Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (7/11)

Контроль целостности объектов

Здравствуйте!

В данной лекции мы поговорим о том, какие режимы контроля целостности объектов существуют, а так же рассмотрим использование каждого из этих режимов в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64» и существующие в нем дополнительные возможности, которые можно использовать при установке объектов на контроль.

Итак, существует два режима контроля целостности объектов:

• «статический» - это контроль целостности любых файлов, расположенных на жестком диске СВТ в момент начала сеанса пользователя;
• «динамический» - это контроль исполняемых модулей перед их загрузкой в оперативную память СВТ.

Рассмотрим по-очереди как настраивать и работать с каждым из этих режимов в из этих режимов в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64».

Начнем со статического контроля целостности. Для создания списка контролируемых объектов в программе «Редактор базы пользователей» есть поле «Контроль целостности». По-умолчанию в нем установлено значение «Нет», это означает, что нет объектов установленных на контроль. Нажмем кнопку справа от этого поля. На экран выводится окно «Редактирование контроля целостности объектов для пользователя такого-то (указывается имя_пользователя)».

Обращу внимание, что в правой части окна в разделе «Список контролируемых объектов» мы видим две закладки – «Статический» и «Динамический». По-умолчанию выбрана закладка «Статический» и мы ничего не меняем, так как рассматриваем статический контроль целостности.

Сначала необходимо сформировать список объектов, для которых будет рассчитана контрольная сумма. Возможен выбор отдельного файла, или всех файлов из выбранного каталога.

Для установки на контроль файла необходимо сначала его выбрать. Пусть это будет файл test1.txt из каталога TEST. Затем нужно два раза щелкнуть по этому файлу или нажать кнопку «Добавить объект в список». Выбранный файл переместится в правую часть окна в «Список контролируемых объектов».

Для исключения файла из списка нужно нажать кнопку «Удалить объект из списка».

Если мы хотим установить на контроль все файлы из каталога, то в разделе «Все объекты» необходимо выбрать нужный каталог. Выберем каталог TEST1 и нажмем на кнопку «Добавить содержимое папки в список». Появляется окно «Введите фильтр».  Стрелка в правой части строки позволяет задавать маску по расширению файлов (*.* означает выбор всех файлов). Также в этом окне есть возможность установить 2 галочки.

Флаг «Восстанавливать при модификации» включает дополнительную функцию создания копии контролируемого файла. При обнаружении изменений в контролируемых файлах выполняется восстановление исходного состояния файла из резервной копии.

Флаг «Включая подкаталоги» распространяет действие фильтра на все уровни вложенности подкаталогов в выбранном каталоге.

Не будем ничего менять и нажмем кнопку «Ок». Все файлы выбранного каталога, удовлетворяющие заданному фильтру, переместятся в «Список контролируемых объектов».

Очистить «Список контролируемых объектов» можно нажав на кнопку «Удалить все из списка» и тогда удалится все содержимое «Списка контроля целостности». Либо можно удалить один объект, нажав кнопку «Удалить объект из списка», работу которой мы уже рассматривали ранее. Еще можно выделить в списке несколько объектов и нажать кнопку  «Удалить объект из списка», будут удалены выбранные объекты.

Есть еще один специфический объект контроля – это контейнер. Для формирования контейнера нужно выбрать объект. В  качестве объекта может выступать корневой каталог логического раздела жесткого диска, или отдельный каталог. Выберем каталог TEST и нажмем кнопку «Добавить контейнер в список». После этого выводится окно выбора параметров контейнера контролируемых объектов. Можно по аналогии с предыдущим вариантом задать маску устанавливаемых на контроль файлов.

Флаг «Включая подкаталоги» действует следующим образом. Контрольная сумма содержимого самих файлов не вычисляется. В списке контролируемых объектов сохраняется одна запись с результирующей контрольной суммой. Такая процедура контроля может успешно использоваться, если установлен режим автоматического обновления компонентов ПО из доверенного источника, а состав (список) файлов не меняется.

Флаг «Включая контроль содержимого объектов» добавляет следующий уровень контроля, т.е. рассчитывается контрольная сумма содержимого каталога и содержимого файлов (одна на весь контейнер).

Флаг «Включая полные имена файлов», автоматически включает флаг «Включая контроль содержимого объектов». В контейнере хранится полный список файлов с контрольной суммой для каждого объекта. Нарушение целостности выявится при изменении состава контролируемых объектов, т.е. при удалении существующих, или добавлении новых файлов, или папок, а также при изменении контрольных сумм самих объектов.

Выберем флаг «Включая подкаталоги», маску изменять не будем. При нажатии кнопки «ОК» на контроль добавятся все файлы выбранного каталога и его подкаталогов, но контролироваться будет только содержимое данных каталогов, без контроля целостности самих файлов.

Пользоваться возможностями контроля целостности контейнера объектов следует по принципу «разумной достаточности». Можно, например, установить полный контроль на папку Windows, но следует понимать, что время расчета контрольной суммы нескольких тысяч файлов будет значительным, да к тому же пользователь не сможет нормально работать на таком «защищенном» компьютере. Операционная система при работе создает некоторое количество временных файлов и при каждом новом сеансе будет выявлено нарушение целостности.

После добавления объектов в список контроля целостности необходимо установить режим контроля целостности.

Выбор режимов осуществляется установкой флагов в нижней панели окна. Возможны следующие варианты:

• «До запуска системы» - контроль целостности выполняется до запуска операционной системы.
• Следующий флаг - «С подтверждением» - это запрос подтверждения контроля целостности до запуска операционной системы (пользователь может отказаться от выполнения процедуры контроля).
• В поле «По времени, через» устанавливается значение времени в минутах, по истечении которого выполняется контроль целостности в рамках сеанса пользователя. Если установлено значение 0, то процедура контроля целостности по времени не выполняется. Если установлено отличное от нуля значение интервала времени, то процедура контроля целостности осуществляется по его истечении.

Хотелось бы обратить внимание, что при установке объектов на статический контроль целостности необходимо убедиться в наличии установленного флага «Перезагрузка при ошибках» в программе «Настройки комплекса «Аккорд». В противном случае при возникновении ошибок контроля целостности драйвер разграничения доступа не будет запущен.

Установим флаг «До запуска системы». После этого необходимо произвести расчет контрольных сумм выбранных файлов. Это делается с помощью кнопки «Расчет», нажмем ее. В процессе расчета запрашивается идентификатор данного пользователя. В алгоритме расчета используется ключ пользователя, записанный в идентификатор при регистрации пользователя. Тем самым исключается возможность подделки результирующей КС при несанкционированном изменении файлов.

Для выхода из процедуры контроля с сохранением результатов расчета нужно нажать кнопку «Сохранить», для отмены изменений – кнопку «Отмена». Нажмем «Сохранить». В поле «Контроль целостности» значение «Нет», как мы видим, изменилось на «Да». Это значит, что для данного пользователя есть объекты, установленные на контроль.

Теперь давайте поговорим о динамическом режиме контроля целостности файлов. Динамический контроль целостности выполняется при каждом запуске процесса (исполняемого модуля). Снова нажмем кнопку рядом с  полем «Контроль целостности». На экран выводится прежнее окно «Редактирование контроля целостности объектов для пользователя такого-то». В правой части окна в разделе «Список контролируемых объектов» переходим на закладку «Динамический».

Объекты в этот список добавляются точно также, как мы рассмотрели для статического контроля целостности. При этом не требуется задание параметров проверки, выбор флагов внизу окна – не активен.

Обращу внимание, что список контролируемых объектов можно задавать как для отдельного пользователя, так и для группы. В этом случае контроль будет выполняться для любого пользователя из группы.

Далее давайте поговорим о дополнительных возможностях, которые доступны в данном окне.

Как для статического, так и для динамического режима контроля возможна загрузка списка контролируемых файлов из специального файла. Для этого используется кнопка «Загрузить». Этот файл можно создать на основе анализа журналов событий с помощью программы работы с журналами регистрации, входящей в состав комплекса. Подробности создания данного файла можно прочитать в методических материалах к лекции - документе «Подсистема регистрации. Программа работы с журналами регистрации».

После выполнения расчета список файлов с контрольными суммами можно сохранить (становится доступной кнопка <Печать>, и файл можно распечатать на принтере, или записать на диск в виде файла с расширением .HSH). Этот файл можно использовать на других защищаемых СВТ с идентичным составом прикладного ПО, чтобы не вводить каждый раз список вручную.

Если список контролируемых объектов не пуст, то становится доступной кнопка «Исключить». Для статического контроля целостности он у нас не пуст. Эта команда позволяет исключить из списка контролируемых объектов набор файлов, предварительно сохраненный в специальном файле с расширением .HSH. Такая функция может быть полезной, в случае, когда изменился состав контролируемого ПО в сторону уменьшения числа файлов на жестком диске и нужно эти изменения выполнить на нескольких компьютерах.

По кнопке «Проверка» выполняется проверка целостности установленных на контроль объектов. Нажмем ее и увидим сообщение, что «Нарушения целостности объектов не обнаружены». При изменении объектов, установленных ранее на контроль, здесь мы увидим сообщение о нарушении целостности. Нажмем «Ок».

Подведем итог, в данной лекции мы поговорили о том, какие режимы контроля целостности объектов существуют, рассмотрели использование каждого из этих режимов в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64», а также обсудили дополнительные возможности, которые можно использовать при установке объектов на контроль. На следующих лекциях мы поговорим об используемых в комплексе механизмах управления доступом.

Спасибо за внимание, до встречи на следующей лекции!