно редактора MS Word, в котором будет открыт специальный файл шаблона грифа конфиденциальности с именем STAMP.RTF, содержащийся в каталоге C:\-SNET-.

Нажать кнопку «ОК» в окне управления общими параметрами.

Для каждого пользователя компьютера необходимо установить некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Кроме того, в связи с тем, что присваивать дискам и каталогам категорию конфиденциальности может только администратор безопасности компьютера или пользователь, который обладает соответствующей привилегией на администрирование системы защиты, необходимо предоставить пользователям, которые будут управлять доступом других пользователей к конфиденциальным данным, необходимые привилегии.

Для определения уровня допуска пользователя необходимо:

Вызвать на экран окно управления свойствами пользователя.

Нажать кнопку в поле «Уровень допуска» и выбрать из открывшегося списка одно из трех возможных значений, соответствующих трем категориям конфиденциальности информации.

Активизировать диалог «Запреты».

Если требуется запретить выводить (копировать) конфиденциальную информацию на дискеты, поставить отметку в поле «Запрет вывода конфиденциальной информации на дискеты».

Нажать кнопку «ОК».

Для предоставления привилегии пользователю:

Вызвать на экран окно управления свойствами пользователя.

Активизировать диалог «Привилегии».

В группе «Привилегии на администрирование системы» открыть группу привилегий «Категории конфиденциальности ресурсов».

Предоставить пользователю необходимую привилегию.

Нажать кнопку «ОК».

Управление категориями конфиденциальности локальных и сетевых дисков, а также каталогов, расположенных на этих дисках, осуществляется с помощью программы «Проводник».

При включении режима полномочного управления доступом:

в диалоге управления атрибутами Secret Net локальных дисков, каталогов и файлов становится доступной группа «Категория конфиденциальности»;

в контекстном меню подключенных сетевых дисков, а также каталогов и файлов, расположенных на этих дисках, становится доступной команда «Secret Net», вызывающая диалог, с помощью которого осуществляется управление категориями конфиденциальности сетевых ресурсов.

Категория конфиденциальности может быть присвоена каталогу даже в том случае, если у него отсутствует владелец.

При включенном режиме полномочного управления доступом запрещается присваивать категорию конфиденциальности каталогу C:\-SNET-, а также системному диску и системным каталогам ОС Windows (WINDOWS, SYSTEM).

Для присвоения ресурсу категории конфиденциальности необходимо:

В окне программы Проводник вызвать контекстное меню для ярлыка диска или каталога и активизировать в нем команду «Secret Net».

Устанавливаемая для ресурса категория конфиденциальности присваивается как самому диску или каталогу, так и содержащимся в нем каталогам и файлам.

Выбрать категорию конфиденциальности диска или каталога.

Нажать кнопку «ОК».

Запрещается присваивать категорию конфиденциальности системным дискам и системным каталогам ОС Windows (WINDOWS, SYSTEM).

Тип доступа к ресурсу определяется установленными для ресурса атрибутами. Атрибуты Secret Net присваиваются файлам, каталогам и логическим дискам:

Автоматически системой Secret Net при ее установке на компьютер.

Автоматически системой Secret Net при создании пользователем файла или каталога (атрибуты, назначенные пользователю по умолчанию).

Администратором (привилегированным пользователем) в программе Проводник или с помощью специальной программы IMAGE32.

Правила владения ресурсами:

Ресурс, для которого не определены атрибуты владения, считается «общим». Любой зарегистрированный пользователь компьютера может осуществлять с «общим» ресурсом любые действия, кроме присваивания ему атрибутов владения и управления доступом - право на выполнение этого действия определяется привилегиями на администрирование системы защиты.

При создании нового ресурса (каталога или файла), ему автоматически присваиваются атрибуты владения и доступа, назначенные по умолчанию пользователю, создавшему ресурс.

Возможность изменения атрибутов владения, присвоенных ресурсам, ограничена и определяется привилегиями на администрирование системы защиты, предоставленными данному пользователю.

Правила управления доступом к ресурсам:

Система не отображает имя ресурса, если у текущего пользователя отсутствует право доступа к этому ресурсу (установлены права «Нет доступа»). Это правило не распространяется на пользователей, обладающих соответствующими привилегиями на работу с системой.

Если права доступа пользователя к ресурсу не позволяют ему выполнить некоторую операцию с ресурсом, система Secret Net блокирует выполнение этой операции. При этом в журнале безопасности регистрируется соответствующее событие НСД. Это правило не действует, если установлен «мягкий режим» работы с атрибутами, или в том случае, когда пользователю предоставлены соответствующие привилегии на работу с системой.

При создании нового ресурса (каталога или файла), ему автоматически присваиваются атрибуты владения и доступа, назначенные по умолчанию пользователю, создавшему ресурс.

Возможность изменения атрибутов доступа, присвоенных ресурсам, ограничена и определяется привилегиями на администрирование системы защиты, предоставленными данному пользователю.

Правила наследования атрибутов доступа:

Атрибуты управления доступом к диску распространяются на все каталоги, под каталоги и файлы, находящиеся на данном диске.

Атрибуты управления доступом к каталогу распространяются на все файлы и подкаталоги, а также на все файлы подкаталогов, входящие в состав данного каталога.

В части ограничения прав доступа приоритет атрибутов доступа к диску выше, чем приоритет атрибутов доступа к каталогам и файлам данного диска, а приоритет атрибутов доступа к каталогу выше приоритета атрибутов доступа к его файлам и подкаталогам.

В части расширения прав доступа приоритет атрибутов доступа к диску или каталогу считается ниже, чем приоритет атрибутов подкаталогов и файлов этого диска или каталога.

Привилегии на работу с системой имеют наивысший приоритет при определении эффективных прав доступа пользователя к ресурсу и отменяют соответствующие ограничения доступа, заданные атрибутами доступа и владения.

2. Настройка индивидуальных параметров

Индивидуальные параметры механизма избирательного управления доступом настраиваются для каждого пользователя компьютера. Средствами локального администрирования могут быть настроены следующие параметры:

определены атрибуты по умолчанию, которые будут автоматически устанавливаться на создаваемые пользователем каталоги и файлы;

настроен режим контроля атрибутов.

Настройка индивидуальных параметров осуществляется в окне управления свойствами пользователя.

2.1 Определение атрибутов по умолчанию для пользователя

При создании нового ресурса (каталога или файла), ему могут быть автоматически присвоены атрибуты владения и доступа, назначенные по умолчанию пользователю, создавшему ресурс.

Для определения атрибутов по умолчанию необходимо:

Вызвать на экран окно управления свойствами пользователя.

Активизировать диалог «Режимы».

Вызвать на экран диалог определения атрибутов:

Установить отметку в поле «Установка атрибутов по умолчанию» - если атрибуты пользователю еще не назначались.

Нажать кнопку «Назначить».

Выбрать название группы ресурсов в перечне.

Активизировать с помощью мыши список расширений файлов, и отредактировать его, добавив новые расширения файлов или удалив существующие.

Рис. 22. Определение атрибутов по умолчанию для пользователя

Редактирование списка расширений осуществляется стандартными операциями редактирования текста. Одно расширение отделяется от другого символом `;' («точка с запятой»).

Определить атрибуты по умолчанию для ресурсов выбранной группы в поле «Владелец». Для этого нажать кнопку и выбрать одно из следующих значений:

Supervisor - владельцем создаваемых ресурсов станет администратор безопасности компьютера;

(админ.) - владельцем ресурсов станет пользователь - администратор безопасности данного компьютера по умолчанию;

(текущий) - владельцем ресурсов станет данный пользователь;

(нет) - ресурс становится «общим», не принадлежащим никому конкретно.

Определить права доступа владельца к ресурсу в полях «Чтение», «Запись» и «Выполнение».

Определить атрибуты по умолчанию в поле «Группа»:

Определить группу пользователей-владельцев всех ресурсов, создаваемых пользователем и относящихся к данной группе ресурсов. Для этого нажать кнопку и выбрать название группы пользователей из открывшегося списка.

Определить права доступа всех пользователей, входящих в состав группы, установив отметки в соответствующих полях выключателей.

Определить атрибуты доступа к ресурсам, создаваемым пользователем и относящимся к данной группе ресурсов, для всех остальных пользователей компьютера. Для определения прав доступа этих пользователей необходимо установить отметки в соответствующих полях выключателей в группе «Остальные».

Не все комбинации значений атрибутов являются допустимыми. Нельзя установить следующие комбинации: «Запись без чтения», «Выполнение без чтения» и «Выполнение и запись без чтения».

Нажать кнопку «OК».

Нажать кнопку «ОК» в окне управления свойствами пользователя.

2.2 Настройка режима контроля атрибутов

Механизм избирательного управления доступом к ресурсам может функционировать в одном из двух режимов работы: «мягком» или «жестком». При установленном «мягком» режиме контроля атрибутов пользователю будет запрещено выполнять действия над ресурсами, если эти ресурсы недоступны ему на чтение. Пользователю разрешается выполнять действия, запрещенные атрибутами доступа к ресурсам, но при этом соответствующие события НСД будут регистрироваться в журнале безопасности. При «жестком» (основном) режиме работы пользователю запрещается выполнять над ресурсом действия, превышающие его права доступа к ресурсу.

Страницы: 1, 2, 3