Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
67
Добавлен:
02.05.2014
Размер:
7.63 Mб
Скачать

Приложение

Типы ресурсов задачи

 

 

 

 

 

 

Устанавливаемые атрибуты

 

 

Тип ресурса

 

 

Характерный

 

 

Групповая маска

 

 

Использовать при

 

 

 

 

 

 

распространяется

 

 

 

 

 

 

 

признак задачи

 

 

на дочерние

 

 

построении замкнутой

 

 

 

 

 

 

 

 

 

программной среды

 

 

 

 

 

 

 

 

элементы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Каталог на диске

 

 

+

 

 

 

 

 

 

Файл на диске

 

 

+

 

 

 

+

 

 

Ключ реестра

 

 

+

 

 

 

 

 

 

Группа файлов по маске

 

 

 

+

 

+

 

 

Группа ключей реестра

 

 

 

+

 

 

 

 

Параметр реестра

 

 

+

 

 

 

 

 

 

 

Группа каталогов и файлов по маске

 

 

 

+

 

 

 

 

Дерево каталогов

 

 

 

+

 

 

 

 

Группа ключей и параметров реестра

 

 

 

+

 

 

 

 

Группа параметров реестра

 

 

 

+

 

 

 

Права доступа к ресурсам

Права доступа к каталогам в пространстве имен Windows 9х

 

Атрибуты

 

 

Предоставляемые пользователю права доступа

 

доступа

 

 

Пользователю разрешено

 

Пользователю запрещено

 

Full Access

 

выполнять любые действия над данным

запретов нет

 

 

 

 

каталогом и файлами, содержащимися в

 

 

 

 

 

 

нем (если это не запрещено атрибутами

 

 

 

 

 

 

доступа к файлам)

 

 

 

 

 

 

 

 

 

 

Read / Write

 

открывать, переименовывать и удалять

запускать любые программы, содер-

 

 

 

 

данный каталог;·

 

жащиеся в данном каталоге

 

 

 

открывать на чтение, изменять содержа-

 

 

 

 

 

 

ние, переименовывать и удалять файлы,

 

 

 

 

 

 

содержащиеся в каталоге

 

 

 

Read / Execute

 

открывать данный каталог;

переименовывать и удалять данный

 

 

 

открывать на чтение файлы, содержа-

 

каталог;

 

 

 

 

щиеся в каталоге;

изменять содержание, переимено-

 

 

 

запускать любые программы, содержа-

 

вывать и удалять файлы, содержа-

 

 

 

 

щиеся в каталоге

 

щиеся в каталоге

 

Read

 

открывать данный каталог;

переименовывать и удалять данный

 

 

 

открывать на чтение файлы, содержа-

 

каталог;

 

 

 

 

щиеся в каталоге

изменять содержание, переимено-

 

 

 

 

 

 

вывать и удалять файлы, содержа-

 

 

 

 

 

 

щиеся в каталоге;

 

 

 

 

 

запускать любые программы, содер-

 

 

 

 

 

 

жащиеся в каталоге

 

No Access

 

разрешенных действий нет; данный ката-

выполнять любые действия над дан-

 

 

 

 

лог будет невидим для пользователя

 

ным каталогом и файлами, содержа-

 

 

 

 

 

 

щимися в нем (независимо от

 

 

 

 

 

 

атрибутов доступа к файлам)

 

 

 

 

 

 

 

211

Система Secret Net. Руководство по администрированию. Книга первая

Права доступа к файлам в пространстве имен Windows 9х

 

Атрибуты

 

Предоставляемые пользователю права доступа

 

доступа

 

Пользователю разрешено

 

Пользователю запрещено

 

Full Access

 

выполнять любые действия над данным

запрещений нет (если атрибуты дос-

 

 

 

файлом

 

тупа к диску и каталогам, содержащим

 

 

 

 

 

файл, не запрещают к нему доступ)

 

 

 

 

 

 

Read / Write

 

открывать на чтение, изменять содержа-

запускать файл на исполнение, если

 

 

 

ние, переименовывать и удалять данный

 

это программа

 

 

 

файл

 

 

 

 

 

 

 

 

 

Read / Execute

 

открывать на чтение данный файл;

изменять содержание, переимено-

 

 

 

запускать файл на исполнение (если это

 

вывать и удалять данный файл

 

 

 

программа)

 

 

 

 

 

 

 

 

 

Read

 

открывать на чтение данный файл

изменять содержание, переимено-

 

 

 

 

 

вывать и удалять данный файл

 

 

 

 

запускать файл на исполнение, если

 

 

 

 

 

это программа

 

No Access

 

разрешенных действий нет; данный файл

выполнять любые действия над

 

 

 

будет невидим для пользователя

 

данным файлом (независимо от атри-

 

 

 

 

 

бутов доступа к диску и каталогам, со-

 

 

 

 

 

держащим файл).

 

 

 

 

 

 

Дополнительные атрибуты файлов в пространстве имен Windows 9х

Атрибут

Описание

Полный доступ

Устанавливает для программы специальный режим работы, при котором попытки доступа

 

программы к ресурсам не регистрируются в системном журнале.

 

Исключение: попытки доступа программы к конфиденциальным ресурсам при включенном

 

режиме полномочного управления доступом

Аудит чтения

Включает для файла режим, при котором осуществляется регистрация в локальном сис-

 

темном журнале всех успешных попыток осуществить доступ на чтение к данному файлу

Аудит записи

Включает для файла режим, при котором осуществляется регистрация в локальном сис-

 

темном журнале всех успешных попыток осуществить доступ на изменение к данному

 

файлу

Только чтение

Включает для файла режим, при котором реальный доступ к этому файлу разрешен толь-

 

ко на чтение, но программе, которая осуществляет доступ к файлу на запись, возвращает-

 

ся признак успешного завершения операции изменения файла

212

Приложение

Права доступа к файлам и каталогам в пространстве имен Windows NT

 

Специальные атрибуты доступа

 

 

 

 

 

Атрибуты доступа

 

 

 

 

 

 

 

Read

 

 

Read / Write

 

 

Read / Execute

 

 

Full Access

 

 

 

 

 

 

 

 

 

 

 

 

 

Traverse Folder/ Execute File

 

 

 

 

 

+

 

+

 

 

List Folder/ Read Date

 

 

+

 

+

 

+

 

+

 

 

Read Attributes

 

 

+

 

+

 

+

 

+

 

 

Read Extended Attributes

 

 

+

 

+

 

+

 

+

 

 

Create Files/ Write Data

 

 

 

+

 

 

 

+

 

 

Create Folders/ Append Data

 

 

 

+

 

 

 

+

 

 

Write Attributes

 

 

 

+

 

 

 

+

 

 

Write Extended Attributes

 

 

 

+

 

 

 

+

 

 

Delete Subfolders and Files

 

 

 

 

 

 

 

+

 

 

Delete

 

 

 

 

 

 

 

+

 

 

Read Permissions

 

 

+

 

+

 

+

 

+

 

 

Change Permissions

 

 

 

 

 

 

 

+

 

 

Take Ownership

 

 

 

 

 

 

 

+

 

213

 

Система Secret Net. Руководство по администрированию. Книга первая

 

 

Формат UEL-файла

Секции

UEL-файл представляет собой список программ, разрешенных или запрещенных

 

пользователю для исполнения. UEL-файл является структурированным текстовым

 

файлом (в кодировке ANSI), состоящим из нескольких секций.

[Information] – секция общего описания. Данная секция содержит информацию описательного характера и рассматривается как комментарий. Здесь могут быть сведения:

о принадлежности UEL-файла (имя пользователя и название компьютера, к которым относится данный файл).

об изменениях UEL-файла (дата, время, причина изменений, режим внесения изменений – ручной/автоматический, а в случае ручного режима – имя пользователя, произведшего изменения).

[Tasks] – секция описания задач. Данная секция содержит перечень исполняемых ресурсов, к которым пользователю разрешен доступ посредством механизма задач. Об использовании механизма задач см. Главу 5 на стр. 81. Эта секция корректируется только через механизм управления задачами, ручное изменение запрещено.

[Auto] – секция автоматической корректировки. Здесь размещается информация об исполняемых файлах, составляющих замкнутую программную среду при автоматическом формировании списка на основании журнала событий.

Для данного раздела разрешено ограниченное ручное изменение:

Разрешается:

Запрещается:

удалять записи;

ручное добавление записей;

комментировать записи;

корректировать пути в записях.

изменять префикс записей.

Формат строк

Префиксы

Пути к исполняемым файлам

[Manual] – секция ручной корректировки. В данную секцию разрешено добавлять записи вручную. Первоначально в этой секции размещается UEL-список, сформированный системой защиты по умолчанию.

Секции описания задач, автоматической и ручной корректировки содержат строки, разрешающие или запрещающие запуск программ на исполнение. Строки в этих секциях могут быть двух видов:

Комментарий. Строка комментария начинается с символа ";" (точка с запятой). Такие строки игнорируются как незначащие.

Значащая строка. Такая строка содержит путь к исполняемым файлам. Пе-

ред указанием пути может быть один или несколько префиксов.

Префикс перед строкой пути указывает на способ его обработки.

Префикс

Назначение

!Путь, следующий за данным префиксом, указывает на модули, запрещенные для запуска. Данный префикс может использоваться с любым путем (путь к файлу, путь к каталогу, маска файлов).

+Префикс может стоять только перед именем каталога. Указывает на рекурсивный режим обработки для данного каталога (т.е. обрабатываются и вложенные каталоги). Если перед именем каталога не указан префикс, то по умолчанию используется рекурсивный режим обработки.

Префикс, противоположный предыдущему. Т.е. указывает на отсутствие рекурсивной обработки для каталога.

Пути к исполняемым файлам могут быть указаны в виде:

Полного пути к исполняемому файлу.

214

Приложение

Цветовая индикация строк UEL-файла

Полного пути к каталогу, содержащему файлы. При записи в UEL имя каталога должно заканчиваться символом "\" (например: c:\tools\). Если перед таким путем нет префикса, указывающего режим обработки, то для данного каталога должен применяться рекурсивный режим. Путь к сетевым каталогам и файлам начинается с символов: “\\”.

Маски файлов для имен файлов. Допускается использование символов " " (0x2A) и "?" (0x3F). Символ " " соответствует любой последовательности символов. Символ "?" соответствует одному любому символу, в случае если после последовательности из одного или более "?" стоит значимый символ. Если после последовательности из одного или более "?" значимого символа нет, то "?" означает "один любой символ или отсутствие символа". Эти правила применимы как к имени, так и к расширению. Если имя файла содержит " " или "?", а расширение не задано, то считается, что расширение равно " ". Не допускается использование Windows-масок, т.е. масок типа fi e.txt.

За основными элементами UEL-файла, а также ошибочными элементами закреплены следующие цветовые индикаторы:

Цвет:

Используется для выделения основных элементов:

Темно-синий

Названия секций

Серый (50%)

Комментарии и содержимое секции [Information]

Авто

Путь к файлам

Сине-зеленый

Путь к дискам, каталогам и файлам, заданных с помощью масок

Зеленый

Путь к сетевым каталогам и файлам

 

Используется для выделения ошибочных элементов:

Красный

Пути к каталогам и файлам (заданным без использования масок), ко-

 

торые не обнаружены на локальном диске компьютера или являются

 

некорректными строками (т.е. строками с некорректным описанием

 

ресурсов или секций)

Темно-красный Пути к файлам (заданным без использования масок), на которых атрибуты доступа не соответствуют требованиям замкнутой среды

Синий

Пути к каталогам и файлам, совпадающие с описаниями в других

 

секциях данного UEL-файла

Правила

устранения

противоречий

Некорректные

строки

Если в UEL-списке есть строки, противоречащие друг другу, то для разрешения конфликтов используются следующие правила:

Конфликтная ситуация:

Правило устранения:

В списке есть

Явно указанный запрет запуска (т.е. строка с префиксом "!")

строки с префиксом "!"

имеет более высокий приоритет

и строки без префикса

 

В списке есть

Рекурсивный режим (префикс "+" или отсутствие префикса,

строки с префиксом "+"

управляющего рекурсивным режимом) имеет более высо-

(или без префикса)

кий приоритет

и строки с префиксом "–"

 

Если в UEL-файле есть строки с некорректной комбинацией префиксов (префиксы "+" или "–" указаны перед именем файла или каталога одновременно), такие строки считаются некорректными, выделяются цветом и исключаются из обработки.

215