Формирование списка разрешенныхUsBустройств иSDкарт
Большинство современных компьютеров имеют в своем составе USBшину и устройства для чтения Secure Digital карт. Программа-редакторACED32 позволяет администратору безопасности сформировать списокUSB-устройств иSDкарт, с которыми разрешено работать данному пользователю. Поскольку в некоторых организациях сменные флеш-диски уже заменили привычные дискеты в качестве носителей, подлежащих учету, то такая возможность администрирования доступа становится актуальной.
По умолчанию для обычных пользователей в список объектов уже включена запись «USB,Vid=*,Pid=*,Sn=*, -, Allowed all USB devices!». Это означает, что любоеUSB-устройство разрешено для доступа. Если администратора безопасности не устраивает такая ситуация, то ему необходимо эту строчку из списка объектов доступа удалить и назначить конкретные устройства, к которым доступ будет разрешен. Для выполнения данной операции нужно в окне редактирования правил доступа пользователя (рисунок 20) щелкнуть мышью по клавише <USB/CD>. Открывается окно редактирования списка устройств (рисунок 48).
ВНИМАНИЕ!Если удалена запись «USB,Vid=*,Pid=*,Sn=*, -, Allowed all USB devices!», тозапись о клавиатуре и мыши, подключенных по USB, для их нормальной работы нужно добавить в список.
Рисунок
48 - Окно редактирования списка разрешенныхUSBустройств
В верхней части окна по умолчанию включен флаг «Только подключенные устройства». В этом режиме в списке доступных устройств отображаются только те, которые в данный момент подключены к компьютеру. Если в списке нет устройства, щелкните мышью по кнопке <Обновить>. По этой команде выполняется поиск подключенных USBустройств и они появляются в верхней половине окна в списке устройств. Установите курсор на то устройство, доступ к которому Вы хотите разрешить данному пользователю. Нажмите кнопку <Добавить> иUSBустройство появится в нижней половине окна в списке разрешенных для использования (рисунок 49). Чтобы включить несколько устройств, нужно повторить операцию выбора и добавления устройств. Для завершения процедуры выбора нажмите кнопку <Ок> и выбранные устройства появятся в списке объектов (рисунок 20).
Рисунок
49 -USBустройство добавлено
в список разрешенных
Можно использовать другой режим добавления устройств, когда снят флаг «Только подключенные устройства». В этом случае в списке выводятся идентификационные параметры устройств, которые подключены к компьютеру в данный момент и подключались ранее - эти сведения сохраняются операционной системой. Пользоваться этим режимом следует с осторожностью, только в том случае, когда Вам точно известен серийный номер того устройства, доступ к которому будет разрешен.
В закладке SecureDigitalточно так же можно сформировать список разрешенных для использования карт памяти. Процесс регистрацииSDкарт имеет одну особенность, если устройство считывания карт подключено кUSBпорту, то в списке устройств в ОС отображается одно единственное устройство, а серийные номера карт будут недоступны. Администратор не сможет формировать списокSDкарт по уникальным номерам. Поэтому в АС, в которых обрабатывается конфиденциальная и секретная информация, следует избегать подключения считывателя карт черезUSB.
Если USB-устройство – это съемный диск (флоппи,Zip, CD, флэш – не важно), то после включения его в список разрешенных устройств, следует описать правила доступа к тому логическому съемному диску, который монтируется в системе после подключения физического устройства к компьютеру. Если такую операцию не выполнить, то съемный диск останется недоступным после подключения к компьютеру, т.к. все логические диски, не включенные в список ПРД, запрещены. Атрибуты доступа устанавливаются стандартным образом, эта процедура описана в пункте 6.10.1. настоящего руководства.
ВНИМАНИЕ! Процедура описания правил доступа к съемным дискам выполняется корректно только в том случае, когда сменное устройство подключено к компьютеру ДО запуска программыACED32.EXEи остается подключенным до завершения процедуры сохранения базы данных пользователей. Только в таком варианте редактор ПРД может точно определить соответствие логического диска, под которым съемное устройство отображается вGUIи физического устройства, напримерDevice\Harddisk1\, к которому обращаются запросы уровня ядра операционной системы.