ПАМЗИ практикум
.pdf
Рис. 3.60. Просмотр журналов регистрации событий
3.4.9. Печать штампа
СЗИ «Secret Net 5.0-C» позволяет создавать штамп на конфиденциальных документах, отправляемых на печать при использовании редактора MS Word и таблиц Excel. В процессе печати СЗИ дополняет колонтитулы печатаемого документа рядом полей. Перечень заполняемых полей формируется в файле – шаблоне STAMP.RTF, находящемся в каталоге «C:\Program Files\Infosec\ SecretNet5\Client».
Особенностью работы СЗИ «Secret Net 5.0-C» с конфиденциальными документами программ MS Word и Excel является создание временных техноло-
гических файлов в каталоге «C:\Documents and Settings\ %имя_пользователя%\Local Settings\Temp». В связи с тем, что при открытии конфиденциальных документов программа MS Word получает соответствующую метку конфиденциальности, то создаваемые временные файлы также должны получать соответствующие метки полномочного доступа. В соответствии с правилами полномочного доступа, каталог «C:\Documents and Settings\%имя_пользователя%\Local Settings\Temp», в котором создаются временные файлы, должен иметь метку конфиденциальности не ниже открываемых документов. Для этого необходимо в параметре HKLM\SYSTEM\ CurrentControlSet\Services\SnMC5xx\Params\SourceRedirect реестра ОС Windows добавить строку «\Local Settings\Temp».
160
Работа с конфиденциальными документами в режиме печати должна быть начата с включения параметра «Полномочное управление доступом: Режим контроля печати конфиденциальных документов» в оснастке «Локальные политики безопасности» «Настройки подсистем» (рис. 3.61).
Рис. 3.61. Установка параметра «Полномочное управление доступом: Режим контроля печати конфиденциальных документов»
ВЫПОЛНИТЬ!
30.Установить параметр «Полномочное управление доступом: Режим контроля печати конфиденциальных документов».
31.Открыть редактор реестра, в параметре HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\SnMC5xx\Params\SourceRedirect добавить строку «\Local Settings\Temp».
Если параметр «Полномочное управление доступом: Режим контроля печати конфиденциальных документов» установлен и компьютер перезагружен, то нажатием кнопки «Редактировать» («Локальная политика безопасности»
«Параметры Secret Net» «Настройки подсистем» «Полномочное управление доступом: Гриф конфиденциальности для Microsoft Word») мо-
жет быть запущена программа MS Word в режиме редактирования файла STAMP.RTF. Перейдя в режим редактирования колонтитулов, можно изменить содержание штампа, добавив в него требуемые поля (рис. 3.62). В шаблоне предусмотрено два варианта штампа, выбор варианта производится в процессе работы с документом при помощи панели инструментов «Грифы Secret Net». Часть полей в штампе заполняется автоматически, а часть требует заполнения пользователем в процессе вывода конфиденциального документа на печать.
161
Рис. 3.62. Редактирование штампа конфиденциального документа
ВЫПОЛНИТЬ!
32.Зарегистрироваться пользователем Клинов с максимальным уровнем конфиденциальности, создать в каталоге «C:\Проекты\ Полет\Текстовые документы\Секретно» документ в формате MS Word.
33.Открыть созданный документ, выбрать «Гриф #2» в списке грифов Secret Net, выполнить предварительный просмотр печати документа.
3.4.10. Гарантированное удаление данных
Для включения механизма гарантированного уничтожения данных необ-
ходимо в оснастке «Локальные политики безопасности» «Параметры Secret Net» «Настройки подсистем» изменить параметры «Затирание данных: Количество циклов затирания конфиденциальной информации», «Затирание данных: Количество циклов затирания на локальных дисках» и «Затирание данных: Количество циклов затирания на сменных носителях», указав в них ненулевое значение (рис. 3.63). Количество циклов затирания может варьироваться от 1 до 10.
162
Рис. 3.63. Установка количества циклов затирания данных
ВЫПОЛНИТЬ!
34.Зарегистрироваться Администратором, включить параметры «Затирание данных: Количество циклов затирания конфиденциальной информации», «Затирание данных: Количество циклов затирания на локальных дисках».
35.Зарегистрироваться пользователем Клинов, создать короткий текстовый документ в каталоге «Секретно».
36.Зарегистрироваться Администратором, с помощью дискового редактора найти файловую запись созданного документа, отметить номер кластера, в котором хранятся данные.
37.Зарегистрироваться пользователем Клинов, удалить документ без помещения его в «Корзину».
38.Зарегистрироваться Администратором, открыть содержимое отмеченного кластера. Отметить изменения, произошедшие в кластере.
3.4.11. Настройка механизма шифрования
Являясь комплексной системой защиты компьютерной информации, СЗИ «Secret Net 5.0-C» позволяет пользователям шифровать персональные данные. В системе используется классический подход к организации криптозащиты данных, при котором информация зашифровывается на основе симметричных ключей, а те в свою очередь зашифровываются открытыми ключами пользователей и хранятся в заголовках зашифрованных файлов. Открытые ключи пользователей хранятся в локальной базе данных «Secret Net 5.0-C», закрытые ключи – в его персональном идентификаторе. Доступ к зашифрованным файлам могут иметь несколько пользователей, если их заголовок содержит ключ шифрования данных, зашифрованный несколькими персональными ключами.
163
Всистеме «Secret Net 5.0-C» управление шифрованием файлов и доступ к зашифрованным файлам осуществляются на уровне каталогов. Зашифрованные файлы располагаются только в шифрованных каталогах. Шифрованные каталоги могут содержать нешифрованные файлы и подкаталоги. Для пользователей, обладающих доступом к зашифрованным файлам, подсистема автоматически (на лету) расшифровывает содержимое зашифрованного файла при его чтении
иавтоматически зашифровывает содержимое файла при его сохранении. Расшифрование файла, находящегося в шифрованном каталоге, переводит его в открытое состояние, оставляя его в том же каталоге. Расшифрование каталога переводит в открытое состояние все находящиеся в нем зашифрованные файлы.
Пользователь, не имеющий доступа к шифрованному каталогу, может только просматривать его содержимое. Порядок работы с нешифрованными файлами, находящимися в таком каталоге, не отличается от обычного порядка работы с открытым каталогом. При этом пользователь не имеет доступа к содержимому зашифрованных файлов в каталоге и не может копировать, перемещать и удалять зашифрованные файлы.
Пользователи, имеющие доступ к шифрованному каталогу, получают разные права в зависимости от той роли, которую они играют в системе:
a. роль владельца ресурса, которым является пользователь, создавший шифрованный каталог (создавать шифрованные каталоги может пользователь, обладающий на данном компьютере привилегией «Создание шифрованного ресурса»);
b. роль пользователя ресурса, имеющего право доступа к зашифрованным файлам чужого шифрованного каталога.
Для того чтобы пользователи компьютера могли защищать свои файлы, используя механизм шифрования, и имели возможность работать с зашифрованными файлами других пользователей, администратор безопасности должен выполнить в системе следующие настройки:
a. предоставить пользователям привилегию на создание шифрованных ресурсов;
b. присвоить пользователям персональные идентификаторы; c. выдать пользователям криптографические ключи;
d. настроить параметры смены криптографических ключей;
e. настроить регистрацию событий, связанных с работой механизма шифрования.
После выполнения указанных процедур необходимо довести до сведения пользователей порядок работы с зашифрованными ресурсами.
В«Secret Net 5.0-C» используются 2 привилегии, связанные с шифрованием файлов. Привилегия «Создание шифрованного ресурса» позволяет создавать каталоги для хранения зашифрованных файлов. После установки «Secret Net 5.0-C» эта привилегия по умолчанию предоставляется двум стандартным группам пользователей: «Администраторы» и «Пользователи». Привилегия «Удаление шифрованного ресурса при отсутствии ключа» позволяет удалять зашифрованные файлы и каталоги без их расшифрования и по умолчанию предоставляется группе «Администраторы».
164
Предоставление привилегий осуществляется в оснастке «Локальная политика безопасности» «Параметры Secret Net» «Привилегии». При этом в правой части окна появится список привилегий «Secret Net 5.0-C». Здесь необходимо вызвать контекстное меню для строки «Шифрование файлов: Создание шифрованного ресурса», выбрать в нем команду «Свойства» и добавить пользователей, которым необходимо разрешить шифрование данных (рис. 3.64). Таким же образом следует поступить с привилегией «Удаление шифрованного ресурса при отсутствии ключа».
Персональный идентификатор – отдельное аппаратное устройство, предназначенное для хранения персональных данных, которые необходимы для идентификации и аутентификации пользователя. В идентификаторе так же хранятся криптографические ключи пользователя. Для хранения криптографических ключей также могут использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители и т. п.
Рис. 3.64. Предоставление пользователям привилегий шифрования
Персональный идентификатор выдается пользователю компьютера администратором безопасности. Идентификаторы должны быть присвоены и выданы каждому пользователю, работающему с шифрованными ресурсами. Один и тот же персональный идентификатор не может быть выдан нескольким пользователям. В то же время администратор может выдать пользователю несколько персональных идентификаторов для работы на одном или нескольких компьютерах с установленной системой «Secret Net 5.0-C».
165
Работа с персональными идентификаторами осуществляется из окна настройки свойств пользователя на вкладке «Secret Net 5.0-C» в режиме «Идентификатор» и предполагает выполнение следующих операций:
a.просмотр сведений об идентификаторах;
b.инициализация идентификатора;
c.присвоение идентификатора;
d.отмена присвоения идентификатора;
e.включение (отключение) режима хранения пароля в идентификаторе;
f.включение (отключение) режима интеграции с программно-аппаратным комплексом «Соболь»;
g.запись (удаление) закрытых ключей;
h.проверка принадлежности.
Все основные операции с персональными идентификаторами, за исключением инициализации и проверки принадлежности, выполняются применительно к конкретному пользователю (рис. 3.65).
Рис. 3.65. Инициализация персонального идентификатора
При первом обращении к диску-идентификатору в окне «предъявите идентификатор» происходит подготовка к размещению на нем персональных данных (в частности, форматирование дискеты). При повторном – появляется запрос на присвоение персонального идентификатора, где следует выбрать требуемые поля «включить режим хранения пароля» и «записать в идентификатор закрытый ключ пользователя». Если идентификатор предполагается использо-
166
вать только для организации криптографической защиты, то следует активизировать только последнее поле. При нажатии клавиши «Далее» система инициализирует соответствующему пользователю персональный ключ и поместит его в идентификатор (рис. 3.66). Информация о присвоенных идентификаторах будет теперь отображаться в окне настройки свойств пользователя на вкладке
«Secret Net 5.0-C».
Рис. 3.66. Запись закрытого ключа пользователя в персональный идентификатор
Для проведения аудита, связанного с работой механизма шифрования, необходимо выполнить настройку регистрации событий. Для этого следует указать, какие события категории «Шифрование файлов» должны регистрироваться в журнале безопасности «Secret Net 5.0-C» (рис. 3.67).
Выполнение различных операций с зашифрованными ресурсами можно осуществлять только после того, как в систему будут загружены пользовательские ключи. Для загрузки ключей необходимо вызвать контекстное меню пиктограммы «Secret Net 5.0-C», находящееся в системной области панели задач Windows, и активировать команду «Загрузить ключи» (рис. 3.68). В диалоговом окне «Загрузка ключей» отображается список идентификаторов, предъявленных системе в данный момент. Наименование идентификатора включает в себя тип идентификатора и его серийный номер. При разрыве контакта между считывающим устройством и персональным идентификатором соответствующая идентификатору строка удаляется из списка.
При использовании в качестве идентификаторов iButton или eToken возможные действия пользователя и реакция на них системы зависят от состояния выключателя «Использовать первый предъявленный идентификатор». Если поле выключателя содержит соответствующую отметку, то после предъявления
167
персонального идентификатора произойдет чтение ключевой информации из этого идентификатора в память компьютера.
Рис. 3.67. Настройка регистрации событий шифрования данных
Если одновременно предъявлено более одного идентификатора, то указанное выше действие с ключевой информацией будет выполнено для одного из них. Если поле выключателя не содержит отметки, то после предъявления персонального идентификатора в списке идентификаторов отображается наименование персонального идентификатора. При этом чтение ключевой информации не выполняется. Для чтения ключевой информации, не разрывая контакт между считывающим устройством и персональным идентификатором, выберите в списке нужную строку и нажмите кнопку «ОК». Если в систему загружены ключи, то пиктограмма «Secret Net 5.0-C» дополняется знаком замка, а во всплывающем окне появляется краткая информация о загруженных ключах.
168
Рис. 3.68. Загрузка криптографических ключей пользователей
В системе «Secret Net 5.0-C» под созданием шифрованного каталога подразумевается включение режима шифрования файлов в этом каталоге. При этом сам каталог должен уже существовать в файловой системе. Включать режим шифрования имеют право пользователи, обладающие привилегией «Создание шифрованного ресурса», которая предоставляется администратором. Включение режима шифрования осуществляется в окне «Secret Net» свойств выбранного каталога в поле «Шифровать содержимое папки» (рис. 3.69). После чего в списке пользователей, которым разрешен доступ к шифрованному каталогу, появится строка с именем текущего пользователя. При необходимости список пользователей может быть отредактирован. Если рабочий каталог уже содержит подкаталоги и файлы, на экране появится диалог, позволяющий зашифровать имеющиеся в каталоге объекты.
ВЫПОЛНИТЬ!
При выполнении практических заданий в качестве сменных носителей информации (идентификаторов) следует использовать электронные образы дискет, хранящиеся в одном каталоге вместе с образом самой системы в виде файлов с именем «дискета» и «дискета_1». Дискеты-идентификаторы рекомендуется назначить различным пользователям системы, например, администратору (Чистякову) и руководителю предприятия (Клинову). При смене пользователя в программе VMware необходимо монтировать соответствующий образ дискеты.
39.Зарегистрироваться Администратором, создать в корне диска с:\ каталог с именем «Зашифрованные данные», в каталоге создать несколько текстовых документов. К каталогу разрешить полный доступ всем пользователям системы.
169