Файл: Защиты информации.pdf

21 сумма, хранимая в базе данных СЗИ НСД. При нажатии «Пересчитать» – рас- четная;
Сменные накопители – позволяет управлять дескрипторами на сменных накопителях (права доступа, аудит и контроль целостности для сменных нако- пителей выделены в отдельную категорию);
Глобальные – содержит фиксированный список мета-объектов ФС, для которых устанавливаются права дискреционного доступа и аудит;
Описание для сменных накопителей – описание задаётся для удобства ад- министрирования.
Доступ к устройствам:
Устройства – позволяет просматривать проводник устройств и классов устройств в виде дерева объектов и управлять разграничением доступа.
Вкладка «Журналы» служит для работы с журналами: просмотра, сор- тировки, фильтрации, группировки, архивации, экспорта записей. Вкладка
«Журналы» содержит следующие категории:
«Журнал входов» – просмотр событий, связанных с загрузкой ПК и вхо- дом в ОС;
«Журнал управления учетными записями» – просмотр событий учета дей- ствий по изменению учетных записей пользователей;
«Журнал ресурсов» – просмотр событий доступа к объектам и событий очистки остаточной информации;
«Журнал печати» – просмотр событий, связанных с распечаткой доку- ментов;
«Журнал управления политиками» – просмотр всех событий по настройке параметров системы защиты, событий по запуску/завершению работы системы
«защиты и событий запуска модулей администрирования;
«Журнал процессов» – просмотр событий запуска и завершения процес- сов;
«Журнал из файла» – открытие и просмотр архивированных журналов.
Для удобства настройки параметры безопасности в оболочке администра- тора имеют всплывающие подсказки с кратким описанием функционала.
После установки системы защиты Dallas Lock на панели задач операци- онной системы у всех пользователей защищенного компьютера присутствует значок блокировки компьютера «BlockIcon».

22
Двойной щелчок по значку мышкой позволит пользователю временно за- блокировать компьютер. Разблокировка может быть произведена только поль- зователем, заблокировавшим компьютер.
В системе защиты Dallas Lock 8.0 полномочия на эксплуатацию и адми- нистрирование системы защиты определяются статусом пользователя.
В зависимости от предоставленных полномочий, каждый пользователь может быть отнесен к одной из трех категорий:
Администратор безопасности (администратор) – пользователь, наделен- ный всеми полномочиями на администрирование системы защиты.
Привилегированный пользователь – наделенный некоторыми полномо- чиями на администрирование системы защиты.
Рядовой пользователь – не имеющий полномочий на администрирование системы защиты, но в соответствии с политиками безопасности имеющий воз- можность выполнения некоторых операций (осуществление входа/выхода, пре- образования объектов ФС и прочие).
Отдельно выделяется учетная запись пользователя, выполнившего уста- новку системы Dallas Lock. Этот пользователь условно называется суперадми- нистратором, имеет неограниченные административные права и возможности в настройке системы.
Суперадминистратор регистрирует в системе защиты других пользовате- лей. При этом он может делегировать зарегистрированному пользователю все или часть своих полномочий на администрирование.
Полномочия администратора по управлению работой системы защиты могут быть следующими:
1) управление регистрацией субъектов доступа:
 создание, регистрация и удаление учетных записей,
 создание и управление составом групп пользователей,
 управление списком сессий-исключений;
2) изменение свойств пользователей:
 первичные учетные данные (логин, имя, описание),
 параметры загрузки,
 назначение аппаратного идентификатора,
 порядок изменения пароля;

23 3) управление аудитом (доступом к журналам, к теневым копиям распеча- тываемых документов, к теневым копиям файлов);
4) управление параметрами безопасности;
5) управление работой пользователей (изменение его прав);
6) управление ресурсами дискреционного, мандатного доступов и кон- тролем целостности;
7) удаление системы защиты.
Дискреционный доступ основывается на предоставлении пользователю прав на определенные операции с объектами файловой системы.
После предоставления полномочий на управление дискреционным досту- пом пользователю или группе, они получают возможность каждому ресурсу файловой системы сопоставить список пользователей и/или групп пользовате- лей и каждому пользователю из списка разрешить или запретить определенную операцию с данным ресурсом, а также назначить описание для сменного нако- пителя.
Подсистема обеспечения целостности позволяет контролировать целост- ность программно-аппаратной среды компьютера, целостность объектов фай- ловой системы и реестра, а также восстанавливать файлы и ветки реестры в случае обнаружения нарушенной целостности.
Основу механизмов контроля целостности представляет проверка соот- ветствия контролируемого объекта эталонному образцу. Для этого используют- ся контрольные суммы.
Процедура контроля целостности осуществляется следующим образом: после назначения дескриптора целостности при следующей проверке проверя- ется, было ли уже вычислено эталонное значение контрольной суммы парамет- ра. Если оно еще не было вычислено, оно вычисляется и сохраняется. Если же оно уже было вычислено, то оно сравнивается с вычисляемым текущим значе- нием контрольной суммы контролируемого параметра. Если хотя бы для одно- го из проверяемых параметров текущее значение параметра не совпало с эта- лонным значением, результат проверки считается отрицательным, а целост- ность контролируемых объектов – нарушенной. Проверка целостности по умолчанию осуществляется при загрузке компьютера, при доступе к объекту и при проверке по команде администратора. Дополнительно можно задать про- верку целостности по расписанию и по времени.

24
Дескриптор – это символический идентификатор назначенного для объ- екта файловой системы (или устройства) правила доступа.
Глобальные параметры доступа к объектам файловой системы называют
«глобальными дескрипторами», тогда как совокупность всех параметров безо- пасности (дискреционный и мандатный доступ, аудит, контроль целостности), назначенных на какой-либо объект файловой системы, называют дескриптором этого объекта.
Соответственно, операция назначения каких-либо параметров безопасно- сти на объект файловой системы (или устройства) называется «создать деск- риптор», «назначить дескриптор» или даже «повесить дескриптор».
Дескрипторы объектов в свою очередь делятся на дескрипторы дискреци- онного доступа, дескрипторы мандатного доступа, дескрипторы аудита, деск- рипторы контроля целостности. Дескриптор дискреционного доступа, это деск- риптор, содержащий только параметры дискреционного доступа, дескриптор аудита, это дескриптор, содержащий только параметры аудита и т. д.
Точно так же дескрипторы делятся на локальные дескрипторы (назначен- ные локальным объектам файловой или конкретным устройствам), сетевые де- скрипторы (назначенные объектам файловой системы, расположенным в сети), сменные дескрипторы (назначенные объектам, расположенным на сменных на- копителях). Кроме того, дескрипторы бывают дескрипторами файлов (назна- ченные на файл), дескрипторами папок (назначенные на папку), дескрипторами устройства, например дисков (назначенные на диск).
Применительно к правам доступа, всех пользователей, зарегистрирован- ных в системе защиты, можно разделить на три разряда:
1. Учетные записи. Это индивидуальные учетные записи пользователей, для которых установлены индивидуальные (отличные от других пользователей и групп пользователей) права доступа, а также учетные записи, зарегистриро- ванные по маске для доменных пользователей.
2. Группы пользователей. Всем пользователями, входящим в одну группу, автоматически назначаются права на доступ, установленные для группы.
3. Все. К этому разряду относятся все пользователи, для которых не уста- новлены индивидуальные права доступа и одновременно не входящие ни в од- ну из групп. Такие пользователи автоматически объединяются в группу «Все».
Этой группе, как и любой другой, могут быть разрешены/запрещены любые операции с любыми объектами файловой системы.

25
В системе защиты Dallas Lock 8.0 каждому объекту ФС может быть со- поставлен список, элементами которого могут являться индивидуальные поль- зователи, учетные записи «по маске», группы пользователей и разряд «Все».
Каждый объект системы защиты характеризуется набором параметров безопасности.
Каждый параметр безопасности контролирует определенную операцию
(удаление, выполнение, изменение и другие), которая может быть произведена с объектом. Любая операция с объектом может быть разрешена либо запрещена пользователю. Соответственно каждый параметр может иметь значение «раз- решить» или «запретить» (флажки в соответствующих полях).
Права доступа можно задавать либо для индивидуальной учетной записи пользователя, либо для группы, либо для учетной записи пользователя «по мас- ке».
Операции, которые можно производить с объектом в системе защиты, за- висят от типа объекта:
1. Локальные, сменные и удаленные диски, каталоги и подкаталоги (пап- ки и подпапки):
 обзор папки. Чтение содержимого. Позволяет увидеть все вложенные в данную папку каталоги, подкаталоги, файлы, содержащиеся в корневом катало- ге объекта;
 изменение содержимого. Изменение находящихся в папке вложенных папок и файлов (запись, удаление, создание);
 удаление вложенных объектов;
 вложенных объектов. Выполнение находящихся в папке соответст- вующих файлов.
2. Файлы (могут находиться на локальных дисках, на сменных носителях, на сетевых ресурсах):
 чтение. Просмотр содержимое файла любого типа;
 запись. Удаление файлов, а также запись на диск модифицированного
(измененного) файла;
 удаление;
 выполнение. Имеет смысл только для программ. Позволяет запускать программу на выполнение.
3. Дополнительные параметры для файлов и папок:

26
 чтение разрешений. Просмотр значения параметров безопасности, ус- тановленных для ресурса;
 изменение разрешений. Просмотр и редактирование параметров безо- пасности, установленных для ресурса.
4. Удаление:
 чтение разрешений. Просмотр значения параметров безопасности, ус- тановленных для ресурса;
 запись разрешений. Просмотр и редактирование параметров безопас- ности, установленных для ресурса.
Если объект является вложенным и ему не сопоставлен список пользова- телей с правами, то права доступа пользователя к данному объекту определя- ются параметрами корневого объекта.
Если пользователь находится в сопоставленном объекту списке и одно- временно входит в состав группы пользователей, находящейся в сопоставлен- ном объекту списке, то действуют параметры доступа, установленные для этого пользователя.
Если пользователь входит в состав нескольких групп, находящихся в со- поставленном объекту списке, и хотя бы для одной из этих групп установлен запрет на совершение данной операции, а также отсутствует индивидуальное сопоставление данного пользователя объекту (нет явно назначенных прав), то пользователю эта операция запрещена.
Если пользователь не находится в сопоставленном объекту списке и не входит ни в одну из сопоставленных объекту (или корневому объекту) групп пользователей, то для него действуют параметры, установленные для группы
«Все».
Для усиленных мер безопасности в системе Dallas Lock существует меха- низм «Замкнутой программной среды», ЗПС, («Изолированная программная среда» – ИПС), который позволяет явно указать с какими программами пользо- ватель может работать (со всеми же остальными программами пользователь ра- ботать, соответственно, не может).
Для реализации механизма замкнутой программной среды необходимо произвести ряд настроек. Общий смысл настроек состоит в том, чтобы устано- вить глобальный запрет на выполнение всех программ, а потом разрешить за- пуск только тех приложений, которые необходимы данному пользователю для работы. Для организации ЗПС используются механизмы дискреционного кон-

27 троля доступа, а конкретно, право «Выполнение». Важным средством обеспе- чения безопасности является механизм протоколирования. Система защиты информации от несанкционированного доступа должна фиксировать все собы- тия, касающиеся безопасности.
В процессе работы системы защиты Dallas Lock события, происходящие на компьютере и связанные с безопасностью системы, регистрируются в жур- налах. Ведение журналов в свою очередь регулируется параметрами аудита, за- даваемыми пользователями с правами на управление аудитом. Система защиты позволяет осуществлять гибкую настройку аудита и выбирать, какие действия пользователя по отношению к каким ресурсам необходимо регистрировать.
Кроме того, можно протоколировать все действия, касающиеся администриро- вания системы защиты.

28 граммы в строке редактируемого параметра появятся имена выбранных пользо- вателей и групп.
2.2 Предоставить полномочия «Аудит: Управление» следующим пользо- вателям:
 Ольга Медведева;
 Олег Владимиров;
 Нэлли Завьялова.
Для назначения полномочия на просмотр необходимо в категории «Права пользователей» выбрать параметр «Параметры безопасности: Просмотр» и вы- брать учетные записи.
Если пользователю дано права на просмотр, то он может видеть:
 все значения параметров безопасности, установленные в СЗИ НСД;
 распределение полномочий между пользователями (какому пользова- телю предоставлены те или иные полномочия);
 установленные значения дискреционного доступа, а также контроля целостности для объектов ФС, устройств и реестра (причем и в оболочке адми- нистратора, и из окна параметров объекта, вызванного через контекстное меню, если это предполагается свойствами объекта).
2.3 Назначить пользователям из пункта 2.2 права на просмотр уже на- строенных параметров безопасности.
2.4 Полномочия на управление параметрами безопасности. Данные пол- номочия позволяют изменять параметры безопасности СЗИ НСД.
Если пользователю (группе пользователей) разрешено изменение пара- метров безопасности, то он может делегировать все свои полномочия другим пользователям с учетом действия контроля за распространением полномочий.
Для того чтобы назначить управление параметрами безопасности, необходимо выбрать параметр «Параметры безопасности: Управление» в списке, нажать кнопку «Свойства» и добавить учетные записи.
Если пользователю предоставлено право на управление параметрами безопасности, то право на просмотр установленных настроек предоставляется автоматически.
2.5 Зайти в систему под одним из пользователей, которому предоставле- ны полномочия на управления параметрами безопасности, и делегировать свои полномочия пользователю «Ксения Бурсмина».