Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (6/11)

Права доступа пользователей комплекса (продолжение)

Здравствуйте!

В данной лекции мы снова продолжим работать с программной «Разграничение доступа пользователей» программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64» и поговорим об остальных настройках прав доступа пользователей комплекса. Рассмотрим установку временных ограничений для сеанса работы и учетной записи пользователя, установку блокировки, стартовой задачи и опций пользователя, а также установку результатов идентификации/аутентификации. Помимо этого мы обсудим, как выполняется активизация подсистемы разграничения доступа.

Итак, установка временных ограничений для сеанса работы и учетной записи пользователя выполняется следующим образом.

В списке пользователей необходимо выбрать пользователя или группу пользователей. Выберем пользователя. В поле «Временные ограничения» отображается информация о наличии временных ограничений данного пользователя. Сейчас они не установлены и указано «Нет». Нажмем на кнопку, расположенную справа от этого поля. На экран выводится окно «Редактирование временных ограничений для пользователя такого-то (указывается имя_пользователя)».

В этом окне мы видим таблицу, в которой строки – это дни недели, а столбцы -  временные промежутки (часы).

Ячейки таблицы заполнены знаками «+». Это означает, что в указанные дни недели и в указанное время работа пользователя возможна. Если нажать на ячейку двойным кликом мышки, то значение меняется на «-», это означает, что в данное время работа пользователя будет невозможна.

Удерживая левую кнопку мыши, можно выделить область редактирования. Для того чтобы запретить пользователю работу в выделенной области, необходимо нажать кнопку «Запретить». Для разрешения работы в выделенной области – кнопку «Разрешить». Например, разрешим пользователю работать на компьютере с установленным комплексом только в рабочие дни. Для этого выберем выходные и нажмем «Запретить».

Для выхода из режима редактирования с сохранением, нужно нажать на кнопку «Сохранить», без сохранения – «Отмена». Нажмем «Сохранить». Видим, что в поле «Временные ограничения» значение изменилось на «Да», то есть ограничения установлены.

Следующая настройка – это настройка блокировки пользователя.

Правее поля «Временные ограничения» находится флаг «Блокирован». При установке этого флага все параметры пользователя сохраняются в базе данных, но вход в систему и работа данного пользователя будут запрещены. Данный флаг можно использовать для временной блокировки пользователя. После того, как администратор снимет блокировку, работа пользователя восстановится со всеми установленными настройками. Изменения вступают в силу после перезагрузки компьютера.

Далее давайте рассмотрим поле «стартовая задача». Сейчас оно пустое, так как стартовая задача пользователя не установлена. Нажмем кнопку рядом с этим полем. На экран выводится окно выбора задачи – исполняемого файла. Выбранная задача запускается для данного пользователя после старта операционной системы в качестве программной оболочки (shell) вместо explorer.exe. При этом пользователь может работать только в загруженной программной среде. А рабочий стол Windows, кнопка <Пуск> и панель задач на экран не выводятся. Для примера зададим в качестве такой задачи - блокнот. Для этого выберем его исполняемый файл, он у меня уже выбран и нажмем «Открыть». Видим, что данная стартовая задача теперь отображается в соответствующем поле.

В случае, когда пользователю в рамках его функциональных обязанностей необходимо запускать на выполнение несколько различных задач, то в качестве задачи для запуска можно указать программу AcTskMng.EXE. Данная программа входит в состав комплекса «Аккорд» и находится в каталоге, в который установлен комплекс. По умолчанию – это каталог Accord.x64 на диске С.

Для успешной работы этой программы необходимо создать текстовый файл – список задач, разрешенных для запуска данному пользователю. Имя этого файла должно совпадать с именем пользователя, расширение файла должно быть .ACT. Некоторые подробности о создании данного файла можно прочитать в методических материалах к лекции – документе «Установка правил разграничения доступа на комплекс».

Следующая настройка, которую необходимо выполнить – это установка дополнительных опций пользователя. Для этого используется поле «Опции».

В данном случае в этом поле мы видим все нули – это значит, что не установлена ни одна опция. Для установки опций нажмем кнопку справа от данного поля. На экран выводится окно «Опции». Здесь можно установить следующие флаги:

• Не контролировать UNC имена – контроль уровня секретности информации, помещенной в буфер обмена при использовании мандатного доступа процессов (о нем мы поговорим на одной из следующих лекций);
• Опция удаление файлов с очисткой – означает, что в процессе удаления файлов физическое место файла на жестком диске прописывается последовательностью случайных чисел. При удалении файлы сразу очищаются в корзине;
• Следующая опция – маркировка печати – означает включение для данного пользователя процедуры контроля вывода на печать и маркировки документов. Формат и состав параметров, выводимых на печатную копию, выполняется в программе «Настройка комплекса Аккорд» (о ней мы также поговорим чуть позже);
• Далее идет блокировка клипборда – установка этого параметра позволяет блокировать буфер обмена в целях защиты информации от копирования;
• Опция может изменять дату/время – означает, разрешено ли пользователю изменять дату/время;
• Следующая опция – запрет доступа к общим ресурсам – установка этого параметра запрещает доступ из сети к ресурсам данного компьютера, даже если они описаны в операционной системе как общие ресурсы;
• Опция – полный доступ для АРМ АБИ – означает, разрешать ли полный доступ к файлам и папкам данного компьютера администратору безопасности информации при использовании подсистемы распределенного аудита и управления (о данной подсистеме мы будем говорить на следующих лекциях);
• И последняя опция – проверять доступ к реестру – использовать ли разграничение доступа к разделам и ключам системного реестра.

Для выхода из режима редактирования с сохранением, нужно нажать на кнопку «Сохранить», без сохранения – кнопку «Отмена».

Рассмотрим теперь пункт настроек «Результаты И/А». В данном поле мы видим либо нулевое значение, либо то значение, которое было установлено для пользователя в «Аккорд-АМДЗ». У нас оно нулевое, я предварительно сняла все установленные в «Аккорд-АМДЗ» флаги.

Для установки опций нажмем кнопку справа от этого поля. Появится окно «Результаты И/А». Мы видим некоторое количество флагов, которые можем установить. Все эти флаги показывают нам, какая информация о пользователе, полученная в результате процесса идентификации/аутентификации, передается из контроллера «Аккорд-АМДЗ» в программную подсистему разграничения доступа с целью синхронизации базы данных пользователей. Для передачи в программную подсистему разграничения доступа доступны следующие параметры:

• Идентификатор;
• секретный ключ станции;
• ключ пользователя;
• имя пользователя;
• пароль;
• флаги операционной системы;
• номер пользователя;
• уровень доступа пользователя.

Если ни одна галочка не установлена, то при старте СПО «Аккорд» будет необходимо предъявить идентификатор и ввести пароль, несмотря на то, что идентификация/аутентификация уже была пройдена в «Аккорд-АМДЗ».

Если установлены галочки идентификатор и ключ пользователя, то при логине в ОС пробрасывается идентификатор пользователя и требуется ввести только пароль пользователя, при этом имя пользователя изменить нельзя. Также, отмечу, что в этом случае СПО «Аккорд» выполняет контроль целостности индивидуального списка пользователя.

Если установить галочки идентификатор, секретный ключ станции, ключ пользователя, пароль, то выполняется «Автоматический логин в ОС» - ввода пароля при логине в операционную систему не требуется, идентификатор и пароль берутся из результатов и/а «Аккорд-АМДЗ».

Если ни одна галочка не установлена, то потребуется выполнить повторную идентификацию/аутентификацию пользователя в подсистеме разграничения доступа.

Хотелось бы обратить внимание, что в «Аккорд-АМДЗ», реализованных на базе контроллеров «Аккорд-GX», установка параметров «идентификатор» и «ключ пользователя» является обязательной.

Остальные перечисленные в данном окне флаги, которые мы не рассмотрели, либо использовались в старых версиях операционных систем (а в современных ОС их использование не требуется), либо зарезервированы для дальнейших разработок.

Для выхода из данного окна с сохранением, нужно нажать на кнопку «Сохранить», без сохранения – «Отмена».

У нас уже выставлены галочки идентификатор, секретный ключ станции, ключ пользователя, пароль. Рекомендуется именно этот вариант. Напомню, он означает возможность автоматического логина пользователя в операционную систему, прошедшего идентификацию/аутентификацию  в «Аккорд-АМДЗ». Нажмем «Сохранить». В поле «результаты и/а» теперь вместо нулей мы видим 4 единицы, которые означают, какие флаги установлены.

Еще один момент, на который бы хотелось обратить внимание – это активизация подсистемы разграничения доступа комплекса. Для ее выполнения необходимо запустить в «ПУСК» программу «Настройка комплекса «Аккорд», предъявить идентификатор администратора и ввести пароль, затем в левом верхнем углу программы нужно нажать кнопку «Активация монитора разграничения доступа», либо выбрать активацию в меню «Команды». В появившемся окне об успешной установке нужно нажать «Ок». После этого появится запрос на перезагрузку операционной системы, необходимо ее обязательно выполнить, чтобы все изменения вступили в силу и подсистема начала свою работу. Перезагрузимся позднее и нажмем «Нет».

Для снятия системы необходимо нажать кнопку «Снятие средств защиты комплекса» или выбрать «Снятие» в меню «Команды» и также перезагрузить операционную систему, чтобы изменения вступили в силу.

Подведем итог, в данной лекции мы поговорили о настройке некоторых параметров прав доступа пользователей программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64». Рассмотрели установку временных ограничений для сеанса работы и учетной записи пользователя, установку блокировки, стартовой задачи и опций пользователя, а также установку результатов идентификации/аутентификации. Помимо этого мы посмотрели, как выполняется активизация подсистемы разграничения данного комплекса. На следующей лекции мы поговорим о различных режимах контроля целостности объектов.

Спасибо за внимание, до встречи на следующей лекции!