Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014
Установка правил разграничения доступа (ПРД) к объектам доступа
СЗИ НСД «Аккорд» поддерживает два типа управления правилами разграничения доступа:
•дискреционный механизм ПРД;
•мандатный механизм ПРД.
Система атрибутов доступа и особенности ее реализации описаны в соответствующем пункте данной лабораторной работы. Можно использовать отдельно каждый механизм управления. Возможен вариант использования комбинированной политики безопасности с применением обоих механизмов задания ПРД.
Установка доступа к объектам с использованием дискреционного метода ПРД
Если в файле accord.ini установлены параметры Discrete Access = Yes и Mandatory Access = No, то используется только дискреционный механизм задания и контроля ПРД. Выбор механизма управления ПРД можно осуществлять в программе настройки комплекса «Аккорд».
Вглавном окне программы (рис. 14.13) нажмите мышкой правую кнопку в строке «Разграничение доступа», и на экран выводится окно со списком правил доступа пользователя к ресурсам ПЭВМ (АС), показанное на рисунке. По умолчанию выведен перечень всех доступных корневых каталогов (для корневых каталогов смонтированных сетевых дисков указано полное сетевое имя), ключей реестра (строки, начинающиеся с «\HKEY_»), сетевых и локальных принтеров.
Вэтом окне нет деления на диски, каталоги, файлы и т.д., а ведется один общий список объектов. Для того чтобы запретить доступ к логическому диску, достаточно исключить корневой каталог этого диска из списка объектов.
Если какой-либо объект (каталог, файл, раздел реестра, сетевой ресурс, устройство или очередь печати) ЯВНО прописан в списке, то для него действуют установленные ПРД, независимо от атрибутов наследования объектов вышестоящего уровня. Для того чтобы сделать какой-либо файл, или каталог «скрытым», т.е. полностью
366
запретить к нему доступ, нужно включить его в список объектов, но не назначать ни одного атрибута доступа.
В список объектов для обычных пользователей уже включены ограничения, которые защищают от модификации программные компоненты комплекса «Аккорд».
Рис. 14.13. Окно установки дискреционных ПРД к объектам
В списке объектов (см. рис. 14.13) можно выбрать строку с именем объекта и нажать кнопку «Редактировать», или клавишу <Enter> ‒ выводится окно атрибутов доступа данного объекта, показанное на рис. 14.14.
При установке дискреционных ПРД могут использоваться следующие атрибуты доступа.
Операции с файлами:
R ‒ разрешение на открытие файлов только для чтения. W ‒ разрешение на открытие файлов для записи.
C ‒ разрешение на создание файлов на диске. D ‒ разрешение на удаление файлов.
367
N ‒ разрешение на переименование файлов.
V ‒ видимость файлов. Позволяет делать существующие файлы невидимыми для пользовательских программ. Доступ возможен только по полному пути в формате Windows NT. Этот параметр имеет более высокий приоритет, чем R,W,D,N,O.
О ‒ эмуляция разрешения на запись информации при открытии файла. Этот параметр имеет более низкий приоритет, чем W (открыть для записи). Параметр может пригодиться в том случае, если программа по умолчанию открывает файл для чтения/записи, а мы хотим разрешить пользователю только просмотр файла.
Рис. 14.14. Атрибуты доступа к объекту
Операции с каталогом:
M ‒ создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
368
Е ‒ удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
G ‒ разрешение перехода в этот каталог.
n – переименование каталога. В ОС Windows, например, удаление папки в «корзину» – это, на самом деле, переименование каталога.
Прочее:
Х ‒ разрешение на запуск программ.
Регистрация:
r ‒ в журнале регистрируются все операции чтения для данного объекта.
w ‒ в журнале регистрируются все операции записи для данного объекта.
Эти два атрибута могут понадобиться в том случае, когда доступ к объекту разрешен, но по регламенту должны фиксироваться факты работы пользователя с данным объектом. При низком уровне детальности журнала (это нормальный рабочий режим) фиксируются попытки НСД и запуск программ. Вместо увеличения уровня детальности, что приведет к резкому росту объема журналов, можно использовать атрибуты принудительной регистрации для отдельных объектов.
Для каталогов, в том числе и корневого каталога диска, устанавливается отдельный атрибут, который очень важен для реализации ПРД – это параметр наследования прав доступа.
Параметр наследования прав доступа может принимать три значения:
S – параметры доступа наследуются существующими и созданными в дальнейшем подкаталогами всех уровней текущего каталога, т.е. для них устанавливаются те же параметры доступа, что и у "родительского" каталога, при этом для отдельных подкаталогов можно явно определять атрибуты доступа;
1 – параметры доступа текущего каталога наследуется только подкаталогами следующего уровня;
0 – параметры доступа текущего каталога не наследуются подкаталогами.
Например, если для корня дерева каталогов диска C:\ установить атрибут 0, доступными будут только файлы в корневом каталоге, а остальные каталоги для данного пользователя как бы не су-
369
ществуют. Каталог на диске C:\ будет доступен пользователю (с любой непротиворечивой комбинацией атрибутов) только при явном его описании в списке прав доступа. Если для корневого каталога C:\ установить атрибут S, то все его файлы, каталоги и подкаталоги доступны пользователю и правила доступа к ним определяется атрибутами, установленными для C:\. В этом случае отдельный каталог можно включить в список ПРД и установить для него персональные атрибуты, отличные от "родительских". Еще раз подчеркиваем, что, если какой-либо объект явно прописан в списке доступа, то для него действуют установленные ПРД, независимо от атрибутов наследования объектов вышестоящего уровня.
Примечание. При вводе имени файла можно пользоваться простым групповым обозначением имени файла, используя шаблон *.расширение. Например, можно *.bak, *.exe и т.п., нельзя *a.exe, a*.bat, &a.dat, ?a.dat, a.* и т.п.
Если необходимый объект отсутствует в списке (рис. 14.13), его можно добавить, нажав кнопку «Новый» или клавишу <Insert> – на экран выводится расширенное окно «Атрибуты доступа к объек-
там» (рис. 14.15).
Слева в этом окне отображен список всех объектов. Каждый объект выделен цветом, соответствующим наследованию прав доступа и наличию объекта в списке разграничения прав доступа
(табл. 14.1).
|
|
Таблица 14.1 |
|
|
|
|
|
Наличие объекта |
Атрибут наследования |
Цвет |
|
в списке |
прав доступа |
|
|
Есть |
Полное наследование |
Зеленый |
|
Есть |
Наследование на один |
Синий |
|
|
уровень |
|
|
Есть |
Нет наследования |
Красный |
|
Нет |
Атрибуты доступа |
Коричневый |
|
|
наследуются |
|
|
Нет |
Нет доступа |
Черный |
|
Если переместить курсов в поле «Имя объекта», то объект можно ввести с клавиатуры, соблюдая правила синтаксиса, и установить для него необходимые атрибуты. С помощью мыши также
370