Полномочия пользователей на администрирование системы защиты
В Dallas Lock 7.0 полномочия на администрирование системы защиты определяют статус пользователя. В зависимости от предоставленных полномочий на администрирование, каждый пользователь может быть отнесен к одной из трех категорий:
администратор безопасности(администратор) - пользователь, наделенный всеми полномочиями на администрирование системы защиты. Администраторов безопасности может быть несколько;
привилегированный пользователь- пользователь, наделенный некоторыми полномочиями на администрирование системы защиты;
рядовой пользователь- пользователь, не имеющий полномочий на администрирование системы защиты.
Администратор может выполнять следующие действия по управлению работой системы защиты:
- управлять регистрацией пользователей (создавать и удалять пользователей и группы пользователей; управлять составом групп);
- изменять свойства пользователей;
- предоставлять другим пользователям полномочия на администрирование;
- управлять работой пользователей (изменять его права и полномочия);
- управлять параметрами безопасности;
- переустанавливать, удалять и отключать систему защиты;
- управлять аудитом (ведением, просмотром, очисткой журналов).
Для того чтобы некоторый пользователь N имел возможность предоставлять другим пользователям полномочия на администрирование системы защиты, необходимо соблюдение двух условий:
- пользователь N должен быть наделен полномочием на редактирование параметров безопасности;
- пользователь N должен сам обладать тем полномочием, которое хочет предоставить другим пользователям.
Для предоставления пользователю какого-либо полномочия на администрирование необходимо воспользоваться пунктом Права пользователей в оболочке администратора. Здесь в правой панели перечислены все полномочия, которые могут быть предоставлены пользователю.
Если при предоставлении любого полномочия выбрать группу Все, то данным полномочием будут обладать все пользователи, зарегистрированные в системе защиты
В системе защиты реализован механизм контроля за распространением полномочий. Осуществление этого контроля позволяет пользователю предоставлять другим пользователям только те полномочия, которыми он наделен сам. Например, если пользователь имеет право регистрировать других пользователей, и обладает уровнем доступа к секретным данным, то и вновь зарегистрированным пользователям он сможет назначить уровень доступа к секретным или к открытым данным, но не сумеет предоставить им доступ к совершенно секретным данным. Если пользователь не наделен полномочием на управление аудитом, то и никакому другому пользователю он не сумеет предоставить это полномочие.
При пытке предоставить другому пользователю полномочие, которым данный пользователь сам не обладает, система защиты выведет предупреждение: «Доступ запрещен». Пользователь не сможет назначить сам себе дополнительное полномочие, повысить уровень доступа, включить себя в группу, обладающую расширенными по сравнению с данным пользователем правами.
Примечание. Пользователь, обладающий полномочием на редактирование параметров безопасности, может лишить любых пользователей любых полномочий, даже тех, которыми он сам не обладает, может понизить свои полномочия и полномочия других пользователей. Если пользователь сам себя лишил какого-либо полномочия, то восстановить это полномочие он не сможет.
Если пользователю предоставлены полномочия на просмотр Журнала входови/или Журнала доступа к ресурсами/илиЖурнала печатии/илиЖурнала управления параметрами безопасности,то в оболочке Администратора становится доступен пункт с именем одноименного журнала, и пользователь может его просмотреть. Для удобства просмотра используется фильтрация. Изменять размер журнала и очищать его может только тот пользователь, которому предоставлены права на управление аудитом.
Пользователю можно предоставить полномочия на аудит контроля целостности. Это позволяет ему увидеть, включен ли контроль целостности для данного объекта файловой системы, и какой алгоритм при этом используется.
Чтобы узнать, осуществляется ли проверка целостности BIOS, Boot сектора, CMOS и MBR жесткого диска, необходимо активировать пункт Контроль целостности ПЭВМ в оболочке Администратора. Напротив каждого перечисленного на правой панели параметра в графе «Значение» отобразится либо название алгоритма для подсчета контрольных сумм, либо сообщение о том, что контроль выключен.
Галочка, проставленная в поле «Проверять при загрузке компьютера», свидетельствует о том, что данный объект контролируется при загрузке. Галочка, проставленная в поле «Проверять при доступе», свидетельствует о том, что целостность данного файла контролируется каждый раз при доступе к нему.
Пользователь, обладающий полномочием на деактивацию Dallas Lock, имеет право деактивировать систему защиты. По умолчанию этим правом обладает только Супервизор.
Если пользователю предоставлено полномочие на изменение системного времени, то он может изменять системное время. В противном случае при попытке изменения системного времени на экран будет выведено запрещение:
Параметры безопасности системы защиты полностью определяют ее работу. Пользователю могут быть предоставлены полномочия на управление параметрами безопасности как совокупность действий, позволяющую просматривать и изменять значения параметров безопасности.
Если просмотр параметров безопасности разрешен данному пользователю, то он может увидеть все значения параметров безопасности, установленные в системе и распределение полномочий между пользователями (какому пользователю предоставлены те или иные полномочия).
Если полномочие редактирования параметров предоставлено, пользователь может делегировать все свои полномочия другим пользователям с учетом действия контроля за распространением полномочий. Осуществление этого контроля не позволяет пользователю, не наделенному каким-либо полномочием на администрирование, предоставлять это полномочие другому пользователю.
Под аудитом понимается совокупность мер, связанных с регистрацией и анализом событий, относящихся к работе на защищенном компьютере.
Если в полномочия пользователя входит управление аудитом, то он может включать аудит для любого объекта файловой системы. При этом пользователь имеет возможность выбрать, результаты каких операций должны быть запротоколированы и успешное или неудачное событие нужно зарегистрировать.
Предоставление пользователю полномочия на управление входом позволяет ему устанавливать значения параметров для входа на защищенный компьютер. Кроме того, данное полномочие дает возможность регистрировать и редактировать ключи удаленного доступа.
Предоставление пользователю полномочия на управление очисткой позволяет ему устанавливать значения параметров, регулирующих процесс очистки остаточной информации. Предоставление пользователю данного полномочия на управление преобразованием дисков позволяет ему устанавливать значения параметров, регулирующих процесс преобразования дисков.
Предоставление полномочий на управление ресурсами обеспечивает пользователю возможность устанавливать для любого объекта нужные значения параметров безопасности применительно к любому пользователю. Совокупность значений параметров безопасности, установленных для данного пользователя по отношению к конкретному ресурсу, определяет права доступа пользователя к этому ресурсу.
Предоставление пользователю полномочия на просмотр параметров ресурсов позволяет ему для любого объекта файловой системы увидеть:
- классификационную метку мандатного доступа (открытые данные, секретные данные, сов. секретные данные);
- наличие или отсутствие контроля целостности и алгоритм подсчета (если установлен контроль) контрольной суммы ;
- аудит каких событий ведется.
Если пользователю дополнительно предоставлено право наЧтение или Изменение разрешений, то он сможет просмотреть параметры безопасности данного объекта, установленные для любого пользователя.
Для управления дискреционным доступом пользователю необходимо:
- предоставить полномочия на управление дискреционным доступом;
- предоставить возможность разрешать или запрещать другим пользователям производить определенные операции с объектами файловой системы, иными словами предоставить право на Изменение разрешений.
После этого пользователь получает возможность каждому ресурсу файловой системы сопоставить список пользователей и/или групп пользователей и каждому пользователю из списка разрешить или запретить определенную операцию с данным ресурсом.
Для предоставления пользователю права на Изменение разрешений для всех объектов файловой системы нужно активизировать пункт Параметры ресурсов в левой панели оболочки администратора.
Право на изменение разрешений может быть предоставлено пользователю не одновременно для всех объектов файловой системы, а выборочно: для сменных дисков, для удаленных дисков, для фиксированных дисков
Предоставление пользователю полномочий на управление контролем целостности позволяет назначить или отменить контроль целостности любому объекту файловой системы.
При предоставлении пользователю полномочий на управление мандатным доступом он получает возможность назначать любому объекту файловой системы уровень конфиденциальности, определяемый уровнем секретности.
Предоставление полномочий на управление мандатным доступом имеет смысл только для тех пользователей, которые обладают уровнем доступа к Сов. секретным и Секретным данным. При этом пользователь сможет назначить любому объекту файловой системы уровень конфиденциальности, не превышающий собственный уровень доступа. Например, пользователь, имеющий уровень доступа к секретным данным, сможет назначить любому объекту файловой системы уровень конфиденциальности Секретные данные, а пользователь, обладающий доступом к Сов. секретным данным, сможет присваивать ресурсам метку Сов. секретных и Секретных данных.
Если для пользователя установлено завершение работы по расписанию, то в момент окончания разрешенного времени работы система защиты выдаст сообщение, о необходимости закончить работу.
Пользователь должен сохранить все данные и закрыть запущенные приложения. В противном случае по истечении пятиминутного промежутка времени после выхода из окна сообщения система автоматически завершит сеанс текущего пользователя. Не сохраненные данные при этом будут утеряны.
Для того, чтобы иметь возможность назначать пользователям определенный уровень доступа, необходимо:
обладать полномочием на управление мандатным доступом;
иметь соответствующий уровень доступа
пользователь, обладающий уровнем доступа к Сов. секретным объектам, может назначить другим пользователям уровень доступа к Секретным и Сов. секретным объектам,
пользователь, обладающий уровнем доступа к Секретным объектам, может назначить другим пользователям уровень доступа не выше, чем к Секретным объектам.
Полномочия для работы с учетными записями предоставляет пользователю возможность просматривать, создавать, редактировать и удалять учетные записи.
Если пользователю разрешен просмотр, он может просматривать учетные записи, разрешение на редактирование, соответственно, означает возможность редактирования учетных записей. Аналогично полномочия на создание и удаление позволят создавать и удалять учетные записи.
Внимание! Для того, чтобы пользователь имел возможность создавать, удалять и редактировать учетные записи, он должен быть зарегистрирован как администратор в ОС. При этом в системе защиты он автоматически попадает в группу администраторов.
Примечание. Пользователь, которому предоставлено право работы с учетными записями, но не входящий в группу администраторов, может создавать новых пользователей системы защиты на базе уже имеющихся пользователей ОС.
Система защиты обеспечивает возможность управлять доступом пользователя к последовательным (COM) и параллельным (LPT) портам компьютера, а так же к USB-шине. Тем самым любому пользователю можно запретить/разрешить доступ к периферийным устройствам компьютера.
Для удобства работы в системе защиты предусмотрена возможность выполнения одной операции одновременно с несколькими объектами файловой системы или с несколькими пользователями.
Удаленный доступ
Если защищенный компьютер включен в ЛВС, то информация, хранящаяся на этом компьютере, защищена от несанкционированного доступа по сети.
Возможны две ситуации:
Пользователь обращается к компьютеру, защищенному СЗИ НСД Dallas Lock 7.0, с компьютера, на котором эта система не установлена
На обоих компьютерах, и на том, с которого обращаются и на том, к которому обращаются, установлена система защиты.
На защищенном компьютере по умолчанию зарегистрирован пользователь под именем anonymous и с паролем.Чтобы разрешить доступ к защищенному компьютеру по сети в определяемых администратором пределах для пользователя anonymous обязательно нужно установить право удаленного доступа. Все остальные права администратор определяет согласно проводимой политике безопасности.
В такой ситуации со всех компьютеров, включенных в ЛВС, но не защищенных СЗИ НСД Dallas Lock 7.0, можно будет обратиться к защищенному компьютеру и получить доступ к его ресурсам в рамках прав, установленных для пользователя anonymous.
Если система защиты установлена на нескольких компьютерах, входящих в ЛВС, то для работы по сети необходимо ввести ключи удаленного доступа.
Каждый защищенный компьютер имеет свой ключ удаленного доступа, который первоначально совпадает с паролем супервизора. В дальнейшем этот ключ может быть изменен. Для доступа к защищенному компьютеру К2 с защищенного компьютера К1 необходимо на К1 зарегистрировать ключ удаленного доступа К2. Для этого активизируется пункт Ключи удаленного доступа.
Возможна ситуация, когда ключи удаленного доступа на разных компьютерах совпадают (если, например, при установке на разные компьютеры использовался один тот же файл конфигурации). В этом случае нет необходимости вводить ключи удаленного доступа.
Если ключ компьютера К2 зарегистрирован на компьютере К1, то пользователь сможет обратиться с К1 на К2 при соблюдении следующих условий:
Пользователь должен иметь право удаленного доступа.
Пользователь должен быть зарегистрирован на обоих компьютерах. Права и полномочия, предоставленные пользователю на этих компьютерах, могут быть разными.
В этом случае пользователь может получить доступ к ресурсам файловой системы в соответствии с теми правами, которыми он обладает на компьютере К2.
Примечание. Для удаленного администрирования используется протокол TCP/IP port 17484.
3. Оборудование
ПЭВМ с установленной СЗИ DL 7.0, подключенная в локальную сеть. Руководство по эксплуатации.
4. Задание на работу
4.1 Изучить механизм контроля целостности объектов в системе защиты информации.
4.2 Изучить механизм очистки остаточной информации.
4.3 Освоить использование функции преобразования дисков.
4.4 Изучить параметры аудита и полномочия пользователей на управление параметрами безопасности.
4.6 Изучить порядок удаленного доступа к компьютеру с установленной СЗИ.
5. Порядок выполнения работы
5.1 Загрузить ПЭВМ с установленной СЗИ с правами администратора.
5.2 Выделить в меню администратора пункт "Контроль целостности" и изучить соответствующую вкладку программной оболочки. Для выбранного объекта файловой системы установить заданные преподавателем параметры контроля целостности. Путем изменения объекта убедиться в работоспособности системы контроля целостности.
5.3 Выделить в меню администратора пункт "Полтика очистки остаточной информации" и изучить соответствующую вкладку программной оболочки. Убедиться в работоспособности программы, осуществляющей затирание освобождаемого дискового пространства.
5.4 Выделить в меню администратора пункт "Преобразование дисков" и изучить соответствующую вкладку программной оболочки. Задать преобразование области жесткого диска, указанной преподавателем и после перезагрузки компьютера прочить содержимое соответствующего сектора до и после перезагрузки компьютера.
5.5 Ознакомиться с порядком предоставления полномочий пользователям. Выделить в меню администратора пункт "Права пользователей" и для специально созданного пользователя (группы) предоставить полномочия по управлению параметрами безопасности, заданные преподавателем. Перезагрузить компьютер с правами указанного пользователя и убедиться в действительных полномочиях. Перезагрузить компьютер с правами администратора и средствами аудита зафиксируйте измененные параметры безопасности.
5.6 Создать на защищенном компьютере объект, открытый для удаленного доступа и с помощью другого компьютера, объединенного в сеть с первым, осуществить чтение файла указанного объекта.
6. Содержание отчета.
Отчет должен содержать цель работы и задание на работу, возможности меню контроля целостности и результаты контроля объекта, фрагмент данных, образованных при затирании освободившегося дискового пространства; фрагменты дискового пространства до и после преобразования; информацию об изменении полномочий пользователя и последующих параметров политики безопасности (содержимое журналов); описание порядка удаленного доступа.
7. Контрольные вопросы
7.1 Какие объекты системы CЗИ позволяет контролировать на целостность и с помощью каких функций?
7.2 Как задать проверку контроля целостности объекта файловой системы?
7.3 Какие параметры политики очистки остаточной информации позволяет применить система? Как они устанавливаются?
7.4 Какие параметры преобразования дисков позволяет применить система защиты информации?
7.5 Как изменить полномочия пользователя по администрированию системы защиты?
7.6 Каким образом осуществляется удаленный доступ к компьютеру, защищенному системой DL 7.0?
7.7 Какие обязательные настройки необходимо выполнить в системе, чтобы она относилась к четвертому классу защищенности?
Лабораторная работа № 6
Резервное копирование информации. Создание и восстановление образа диска
1. Цель и задачи работы
Ознакомиться со средствами резервного копирования информации в защищенных автоматизированных системах. Изучить возможности программ резервного копирования дисков GHOST, Acronis и получить практические навыки использования этих программ.
2. Теоретические положения