- •Часть III
- •2202 «Автоматизированные система обработки информации и управления»
- •2203 «Программное обеспечение вычислительной техники и автоматизированных систем»
- •2206 «Информационная безопасность»
- •Введение
- •Введение в систему защиты от нсд Dallas Lock 4.0
- •1 Введение
- •1.1 Описание системы
- •1.1.1 Функциональные возможности
- •1.1.2 Общие требования для системы защиты Dallas Lock 4.1
- •1.1.3 Ограничения
- •2 Контрольные вопросы
- •3 Список рекомендуемой литературы
- •Установка системы защиты от нсд Dallas Lock 4.1
- •1 Введение
- •1.1 Подготовка к инсталляции
- •Если на компьютере уже установлена какая-либо система защиты, ее необходимо снять.
- •1.2 Установка адаптера и считывателя
- •1.2.1 Описание плат серии кт-ххх
- •1.3 Инсталляция программного обеспечения
- •1.4 Программа настройки аппаратной части системы защиты confhard.Exe (Dallas Lock Hardware Utility)
- •1.5 Модуль защиты от удаления платы защиты
- •1.6 Программа настройки системы защиты setup
- •1.6.1 Назначение программы setup
- •1.6.2 Запуск
- •1.6.3 Установка и удаление различных модулей системы защиты
- •1.6.4 Настройки
- •1.6.4.1 Журнал работы
- •1.6.4.2 Режим загрузки
- •1.6.4.3 Контроль запуска
- •1.6.5 Восстановление памяти платы
- •1.6.6 Деинсталляция системы защиты Dallas Lock 4.1
- •2 Ход работы
- •3 Содержание отчёта
- •4 Контрольные вопросы
- •5 Список рекомендуемой литературы
- •Настройка прав доступа Администратора и пользователя
- •1 Введение
- •1.1 Оболочка администратора admshell
- •1.1.1 Назначение и возможности оболочки
- •1.1.2 Запуск оболочки
- •1.1.3 Регистрация пользователей
- •1.1.2 Параметры доступа пользователя
- •1.1.3 Параметры доступа администратора
- •1.2 Порядок регистрации пользователя или администратора
- •1.3 Порядок перерегистрации пользователя или администратора
- •1.4 Управление доступом к объектам
- •1.4.1 Дискреционный доступ
- •1.4.1.1 Общие сведения
- •1.4.1.2 Редактирование индивидуального списка доступа к объектам
- •1.4.2 Мандатный доступ
- •1.4.2.1 Общие сведения
- •1.4.2.2 Текущий уровень доступа
- •1.4.2.3 Редактирование списка объектов в окне мандатного доступа
- •1.4.3 Рекомендации по созданию списков доступа к объектам
- •1.5 Права пользователей
- •2 Ход работы
- •3 Содержание отчёта
- •4 Контрольные вопросы
- •5 Список рекомендуемой литературы
- •Настройка журналов СисТемы
- •1 Введение
- •1.1 Журналы
- •1.1.1 Журнал работы пользователей на пэвм
- •1.1.2 Журнал администратора
- •1.1.3 Журнал регистрации входов пользователей на пэвм
- •1.1.4 Журнал попыток несанкционированного входа на пэвм
- •1.1.5 Журнал печати
- •1.2 Окно просмотра журналов
- •1.2.1 Сортировка данных в журнале
- •1.2.2 Меню окна просмотра журнала
- •2 Ход работы
- •3 Содержание отчёта
- •4 Контрольные вопросы
- •5 Список рекомендуемой литературы
- •Дополнительная Настройка СисТемы Dallas Lock 4.0
- •1 Введение
- •1.1 Настройка
- •1.1.1 Редактирование индивидуальных файлов автозапуска
- •1.1.1.1 Рекомендации по составлению файла автозапуска пользователей
- •1.1.2 Настройка процедуры регистрации
- •1.1.3 Настройка размеров журналов
- •1.1.4 Настройка журнала работы
- •1.1.5 Настройка параметров фильтрации
- •1.2 Подсистема контроля целостности файлов системы защиты
- •1.2.1 Назначение и возможности
- •1.2.2 Программа контроля целостности файлов защиты dallas lock integrity manager
- •1.2.2.1 Назначение программы
- •1.2.2.2 Порядок работы с программой
- •2 Ход работы
- •3 Содержание отчёта
- •4 Контрольные вопросы
- •5 Список рекомендуемой литературы
- •Модули системы защиты dallas lock 4.0
- •1 Введение
- •1.1 Модуль временной блокировки компьютера
- •1.1.1 Общее описание модуля временной блокировки
- •1.1.2 Инсталляция, деинсталляция
- •1.1.2.1 Установка и снятие программы принудительной и автоматической блокировки
- •1.1.2.2 Подключение и настройка программы автоматической блокировки
- •1.1.3 Порядок работы
- •1.1.3.1 Принудительная блокировка компьютера
- •1.1.3.2. Автоматическая блокировка компьютера
- •1.2 Программа контроля целостности файлов компьютера file system integrity manager
- •1.2.1 Общее описание программы контроля целостности файлов компьютера
- •1.2.2 Инсталляция, деинсталляция
- •1.2.3 Порядок работы
- •1.2.3.1 Запуск
- •1.2.3.2 Настройка
- •1.2.3.3 Контроль
- •1.2.3.4. Журнал контроля
- •1.2.3.5 Создание отчетов
- •1.3 Модуль контроля целостности запускаемых задач
- •1.3.1 Общее описание модуля контроля целостности запускаемых задач
- •1.3.2 Инсталляция, деинсталляция
- •1.3.3. Порядок работы
- •1.3.3.1 Формирование списка контролируемых файлов. Программа run-time check manager
- •1.3.3.2 Пересчет контрольных сумм
- •1.5 Модуль очистки файла подкачки
- •1.5.1 Общее описание модуля очистки файла подкачки
- •1.5.2 Инсталляция, деинсталляция
- •1.5.3 Порядок работы
- •2 Ход работы
- •3 Содержание отчёта
- •4 Контрольные вопросы
- •5 Список рекомендуемой литературы
- •Групповая игра по обеспечению защиты информации
- •1 Ход работы
- •2 Практическая часть
- •3 Список рекомендуемой литературы
- •Список литературы
техникум защиты от НСД «Dallas Lock 4.1»
Балтийский Информационный Техникум
Солдатов С.А.
Лабораторный практикум
по системам защиты от несанкционированного доступа
Часть III
Система защиты от несанкционированного доступа
Dallas Lock 4.1
для специальностей:
2202 «Автоматизированные система обработки информации и управления»
2203 «Программное обеспечение вычислительной техники и автоматизированных систем»
2206 «Информационная безопасность»
Калининград, 2014
СОДЕРЖАНИЕ
Введение ………………………………………………………………………………...... 3
Семинар. Введение в систему защиты от НСД Dallas Lock 4.0…...................................4
Лабораторная работа №1. Установка системы защиты от НСД Dallas Lock 4.1………8
Лабораторная работа №2. Настройка прав доступа Администратора и пользователя. 20
Лабораторная работа №3. Настройка журналов системы ……………………………... 38
Лабораторная работа №4. Дополнительная настройка системы Dallas Lock 4.0 ……. 46
Лабораторная работа №5. Модули системы защиты Dallas lock 4.0 …………………. 54
Лабораторная работа №6. Групповая игра по обеспечению защиты информации …. 66
Контрольная работа по Dallas Lock. …………………………………………………..... 70
Список литературы ………………………………………………………………………. 72
Введение
Третья часть лабораторного практикума посвящена изучению СЗ от НСД Dallas Lock 4.1. Данное СЗ от НСД является разработкой ООО «Конфидент» и представляет собой программно-аппаратный комплекс основанный на использовании электронные идентификаторы Touch Memory фирмы “Dallas Semiconductor Inc.”
Помимо описанной в методическом пособии системы Dallas Lock 4.1, работающей в ОС Windows 9x, есть более новые версии для работы с ОС Windows NT 4.0, Windows ME, Windows 2000 и Windows XP. Последняя версия системы – Dallas Lock 7.0 для ОС Windows 2000, XP.
Семинар на тему
Введение в систему защиты от нсд Dallas Lock 4.0
Цель семинара: Получение базовых сведений о функциональных возможностях системы защиты от НСД Dallas lock 4.1
1 Введение
1.1 Описание системы
Dallas Lock 4.1 представляет собой программно-аппаратную систему защиты персонального компьютера. Система предназначена для исключения несанкционированного доступа к ресурсам компьютера и разграничения полномочий пользователей. Для идентификации пользователей используются электронные карты и личные пароли.
Dallas Lock 4.1 - это система, обеспечивающая защиту информации на компьютере в среде Windows 95/98.
Входящие в состав программного обеспечения оболочка администратора ADMSHELL и программа SETUP предназначены для настройки, изменения режимов работы системы и просмотра электронных журналов с целью контроля событий, связанных с доступом к компьютеру и действиями пользователей.
Модули статического и “прозрачного” кодирования предназначены для защиты данных пользователя, хранящихся на дискетах и дисках “винчестера”. Генерация кодирующих ключей осуществляется на основании личных паролей и электронных карт Touch Memory.
1.1.1 Функциональные возможности
Система запрещает посторонним лицам доступ к ресурсам компьютера и позволяет АДМИНИСТРАТОРУ безопасности разграничить полномочия ПОЛЬЗОВАТЕЛЕЙ при работе на компьютере.
В качестве средства опознавания пользователей служат электронные идентификаторы Touch Memory фирмы “Dallas Semiconductor Inc.” (США) или карты Proximity фирмы HID corporation. Данные приборы имеют малые размеры, очень удобны в применении и надежны в работе. Число уникальных 48-битовых ключей составляет более 280 триллионов.
Запрос идентификатора при входе на ПЭВМ инициируется из ПЗУ на плате защиты до загрузки операционной системы. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора (электронной карты) и ввода личного пароля.
Поскольку идентификатор и пароль запрашиваются до обращения к дисководам, возможность загрузки с системной дискеты полностью исключается. Перед инсталляцией системы на жесткий диск возможна гибкая настройка аппаратной части путем предварительного выбора адресного пространства ПЗУ платы защиты в свободной области адресов пользовательских ПЗУ, а также адресов портов для работы с электронной
картой.
Поддерживается работа до 32 зарегистрированных пользователей на каждом защищенном компьютере. Один пользователь может быть зарегистрирован на нескольких ПЭВМ с разными полномочиями. Данные о пользователях хранятся в энергонезависимой памяти на плате защиты.
Энергонезависимая память платы защиты содержит образ системных областей компьютера, что позволяет контролировать их целостность.
Обеспечивается защита файлов CONFIG.SYS и MSDOS.SYS от доступа со стороны ПОЛЬЗОВАТЕЛЕЙ.
Для ПОЛЬЗОВАТЕЛЕЙ возможна блокировка клавиатуры на время загрузки компьютера, которая инициируется аппаратной частью защиты и поддерживается программными средствами. Это позволяет избежать пошагового выполнения файлов CONFIG.SYS и AUTOEXEC.BAT или вообще отмену их выполнения. Для АДМИНИСТРАТОРОВ клавиатура не блокируется.
Для ПОЛЬЗОВАТЕЛЕЙ возможно ограничение круга доступных объектов (дисков, папок и файлов) компьютера. Используются два принципа контроля доступа:
мандатный - каждому ПОЛЬЗОВАТЕЛЮ присваивается классификационная метка. ПОЛЬЗОВАТЕЛЬ будет иметь доступ к определенному кругу объектов, определяемых этой меткой;
дискреционный - для каждого ПОЛЬЗОВАТЕЛЯ создается индивидуальный список доступа к объектам. Возможен список запрещенных или разрешенных для доступа объектов.
Обеспечивается ограничение доступа ПОЛЬЗОВАТЕЛЕЙ к компьютеру по времени. Время начала и окончания работы каждого ПОЛЬЗОВАТЕЛЯ на компьютере устанавливается администратором в пределах суток. Интервал времени, в течение которого ПОЛЬЗОВАТЕЛЬ может входить на компьютер со своими правами, может быть установлен от 1 минуты до 23 час. 59 минут (т.е. круглосуточно). Таймер компьютера также может быть защищен от вмешательства ПОЛЬЗОВАТЕЛЕЙ.
Гарантированное удаление информации обеспечивается при установке для ПОЛЬЗОВАТЕЛЯ соответствующих режимов. Информация, удаляемая с дисков компьютера или из оперативной памяти, затирается нулевым кодом.
Разграничение доступа к периферийным устройствам обеспечивается путем управления доступом к последовательным (COM) и параллельным (LPT) портам компьютера.
При регистрации можно создать для каждого пользователя индивидуальный файл автозапуска, который будет выполняться при загрузке операционной системы данным пользователем.
При выполнении процедуры входа на компьютер система анализирует электронную карту и личный пароль пользователя. При этом в электронных журналах фиксируются номер предъявленной карты, имя пользователя, дата и время попытки входа и результат попытки (проход - отказ в доступе), а также причина отказа в загрузке ПЭВМ в случае неудачи. В электронных журналах фиксируются действия ПОЛЬЗОВАТЕЛЕЙ по работе на компьютере, в том числе в отдельном журнале фиксируются обращения пользователей к локальному принтеру. Электронные журналы доступны только АДМИНИСТРАТОРУ.
Пользователи могут самостоятельно менять личные пароли для входа на компьютер. Для усиления защиты информации на компьютере АДМИНИСТРАТОР может включать для ПОЛЬЗОВАТЕЛЕЙ режим принудительной смены пароля входа. ПОЛЬЗОВАТЕЛЬ будет вынужден сменить пароль входа после загрузки компьютера установленного числа раз.
Предусмотрена временная блокировка компьютера с очисткой экрана дисплея, срабатывающая автоматически по истечении времени неактивности ПЭВМ (нет работы с клавиатурой или манипулятором “мышь”). Возможна настройка времени задержки автоблокировки. Разблокировать компьютер можно только с помощью того идентификатора, посредством которого была загружена операционная система.
Для усиления защиты конфиденциальной информации, хранящейся на “винчестере” и дискетах пользователей, предусмотрены модули для кодирования в статическом или “прозрачном” режиме. Данные могут кодироваться с использованием нескольких алгоритмов - по выбору пользователя. Кодирующий ключ может формироваться на основе личного пароля или кода личной электронной карты (личного идентификатора). В “прозрачном” режиме информация кодируется при записи и раскодируется при чтении с носителя. Процесс кодирования незаметен для пользователя.
Модули контроля целостности объектов компьютера обеспечивают:
автоматический контроль целостности файлов системы защиты и блокирование входа ПОЛЬЗОВАТЕЛЕЙ на компьютер при выявлении изменений;
контроль целостности запускаемых программ и блокировку запуска при выявлении изменений;
контроль целостности информации пользователя;
контроль целостности CMOS-памяти компьютера;
контроль целостности энергонезависимой памяти платы защиты;
обнаружение создания новых файлов.
Модуль входа в сеть по Touch Memory (устанавливается только при использовании в качестве идентификаторов электронных карт Touch Memory) позволяет вместо ввода имени и пароля пользователя при регистрации в сети предъявлять предварительно зарегистрированную карту Touch Memory типов DS1992 - DS1996. Это повышает удобство процедуры идентификации.
Дополнительные сервисные функции предоставляет модуль Картотека, позволяющий вести учет выданных пользователям электронных карт, а также хранить некоторые данные о самих пользователях.
Работа ПОЛЬЗОВАТЕЛЕЙ вне Windows 95/98 (в режиме эмуляции MS-DOS) невозможна. При попытке ПОЛЬЗОВАТЕЛЯ перейти в режим эмуляции MS-DOS компьютер перезагружается. АДМИНИСТРАТОРАМ работа в режиме эмуляции MS-DOS по-прежнему остается доступна.
Ограничение. Загрузка драйвера защиты PROT95.SYS в верхнюю память (команда DEVICEHIGH) не допускается.