Духан Е.И. и др. Применение программно-аппаратных средств защиты компьютерной информации, 2008
.pdf
2.3.3. Создание пользователей
Создание пользователей в СЗИ осуществляется с использованием программы «Администратор DL 7.0», которая вызывается командой Пуск Про-
граммы Dallas Lock 7.0 Администратор DL 7.0. Для создания учетных записей необходимо выполнить команду меню Пользователи Создать. Открывающееся окно «Новый пользователь» имеет четыре вкладки: «Общие», «Идентификация», «Расписание», «Группы» (рис. 2.16).
Рис. 2.16. Окно «Новый пользователь» программы «Администратор DL 7.0»
Вкладка «Общие» позволяет установить для каждого из создаваемых пользователей следующие рекомендуемые параметры: «Потребовать смену пароля при следующем входе» (после первой регистрации каждый из пользователей должен будет изменить свой пароль), «Разрешена загрузка компьютера» (все пользователи могут включать защищаемый компьютер), «Блокировать клавиатуру», «Блокировать при нарушении целостности», «Запретить прерывать преобразование диска».
Вкладка «Идентификация» позволяет установить для каждого из пользователей электронный идентификатор Touch Memory.
Спомощью Вкладки «Расписание» указываются разрешенные дни недели
ивремя работы пользователей, а вкладка «Группы» предназначена для включения учетной записи в одну или несколько рабочих групп.
81
После задания необходимых параметров для каждой учетной записи вводится пароль.
ВЫПОЛНИТЬ!
2.Создать учетные записи пользователей: Клинов, Соколов, Савин, Свалов, Ювченко. Пароли выбрать произвольно. По очереди зарегистрироваться в системе каждым из пользователей.
2.3.4. Реализация мандатной модели разграничения доступа
Мандатная модель разграничения доступа в СЗИ «Dallas Lock» реализована посредством назначения защищаемым ресурсам и каждому пользователю системы меток конфиденциальности и сравнения их при запросах на доступ. В качестве меток конфиденциальности выступают:
•для защищаемых ресурсов — классификационная метка мандатного доступа;
•для пользователей — уровень допуска.
ВСЗИ «Dallas Lock» используются следующие наименования меток конфиденциальности в порядке повышения: «Открытые данные», «Конфиденциально» (соответствует ДСП) и «Строго конфиденциально» (соответствует Секретно).
Наличие уровня допуска определяется значениями параметров «Уровень доступа: Конфиденциально» и «Уровень доступа: Строго конфиденциально», входящих в группу параметров безопасности «Права пользователей» программы «Администратор DL 7.0». Значением этих параметров является список учетных записей пользователей и групп, которым назначается соответствующий допуск. По умолчанию значением параметра «Уровень доступа: Конфиденциально» является группа «Конфиденциально» (рис. 2.18), а значением параметра «Уровень доступа: Строго конфиденциально» — группа «Строго конфиденциально».
Применение такого подхода к назначению уровней допуска позволяет воспользоваться идеологией рабочих групп: для назначения пользователю допуска следует включить его учетную запись в состав одной из групп — «Конфиденциально» или «Строго конфиденциально». Если пользователь не включен
водну из этих групп, он допускается только к открытым данным. По умолчанию для каждого создаваемого пользователя устанавливается доступ к открытым данным.
Для защищаемых ресурсов (диски, каталоги, файлы) должны быть установлены классификационные метки мандатного доступа. По умолчанию все объекты относятся к категории «Открытые данные», доступ к которым могут получать пользователи с любым уровнем допуска.
82
Рис. 2.17. Группа параметров безопасности «Права пользователей»
Рис. 2.18. Значение параметра «Уровень доступа: Конфиденциально» по умолчанию
83
Для изменения уровня конфиденциальности следует вызвать в контекстном меню объекта пункт «Dallas Lock 7.0», перейти к вкладке «Мандатный доступ» и, отключив параметр «По умолчанию», установить требуемый уровень
(рис. 2.19).
Рис. 2.19. Изменение уровня конфиденциальности каталога
ВЫПОЛНИТЬ!
3.Назначить созданным учетным записям пользователей уровни допуска в соответствии с табл. 2.1 путем включения их в соответствующие группы.
4.Создать иерархическую структуру каталогов, как показано на рис. 2.1. Назначить созданным каталогам грифы секретности в соответствии с их названиями.
По умолчанию пользователи регистрируются с уровнем допуска «Открытые данные». Однако каждый пользователь при регистрации в системе может выбрать текущий уровень допуска, не превышающий максимально установленный для него уровень (рис. 2.20).
84
Внимание! Первая регистрация пользователя в системе связана с созданием профиля пользователя, т. е. набора каталогов и файлов в каталоге «Documents and Settings», имеющем гриф секретности «Открытые данные». Создание каталогов и файлов с грифом «Открытые данные» возможно только в том случае, когда текущий уровень допуска не превышает «Открытые данные». Таким образом, первая регистрация пользователя в системе должна быть осуществлена с текущим уровнем допуска «Открытые данные».
Рис. 2.20. Выбор уровня текущего допуска при регистрации
ВЫПОЛНИТЬ!
5.Зарегистрироваться в системе пользователем Клинов, выбрав уровень допуска «Строго конфиденциально». Запустить «Проводник», просмотреть содержимое созданных каталогов. Все ли каталоги отображаются? Можно ли открыть эти каталоги?
6.Выйти из системы и зарегистрироваться пользователем Соколов, выбрав уровень допуска «Конфиденциально». Возможно ли это при условии, что Соколов имеет допуск лишь к несекретным документам? При помощи «Проводника» просмотреть содержимое созданных каталогов. Какие каталоги отображаются? Содержимое каких каталогов доступно данному пользователю?
7.Работая пользователем Соколов, создать короткий текстовый документ «Соколов.txt» и сохранить его в каталоге «C:\Проекты\ Полет\Текстовые документы\Несекретно».
8.Зарегистрироваться в системе пользователем Свалов с максимальным текущим допуском («Строго конфиденциально»), создать короткий текстовый документ «Свалов.txt» и попытаться сохранить его в каталог «C:\Проекты\Полет\Текстовые документы\Несекретно». Получилось ли это? Сохранить документ в каталоге «C:\Проекты\ Полет\Текстовые документы\Секретно».
9.Попытаться скопировать содержимое из секретного документа в несекрет-
ный с использованием команд Правка Копировать и Правка Вста-
вить. Получилось ли это? Работает ли обратная операция вставки несекретных сведений в секретный документ?
85
2.3.5. Реализация дискреционной модели разграничения доступа
Дискреционная модель разграничения доступа реализуется в СЗИ «Dallas Lock» посредством стандартных списков доступа. Для просмотра или редактирования списков доступа необходимо из контекстного меню объекта выбрать пункт «Dallas Lock 7.0», в появившемся окне — вкладку «Доступ» (рис. 2.21).
Основным отличием данного СЗИ является то, что списки доступа выполнены не средствами ОС Windows NT (не средствами файловой системы NTFS), а собственным механизмом. Следствием этого является, во-первых, то, что списки доступа можно реализовать на разделах с файловой системой FAT (а не только NTFS). Во-вторых, вводится собственный, отличный от принятого в ОС Windows NT (см. п. 1.2.3), алгоритм определения права доступа пользователя к ресурсу [18].
Рис. 2.21. Редактирование списков доступа
При попытке текущего пользователя совершить с объектом любую операцию система защиты анализирует в первую очередь локальные параметры данного объекта. Для этого она проверяет:
1. К какому разряду по отношению к объекту защиты принадлежит пользователь. Если это индивидуальный пользователь и ему назначены локальные параметры по отношению к данному объекту, то право на совершение запрошенной операции устанавливается исходя из этих параметров. Если параметру, контро-
86
лирующему данную операцию, присвоено значение «Разрешить», то операция выполняется. Если параметру присвоено значение «Запретить», она блокируется и выдается сообщение об ошибке.
2.Если текущий пользователь не относится к разряду индивидуальных пользователей или значение контролирующего данную операцию параметра явно не указано, то система защиты проверяет, входит ли текущий пользователь в ка- кую-либо из групп пользователей, для которой назначены локальные параметры по отношению к данному ресурсу. Если это так, то право пользователя на совершение запрошенной операции устанавливается исходя из параметров этой группы. Если группе пользователей предоставлено право на совершение операции (контролирующему параметру присвоено значение «Разрешить»), то операция выполняется. Если параметру присвоено значение «Запретить», она блокируется и выдается сообщение об ошибке.
3.Если текущий пользователь не принадлежит ни к одному из указанных выше разрядов или значение контролирующего параметра явно не указано, то анализируются локальные параметры, установленные для разряда «Все» по отношению к этому ресурсу. Если разряду «Все» предоставлено право на совершение операции (контролирующему параметру присвоено значение «Разрешить»), то операция выполняется. Если параметру присвоено значение «Запретить», она блокируется и выдается сообщение об ошибке.
4.Если значение контролирующего параметра для разряда «Все» явно не указано или для данного разряда не установлены локальные параметры, то система защиты проверяет, входит ли данный объект в состав другого объекта. При положительном результате повторяются действия пунктов 1-3, при отрицательном система защиты переходит к проверке глобальных параметров.
Анализ глобальных параметров осуществляется по той же самой схеме, что и локальных.
ВЫПОЛНИТЬ!
10. Разграничить права доступа пользователей к каталогам в соответствии
с табл. 2.2.
11.Зарегистрироваться пользователем Ювченко и просмотреть содержимое каталога «C:\Экономика». Убедиться, что каталог «C:\Проекты» для этого пользователя недоступен.
12.Зарегистрироваться пользователем Свалов и просмотреть содержимое каталога «C:\Проекты\Полет\Текстовые документы\Секретно». Убедиться, что каталог «C:\Экономика» недоступен.
13.Создать в каталоге «C:\Приказы» и распоряжения пользователем Клинов короткий текстовый файл «Приказ1.txt» с приказом об увольнении Савина.
14.Убедиться, что Савин сможет прочитать приказ о своем увольнении, но не сможет изменить его.
87
2.3.6. Обеспечение замкнутости программной среды
Механизм замкнутой программной среды реализуется в СЗИ «Dallas Lock» путем установки для пользователей глобального запрета на запуск программ и разрешения запуска лишь определенных исполняемых файлов. Стратегия может быть следующей:
1.Определить, какие исполняемые файлы должны запускаться для нормальной работы операционной системы;
2.Решить, какие файлы разрешается запускать пользователям для работы;
3.Запретить запуск всех исполняемых файлов для сменных дисков;
4.Запретить запуск всех исполняемых файлов для каждого из фиксированных логических дисков, доступных операционной системе;
5.Установить разрешение на исполнение выбранных файлов для конкретных
пользователей или групп пользователей.
Очевидно, что пользователю должно быть запрещено изменение файлов, которые он имеет право запускать на выполнение.
Для установки глобального запрета на запуск программ на сменных носителях необходимо в программе «Администратор DL 7.0» в группе параметров безопасности «Параметры ресурсов» выбрать «Параметры сменных дисков по умолчанию» (рис. 2.22). Диалоговое окно с настройками разрешений аналогично показанному на рис. 2.21. В этом окне необходимо установить запрет на выполнение для группы пользователей «Все», а также разрешить выполнение для группы «Администраторы». В результате все пользователи, за исключением администраторов, не смогут запускать исполняемые файлы, находящиеся на сменных носителях (CD-ROM, дискеты).
Установка запрета на запуск файлов, находящихся на фиксированных носителях, производится через контекстное меню объекта (пункт меню Dallas Lock 7.0»). Запрет запуска при помощи «Администратора DL 7.0» (как в случае со сменными носителями) недопустим, так как он не вступает в силу.
Чтобы обеспечить возможность нормальной загрузки и работы операционной системы, необходимо разрешить выполнение файлов, находящихся в ка-
талоге «%SystemRoot%\system32», а также файла «%SystemRoot%\explorer.exe».
ВЫПОЛНИТЬ!
15.Зарегистрироваться в системе Администратором, запретить запуск программ со съемных и фиксированных носителей для всех пользователей. Для группы Администраторов разрешить полный доступ ко всем указанным носителям. Разрешить выполнение программ, находящихся в каталоге
«%SystemRoot%\system32», а также программы «%SystemRoot%\ explorer.exe», запретив любые действия по их изменению (группе Администраторов разрешить полный доступ). Разрешить всем пользователям выполнение программы «C:\DlLock70\BlockIcon.exe» (Администраторам — полный доступ).
16.Проверить, может ли пользователь Свалов запустить «Калькулятор»
(«%SystemRoot%\system32\calc.exe»). Может ли он запустить Internet Ex-
88
plorer («C:\Program Files\Internet Explorer\iexplore.exe»)? Может ли запус-
тить Internet Explorer Администратор?
17.Проверить, имеет ли пользователь Клинов возможность изменить содержи-
мое каталога «%SystemRoot%\system32».
Рис. 2.22. Настройка параметров ресурсов по умолчанию
2.3.7. Контроль целостности
СЗИ «Dallas Lock 7.0» включает в свой состав подсистему проверки целостности. Она запускается до загрузки ОС и обеспечивает проверку целостности BIOS, CMOS и MBR жесткого диска, а также проверку дисков, каталогов и файлов в случае установки соответствующих параметров.
Включение контроля целостности BIOS, CMOS, MBR и загрузочного сектора производится с использованием программы «Администратор DL 7.0» (группа настроек Параметры безопасности Контроль целостно-
сти ПЭВМ). Чтобы включить контроль целостности для файла или каталога, необходимо в контекстном меню выбрать пункт «Dallas Lock 7.0», и в открывшемся диалоговом окне открыть вкладку «Контроль целостности» (рис. 2.23).
Для расчета контрольной суммы могут использоваться следующие алгоритмы: CRC32, хэш по ГОСТ Р 34.11–94 или хэш MD5.
Если для объекта файловой системы задан контроль целостности, то система не позволит изменить этот объект, и он будет доступен только для чтения и выполнения.
89
Проверка целостности осуществляется при загрузке компьютера до начала загрузки операционной системы. При нарушении целостности хотя бы одного файла, загрузка компьютера блокируется для всех пользователей, кроме администратора безопасности (пользователя Администратор).
Возможно возникновение ситуации, когда файл, для которого был установлен контроль целостности, удаляется администратором безопасности (остальные пользователи изменить этот файл не смогут). При попытке сверить контрольную сумму этого файла с эталонной будет принято решение о нарушении целостности, так как файла вообще не будет найдено. В результате загрузка всех пользователей, кроме администратора безопасности, будет заблокирована. Ситуация является ошибочной, так как администратор не сможет отключить контроль целостности несуществующего файла. Чтобы обойти подобную ситуацию в СЗИ «Dallas Lock» предусмотрена функция пересчета списка дескрипторов. Активизация этой функции производится в программе «Администра-
тор DL 7.0» командой меню Файл Перестроить список дескрипторов.
Рис. 2.23. Настройка контроля целостности ресурса
ВЫПОЛНИТЬ!
18.Зарегистрироваться Администратором, создать в каталоге «C:\База данных» короткий текстовый файл «DB.txt». Настроить контроль целостности этого файла с использованием алгоритма CRC32.
19.Перезагрузить компьютер, зарегистрироваться Администратором и изменить содержимое файла «DB.txt». Снова перезагрузить компьютер и попытаться зарегистрироваться пользователем Свалов. Возможно ли это? Перезагрузить компьютер, после чего зарегистрироваться Администратором и отключить контроль целостности файла «DB.txt».
90