ПАМЗИ практикум
.pdf
тановка запрета загрузки с внешних носителей в настройках BIOS Setup, подкрепляемая паролем.
Рис. 3.39. Окно преобразования дисков
ВЫПОЛНИТЬ!
28.Подготовьте загрузочный носитель (дискету или CD-ROM), позволяющую осуществлять монтирование разделов с файловой системой NTFS. Перезагрузите компьютер, убедитесь, что в настройках BIOS Setup разрешена загрузка с внешнего носителя (рис. 3.40).
29.Загрузите компьютер с внешнего носителя, убедитесь, что в обход механизмов защиты СЗИ при отсутствии преобразования дисков возможно получение доступа к защищаемой информации любой степени конфиденциальности.
30.Загрузите СЗИ «Dallas Lock 7.0» с правами администратора. Выполните преобразование начальной области диска С: размером 100 кб (выберите вариант «Произвольная область», начало — 0 кб, размер 100 кб).
Внимание! Преобразование всего диска объемом 2 Гб занимает более 30 минут, что неприемлемо на практических занятиях, ограниченных по времени проведения. Преобразование только 100 кб начальной области, которое осуществляется в течение нескольких секунд, рекомендуется производить только в
140
процессе обучения. Для полноценной защиты от НСД в соответствии с требованиями четвертого класса защищенности [6] необходимо выполнить преобразование всего диска.
Рис. 3.40. Окно настройки BIOS Setup
31.Еще раз загрузите компьютер с внешнего носителя, убедитесь, что при включенном режиме преобразования дисков невозможно получение доступа к защищаемой информации в обход механизмов защиты СЗИ.
32.Установите в настройках BIOS Setup запрет загрузки с внешних носителей и задайте пароль на изменение настроек. Убедитесь, что загрузка компьютера с внешнего носителя теперь невозможна.
141
3.4. Система защиты информации «Secret NET 5.0-C»
3.4.1. Общие сведения
СЗИ «Secret Net 5.0-C» (разработчик ЗАО НИП «ИНФОРМЗАЩИТА») является программно-аппаратным комплексом, аппаратная часть которого предназначена для выполнения процедуры идентификации пользователей с применением электронных идентификаторов. Система «Secret Net 5.0-C» предназначена для защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих на платформах операционных систем MS Windows 2000/XP/2003. Компьютер с установленной системой может работать автономно (без подключения к сети), в одноранговой сети или в сети с доменной организацией. Система «Secret Net 5.0-C» не подменяет стандартные защитные механизмы, предоставляемые ОС Windows, и не ограничивает возможность их использования, а расширяет их за счет дополнительных программных и аппаратных средств.
Для более тесного взаимодействия «Secret Net 5.0-C» с программноаппаратным комплексом ПАК «Соболь» предусмотрен режим интеграции, позволяющий средствами администрирования «Secret Net 5.0-C» управлять важнейшими функциями «электронного замка».
С помощью программных и аппаратных средств «Secret Net 5.0-C» реализуются следующие защитные механизмы:
1.Механизм контроля входа в систему с использованием аппаратных средств.
2.Механизмы разграничения доступа и защиты ресурсов:
–механизм полномочного разграничения доступа к объектам файловой системы;
–механизм замкнутой программной среды;
–механизм шифрования файлов;
–механизм разграничения доступа к устройствам компьютера;
–механизм затирания информации, удаляемой с дисков компьютера.
3.Механизмы контроля и регистрации событий:
–механизм функционального контроля;
–механизм регистрации событий безопасности;
–механизм контроля целостности;
–механизм контроля аппаратной конфигурации компьютера.
Наличие механизма шифрования файлов выгодно отличает СЗИ «Secret
Net 5.0-C» от рассмотренных выше аналогов и делает универсальным и комплексным средством защиты компьютерной информации. СЗИ «Secret Net 5.0- C» является программно-аппаратным комплексом, однако практическое знакомство с ним и обучение основам работы возможны и при отсутствии аппаратной составляющей. При этом в качестве идентификаторов можно использовать имена пользователей, а для их аутентификации – только обычные пароли ОС Windows.
142
3.4.2. Запуск и регистрация в системе защиты
Установку системы защиты «Secret Net 5.0-C» необходимо производить в ОС MS Windows 2000/XP/2003 с предустановленным офисным пакетом. Для работы с системой на практических занятиях используется предварительно установленный экземпляр системы в виде образа виртуальной машины VMware, в котором имеется пользователь Администратор с паролем 12345.
В процессе загрузки ОС появляется окно запроса идентификатора пользователя, являющееся модификацией стандартного окна загрузки ОС Windows, в оболочку которой встраивается средство защиты (рис. 3.41). Дальнейшие действия по конфигурированию СЗИ осуществляются с помощью инструментов из меню ОС Windows «Пуск» «Программы» «Secret Net 5».
Рис. 3.41. Регистрация в СЗИ «Secret Net 5.0-С»
ВЫПОЛНИТЬ!
1.Загрузить образ СЗИ «Secret Net 5.0-C» и зарегистрироваться в системе пользователем Администратор, введя пароль «12345».
3.4.3.Создание учетных записей пользователей
Вотличие от предыдущих версий СЗИ, создание учетных записей пользователей в «Secret Net 5.0-C» осуществляется с использованием стандартной оснастки ОС Microsoft Windows «Управление компьютером», что делает эту работу вполне привычной для администратора. Для создания учетных записей
необходимо из этого окна выполнить команду «Пользователи» «Новый пользователь…». В стандартном окне следует ввести имя пользователя и за-
143
дать для него пароль (рис. 3.42). На вкладке «Общие» рекомендуется установить параметр «Потребовать смену пароля при следующем входе в систему». Затем следует настроить свойства нового пользователя, вызвав элемент «Свойства» его контекстного меню и выбрав вкладку «Secret Net 5.0-C» (рис. 3.43). Открывающееся окно имеет ряд принадлежащих СЗИ элементов:
a.«Идентификатор» – подготовка и присвоение пользователю электронных идентификаторов;
b.«Криптоключ» – генерация и «выдача» пользователю криптографического ключа;
c.«Доступ» – назначение пользователю уровня допуска для организации полномочного управления доступом;
d.«Сервис» – копирование ключей для управления электронным замком «Соболь».
Рис. 3.42. Добавление учетных записей новых пользователей
ВЫПОЛНИТЬ!
2.Создать учетные записи пользователей: Клинов, Соколов, Савин, Свалов, Ювченко. Пароли выбрать произвольно.
144
Рис. 3.43. Вкладка «Secret Net 5»
3.4.4. Реализация дискреционной модели разграничения доступа
Дискреционная модель разграничения доступа к файлам и каталогам реализуется в СЗИ «Secret Net 5.0-C» стандартным способом посредством списков доступа ОС Windows 2000/XP/2003 (рис. 3.44).
В тоже время списки NTFS-разрешений дополнены средствами разграничения доступа к дискам и портам. СЗИ позволяет управлять доступом к сменным накопителям (дисковод, привод CD-ROM), логическим дискам и портам ввода/вывода (COM-, LPT-, USB-портам). Режим управления доступа к дискам и портам по умолчанию работает в мягком режиме (режиме накопления информации в журнале). Чтобы перевести его в жесткий режим, необходимо установить параметр «Разграничение доступа к устройствам: Режим работы» (в оснастке «Локальные политики безопасности» «Настройки подсистем») в значение «жесткий» (рис. 3.45).
После включения указанного режима необходимо указать возможность доступа к дискам и портам, изменяя свойства этих устройств в оснастке «Локальные политики безопасности» «Устройства» (рис. 3.46).
145
Рис. 3.44. Редактирование NTFS-разрешений
ВЫПОЛНИТЬ!
3.В соответствии с рис. 3.15 создать иерархическую структуру каталогов. Разграничить права доступа пользователей к созданным каталогам в соответствии с табл. 2.2.
4.Группе «Пользователи» разрешить доступ к каталогу «C:\Проекты\Полет\Текстовые документы» и его подкаталогам с правом «Изменения».
5.Зарегистрироваться пользователем Свалов, убедиться, что каталог «C:\Экономика» для него недоступен, но доступен для пользователя Ювченко.
6.Создать в каталоге «C:\Приказы и распоряжения» пользователем Клинов короткий текстовый файл «Приказ1.txt» с приказом об увольнении Соколова. Убедиться, что Соколов сможет прочитать приказ о своем увольнении, но не сможет изменить его.
146
Рис. 3.45. Включение жесткого режима управления доступом к дискам и портам
Рис. 3.46. Предоставление прав доступа к дискам
3.4.5. Реализация мандатной модели разграничения доступа
Мандатная модель разграничения доступа в СЗИ «Secret Net 5.0-C» реализована посредством назначения защищаемым ресурсам и каждому пользователю автоматизированной системы специальных меток конфиденциальности и сравнения их при запросах на доступ. В СЗИ «Secret Net 5.0-C» мандатная модель разграничения доступа именуется «Полномочное управление доступом».
147
Мандатное управление доступом по умолчанию включено. Однако для предотвращения утечки информации из конфиденциальных документов (см. требование 7 к защите компьютерной системы, приведенное в п. 1.1), необходимо установить параметр «Полномочное управление доступом: Режим работы» в активное состояние: «Контроль потоков включен». Данная настройка находится в стандартной оснастке ОС Windows «Локальные политики безопасности»
(«Пуск» «Программы» «Secret Net 5»), в ней выбрать «Параметры безопасности» «Параметры Secret Net» «Настройки подсистем»
(рис. 3.47).
Рис. 3.47 Установка режима мандатного принципа управления доступом
148
ВЫПОЛНИТЬ!
7. Включить режим контроля потоков конфиденциальной информации.
Метки конфиденциальности могут быть установлены для логических дисков, каталогов и файлов, находящихся только на разделах с файловой системой NTFS. В СЗИ «Secret Net 5.0-C» используются следующие наименования меток конфиденциальности в порядке их повышения: «Неконфиденциально», «Конфиденциально» (соответствует грифу «Секретно») и «Строго конфиденциально» (соответствует грифу «Совершенно секретно»). Все ресурсы, созданные до включения режима мандатного принципа управления доступом, имеют метку «Неконфиденциально». Для включения наследования меток конфиденциальности при добавлении объектов доступа необходимо в свойствах каталога установить пункт «Автоматически присваивать новым файлам» (рис. 3.48).
Рис. 3.48. Установка метки конфиденциальности
При назначении пользователем метки конфиденциальности уже существующему каталогу по желанию пользователя в окне, которое автоматически генерируется системой, можно присвоить такой же уровень доступа ко всем вложенным каталогам и файлам (рис. 3.49).
Привилегией засекречивания (повышения метки конфиденциальности) ресурсов обладает любой пользователь в пределах уровня конфиденциальности сессии. Для понижения уровня конфиденциальности ресурсов требуется наличие привилегии «Управление категориями конфиденциальности», которой целесообразно наделять только для администратора системы.
149