Если у вас возникли вопросы, или появилось предложение, напишите нам
Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (8/11)
Дискреционный механизм управления доступом
Здравствуйте!
В данной лекции мы поговорим о дискреционном механизме управления доступом, рассмотрим требования этого механизма, понятие используемой в нем матрицы доступа. А также поговорим, как происходит задание правил разграничения доступа с использованием данного механизма в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64».
Итак, все элементы компьютерной системы, как известно, разделяются на множество субъектов и объектов. Понятие субъекта несколько отличается от понятия пользователя компьютерной системы. Пользователь КС – это физическое лицо, обладающее некоторой идентифицирующей его информацией. При этом субъектом может быть, например, процесс операционной системы, то есть какая-либо запущенная пользователем компьютерной системы программа, которая осуществляет доступ к объектам, то есть файлам или каталогам.
Дискреционное управление доступом к объектам КС предполагает выполнение следующих требований:
- все субъекты и объекты КС должны быть однозначно идентифицированы;
- для любого объекта КС должен быть определен пользователь-владелец;
- владелец объекта должен обладать правом определения прав доступа к объекту со стороны любых субъектов КС;
- в КС должен существовать привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становиться владельцем любого объекта).
Последнее свойство определяет невозможность существования в компьютерной системе потенциально недоступных объектов, владелец которых отсутствует.
Дискреционное управление доступом к объектам КС реализуется обычно в виде матрицы доступа, строки которой соответствуют объектам КС, а столбцы – ее субъектам. Элементы матрицы доступа определяют права доступа субъектов к объектам.
При этом субъект может получить определенный доступ к объекту, если в соответствующей ячейке матрицы доступа есть соответствующее право доступа.
Например, из матрицы, представленной на слайде, мы видим, что субъект 1 (пусть это будет например, какой-то пользователь) имеет право читать и писать в объект 1 (пусть это будет какой-то файл), а другие субъекты такого права не имеют. При этом субъект 2 (пусть это будет, например, какой-то другой пользователь) может только читать субъект 2 (какой-то другой файл), остальные же субъекты доступа к данному файлу не имеют. Субъект 3 может запускать объект 3 (какой-то исполняемый файл), но не имеет права его изменять. При этом Субъекты 1 и 2 не имеют права запускать объект 3.
Теперь давайте рассмотрим, как происходит задание правил разграничения доступа (ПРД) с использованием дискреционного механизма в комплексе «Аккорд».
Для включения дискреционного механизма разграничения доступа необходимо в программе «Настройка комплекса «Аккорд» установить флаг «Дискреционный». Запустим эту программу из <Пуск>, при запросе идентификатора предъявим идентификатор администратора, введем пароль. В главном окне программы мы видим поле «Механизмы разграничения доступа», среди которых флаг «Дискреционный» уже выбран по умолчанию. В этой программе нам больше ничего не нужно менять, выходим из нее.
Затем нужно перейти в программу «Редактор прав доступа», предъявить идентификатор и ввести пароль администратора. После чего нужно выбрать пользователя и в правом нижнем углу нажать кнопку рядом с полем «Разграничение доступа». Появится окно «Редактирование правил разграничения доступа для пользователя такого-то». В этом окне по умолчанию выведен перечень всех доступных корневых каталогов (для сетевых корневых каталогов указывается полное сетевое имя), а также ключей реестра (строки, начинающиеся с «\HKEY_») и сетевых и локальных принтеров. В этом окне нет деления на диски, каталоги, файлы и т.д., а ведется один общий список объектов. Для того чтобы запретить доступ к логическому диску достаточно исключить корневой каталог этого диска из списка объектов.
В список объектов для обычных пользователей уже включены ограничения, которые защищают от модификации программные компоненты комплекса «Аккорд».
Для того, чтобы сделать какой-либо файл «скрытым», т.е. полностью запретить к нему доступ, нужно включить его в список объектов, но не назначать ни одного атрибута доступа.
При необходимости добавления нового объекта и задания ему ПРД необходимо нажать кнопку «Новый», для редактирования – «Редактировать». Для удаления какого-либо объекта и установленных для него ПРД, нужно нажать кнопку «Удалить».
Для выхода из режима редактирования с сохранением, необходимо нажать кнопку «Сохранить», без сохранения – «Отмена».
В разделе «Объекты» выберем строку с любым именем объекта и нажмем кнопку «Редактировать». Выводится окно для определения правил доступа к объекту.
Права доступа по умолчанию могут отличаться в зависимости от типа операционной системы и установленных антивирусов.
При установке дискреционных ПРД могут использоваться атрибуты доступа, перечисленные в данном окне. Для операций с файлами – это:
R - разрешение на открытие файлов только для чтения.
W - разрешение на открытие файлов для записи.
C - разрешение на создание файлов на диске.
D - разрешение на удаление файлов.
N - разрешение на переименование файлов.
V - видимость файлов. Позволяет делать существующие файлы невидимыми для пользовательских программ. Этот параметр имеет более высокий приоритет, чем R,W,D,N,O.
О - эмуляция разрешения на запись информации при открытии файла. Этот параметр имеет более низкий приоритет, чем W (открыть для записи). Параметр может пригодиться в том случае, если программа по умолчанию открывает файл для чтения/записи, а мы хотим разрешить пользователю только просмотр файла.
Операции с каталогом:
M - создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
Е - удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
G - разрешение перехода в этот каталог.
n - переименование каталога. В ОС Windows, например, удаление папки в «корзину» – это, на самом деле, переименование каталога.
Атрибуты регистрации:
r - регистрируются все операции чтения файлов диска (каталога) в журнале.
w - регистрируются все операции записи файлов диска (каталога) в журнале.
И прочие атрибуты:
Х - разрешение на запуск программ
Для группового манипулирования параметрами доступа можно пользоваться кнопками внизу окна. Кнопка «Сброс» сбрасывает все параметры. Кнопка «Чтение» устанавливает для выбранного объекта «файл» атрибуты R – открыть для чтения, V – видимость и X – запуск программ. Для объекта «папка» добавляется атрибут G – переход в данную папку и S – наследование. Кнопка «Полный» включает все атрибуты для полного доступа.
Для каталогов, в том числе и корневого каталога диска, устанавливается отдельный параметр, который очень важен для реализации ПРД – это параметр наследования прав доступа.
Параметр наследования прав доступа может принимать три значения:
S – установлен по умолчанию, параметры доступа наследуются существующими и созданными в дальнейшем подкаталогами всех уровней текущего каталога, т.е. для них устанавливаются те же параметры доступа, что и у «родительского» каталога, при этом для отдельных подкаталогов можно явно определять атрибуты доступа;
1 - параметры доступа текущего каталога наследуется только подкаталогами следующего уровня;
0 - параметры доступа текущего каталога не наследуются подкаталогами.
Например, если для корня дерева каталогов диска C:\ установить атрибут 0, доступными будут только файлы в корневом каталоге, а остальные каталоги для данного пользователя как бы не существуют. Каталог на диске C:\ будет доступен пользователю (с любой непротиворечивой комбинацией атрибутов) только при явном его описании в списке прав доступа. Если для корневого каталога C:\ установить атрибут S, то все его файлы, каталоги и подкаталоги доступны пользователю и правила доступа к ним определяется атрибутами, установленными для диска C:\.
Для сохранения выбранных атрибутов доступа необходимо нажать «Сохранить», для выхода без сохранения – «Отмена». Нажмем «Отмена».
Если необходимый объект отсутствует в списке нужно нажать кнопку «Новый». Нажмем ее. На экран выводится расширенное окно «Атрибуты доступа к объектам». Слева в этом окне отображен список всех объектов. Каждый объект выделен цветом, соответствующим наследованию прав доступа и наличию объекта в списке разграничения прав доступа. Какой цвет чему соответствует можно прочитать в методических материалах к лекции – документе «Установка правил разграничения доступа».
Дальше нужно выбрать объект из списка слева, в поле «Имя объекта» мы увидим его имя, а снизу в поле «Тип объекта» - увидим диск это, каталог, файл, реестр, съемный диск, принтер или устройство. Либо можно ввести в поле «Имя объекта» имя объекта вручную. Выберем файл test1.txt из папки TEST.
Далее необходимо для выбранного объекта установить необходимые атрибуты. Если у выделенного объекта уже установлены ПРД, как в нашем случае, то будут отмечены соответствующие флаги, если нет, то все флаги будут сброшены. При установке ПРД можно воспользоваться кнопками «Сброс», «Чтение», «Полный» в нижней части панели. Они работают аналогично тем, как были рассмотрены в окне редактирования настроек.
Более подробно действие атрибутов доступа и их комбинаций описано в методических материалах к лекции – в документе «Руководство администратора на комплекс».
Мы сбросим все имеющиеся атрибуты для файла test1.txt с помощью кнопки «Сброс», а затем сделаем его доступным только на чтение с помощью кнопки «Чтение». Сохраним настройки с помощью кнопки «Сохранить». Затем нажмем «Закрыть», видим, что наш файл появился среди объектов с установленными только что атрибутами.
Хотелось бы обратить внимание, что мы рассмотрели задание ПРД для дисков, каталогов и файлов, для веток реестра они устанавливаются аналогично.
Подведем итог, в данной лекции мы поговорили о дискреционном механизме управления доступом, рассмотрели требования этого механизма, понятие используемой в нем матрицы доступа. А также поговорили о том, как происходит задание правил разграничения доступа с использованием данного механизма в программно-аппаратном комплексе СЗИ НСД «Аккорд-Win64» для дисков, каталогов и файлов. Однако существуют особенности установки ПРД к сетевым ресурсам, съемным и стационарным устройствам, об этом мы поговорим на следующей лекции.
Спасибо за внимание, до встречи!