Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (11/11)

Контроль процессов с использованием дискреционного и/или мандатного механизмов разграничения доступа

Здравствуйте!

В данной лекции мы поговорим о контроле процессов с использованием дискреционного и/или мандатного механизмов разграничения доступа  в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64», рассмотрим общие сведения  по данному вопросу, а также некоторые особенности настройки контроля процессов с использованием мандатного механизма  разграничения доступа. Помимо этого мы поговорим о метке допуска «ОБЩИЙ_РЕСУРС».

Итак, в ПАК «Аккорд» реализована весьма важная с точки зрения безопасности и создания изолированной программной среды (ИПС) функция – это дискреционный и/или мандатный доступ к объектам со стороны такого субъекта, как процесс (задача), который загружен в оперативную память СВТ.

Для работы с данной возможностью необходимо сначала запустить программу «Настройка комплекса «Аккорд» и в главном окне этой программы установить тип механизма разграничения доступа, который планируется использовать для контроля процессов: «Дискреционный» и/или «Мандатный». И также установить флаг «Контроль процессов».  У нас все эти флаги были установлены на предыдущих лекциях. Оставим все без изменений.

Обращу внимание, что контроль процессов может осуществляться только совместно с одним или несколькими механизмами разграничения доступа: дискреционным или мандатным.

Затем необходимо завершить работу программы с сохранением изменений.

Общий алгоритм создания «белого» списка процессов с помощью мандатного и/или дискреционного механизма разграничения доступа с контролем процессов и динамического контроля целостности файлов из этого списка приведен в методических материалах к лекции – документе «Установка правил разграничения доступа», этому посвящен целый раздел.

А сейчас мы поговорим о некоторых особенностях настройки контроля процессов с использованием мандатного механизма разграничения доступа.

В программе «Редактор прав доступа» нажмем на кнопку рядом с полем «Разграничение доступа». Появится окно «Редактирование правил разграничения доступа для пользователя такого-то», перейдем на вкладку «Процессы».

Если необходимый процесс отсутствует в списке, то нужно нажать кнопку «Новый». Нажмем на нее. На экран выводится окно «Уровень доступа процесса». Имя процесса необходимо ввести в одноименное поле - вводится без указания пути, но с расширением. При установке в программе настройки комплекса параметра «использовать полный путь процесса» список процессов будет формироваться и проверяться с учетом полного пути. Введем процесс Winword.exe и установим ему уровень доступа - «Конфиденциально».

Для сохранения изменений ПРД выбранного процесса нажмем кнопку «Сохранить».  Мы видим, что на закладке «Процессы» появился новый процесс с присвоенным уровнем доступа «Конфиденциально».

Для изменения уровня доступа процесса нужно нажать кнопку «Редактировать». Нажмем ее.

Рассмотрим имеющиеся в появившемся окне флаги.

Часто в рамках работы одного процесса создается другой процесс, аналогичный первому. При этом между двумя процессами используется одна и та же среда окружения. В таком случае первый процесс называется родительским, а второй – дочерним. Дочерними процессами могут быть драйверы, динамические библиотеки, приложения и т.д.

В окне имеется флаг «Применить для дочерних процессов», который предназначен для того, чтобы при присвоении родительскому процессу определенного уровня доступа дочерним процессам автоматически присваивался такой же уровень доступа, как и у родительского (так как присвоение одного и того же уровня доступа большому количеству дочерних процессов является весьма трудоемкой задачей). Это сделано с целью исключения некорректной работы родительского процесса вследствие отсутствия нужного уровня доступа одного из дочерних процессов. Установим этот флаг.

При любом установленном уровня доступа процесса, кроме «Общедоступно», можно установить флаг «Разрешено понизить пользователю до».  Для  нашего процесса при создании ПРД мы задали уровень «Конфиденциально» и поле выбора данного флага теперь активно, можно его установить. При установке этого флага при старте такого процесса выводится окно выбора текущего уровня процесса (конечно при этом уровень доступа можно выбирать только с понижением). Это дает возможность пользователю в одном сеансе работать с документами разных грифов секретности с помощью одной программы (например, Winword), но четко соблюдать правило запрета на «понижение» метки конфиденциальности документа, т.к. процессу в системе мандатного контроля запрещается запись в любой ресурс с меньшей по уровню меткой допуска.

Для сохранения установленных настроек необходимо нажать «Сохранить».

Мы рассмотрели некоторые особенности настройки контроля процессов с использованием мандатного механизма разграничения доступа, на самом деле их гораздо больше, все они описаны в методических материалах к лекции – документе «Установка правил разграничения доступа», этому посвящен целый раздел.

Еще один момент, о котором мне бы хотелось поговорить на данной лекции – это установка метки допуска «ОБЩИЙ_РЕСУРС».

Для ее установки необходимо в главном окне программы нажать кнопку «Установить мандатные метки допуска к объектам». В появившемся окне, как уже было рассмотрено ранее, нужно задать атрибуты доступа для выбранного объекта. Для этого нажмем кнопку «Новый», слева в окне выберем какой-либо каталог, например, на диске С:\ каталог «ОБЩИЕ_ДОКУМЕНТЫ». В поле «Имя объекта» мы видим тот объект, которому устанавливаем метку допуска, а справа внизу в ниспадающем списке мы можем выбрать для него метку «Общий ресурс». Выберем ее.  Для сохранения настроек необходимо нажать кнопку «Сохранить», нажмем ее. Затем нажимаем «Закрыть» и видим, что наш каталог появился в списке объектов с установленной меткой «ОБЩИЙ_РЕСУРС». Для сохранения изменений нужно нажать кнопку «Сохранить». Нажмем ее.

Если администратор безопасности в редакторе ПРД присваивает эту метку какому-либо каталогу, то далее создается несколько копий этого объекта, и каждой копии присваивается одна из меток допуска, прописанных в конфигурационном файле системы защиты. Имена копий различаются на один символ, а в процессе работы монитор безопасности динамически перенаправляет ввод-вывод с объекта-оригинала на копию с нужной меткой допуска. Теперь процесс (например, notepad.exe или winword.exe), который работает с документами в каталоге «ОБЩИЕ ДОКУМЕНТЫ» «думает», что работает именно с этим каталогом, а на самом деле взаимодействует с его копией, у которого метка допуска совпадает с текущим уровнем процесса.

Описание работы более сложных пакетов с меткой допуска «Общий ресурс», например, MS Office, приведено в методических материалах к лекции – документе «Установка правил разграничения доступа».

Обращу внимание, что при использовании метки допуска «Общий ресурс» становиться возможной нормальная работа программ с реальным выполнением дисциплины контроля потоков информации, при которой не происходит ее утечка через временные файлы.

Список объектов с меткой «Общий ресурс» можно посмотреть, нажав кнопку «Общий ресурс». Нажмем ее.

По умолчанию, если список объектов с меткой «Общий ресурс» пуст, это означает, что установлен запрет на создание копий объектов с соответствующей меткой допуска, прописанной в конфигурационном файле. Сейчас мы видим в этом окне созданный нами общий ресурс. Для завершения работы в данном окне нажмем «Ок».

Подведем итог, на данной лекции мы поговорили о контроле процессов с использованием дискреционного и/или мандатного механизмов разграничения доступа в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64», рассмотрели общие сведения данного вопроса, некоторые особенности настройки контроля процессов с использованием мандатного механизма  разграничения доступа и поговорили о метке допуска «ОБЩИЙ_РЕСУРС».

На данном моменте мы заканчиваем рассматривать тему «Разграничение доступа пользователей в ОС Windows с помощью ПАК СЗИ НСД «Аккорд-Win64» (TSE)». Обращу внимание, что остались некоторые вопросы, касающиеся данного комплекса, которые мы не рассмотрели в этой теме. Ответы на них можно получить в методических материалах темы.

На следующей лекции мы начнем новую тему - «Особенности защиты систем терминального доступа с использованием ПАК СЗИ НСД «Аккорд-Win64» (TSE).

Спасибо за внимание, до встречи на следующей лекции!