|
|
|
Глава 7. Управление доступом к ресурсам и защита ресурсов |
|
|
|
|
|
|
|
|
|
NT |
|
Для включения/отключения механизма на компьютерах пространств имен Windows |
|
|
|
NT компьютеры необходимо перезагрузить. |
|
|
|
Доступ к дискам и портам
Механизм разграничения доступа к устройствам компьютера предназначен для ограничения доступа пользователей, вошедших на компьютер как интерактивно, так и по сети, к различным устройствам, подсоединенным к компьютеру:
•накопителям на сменных носителях (дисководы гибких дисков, магнитооптических дисков, CD-ROM);
•логическим дискам;
•устройствам ввода-вывода информации (COM-портам, LPT-портам, USB-портам).
Включение и настройка механизма разграничения доступа к дискам и портам
|
Прежде чем приступить к управлению разграничением доступа к дискам и портам, |
|
необходимо включить этот механизм на тех компьютерах, на которых он будет ис- |
|
пользоваться. |
|
|
NT |
Включение и настройку этого механизма необходимо осуществлять только для |
компьютеров пространств имен Windows NT. |
|
|
Для включения и настройки механизма: |
|
1. Вызовите на экран окно настройки свойств компьютера. |
|
2. Установите отметку в поле "Разграничение доступа к устройствам" в группе "На- |
|
стройки безопасности" диалога "Общие" (см. Рис. 71 на стр. 157). |
|
3. Нажмите кнопку "Применить". |
2000 4. Для компьютеров, работающих под управлением ОС Windows 2000:
•Перейдите к диалогу "Настройки" (см. Рис. 72 на стр.157).
•В группе параметров "Разграничение доступа к устройствам" установите отметку в поле "Запрет доступа к дискам анонимным пользователям", если требуется запретить доступ к локальным дискам и портам компьютера всем пользователям, подключающимся к компьютеру по сети и не зарегистрированным в локальной БД системы защиты. Удалите отметку, чтобы разрешить анонимным пользователям неограниченный доступ к локальным дискам и портам компьютера.
•Нажмите кнопку "OK" или "Применить".
5.Включите и настройте механизм для тех компьютеров, для которых это необходимо сделать.
Для отключения механизма разграничения доступа к устройствам достаточно убрать отметку из поля выключателя "Разграничение доступа к устройствам". При этом все индивидуальные настройки механизма останутся неизменными. Поэтому для повторного включения механизма достаточно установить отметку в поле данного выключателя.
Предоставление прав доступа
Для настройки доступа:
1. Вызовите на экран окно настройки свойств связи “Пользователь-Компьютер” и перейдите к диалогу "Доступ".
173
Система Secret Net. Руководство по администрированию. Книга первая
На экране появится следующий диалог:
Список коммуникационных портов компьютера. Для просмотра списка используйте стандартные операции над деревом объектов, принятые в Windows
Список локальных дисков компьютера, доступом пользователя к которым можно управлять, и права пользователя на доступ к каждому из дисков
Этот диалог позволяет управлять доступом пользователя к коммуникационным портам и локальным дискам данного компьютера.
2.Установите отметку в поле выключателя, содержащего название порта, чтобы разрешить пользователю доступ к этому порту или удалите отметку – для запрета доступа.
9х/ 2000 |
Для включения режима разграничения доступа к USB-порту компьютера, работающего под |
|
управлением ОС Windows 9x (пространство имен Windows 9x) или Windows 2000 (пространство |
||
|
||
|
имен Windows NT), необходимо установить отметку в поле "Разграничение доступа к USB уст- |
|
|
ройствам" в диалоге "Общие" свойств компьютера. См. Рис. 16 на стр. 53. |
3.При необходимости измените права доступа пользователя к локальному диску. Для этого:
•Выберите в списке имя этого диска.
•Затем выберите нужное значение атрибутов доступа в открывающемся списке "Права доступа". Табл. 6 содержит разъяснение всех возможных атрибутов доступа к дискам.
4.Нажмите кнопку "OK".
5.Повторите процедуру настройки прав доступа к дискам и портам для всех связей "Пользователь-Компьютер".
Табл. 6. Варианты атрибутов доступа к локальному диску
|
Атрибуты |
|
|
Предоставляемые пользователю права доступа |
|
|
доступа |
|
|
|
|
|
|
Пользователю разрешено: |
Пользователю запрещено: |
||
|
|
|
• |
выполнять любые действия над |
• запрещений нет |
|
Полный доступ |
|
|
каталогами и файлами данного |
|
|
|
|
диска (если это не запрещено |
|
|
|
|
|
|
атрибутами доступа к каталогам |
|
|
|
|
|
и файлам) |
|
174
Глава 7. Управление доступом к ресурсам и защита ресурсов
|
Атрибуты |
|
|
|
Предоставляемые пользователю права доступа |
|
|||
|
доступа |
|
|
|
|
|
|
|
|
|
|
|
Пользователю разрешено: |
|
Пользователю запрещено: |
|
|||
|
|
|
|
• |
открывать, переименовывать и |
|
• |
изменять права доступа |
|
|
Чтение, запись и |
|
|
|
удалять каталоги на данном |
|
|
|
|
|
|
|
|
диске; |
|
|
|
|
|
|
исполнение |
|
|
• |
открывать на чтение, изменять |
|
|
|
|
|
(только для ком- |
|
|
|
|
|
|
||
|
пьютеров про- |
|
|
|
содержание, переименовывать |
|
|
|
|
|
|
|
|
и удалять файлы на данном |
|
|
|
|
|
|
странства имен |
|
|
|
|
|
|
|
|
|
|
|
|
диске; |
|
|
|
|
|
|
Windows NT) |
|
|
|
|
|
|
|
|
|
|
|
• |
запускать любые программы, |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
размещенные на данном диске |
|
|
|
|
|
|
|
|
• |
открывать, переименовывать и |
|
• |
запускать любые программы, |
|
|
|
|
|
|
удалять каталоги на данном |
|
|
размещенные на данном диске |
|
|
|
|
|
|
диске; |
|
|
|
|
|
Чтение и запись |
|
|
• |
открывать на чтение, изменять |
|
|
|
|
|
|
|
|
|
содержание, переименовывать |
|
|
|
|
|
|
|
|
|
и удалять файлы на данном |
|
|
|
|
|
|
|
|
|
диске |
|
|
|
|
|
|
|
|
• открывать каталоги на данном |
|
• переименовывать и удалять ката- |
|
||
|
|
|
|
|
диске; |
|
|
логи данного диска; |
|
|
Чтение и испол- |
|
|
• |
открывать на чтение файлы, |
|
• |
изменять содержание, переиме- |
|
|
нение |
|
|
|
размещенные на данном диске; |
|
|
новывать и удалять файлы, раз- |
|
|
|
|
|
• |
запускать любые программы, |
|
|
мещенные на данном диске |
|
|
|
|
|
|
размещенные на данном диске |
|
|
|
|
|
|
|
|
• |
открывать каталоги, размещен- |
|
• переименовывать и удалять ката- |
|
|
|
|
|
|
|
ные на данном диске; |
|
|
логи на данном диске; |
|
|
Чтение |
|
|
• открывать на чтение файлы, |
|
• |
изменять содержание, переиме- |
|
|
|
|
|
|
размещенные на данном диске |
|
|
новывать и удалять файлы, раз- |
|
|
|
|
|
|
|
|
|
|
мещенные на данном диске; |
|
|
|
|
|
|
|
|
• |
запускать любые программы, |
|
|
|
|
|
|
|
|
|
размещенные на данном диске |
|
|
|
|
|
• |
разрешенных действий нет; |
|
• выполнять любые действия над |
|
|
|
Нет доступа |
|
|
|
диск будет невидим для поль- |
|
|
каталогами и файлами данного |
|
|
|
|
|
зователя |
|
|
диска (независимо от атрибутов |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
доступа к каталогам и файлам) |
|
Управление режимами
|
Средства защиты системы Secret Net могут работать в двух режимах: "жестком" и |
|
"мягком". "Жесткий" режим является основным режимом работы системы защиты. |
|
"Мягкий" (технологический) режим позволяет упростить настройку системы защиты |
|
при вводе ее в эксплуатацию. |
|
|
9x |
Для компьютеров пространства имен Windows 9x "мягкий" режим разграничения |
доступа к дискам и портам не предусмотрен. |
При любом режиме работы попытка несанкционированного доступа к ресурсу фиксируется системой как событие несанкционированного доступа (НСД), однако, в отличие от "жесткого" режима, при "мягком" режиме доступ все-таки предоставляется. Такой подход на этапе ввода системы в эксплуатацию позволяет, не ограничивая возможностей пользователя, фиксировать все случаи превышения прав доступа. Последующий анализ записей журнала безопасности дает возможность уточнить потребности пользователя в ресурсах и привести его права в соответствие с ними.
Для включения мягкого режима:
1. Вызовите на экран окно настройки свойств связи “Пользователь-Компьютер” и перейдите к диалогу "Режимы" (см. Рис. 75 на стр. 181).
175