Если у вас возникли вопросы, или появилось предложение, напишите нам
Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (9/11)
Дискреционный механизм управления доступом. Установка ПРД к сетевым ресурсам, съемным и стационарным устройствам
Здравствуйте!
В данной лекции мы продолжим разговор о том, как происходит задание правил разграничения доступа в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64» и поговорим об установке ПРД к сетевым ресурсам, съемным и стационарным устройствам.
Итак, первое, что мы рассмотрим – это установка ПРД к сетевым ресурсам.
Для этого, как и на прошлой лекции, в нижнем углу программы «Редактор базы пользователей» нажмем кнопку рядом с полем «Разграничение доступа». Появится окно «Редактирование правил разграничения доступа для пользователя такого-то». Напомню, что в этом окне по умолчанию выведен перечень всех доступных корневых каталогов (для сетевых корневых каталогов указано полное сетевое имя), ключей реестра, сетевых и локальных принтеров.
По умолчанию обычному пользователю запрещены все сетевые ресурсы. Для разрешения доступа нужно явно указать полное сетевое имя ресурса. Это относится и к сетевым принтерам, или очередям печати. Если правила доступа к сетевым ресурсам определяются администратором домена (сервера), то можно задать универсальный сетевой ресурс. Для этого нажмем кнопку «Новый». В появившемся окне нужно добавить новый объект «\\» путем ввода с клавиатуры. Затем нужно установить полный доступ и наследование на все подкаталоги. Нажмем «Полный», выберем «На все подкаталоги», затем нажмем «Сохранить» и «Закрыть». Видим, что универсальный сетевой ресурс добавлен в список объектов с полными правами. При задании параметров доступа к сетевым ресурсам, необходимо указывать полное сетевое имя ресурса (например: \\SERVER1\VOL2\DOC1\).
Далее давайте поговорим об установке ПРД к съемным устройствам.
Под съемными устройствами понимаются USB флэш-диски, USB Zip-диски, floppy и сменные жесткие диски HDD.
Обращу внимание, что процедура описания правил доступа к съемным устройствам выполняется корректно только в том случае, когда такое устройство подключено к компьютеру ДО запуска программы «Редактор базы пользователей», и остается подключенным до завершения процедуры сохранения базы данных пользователей в программе.
Для демонстрации работы со съемными носителями до запуска программы в USB-порт компьютера была подключена обыкновенная флешка.
До начала установки ПРД для данного устройства необходимо, чтобы USB-устройство предварительно было включено в список устройств, разрешенных к использованию на данном компьютере.
Для редактирования списка разрешенных устройств необходимо нажать кнопку <USB/SD>. Нажмем ее. Открывается окно редактирования списка устройств.
По умолчанию для обычных пользователей в список разрешенных USB-устройств уже включена запись со звездочками («USB, Vid=*, Pid=*, Sn=*, -, Allowed all USB devices!»). Это означает, что любое USB-устройство разрешено для доступа.
Если администратора безопасности не устраивает такая ситуация, ему необходимо удалить эту строчку из списка объектов доступа с помощью кнопки «Удалить». А затем назначить конкретные устройства, к которым доступ будет разрешен.
Обращу внимание, что если удалена данная запись со звездочкми («USB, Vid=*, Pid=*, Sn=*, -, Allowed all USB devices!»), то для нормальной работы клавиатуры и мыши, подключенных по USB, запись о них нужно добавить в список. У меня подключена USB-мышь, добавим ее в разрешенные устройства с помощью кнопки «Добавить».
В верхней части окна по умолчанию включен флаг «Только подключенные устройства». В этом режиме в списке доступных устройств отображаются только те, которые в данный момент подключены к компьютеру. Если в списке нет устройства, нужно нажать кнопку «Обновить». По этой команде выполняется поиск подключенных USB устройств и они появляются в «Списке всех USB устройств в системе».
Выберем устройство, доступ к которому хотим разрешить данному пользователю – это наша флешка, которую я подключила до запуска программы. Нажмем кнопку «Добавить» и USB устройство появится в «Списке разрешенных для использования USB устройств». Мы видим его VID, PID и серийный номер.
Чтобы включить несколько устройств, нужно повторить операцию выбора и добавления устройств. Для завершения процедуры выбора нужно нажать кнопку «Ок» и выбранные устройства появятся в списке объектов. Мы видим, что в список объектов контроля добавлена наша флешка.
Вернемся снова к редактированию списка разрешенных устройств. Нажмем кнопку <USB/SD>.
Можно использовать другой режим добавления устройств, когда снят флаг «Только подключенные устройства». В этом случае в списке выводятся идентификационные параметры устройств, которые подключены к компьютеру в данный момент и подключались ранее – все эти сведения сохраняются операционной системой. Пользоваться этим режимом следует с осторожностью, и только в том случае, когда Вам точно известен серийный номер того устройства, доступ к которому будет разрешен.
Теперь перейдем в закладку «Secure Digital», в ней можно точно так же сформировать список разрешенных для использования карт памяти. Сейчас разрешены все. У нас не подключено ни одно такое устройство, поэтому список всех пуст. Процесс регистрации SD карт аналогичен процессу регистрации USB-устройств, но имеет одну особенность. Если устройство считывания карт подключено к USB порту, то в списке устройств в операционной системе отображается одно единственное устройство, а серийные номера карт будут недоступны. Администратор не сможет формировать список SD карт по уникальным номерам. Поэтому в автоматизированных системах, в которых обрабатывается конфиденциальная и секретная информация, следует избегать подключения считывателя карт через USB.
Выйдем из данного окна, для этого нажмем на кнопку «Отмена».
Обращу внимание, что если USB-устройство – это съемный диск (флоппи, Zip, CD, флэш – не важно), то после включения его в список разрешенных устройств, нужно описать правила доступа к тому логическому съемному диску, который монтируется в системе после подключения физического устройства к компьютеру. Если такую операцию не выполнить, то съемный диск останется недоступным после подключения к компьютеру, т.к. все логические диски, не включенные в список ПРД, запрещены. Атрибуты доступа устанавливаются стандартным образом, мы этот момент уже рассматривали подробно на прошлой лекции.
Рассмотрим только некоторые нюансы.
Нажмем кнопку «Новые», открывается окно «Атрибуты доступа к объектам». Выберем «USB-накопитель» в списке. Обратим внимание, что в поле «Имя объекта» для данного устройства отображается его VID, PID и серийный номер.
Установим ему ПРД, нажав, например, кнопку «Полный». Затем сохраним изменения кнопкой «Сохранить» и нажмем «Закрыть».
После описания правил доступа для данного устройства в окне «Редактирование правил разграничения доступа» будет добавлена запись следующего вида:
(#USB\VID=%номер vid%\PID=%номер pid%\SN=%серийный номер% )
с описанными для данного устройства ПРД.
В дальнейшем при работе пользователя после подключения соответствующего устройства для него будут действовать установленные ПРД.
Установка ПРД возможна как непосредственно к самому устройству целиком, так и к отдельным каталогам и файлам, содержащимся на нем.
Снова нажмем кнопку «Новый».
Для разрешения доступа ко всем USB-накопителям в окне «Атрибуты доступа к объектам» в поле «Имя объекта» нужно добавить запись: #USB\
Для сохранения нужно нажать кнопку «Сохранить».
Для разрешения доступа к заданным USB-накопителям определенного производителя в окне задания атрибутов доступа к объектам нужно добавить запись следующего вида:
(#USB\VID=XXXX\PID=YYYY\), где XXXX, YYYY – соответствующие значения VID и PID соответственно.
И затем также нажать кнопку «Сохранить». Для закрытия окна нужно нажать кнопку «Закрыть».
При необходимости можно воспользоваться дополнительной возможностью задания простых имён устройствам, для которых уже заданы правила доступа. Для этого необходимо в окне «Редактирование правил разграничения доступа» выбрать нужное устройство. Выберем нашу флешку. Затем нужно нажать на выбранном устройстве правой кнопкой мышки и в выпадающем списке выбрать пункт «Установить имя USB-диска». В появившемся далее окне необходимо задать имя для диска, которое в дальнейшем будет отображаться в списке правил разграничения доступа. Введем, например, «MY» и нажмем на кнопку «Oк». После этого заданное имя отобразится в списке объектов в следующем виде (#USB\%MY%#0\).
Еще один важный момент – регулирование доступа к стационарным устройствам, которые входят в состав компьютера. В список объектов можно включить такие устройства, как Com1, Com2, LPT1.
Для настройки ПРД к устройствам необходимо в программе «Настройка комплекса «Аккорд» включить флаг «Контроль доступа к устройствам». Он находится в меню «Параметры» - «Дополнительные опции» на закладке «Контроль» в пункте «Дополнительные подсистемы». У нас этот флаг был установлен ранее. По умолчанию он не установлен, нужно его установить и нажать кнопку «Принять». Затем выйти из программы с сохранением.
Далее вернемся в программу «Редактор прав доступа» и в окне «Редактирование правил разграничения доступа» нажмем кнопку «Новый». В появившемся окне «Атрибуты доступа к объектам» мы видим еще один новый класс объектов – «Устройства», который не был бы виден без установленной раннее галочки «Контроль доступа к устройствам».
По умолчанию все устройства разрешены. Можно выбрать конкретное устройство, например, «Порт принтера LPT1». Видим, что для него ни одна галочка не активна. Необходимо нажать «Сохранить». После этого объект в левой части окна будет выделен красным цветом. Это означает, что устройство «заблокировано», то есть доступ к нему невозможен. Если выбрать класс устройств, то можно заблокировать все устройства этого класса аналогично. Выберем класс устройств, например, «Порты (COM и LPT)» и нажмем «Сохранить». Все устройства данного класса заблокированы. При этом любое выбранное устройство, принадлежащее к данному классу, можно разблокировать. Для этого нужно выбрать устройство и снова нажать «Сохранить».
Итак, в данной лекции мы поговорили о том, как происходит задание правил разграничения доступа в программно-аппаратном комплексе СЗИ от НСД «Аккорд-Win64», рассмотрели установку ПРД к сетевым ресурсам, съемным и стационарным устройствам. На следующей лекции мы поговорим о мандатном механизме разграничения доступа.
Спасибо за внимание, до встречи на следующей лекции!