Файл: Лабораторная работа 3 Дискреционный механизм разграничения доступа по дисциплине Информационная безопасность.docx

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра автоматизированных систем управления (АСУ)

Лабораторная работа № 3
«Дискреционный механизм разграничения доступа»

по дисциплине «Информационная безопасность»

выполнена по методическим указаниям Якимука А. Ю., Конева А. А.
«Защита информации»

Вариант № 5

Выполнил студент

направления обучения Номер

ФИО

г. Город Год

Оглавление

1 Выполнение задания

Лабораторная работа будет выполняться при помощи Oracle VM VirtualBox в операционной системе Windows 8.1 Enterprise Evaluation.

Создадим каталоги «Общедоступно» и «Конфиденциально» (рисунок 1.1)




В каждый из каталогов добавим исполняемый файл «wmplayer.exe» и текстовый файл «Лабораторная.txt».

В соответствии с вариантом № 5 разграничим доступ к созданным каталогам и исполняемому файлу, как указанно в таблице 1.1.

Таблица 1.1 – Разграничение доступа субъектов к объектам

Субъекты	Объекты
	Общедоступно	Конфиденциально	Исполняемый файл в «Конфиденциально»
Администратор	Полный доступ	Список содержимого	Выполнение
user	Чтение	Чтение и удаление	Выполнение, запрет удаления
user1	Изменить, кроме удаления	Запись	Нет доступа

Перейдем во вкладку «Безопасность» в «Свойствах» каталога «C:\Лабораторная работа 3\Общедоступно».

---

Добавим в список «Групп или пользователи» пользователей Administrator, user и user1 (рисунок 1.2).





Установим для пользователя Administrator разрешение «Полный доступ» (рисунок 1.3).




Установим для пользователя user разрешение «Чтение» (рисунок 1.4).





Установим для пользователя user1 разрешение «Изменение» (рисунок 1.5).




Чтобы запретить user1 удаление, зайдем в элементы разрешения и уберем соответствующий флажок (рисунок 1.6).




Перейдем во вкладку «Безопасность» в «Свойствах» каталога «C:\Лабораторная работа 3\Конфиденциально». Так же, как было сделано с каталогом «Общедоступно», добавим в список «Группы или пользователи» пользователей Administrator, user и user1.

Установим для пользователя Administrator разрешение «Список содержимого» (рисунок 1.7).




Установим для пользователя user разрешение «Чтение» (рисунок 1.8).




Чтобы разрешить user удаление, зайдем в элементы разрешения и отметим соответствующий флажок (рисунок 1.9).




Установим для пользователя user1 разрешение «Запись» (рисунок 1.10).




Перейдем во вкладку «Безопасность» в «Свойствах» исполняемого файла «wmplayer.exe» из каталога «C:\Лабораторная работа 3\Конфиденциально».

По умолчанию разрешения каталога «Конфиденциально» распространяются и на файл «wmplayer.exe». Чтобы изменить наследованные разрешения, отключим наследование и скопируем текущие разрешения (рисунок 1.11).




Установим для пользователя Administrator разрешение «Чтение и выполнение» (рисунок 1.12).




Установим для пользователя user разрешение «Чтение и выполнение» (рисунок 1.13).

---

Уберем для пользователя особое разрешение на удаление файла, которое скопировалось после его установки для каталога «Конфиденциально» (рисунок 1.14).




Ограничим для пользователя user1 доступ к файлу, запретив все разрешения (рисунок 1.15).




Проверим настройки разрешений для пользователя «Administrator».

Зайдем в систему под пользователем «Administrator».

Данное ему разрешение «Полный доступ» к каталогу «Общедоступно» предоставляет все возможности для работы с каталогом и вложенными файлами, включая изменение разрешений. Для проверки откроем вкладку «Безопасность» у файла «Лабораторная.txt» из каталога «Общедоступно» и изменим права доступа к нему. Предоставим пользователю, созданному в одной из прошлых лабораторных, разрешение на полный доступ к файлу (рисунок 1.16).





Разрешение «Список содержимого» предоставляет возможность пользователю Administrator просмотреть перечень объектов в каталоге «Конфиденциально» (рисунок 1.17).




При этом при попытке скопировать файл система выдаст ошибку (рисунок 1.18).




Текстовый файл данный пользователь открыть не сможет (рисунок 1.19).




Но пользователь сможет запустить исполняемый файл, так как было дано соответствующее разрешение (рисунок 1.20).




Проверим настройки разрешений для пользователя «user».

Зайдем в систему под пользователем «user».

Данное пользователю разрешение «Чтение» предоставляет возможность открывать в каталоге «Общедоступно» все файлы, кроме исполняемых. Попробуем запустить «wmplayer.exe». Система выдаст ошибку (рисунок 1.21).




Текстовый файл открыть возможно, но при попытке изменить и сохранить в нем текст появится сообщение об ошибке (рисунок 1.22).

---

На каталог «Конфиденциально» у пользователя те же разрешения, что и на каталог «Общедоступно», но добавлена возможность удаления. Удалить текстовый файл пользователь может, но для восстановления файла в каталог из «Корзины» потребуются права администратора (рисунок 1.23).




Исполняемый файл при этом удалить будет невозможно (рисунок 1.24), так как на это выставлен соответствующий запрет. Но запустить его, в отличие от аналогичного файла в каталоге «Общедоступно», пользователь может.




Проверим настройку разрешений для пользователя «user1».

Зайдем в систему под пользователем «user1».

Данное ему разрешение «Изменение» к каталогу «Общедоступно» позволяет открывать и создавать (изменять) файлы в данном каталоге.

Проверим возможность открытия исполняемого и текстового файлов и попробуем изменить текстовый файл. Создадим новый текстовый файл «Новый текстовый документ.txt» (рисунок 1.25).




Разрешение «Запись» к каталогу «Конфиденциально» предоставляет возможность добавления файлов в данный каталог без права на доступ к вложенным в него объектам, в том числе на просмотр содержимого каталога. Попытаемся войти в каталог. Появится сообщение об ошибке (рисунок 1.26).




Создадим текстовый файл «user1.txt» и переместим его в каталог «Конфиденциально». Так как проверить, есть ли в каталоге файл, у данного пользователя возможности нет, зайдем в систему под пользователем user. Убедимся, что файл существует (рисунок 1.27).

2 Ответы на контрольные вопросы

1. 
   Охарактеризуйте дискреционную модель управления доступом.
   

Ответ: основная задача механизмов управления доступом состоит в разграничении доступа субъектов (пользователей и запускаемых ими процессов) к защищаемым информационным и техническим ресурсам – объектам.

В дискреционной модели управления доступом для каждой пары «субъект-объект» определяется множество допустимых операций.

---

2. 
   Перечислите стандартные права доступа к файловым объектам, существующие в файловой системе NTFS.
   

Ответ: В файловой системе NTFS стандартными правами доступа к файловым объектам являются шесть разрешений: «Полный доступ», «Изменить», «Чтение и выполнение», «Список содержимого папки», «Чтение», «Запись».

3. 
   Объясните принцип работы разрешения «Запись».
   

Ответ: разрешение «Запись» предоставляет возможность добавления файлов в каталог без права на доступ к вложенным в него объектам, в том числе на просмотр содержимого каталога.

4. 
   Перечислите элементы разрешений.
   

Ответ: каждое стандартное разрешение состоит из нескольких элементов. Элементы приведены в таблице 2.1.

Таблица 2.1 – Элементы разрешений

Разрешение Элемент	Полный доступ	Изменить	Чтение и выполне-ние	Список содержи-мого папки	Чтение	Запись
Полный доступ	+	–	–	–	–	–
Траверс папок / выполнение файлов	+	+	+	+	–	–
Содержание папки / чтение данных	+	+	+	+	+	–

Продолжение таблицы 2.1

Разрешение Элемент	Полный доступ	Изменить	Чтение и выполне-ние	Список содержи-мого папки	Чтение	Запись
Чтение атрибутов	+	+	+	+	+	–
Чтение атрибутов	+	+	+	+	+	–
Чтение дополнительных атрибутов	+	+	+	+	+	–
Создание файлов / запись данных	+	+	–	–	–	+
Создание папок / дозапись данных	+	+	–	–	–	+
Запись атрибутов	+	+	–	–	–	+
Запись дополнительных атрибутов	+	+	–	–	–	+
Удаление подпапок и файлов	+	–	–	–	–	–
Удаление	+	+	–	–	–	–
Чтение разрешений	+	+	+	+	+	–
Смена разрешений	+	–	–	–	–	–
Смена владельца	+	–	–	–	–	–

---