Если у вас возникли вопросы, или появилось предложение, напишите нам
Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (6/11)
Права доступа пользователей комплекса (продолжение)
Здравствуйте!
В данной лекции мы снова продолжим работать с программной «Разграничение доступа пользователей» программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64» и поговорим об остальных настройках прав доступа пользователей комплекса. Рассмотрим установку временных ограничений для сеанса работы и учетной записи пользователя, установку блокировки, стартовой задачи и опций пользователя, а также установку результатов идентификации/аутентификации. Помимо этого мы обсудим, как выполняется активизация подсистемы разграничения доступа.
Итак, установка временных ограничений для сеанса работы и учетной записи пользователя выполняется следующим образом.
В списке пользователей необходимо выбрать пользователя или группу пользователей. Выберем пользователя. В поле «Временные ограничения» отображается информация о наличии временных ограничений данного пользователя. Сейчас они не установлены и указано «Нет». Нажмем на кнопку, расположенную справа от этого поля. На экран выводится окно «Редактирование временных ограничений для пользователя такого-то (указывается имя_пользователя)».
В этом окне мы видим таблицу, в которой строки – это дни недели, а столбцы - временные промежутки (часы).
Ячейки таблицы заполнены знаками «+». Это означает, что в указанные дни недели и в указанное время работа пользователя возможна. Если нажать на ячейку двойным кликом мышки, то значение меняется на «-», это означает, что в данное время работа пользователя будет невозможна.
Удерживая левую кнопку мыши, можно выделить область редактирования. Для того чтобы запретить пользователю работу в выделенной области, необходимо нажать кнопку «Запретить». Для разрешения работы в выделенной области – кнопку «Разрешить». Например, разрешим пользователю работать на компьютере с установленным комплексом только в рабочие дни. Для этого выберем выходные и нажмем «Запретить».
Для выхода из режима редактирования с сохранением, нужно нажать на кнопку «Сохранить», без сохранения – «Отмена». Нажмем «Сохранить». Видим, что в поле «Временные ограничения» значение изменилось на «Да», то есть ограничения установлены.
Следующая настройка – это настройка блокировки пользователя.
Правее поля «Временные ограничения» находится флаг «Блокирован». При установке этого флага все параметры пользователя сохраняются в базе данных, но вход в систему и работа данного пользователя будут запрещены. Данный флаг можно использовать для временной блокировки пользователя. После того, как администратор снимет блокировку, работа пользователя восстановится со всеми установленными настройками. Изменения вступают в силу после перезагрузки компьютера.
Далее давайте рассмотрим поле «стартовая задача». Сейчас оно пустое, так как стартовая задача пользователя не установлена. Нажмем кнопку рядом с этим полем. На экран выводится окно выбора задачи – исполняемого файла. Выбранная задача запускается для данного пользователя после старта операционной системы в качестве программной оболочки (shell) вместо explorer.exe. При этом пользователь может работать только в загруженной программной среде. А рабочий стол Windows, кнопка <Пуск> и панель задач на экран не выводятся. Для примера зададим в качестве такой задачи - блокнот. Для этого выберем его исполняемый файл, он у меня уже выбран и нажмем «Открыть». Видим, что данная стартовая задача теперь отображается в соответствующем поле.
В случае, когда пользователю в рамках его функциональных обязанностей необходимо запускать на выполнение несколько различных задач, то в качестве задачи для запуска можно указать программу AcTskMng.EXE. Данная программа входит в состав комплекса «Аккорд» и находится в каталоге, в который установлен комплекс. По умолчанию – это каталог Accord.x64 на диске С.
Для успешной работы этой программы необходимо создать текстовый файл – список задач, разрешенных для запуска данному пользователю. Имя этого файла должно совпадать с именем пользователя, расширение файла должно быть .ACT. Некоторые подробности о создании данного файла можно прочитать в методических материалах к лекции – документе «Установка правил разграничения доступа на комплекс».
Следующая настройка, которую необходимо выполнить – это установка дополнительных опций пользователя. Для этого используется поле «Опции».
В данном случае в этом поле мы видим все нули – это значит, что не установлена ни одна опция. Для установки опций нажмем кнопку справа от данного поля. На экран выводится окно «Опции». Здесь можно установить следующие флаги:
- Не контролировать UNC имена – контроль уровня секретности информации, помещенной в буфер обмена при использовании мандатного доступа процессов (о нем мы поговорим на одной из следующих лекций);
- Опция удаление файлов с очисткой – означает, что в процессе удаления файлов физическое место файла на жестком диске прописывается последовательностью случайных чисел. При удалении файлы сразу очищаются в корзине;
- Следующая опция – маркировка печати – означает включение для данного пользователя процедуры контроля вывода на печать и маркировки документов. Формат и состав параметров, выводимых на печатную копию, выполняется в программе «Настройка комплекса Аккорд» (о ней мы также поговорим чуть позже);
- Далее идет блокировка клипборда – установка этого параметра позволяет блокировать буфер обмена в целях защиты информации от копирования;
- Опция может изменять дату/время – означает, разрешено ли пользователю изменять дату/время;
- Следующая опция – запрет доступа к общим ресурсам – установка этого параметра запрещает доступ из сети к ресурсам данного компьютера, даже если они описаны в операционной системе как общие ресурсы;
- Опция – полный доступ для АРМ АБИ – означает, разрешать ли полный доступ к файлам и папкам данного компьютера администратору безопасности информации при использовании подсистемы распределенного аудита и управления (о данной подсистеме мы будем говорить на следующих лекциях);
- И последняя опция – проверять доступ к реестру – использовать ли разграничение доступа к разделам и ключам системного реестра.
Для выхода из режима редактирования с сохранением, нужно нажать на кнопку «Сохранить», без сохранения – кнопку «Отмена».
Рассмотрим теперь пункт настроек «Результаты И/А». В данном поле мы видим либо нулевое значение, либо то значение, которое было установлено для пользователя в «Аккорд-АМДЗ». У нас оно нулевое, я предварительно сняла все установленные в «Аккорд-АМДЗ» флаги.
Для установки опций нажмем кнопку справа от этого поля. Появится окно «Результаты И/А». Мы видим некоторое количество флагов, которые можем установить. Все эти флаги показывают нам, какая информация о пользователе, полученная в результате процесса идентификации/аутентификации, передается из контроллера «Аккорд-АМДЗ» в программную подсистему разграничения доступа с целью синхронизации базы данных пользователей. Для передачи в программную подсистему разграничения доступа доступны следующие параметры:
- Идентификатор;
- секретный ключ станции;
- ключ пользователя;
- имя пользователя;
- пароль;
- флаги операционной системы;
- номер пользователя;
- уровень доступа пользователя.
Если ни одна галочка не установлена, то при старте СПО «Аккорд» будет необходимо предъявить идентификатор и ввести пароль, несмотря на то, что идентификация/аутентификация уже была пройдена в «Аккорд-АМДЗ».
Если установлены галочки идентификатор и ключ пользователя, то при логине в ОС пробрасывается идентификатор пользователя и требуется ввести только пароль пользователя, при этом имя пользователя изменить нельзя. Также, отмечу, что в этом случае СПО «Аккорд» выполняет контроль целостности индивидуального списка пользователя.
Если установить галочки идентификатор, секретный ключ станции, ключ пользователя, пароль, то выполняется «Автоматический логин в ОС» - ввода пароля при логине в операционную систему не требуется, идентификатор и пароль берутся из результатов и/а «Аккорд-АМДЗ».
Если ни одна галочка не установлена, то потребуется выполнить повторную идентификацию/аутентификацию пользователя в подсистеме разграничения доступа.
Хотелось бы обратить внимание, что в «Аккорд-АМДЗ», реализованных на базе контроллеров «Аккорд-GX», установка параметров «идентификатор» и «ключ пользователя» является обязательной.
Остальные перечисленные в данном окне флаги, которые мы не рассмотрели, либо использовались в старых версиях операционных систем (а в современных ОС их использование не требуется), либо зарезервированы для дальнейших разработок.
Для выхода из данного окна с сохранением, нужно нажать на кнопку «Сохранить», без сохранения – «Отмена».
У нас уже выставлены галочки идентификатор, секретный ключ станции, ключ пользователя, пароль. Рекомендуется именно этот вариант. Напомню, он означает возможность автоматического логина пользователя в операционную систему, прошедшего идентификацию/аутентификацию в «Аккорд-АМДЗ». Нажмем «Сохранить». В поле «результаты и/а» теперь вместо нулей мы видим 4 единицы, которые означают, какие флаги установлены.
Еще один момент, на который бы хотелось обратить внимание – это активизация подсистемы разграничения доступа комплекса. Для ее выполнения необходимо запустить в «ПУСК» программу «Настройка комплекса «Аккорд», предъявить идентификатор администратора и ввести пароль, затем в левом верхнем углу программы нужно нажать кнопку «Активация монитора разграничения доступа», либо выбрать активацию в меню «Команды». В появившемся окне об успешной установке нужно нажать «Ок». После этого появится запрос на перезагрузку операционной системы, необходимо ее обязательно выполнить, чтобы все изменения вступили в силу и подсистема начала свою работу. Перезагрузимся позднее и нажмем «Нет».
Для снятия системы необходимо нажать кнопку «Снятие средств защиты комплекса» или выбрать «Снятие» в меню «Команды» и также перезагрузить операционную систему, чтобы изменения вступили в силу.
Подведем итог, в данной лекции мы поговорили о настройке некоторых параметров прав доступа пользователей программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64». Рассмотрели установку временных ограничений для сеанса работы и учетной записи пользователя, установку блокировки, стартовой задачи и опций пользователя, а также установку результатов идентификации/аутентификации. Помимо этого мы посмотрели, как выполняется активизация подсистемы разграничения данного комплекса. На следующей лекции мы поговорим о различных режимах контроля целостности объектов.
Спасибо за внимание, до встречи на следующей лекции!