Файл: Защиты информации.pdf

29 2.6 Зайти под пользователем «Ксения Бурсмина» и проверить, может ли она управлять параметрами безопасности.
2.7 Полномочия на управление дискреционным доступом. Для того чтобы назначить управление дискреционным доступом, необходимо выбрать пара- метр «Ресурсы: Управление дискреционным доступом» в списке, нажать кноп- ку «Свойства» и добавить учетные записи. Если пользователю предоставлено право на управление дискреционным доступом, то право на просмотр установ- ленных настроек предоставляется автоматически.
2.8 Добавить пользователю «Ксения Бурсмина» полномочие на управле- ние дискреционным доступом. Настройка добавления данного параметра осу- ществляется от имени суперпользователя, следовательно, требуется зайти в систему под тем пользователем, кто устанавливал СЗИ НСД Dallas Lock.
2.9 Предоставление пользователю полномочий на управление контролем целостности позволяет назначить или отменить контроль целостности любому объекту файловой системы. Для того чтобы назначить управление контролем целостности, необходимо выбрать параметр «Ресурсы: Управление контролем целостности» в списке, нажать кнопку «Свойства» и добавить учетные записи.
Если пользователю предоставлено право на управление контролем целостно- сти, то право на просмотр установленных настроек предоставляется автомати- чески.
2.10 Добавить пользователю «Ксения Бурсмина» полномочие на управ- ление дискреционным доступом.
3 Подсистема управления доступом
3.1 В СЗИ НСД Dallas Lock возможна регистрация пользователей сле- дующих видов:
 пользователей, созданных средствами ОС Windows на данном локаль- ном компьютере;
 пользователей, созданных средствами СЗИ НСД;
 пользователей, созданных средствами службы Active Directory (если компьютер находится в ЛВС под управлением Контроллера домена).
Для просмотра и редактирования учетных записей пользователей в обо- лочке администратора системы защиты необходимо выбрать вкладку «Учетные записи».
3.2 Создание и удаление локальных пользователей.

30
Для создания нового пользователя в системе защиты необходимо:
1. Выделить категорию «Учетные записи» в оболочке администратора.
2. Нажать кнопку «Создать» в категориях «Действия» или выбрать соот- ветствующую из контекстного меню, нажав правую кнопку мыши.
3. На экране появится окно создания новой учетной записи.
4. В поле «Размещение» необходимо выбрать значение «Локальный».
5. В поле «Логин» необходимо ввести логин (имя) регистрируемого поль- зователя. При вводе имени в системе существуют следующие правила:
 максимальная длина имени – 20 символов;
 имя может содержать латинские символы, символы кириллицы, цифры и специальные символы (кроме запрещенных ОС: " / \ [ ] : | < > + = ; , ? @ *);
 разрешается использовать различные регистры клавиатуры, при этом регистр не учитывается, то есть заглавные и прописные буквы воспринимаются как одинаковые (User и user являются одинаковыми именами).
Кнопка поиска, расположенная рядом с полем логина, разворачивает спи- сок учетных записей пользователей, зарегистрированных в ОС данного ПК, и позволяет выбрать пользователя из уже существующих также можно выделить несколько учетных записей, имеющихся в ОС, и зарегистрировать их одновре- менно.
6. После нажатия «OK» появится окно редактирования параметров учет- ной записи.
На вкладке «Общие» предлагается заполнить следующие учетные данные и параметры:
 заполнить «Полное имя» пользователя;
 в поле «Описание» ввести любой комментарий. Длина комментария не более 256 символов. Вводить комментарий и полное имя не обязательно.
Поле «Логин» и поле «Домен» остаются без возможности изменения (на- звание домена для локального пользователя остается пустым).
Политики «Отключена» и «Запретить работу при нарушении целостно- сти» задаются при необходимости:
1. Администратор имеет возможность отключить учетную запись любого пользователя, после чего пользователь не сможет войти на защищенный ком- пьютер до тех пор, пока администратор не деактивирует эту опцию.

31 2. Система защиты обеспечивает проверку целостности программно- аппаратной среды ПК, объектов ФС и реестра. Если для пользователя опция
«Запретить работу при нарушении целостности» активизирована, то при обна- ружении нарушения целостности выдается соответствующее предупреждение, и вход в ОС блокируется. Если же эта опция не включена, то при обнаружении нарушения целостности будет отображено только предупреждение:
 необходимо выбрать «Тип учетной записи». Для типа «Временный» обязательным условием является настройка расписания работы пользователя.
По умолчанию тип учетной записи будет иметь значение «Не указан»;
 необходимо выбрать значение в поле «Число разрешенных сеансов»;
 необходимо задать «Расписание работы» пользователя, выбрать период и время. Вне указанного периода пользователь не сможет зайти на защищенный
ПК. Кроме того, по окончании времени работы ПК пользователя будет забло- кирован при условии включения параметра безопасности «Принудительное за- вершение работы по расписанию» («Параметры безопасности» => «права поль- зователей»);
 отмеченный параметр «Потребовать смену пароля при следующем входе» единовременно запросит смену пароля при входе;
 поле «Запретить смену пароля пользователем»;
 флажок в поле «Пароль без ограничения срока действия» отменяет дей- ствие политики входа «Максимальный срок действия паролей», распростра- няемой на всех пользователей.
3. Завершающей операцией по созданию учетной записи пользователя яв- ляется назначение пароля. Назначение пароля предлагается системой защиты после заполнения всех необходимых параметров в окне создания учетной запи- си и нажатия кнопки «ОК».
3.3 Создать пользователя в СЗИ НСД Dallas Lock под именем «Александр
Андреев». Настроить все параметры для данной учетной записи, как указано в пункте 3.2.
4 Настройка параметров входа
После установки системы защиты, необходимо произвести ее настройку.
Под настройкой системы защиты понимается установка значений параметров системы защиты, удовлетворяющих политикам безопасности предприятия.

32
Для этого необходимо выбрать вкладку «Параметры безопасности».
Настройки, касающиеся входа в систему, установки атрибутов пароля, аппаратных считывателей, регулируются в окне закладки «Вход».
В соответствии с требованиями политики безопасности организации не- обходимо настроить все параметры, расположенные в списке параметров на вход:
Вход: запрет смены пользователя без перезагрузки.
Включение данного параметра не позволит осуществлять смену учетных записей пользователей без перезагрузки ПК. Если параметр имеет значение
«Вкл.», то при выборе завершения сеанса или смены пользователя ПК автома- тически уходит в перезагрузку. Если параметр имеет значение «Выкл.», то при выборе завершения сеанса или смены пользователя ПК выйдет из учетной за- писи и предложит снова ввести авторизационные данные (подробнее в разделе
«Запрет смены пользователя без перезагрузки»).
Вход: отображать имя последнего пользователя.
Включение данного параметра позволяет отображать в окне авторизации имя учетной записи последнего пользователя, осуществлявшего вход в ОС.
Если параметр имеет значение «Да», то в поле, в котором требуется вве- сти имя пользователя при авторизации на ПК, будет отображаться имя послед- него пользователя данного ПК. Если параметр имеет значение «Нет», то поле, в котором требуется ввести имя пользователя при авторизации на ПК, будет пус- тым.
Вход: максимальное количество ошибок ввода пароля.
Значение, установленное для этого параметра, регламентирует, сколько раз пользователь имеет право ошибаться при вводе пароля. В выпадающем списке можно выбрать число попыток от 1 до 10.
Если при входе на защищенный компьютер или на этапе загрузки ОС пользователь ввел неверный пароль, то система выдаст предупреждение «Ука- зан неверный пароль». Если число ошибок больше допустимого, учетная запись будет заблокирована, и пользователь не сможет загрузить компьютер и ОС.
При этом система защиты выдаст сообщение «Запись пользователя заблокиро- вана».
Вход: время блокировки учетной записи в случае ввода неправиль-
ных паролей (минут).

33
Данный параметр позволяет установить, сколько времени учетная запись будет заблокирована после того, как пользователь ввел неверный пароль боль- ше допустимого числа раз. В этот временной интервал пользователь не сможет загрузить компьютер и ОС даже при верном вводе пароля.
По истечении указанного времени учетная запись автоматически разбло- кируется, и пользователь снова получит возможность ввести пароль.
Вход: отображать информацию о последнем успешном входе. При включении данного параметра входа (значение «Да») после загрузки ОС в об- ласти уведомлений Windows на панели задач будет появляться сообщение с информацией о дате последнего входа пользователя на данный компьютер, ти- пе входа: сетевой, локальный, терминальный, неуспешных попытках входа и состоянии параметров учетной записи пользователя.
Пароли: минимальная длина.
Данным параметром устанавливается ограничение на минимальную дли- ну пароля. Если число символов в пароле меньше установленного значения, то на экране появится предупреждение. При выборе значения «Не используется» устанавливаемый пароль может иметь пустое значение. Действие параметра распространяется на значения паролей, PIN-кодов и ключей.
4.1 Настроить следующие параметры для учетной записи «Александр
Андреев»:
 запретить смену пользователя без перезагрузки;
 отображать имя последнего пользователя;
 установить максимальное количество ошибок ввода пароля – 3;
 установить 5 минут блокировки учетной записи пользователя при трехкратном вводе неверного пароля;
 отобразить информацию о последнем успешном входе в систему;
 установить минимальную длину пароля 8 символов.
4.2 Зайти под пользователем «Александр Андреев» и проверить все пунк- ты конфигурирования учетной записи.
5 Разграничение доступа к объектам файловой системы
Окно дескриптора можно вызвать через контекстное меню объекта (пункт меню «DL80: Права доступа») или через оболочку администратора при назна- чении прав доступа на объект.

34
Для одновременно выделенных нескольких объектов в открывшемся окне дескриптора будут просматриваться установленные параметры безопасности всех объектов: причем, на закладке «Общие» параметры будут перечислены списком, на других закладках будет иметь место различное состояние (вид) от- меченных параметров:
Отмеченное флажком поле означает, что данное свойство включено для всех выделенных объектов.
Затемненное поле означает неопределенность: свойство включено для одних и выключено на других объектов.
Пустое поле означает, что свойство выключено для всех выделенных объектов.
5.1 Создать текстовый файл balans.txt в папке «C:\Docs».
5.2 Назначить права на файл balans.txt:
 для группы «Все» – доступ запрещен;
 для пользователя «Филипп Пряников» – разрешено только чтение;
 для пользователя «Александр Андреев» – разрешен полный доступ.
5.3 Список глобальные параметры ФС расположен на вкладке «Контроль ресурсов» → «Глобальные» оболочки администратора Dallas Lock.
Чтобы установить дискреционный доступ, необходимо выделить пара- метр и нажать кнопку «Свойства» на панели действий. Откроется окно редак- тирования параметров безопасности – дескриптор объекта, в котором необхо- димо выбрать закладку «Дискреционный доступ».
Для того чтобы назначить дискреционный доступ для конкретного объек- та файловой системы, необходимо выполнить следующее:
1 Открыть его дескриптор безопасности, используя оболочку админист- ратора Dallas Lock или через контекстное меню объекта (для объектов файло- вой системы).
1.1 Открыть дескриптор с помощью контекстного меню значка объекта
ФС можно, выбрав пункт меню «DL8.0: Права доступа».
1.2 В появившемся окне проводника, как в проводнике Windows, необхо- димо найти нужный объект ФС и нажать кнопку «Выбрать» или «Принять».
Для выбранного объекта откроется окно дескриптора.
1.3 В окне дескриптора безопасности необходимо выбрать закладку
«Дискреционный доступ». В соответствии с дискреционным принципом досту- па каждому ресурсу файловой системы может быть сопоставлен список пользо-

35 вателей и/или групп пользователей. Каждому пользователю (группе) из списка можно разрешить или запретить определенную операцию с данным ресурсом.
1.4 Чтобы назначить определенные дискреционные права для определен- ных пользователей, необходимо при помощи кнопок «Пользователь», «Груп- пы», «Все», «Удалить» выбрать определенные учетные записи пользователей или групп.
1.5 Для выбранных пользователей/групп необходимо задать набор раз- решений/запретов, который будет определять права по доступу к данному объекту.
1.6 Объекты, на которые назначен дискреционный доступ, автоматически появятся в списке объектов в окне категории «Дискреционный доступ» на вкладке «Контроль ресурсов».
При выборе категории «Все» на вкладке «Контроль ресурсов» также поя- вится список, содержащий параметры всех объектов глобальных, локальных или сетевых, на которые назначены какие-либо права доступа, а также контроль целостности и аудит.
5.4 В папке «C:\Docs» создайте папку «DocAlex». Настройте дискрецион- ный доступ таким образом, чтобы пользователь «Александр Андреев» имел к данной папке полный доступ, пользователь «Филипп Пряников» имел только права на просмотр, а все отельные пользователи системы не имели доступа к этой папке. А также настройте все параметры, описанные в пункте 5.3.
5.5 Зайдите под различными пользователями в систему и проверьте рабо- тоспособность назначенных прав.
6 Замкнутая программная среда
Первый вход только что созданного пользователя должен осуществляться без ограничений ЗПС, так как при первом входе в системной папке создается профиль пользователя. Таким же образом, если на компьютере установлен
Microsoft Office, то, войдя первый раз новым пользователем до включения ог- раничений ЗПС, нужно запустить какое-либо приложение офиса, так как он производит локальную установку в профиль. Только после того, как профиль пользователя создан, нужные приложения установлены и инициализированы, можно начинать настройку ЗПС (либо добавлять пользователя в группу с ЗПС- ограничениями).
6.1 Настройка ЗПС с использованием неактивного режима.

36
Для настройки ЗПС с использованием неактивного режима в системе за- щиты Dallas Lock существует дополнительный механизм «Права для файлов».
Необходимо создать специальную группу, например, ZPS, и включить пользователя «Александр Андреев» в группу ZPS-gr:
1) для группы ZPS-gr в глобальных настройках запретить запуск всего
(вкладка «Контроль ресурсов» → «Глобальные» → «Параметры ФС по умолча- нию»);
2) в дескрипторе «Параметры ФС по умолчанию» включить полный ау- дит отказов;
3) растроить неактивный режим работы СЗИ НСД (пункт меню кнопки- основного меню «Настройка режимов работы» → «Настроить неактивный ре- жим»). В окне настройки необходимо включить «мягкий режим» контроля дос- тупа. Дополнительно желательно очистить (архивировать) журнал ресурсов;
4) перезагрузить компьютер;
5) осуществить вход в ОС под учетной записью пользователя «Александр
Андреев». Запустить все те приложения, с которыми пользователь имеет право работать (но, не запускать ничего лишнего);
6) осуществить смену пользователя и войти под учетной записью адми- нистратора безопасности. Запустить оболочку администратора СЗИ НСД, от- крыть журнал ресурсов;
7) настроить и применить фильтр журнала доступа к ресурсам: пользова- тель – «Александр Андреев», результат – «ошибка»;
8) выделить поле с записями журнала и выбрать на панели действий
«Права для файлов» (или нажать эту кнопку в появившемся отдельном окне выбранной записи журнала или выбрать из контекстного меню);
9) в появившемся окне редактирования дескриптора безопасности назна- чить дискреционные права для группы ZPS-gr «только чтение» и нажать «ОК»;
10) после нажатия кнопки «ОК» система защиты попросит пользователя выбрать еще одно действие для настройки параметров безопасности. В этом случае, если назначаются права на доступ к ресурсам для группы ZPS-gr впер- вые, то параметры безопасности будут созданы независимо от выбранного зна- чения «Да» или «Нет». Если же необходимо добавить параметр (например, пра- во запускать еще какую-либо программу), то в этом случае следует нажать кнопку «Да», чтобы добавить параметр и не потерять существующие.

37
Таким образом, замкнутая программная среда организована. Теперь не- обходимо отключить «мягкий режим» и зайти пользователем «Александр Анд- реев». Этот пользователь сможет работать только с необходимыми программа- ми.
6.2 Настойка ЗПС с использованием режима обучения.
Необходимо создать специальную группу, например ZPS1, и включить пользователя «Иван Тимофеев» в группу ZPS1-gr:
1) в списке дополнительных функций кнопки основного меню необходи- мо включить «Настройка режимов работы» → «Включить режим обучения»;
2) в появившемся окне дискреционного доступа назначить для выбранной группы параметр безопасности «только чтение». Это просто сделать, нажав са- му кнопку «только чтение»;
3) Необходимо перезагрузить компьютер и осуществить вход под учетной записью пользователя «Иван Тимофеев».
4) поработать немного под этим пользователем, запустив необходимые приложения. В процессе работы в режиме обучения на запущенные приложе- ния назначается дескриптор в соответствии с произведенной настройкой при включении режима;
5) в период пока включен режим обучения, пользователю «Иван Тимофе- ев» становятся доступны для запуска все необходимые приложения;
6) чтобы выключить режим обучения для пользователя, необходимо за- вершить его сеанс, зайти под учетной записью администратора и выбрать в до- полнительном меню «Настройка режимов работы» → «Выключить режим обу- чения». После выключения доступ к приложениям будет определяться в соот- ветствии с назначенными правами в процессе режима обучения.
6.3 Осуществите проверку работы пользователей «Александр Андреев» и
«Иван Тимофеев», зайдя под пользователями в систему и попытавшись запус- тить приложения, которые не входят в рамки их полномочий.