Dallas Lock 8.0

Лабораторная работа № 1. Установка Dallas Lock 8.0
Цель работы: Ознакомление с возможностями СЗИ от НСД Dallas Lock 8.0 и получение
навыков ее установки.
Теоретическая информация.
Возможности системы защиты информации от несанкционированного доступа Dallas
Lock 8.0
Система защиты информации от несанкционированного доступа (СЗИ от НСД ) Dallas Lock
8.0 выпускается в двух модификациях, «К» и «С». Отличие модификаций состоит в наличии
некоторых дополнительных возможностей у редакции «С», которые будут указаны ниже. СЗИ от
НСД Dallas Lock 8.0 устанавливается на компьютеры, работающие под управлением различных
операционных систем семейства Windows. СЗИ от НСД Dallas Lock 8.0 обеспечивает надежную
защиту обрабатываемой информации при условии корректной настройки ее механизмов и состоит
из следующих основных компонентов [8]:
1. Драйвера системы защиты информации, автоматически запускаемого на компьютере при
его включении и функционирующего па протяжении всего времени работы. Драйвер
обеспечивает взаимодействие различных защитных подсистем Dallas Lock 8.
2. Системы управления доступом, включающей в себя:
- подсистему авторизации. Обеспечивает идентификацию и аутентификацию
локальных, доменных, терминальных и удаленных пользователей на этапе входа в
операционную систему. Осуществляет работу с различными типами аппаратных
идентификаторов. В модификации Dallas Lock 8 «С» механизм авторизации
пользователей можно задействовать еще на этапе загрузки операционной системы;
- подсистему дискреционного управления доступом к объектам файловой структуры и
устройствам ввода и вывода информации;
- подсистему мандатного управления доступом к объектам файловой структуры и
устройствам ввода и вывода информации. Эта подсистема присутствует только в
модификации Dallas Lock 8 «С».
3. Системы регистрации и учета, обеспечивающей:
- контроль выхода и входа пользователей в защищаемую систему;
- контроль запуска процессов;
- контроль доступа к объектам различного типа;
- контроль изменения политик безопасности;
- учет печати документов;
- гарантированную очистку остаточной информации;
- учет вывода информации на внешние носители;
- ведение нескольких журналов аудита событий;
- учет использования внешних устройств ввода и вывода информации;
- теневое копирование информации, выводящейся на печать и копируемой на внешние
носители.
4. Системы криптографической защиты информации, позволяющей создавать различные типы
шифрованных объектов:
- файл-контейнеры;
- файл-диски;
- преобразованные съемные USB Flash-накопители;
- преобразованные жесткие диски (доступно только в модификации Dallas Lock 8 «С»).
5. Системы контроля целостности, обеспечивающей:
- целостность отдельных файлов;
- целостность макропараметров информационной среды;
- периодическое тестирование состояния контролируемых объектов информационной
системы;
- восстановление измененных объектов информационной среды, чья целостность
контролируется.
6. Системы обеспечения защиты от сетевых угроз, состоящей из:
- персонального межсетевого экрана;
- системы обнаружения вторжений.
7.Администрирования Dallas Lock 8, состоящей из интерфейсов:
-локального администрирования. Обеспечивает вес возможности по управлению СЗИ от
НСД ;
подготовки отчетов о настройках Dallas Lock, программной и аппаратной конфигурациях
защищаемой информационной системы;
- удаленного администрирования. Позволяет выполнять настройку СЗИ от НСД с
удаленного компьютера;
- централизованного управления, состоящего из модуля «сервера безопасности»,
объединяющего защищенные компьютеры в домен;
- модуля «Менеджер серверов безопасности», объединяющего несколько серверов
безопасности в единую логическую единицу «Лес безопасности».
Задание 1. Установка автономной версии СЗИ от НСД Dallas Lock 8.0.
Инсталлировать автономную версию системы защиты Dallas Lock 8.0 на компьютер может
только пользователь, обладающий правами администратора на данном компьютере. Это может
быть локальный или доменный пользователь. Если пользователь доменный, то важно, чтобы он
был добавлен в группу «Администраторы» или «Администраторы домена».
Пользователь,
установивший
систему
защиты,
автоматически
становится
суперадминистратором, на которого не распространяются ограничительные действия Dallas Lock
8.0. Необходимо запомнить имя и пароль этого пользователя, так как некоторые операции можно
выполнить только из-под его учетной записи. Изменять имя (переименовывать)
суперадминистратора средствами Windows нельзя.
Имя и пароль пользователя для входа в операционную систему, выполнившего установку,
автоматически становятся именем и паролем для первого входа на компьютер с установленной
системой защиты Dallas Lock 8.0 пользователем в качестве суперадминистратора. Для установки
автономно работающего СЗИ от НСД Dallas Lock 8.0 необходимо запустить приложение «Dallas
Lock 8.0.msi».
После запуска программы установки следует выполнять действия, указанные в подсказках
инcталлятора. На каждом шаге установки предоставляется возможность полной отмены
инcталляции с возвратом всех сделанных изменений. Для этого служит кнопка «Отмена».
Переход на следующий этап установки выполняется с помощью кнопки «Далее». Во время
установки клиента Dallas Lock 8.0 выполняется автоматическая настройка Брандмауэра Windows.
При запуске инcталлятора Dallas Lock 8.0 на компьютере с установленной операционной
системой Windows 7, если включен механизм контроля учетных записей, после запуска
приложения «Dallas Lock 8.0.msi» на экране будет выведено диалоговое окно для подтверждения
операции (рис. 1).
Рис. 1. Разрешение на установку программы в ОС
Для продолжения установки следует ответить «Да», после чего запустится инсталлятор
системы Dallas Lock 8.0 (рис. 2).
Рис. 2. Окно начала установки системы защиты
Для установки необходимо нажать кнопку «Начать установку», после чего программа
приступит к инсталляции продукта. На данном этапе программа попросит осуществить ввод
определенных параметров (рис. 3).
Рис. 3. Ввод параметров установки
Для защиты от нелегального использования продукта необходимо ввести серийный номер
лицензии Dallas Lock 8.0, который указан на компакт-диске с дистрибутивом в поле «Код» и в
формуляре комплекта поставки.
Если требуется ввести компьютер в Домен безопасности в процессе установки системы, то в
соответствующие поля необходимо ввести имя Сервера безопасности и его ключ доступа. Для
установки автономно работающей версии никаких данных в полях «Сервер безопасности» и
«Ключ доступа к СБ» вводить не надо. Добавить компьютер в Домен безопасности можно и
позже, в процессе работы автономной версии Dallas Lock 8.0. После нажатия кнопки «Далее»
процесс установки системы будет завершен (рис. 4).
Рис. 4. Завершение установки программы
Далее система потребует перезагрузки компьютера (рис. 5).
Первый вход на защищенный компьютер сможет осуществить пользователь, под учетной
записью которого выполнялась инсталляция системы защиты Dallas Lock 8.0, либо доменный
пользовать, если компьютер является клиентом контроллера домена.
Рис. 5. Требование перезагрузки компьютера после установки
После установки системы защиты и перезагрузки компьютера па рабочем столе пользователя
и в меню «Пуск» появятся иконки оболочки администратора системы защиты Dallas Lock 8.0.
Задание 2. Вход на защищенный компьютер.
При загрузке компьютера, защищенного системой Dallas Lock 8.0, появляется экран
приветствия (приглашение на вход в систему) (рис. 6).
Рис. 6. Экран приветствия в ОС Windows
Для входа на защищенный СЗИ от НСД Dallas Lock 8.0 компьютер каждому пользователю
надо выполнить последовательность шагов:
1. Заполнить поле имени пользователя, под которым он зарегистрирован в системе. В
зависимости от настроек системы защиты в этом поле может оставаться имя пользователя,
выполнившего вход последним.
2. Заполнить поле имени домена. Если пользователь доменный, то указывается имя домена,
если пользователь локальный, то в этом поле оставляется имя компьютера или оставляется
пустое значение.
3. Если пользователю назначен аппаратный идентификатор, то его необходимо предъявить.
В зависимости от типа устройства предъявить идентификатор можно, вставив его в
соответствующий usb- или com-порт, или прикоснувшись к считывателю.
4. Указать уровень мандатного доступа. Этот параметр актуален только для модификации
Первый вход любому пользователю в Dallas Lock 8.0 «С» следует выполнять в режиме
«Открытые данные».
5. Ввести пароль. При вводе пароля поле для ввода является текстовым. Однако на экране
вместо символа, соответствующего каждой нажатой клавише, появляется символ «•» (точка).
При вводе пароля следует помнить, что строчные и прописные буквы различаются.
Допущенные ошибки при вводе исправляются так же, как и при заполнении текстового поля.
6. Нажать кнопку «Enter». После нажатия кнопки «Enter» осуществляется проверка наличия
в системе зарегистрированного пользователя с указанным именем. После чего проверяется
соответствие
с
именем
пользователя
номера
аппаратного
идентификатора,
зарегистрированного в системе защиты, и правильность указанного пользователем пароля. В
случае успеха проверки пользователю разрешается вход в систему, иначе вход в систему
пользователю запрещается.
Задание 3. Самостоятельно установить СЗИ от НСД Dallas Lock 8 на защищаемый
компьютер BUH, относящийся к бухгалтерии.
Отчет по выполненной лабораторной работе представляет собой демонстрацию
установленного СЗИ от НСД Dallas Lock 8 на защищаемых компьютерах KADR и BUH.
Контрольные вопросы
1. Из каких компонентов состоит СЗИ от НСД Dallas Lock 8?
2. Какие подсистемы входят в состав системы управления доступом?
3. Какие подсистемы входят в состав системы регистрации и учета?
4. Какие подсистемы входят в состав системы криптографической защиты
информации?
5. Какие подсистемы входят в состав системы контроля целостности?
6. Какие подсистемы входят в состав системы обеспечения защиты от сетевых угроз?
Лабораторная работа № 2. Настройка системы авторизации пользователей Dallas Lock 8.0
Цель работы: получение навыков настройки системы авторизации пользователей автономно
работающего Dallas Lock 8.0.
Теоретическая информация. Настройка системы парольной защиты
Действия по настройке системы парольной защиты Dallas Lock 8.0 можно выполнить только
под учетной записью, обладающей правами администратора. Настройка основных параметров
системы авторизации выполняется в закладке «Вход» вкладки «Параметры безопасности»
программы настройки Dallas Lock8.0 (рис. 7).
Рис. 7. Управление параметрами авторизации пользователей в автономно работающей
СЗИ от НСД Dallas Lock 8.0
Рассмотрим основные настройки, влияющие на систему парольной защиты пользователей.
На усиление парольной защиты влияют параметры:
- вход: максимальное количество ошибок ввода паролей - препятствует действиям,
связанным с подбором пароля нарушителем. Обычно устанавливают значение в
интервале от 3 до 5 возможных ошибок;
- вход: время блокировки учетной записи в случае неправильного ввода пароля. Как и
предыдущий параметр, препятствует действиям, связанным с подбором пароля
нарушителем. Значение по умолчанию - 15 минут. Достаточно часто используются
значения в интервале от 10 до 20 минут;
- вход: автоматический выбор аппаратного идентификатора при авторизации. Этот
показатель используется, если применяются идентификаторы. Рекомендуется установить
значение показателя «Нет», чтобы пользователь мог самостоятельно выбрать
идентификатор;
- пароли: максимальный срок действия пароля. Этот показатель способен оказать
сильное влияние на качество работы системы авторизации. Рекомендуется осуществлять
смену пароля один раз в три-четыре месяца, если не возникает ситуаций, связанных с его
компрометацией. Значение по умолчанию, равное 42 дням, следует изменить на 90 дней.
Слишком частая смена пароля без необходимости может оказать отрицательное влияние
на его конфиденциальность. Ввиду того, что пользователь не будет способен запомнить
пароль, он может начать его записывать на бумажных носителях информации. При этом
место хранения пароля не всегда бывает защищенным;
- пароли: минимальный срок действия пароля. Предпочтительнее оставить значение «не
используется». В этом случае пользователь сможет менять его в любой момент времени.
Экстренная смена пароля может потребоваться в случае его компрометации;
- пароли: напоминать о смене пароля за X дней. По умолчанию напоминания о
необходимости сменить пароль начнут появляться за 14 дней до истечения его действия.
Изменять это значение не рекомендуется;
- пароли: минимальная длина. По умолчанию минимальная длина пароля равна шести
символам. Изменять это значение в меньшую сторону не рекомендуется, поскольку
можно существенно снизить безопасность системы;
- пароли: необходимо наличие цифр. Рекомендуется установить значение «Да» для
повышения надежности используемого пароля;
- пароли: необходимо наличие спецсимволов. Рекомендуется установить значение «Да»
для повышения надежности используемого пароля;
- пароли: необходимо наличие строчных и прописных букв. Значение «Да» повысит
надежность используемого пароля, однако у пользователя могут возникнуть проблемы с
его запоминанием. Выбор значения во многом зависит от квалификации пользователей,
работающих на защищаемом компьютере;
- пароли: необходимо отсутствие цифр в первом и последнем символе. Выбор значения
скажется не существенно на безопасность системы;
- пароли: необходимо изменение пароля не менее чем в X символах. Рекомендуется
устанавливать значения, при которых будут меняться не менее двух третей всех
символов пароля;
-домен безопасности. Отсутствует, если Dallas Lock работает в автономном режиме;
- настройка считывателей аппаратных идентификаторов. Использование считывателей
позволяет реализовать двухфакторную авторизацию на уровне операционной системы.
Идентификаторы рекомендуется использовать, чтобы дополнительно обезопаситься от
кражи паролей. Если пароль был скомпрометирован, то нарушителю дополнительно
требуется получить доступ к идентификатору, ассоциированному с пользователем. В
отличие от версии 7.7 в Dallas Lock серии 8 добавлена возможность использования USB
Flash-накопителей в качестве идентификаторов. На рисунке 8 показан выбор для
использования в качестве идентификаторов USB Flash-накопителей и устройств типа
eToken.
Рис. 8. Настройка средств аппаратной идентификации
Если не осуществить настройку считывателей, то в дальнейшем их использовать будет
невозможно.
- блокировать компьютер при отключении устройства аппаратной идентификации.
Выбор значений «Да» или «Нет» во многом зависит от особенностей осуществления работы в
организации, где будет использоваться защищаемый компьютер. Выбор значения «Да» в ряде
ситуаций может вызывать неудобства. Например, если работа осуществляется за ноутбуком, где
только три usb-порта. К одному из них подключена мышь, ко второму порту - принтер, а к
третьему в качестве идентификатора - устройство типа eToken. В этом случае при копировании
данных на USB-накопитель потребуется отключать либо мышь, либо принтер;
- блокировать файл-диски при отключении аппаратных идентификаторов. Эта настройка
призвана повысить безопасность используемых шифрованных файл-дисков. Ее применение может
быть полезно, если авторизация для доступа к файл-дискам осуществляется с использованием
идентификационных ключей;
- использовать авторотационную информацию от СДЗ Dallas Lock. Параметр позволяет
осуществить интеграцию с модулем аппаратной системы доверенной загрузки Dallas Lock.
Выбирается «Да», если дополнительно к программному обеспечению Dallas Lock8.0 «С», «К»
используется аппаратная плата доверенной загрузки;
- вход: запрет смены пользователя без перезагрузки. После окончания настройки
системы защиты для этого параметра следует установить значение «Да». При смене пользователей
без перезагрузки может сохраняться некоторая остаточная информация об их деятельности.
Задание 1. Самостоятельно настроить параметры авторизации в соответствии с таблицей 1
на компьютерах BUHn, KADR.
Таблица 1 Параметры системы авторизации пользователей
Параметр
Значение
Вход: запрет смены пользователя без перезагрузки
Вкл
Вход: максимальное количество ошибок ввода паролей
4
Вход: время блокировки учетной записи в случае неправильного ввода
пароля
17
Вход: автоматический выбор аппаратного идентификатора при авторизации
Нет
Пароли: максимальный срок действия пароля
92
Пароли: минимальный срок действия пароля
не используется
Пароли: напоминать о смене пароля за
10 дней
Пароли: минимальная длина
7 символов
Пароли: необходимо наличие цифр
Да
Пароли: необходимо наличие спецсимволов
Да
Пароли: необходимо наличие строчных и прописных букв
Да
Пароли: необходимо отсутствие цифр в первом и последнем символе
Нет
Пароли: необходимо изменение пароля не менее чем в
5 символах
Настройка считывателей аппаратных идентификаторов
USB flash drive,
eToken
Блокировать компьютер
идентификации
при
отключении
устройства
аппаратной Нет
Блокировать файл-диски при отключении аппаратных идентификаторов.
Her
Использовать авторотационную информацию от СДЗ Dallas Lock
Нет
Значения параметров, которые не были указаны в таблице 1, менять не следует.
Принадлежность защищаемых компьютеров к серверу безопасности не рассматривается,
поскольку Dallas Lock функционируют в автономном режиме. Запрет входа пользователей без
перезагрузки сразу можно не включать. Следует иметь в виду, что значение минимальной длины
пароля может достаточно жестко определяться нормативными документами, регламентирующими
процесс защиты различного рода информации. Длина пароля, указанная в таблице 1,
соответствует требованиям по защите персональных данных.
Теоретическая информация. Настройка механизма доверенной загрузки Dallas Lock 8.0 С
Механизм доверенной загрузки имеется только в редакции Dallas Lock 8.0 С. Его
назначением является осуществление дополнительной авторизации еще перед началом загрузки
операционной системы. Механизм программной доверенной загрузки заменяет собой стандартный
загрузчик Windows [8]. Аналогичный механизм имеется в предыдущих версиях Dallas Lock.
Активация загрузчика является начальным этапом и необходимым условием для последующего
шифрования жестких дисков. Чтобы активировать механизм, следует открыть закладку «Вход»
вкладки «Параметры безопасности» программы настройки Dallas Lock8.0 (рис. 9).
Рис. 9. Фрагмент вкладки «Параметры безопасности»
Для активации механизма следует нажать на кнопку «Доверенная загрузка», а затем нажать
на кнопку «Включить» (рис. 10). Откроется окно включения режима доверенной загрузки. Самым
первым создастся PIN-код администратора безопасности.
Включение режима доверенной загрузки
Модуль доверенной загрузки (загрузчик) отрабатывает до загрузки операционной системы и
выполняет роль дополнительного уровня защиты при попытке доступа к компьютеру. Когда
загрузчик активирован, загрузка системы начинается только после ввода правильного PIN-кода.
Загрузчик позволяет создавать закодированные области диска (зоны), также в меню загрузчика
можно запустить функцию аварийного восстановления закодированных дисков с помощью PINкода администратора.
Рис. 10. Фрагмент вкладки «Параметры безопасности»
С помощью ввода PIN-кода администратора безопасности можно выполнить операцию по
аварийному восстановлению жесткого диска в случае возникновения неисправностей.
При создании PIN-кода следует выбрать алгоритм шифрования. Алгоритм ГОСТ 28147-89
обладает более высокой стойкостью, чем XOR32. Если руководствоваться соображениями
безопасности, а не скорости работы, то следует выбрать ГОСТ 28147-89. После активации режима
доверенной загрузки следует перезагрузить компьютер. Теперь для входа следует указать PIN-код
администратора безопасности (рис. 11).
Рис. 11. Использование загрузчика Dallas Lock
После загрузки компьютера можно добавлять PIN-коды других пользователей. Если
загрузчик активирован, то у каждого пользователя должен быть PIN-код. Длина PIN-кода и
параметры его сложности соответствуют используемой политике паролей. После загрузки
компьютера пользователю потребуется ввести пароль уже для входа в систему. В Dallas Lock
версии 7.7 авторизация в загрузчике позволяла входить в систему в случае совпадения паролей.
Тем не менее, если рассматривать вопрос обеспечения доверенной загрузки, то следует
отметить, что использование аппаратных плат обеспечивает большую надежность, чем чисто
программная защита. Аппаратные платы доверенной загрузки даже в случае изменения
параметров BIOS будут осуществлять загрузку с локального диска, на котором установлена
операционная система - то есть с диска С:.
Задание 2. Самостоятельно включить режим доверенной загрузки и зарегистрировать там
PIN-код администратора безопасности. Выполняется только в случае, если работа осуществляется
с Dallas Lock 8.0-С.
Теоретическая информация. Управление учетными записями пользователей Dallas
Lock 8.0
Для добавления учетных записей пользователей следует открыть закладку «Учетные записи»
и выбрать соответствующую вкладку на ленте программы настройки Dallas Lock 8.0 (рис. 12).
Рис. 12. Начальный список зарегистрированных учетных записей
По умолчанию имеются следующие учетные записи:
- администратора безопасности - пользователя, который установил СЗИ Dallas Lock;
- secServer - записи, с помощью которой Сервер безопасности подключается к
данному компьютеру и осуществляет его управление. Эту запись невозможно
удалить, но можно отключить. Если Dallas Lock используется в автономном режиме,
то запись secServer следует отключить;
- anonymous - запись, используемая для входа с незащищенных Dallas Lock
компьютеров. Ее нельзя удалить, но можно отключить. Если Dallas Lock был
установлен на контроллере домена, то эту учетную запись отключать не надо;
- *\* - запись, разрешающая всем доменным пользователям входить на защищенный
системой компьютер. Запись «*\*» создается, если на момент установки СЗИ Dallas
Lock компьютер входил в домен Active Directory. Запись *\* разрешено удалить или
отключать.
Пользователи, имеющиеся в Windows на момент установки Dallas Lock, автоматически в нем
не регистрируются, их надо добавлять. После нажатия на кнопку «Создать» (рис. 12) откроется
окно добавления пользователей (рис. 13). При добавлении или регистрации пользователей через
интерфейс автономно работающего Dallas Lock возможно несколько вариантов:
1) если учетной записи пользователя нет ни в ОС, ни в СЗИ, то в поле «Логин» следует
указать его имя. В этом случае с указанным именем будут созданы учетные записи и в ОС
Windows, и в СЗИ Dallas Lock. При этом в ОС Windows создается локальная учетная запись. Этот
вариант создания пользователей используется, если сеть является рабочей группой, где каждый
компьютер представляет собой фактически отдельный микродомен;
2) если пользователь зарегистрирован в ОС Windows, но его нет в Dallas Lock, то будет
добавлена соответствующая учетная запись только в СЗИ. Чтобы увидеть учетные записи
Windows, следует нажать на кнопку с увеличительным стеклом, предварительно указав место их
размещения - в домене или локально на компьютере (рис. 13).
Рис. 13. Регистрация доменных пользователей в Dallas Lock
Затем следует выбрать учетную 3anncbWindows, которую надо зарегистрировать в СЗИ
Dallas Lock и нажать на кнопку «ОК», после чего откроется диалоговое окно «Создание учетной
записи» (рис. 14).
Рис. 14. Диалоговое окно создания пользователей Dallas Lock
Рассмотрим основные настройки диалогового окно создания пользователей, которые можно
настраивать.
Как правило, для обычных пользователей должен быть включен флажок запрета работы при
нарушении целостности контролируемых объектов, поскольку это является нештатной ситуацией,
с которой должен разбираться администратор безопасности.
Смена пароля при следующем сеансе работы устанавливаться, если администратор создал
пользователя с временным паролем. Запрет смены пароля пользователем, как и возможность
использования пароля без ограничения срока действия, обычно не устанавливаются.
Опция «Служебный пользователь» актуальна только для версии Dallas Lock 8.0 С. Она
используется для обеспечения совместимости работы приложений в различных режимах
конфиденциальности.
Тип учетной записи при регистрации пользователей следует оставить без изменений.
Уровень мандатного доступа определяет важность документов, с которыми могут работать
пользователи. Этот параметр актуален только при использовании версии Dallas Lock 8.0 С.
С помощью задания числа разрешенных сеансов можно определить количество входов для
пользователей, получивших временный доступ к работе в системе. Расписание работы позволяет
ограничить доступ в систему пользователей во внерабочее время.
Затем следует определить аппаратный идентификатор. Разделение методов ввода
авторотационных данных увеличивает стойкость системы защиты информации. С этой целью
следует открыть вкладку «Аппаратные идентификаторы» (рис. 15), вставить идентификатор,
который будет ассоциирован с пользователем, и дождаться, пока Dallas Lock 8.0 его распознает.
Рис. 15. Назначение идентификатора пользователю
В поле «Идентификатор» указывается устройство, которое будет использовано в качестве
идентификатора. Некоторые виды устройств позволяют записывать в себя парольную
информацию.
С одной стороны, у пользователя появляется возможность не помнить пароль в принципе,
так как достаточно использовать идентификатор. Однако в случае его кражи нарушитель получит
вся авторотационную информацию, которая нужна ему для входа в систему. На наш взгляд,
авторотационные данные пользователей по возможности следует хранить отдельно и вводить
двумя разными способами - пароль через клавиатуру, а подтверждение имени осуществлять с
помощью аппаратного идентификатора. Для пользователей, обладающих правами
Администратора, надо использовать для обеспечения двухфакторную авторизацию при входе в
защищаемую систему.
Принадлежность пользователя к группе определяется во вкладке «Группы» (рис. 16).
Обычные пользователи, как правило, добавляются в группу «Пользователи домена». Также они
могут быть включены и в другие доменные группы. Изменить членство пользователя в группах
можно только в том случае, если пользователь и группы локальные.
Рис. 16. Принадлежность пользователя к группам
При создании групп в автономно работающем СЗИ Dallas Lock добавляется локальная
группа с таким же названием. Изменение паролей для доменных пользователей через интерфейс
автономной версии Dallas Lock 8 невозможно. Можно сменить пароль только для локальных
пользователей.
Задания 3-5 следует выполнить на двух компьютерах - BUH и KADR.
Задание 3. Самостоятельно отключить учетные записи SecServer, апоп-ymouse. Выполняется
для автономно работающего Dallas Lock 8.
Задание 4. Самостоятельно удалить учетную запись «*\*». Выполняется, если защищаемый
компьютер входит в состав домена.
Для выполнения последующих заданий, если компьютер находится в составе домена,
следует создать учетные записи Windows в соответствии с таблицей 2, а затем зарегистрировать их
в Dallas Lock. Если же работа осуществляется в локальной группе, то можно сразу добавлять их в
Dallas Lock.
Задание 5. Самостоятельно задать время работы пользователей - с 800до 1700 с перерывом на
обед с 1300 до 1400. По желанию можно задать произвольное время работы.
Задание 6. Сформировать отчет о выполненных настройках и действиях, используя
интерфейс формирования отчетов, нажав на кнопку основного меню, выбрав пункт «Отчеты» и
затем подпункт «Отчет о правах и конфигурациях»). Установить настройки, как показано на
рисунке 17, и заполнить пустые текстовые поля.
Таблица 2
Перечень зарегистрированных пользователей Dallas Lock на защищаемом компьютере
№ Логин Пароль
Идентификатор
№ Логин Пароль
Идентификатор
1
buhl
#edc4rfv
Нет
3
Kadrl
%tgb6yhn
Да
2
buh2
$rfv5tgb
Her
4
Kadr2
:yhn7ujm
Да
Рис. 17. Формирование отчета о настройках Dallas Lock
Отчет по выполненной работе можно формировать для любого из защищаемых
компьютеров. Следует распечатать только политики входа и перечень зарегистрированных
учетных записей.
Контрольные вопросы
1. Какие настройки влияют на сложность вводимого пароля?
2. Какие настройки влияют на частоту замены вводимого пароля?
3. Какие настройки противодействуют подбору пароля?
4. Как обеспечить возможность двухфакторной авторизации?
5. Как настроить принудительную перезагрузку при завершении сеанса?
6. Какие виды идентификаторов могут быть использованы в Dallas Lock?
7. Каков принцип работы доверенного загрузчика в Dallas Lock 8.0-С?
8. В чем разница в возможностях PIN-кодов администратора и пользователей?
9. Для чего нужны учетные записи SecServer, anonymouse, *\*?
10. Как осуществляется регистрация доменных пользователей?
11. Как осуществляется добавление локальных пользователей?
12. Как отключить неиспользуемые учетные записи?
13. Как ассоциировать идентификатор с пользователем?
14. Как ограничить время работы пользователя?
Лабораторная работа № 3. Настройка прав доступа пользователей к ресурсам в
информационной системе, защищенной Dallas Lock 8.0
Цель работы: получение навыков настройки прав пользователей в Dallas Lock 8.0.
Теоретическая информация
Важнейшим этапом настройки системы управления доступом является определение прав
пользователей на защищаемом компьютере. Для указания ряда глобальных параметров, влияющих
в дальнейшем на возможность их работы, на закладке «Параметры безопасности» следует выбрать
вкладку «Права пользователей» в интерфейсе настройки программы Dallas Lock 8.0. На рисунке
18 указаны параметры работы пользователей, определяющие их основные возможности при
работе на защищаемом компьютере.
Рис. 18. Интерфейс настройка прав пользователей в Dallas Lock 8.0
Просмотр и изменение параметров безопасности, управление учетными записями, просмотр
журналов и теневых копий, управление ресурсами следует оставить без изменений. При настройке
Dallas Lock 8.0 следует уделить внимание следующим параметрам [8]:
1. Аудит: просмотр теневых копий распечатываемых документов. Добавить учетную
запись администратора безопасности.
2. Аудит: просмотр теневых копий файлов. Добавить учетную запись администратора
безопасности.
3. Учетные записи: Принудительная двухфакторная аутентификация. Этот параметр
требует обязательного использования идентификаторов при прохождении авторизации
пользователей. Чтобы настройка могла быть использована, необходимо, чтобы был
установлен размер минимальной длины пароля. Также следует указать пользователей или
группы, для которых двухфакторная аутентификация будет обязательной.
4. Интерактивный вход: разрешен. Следует выбрать только тех пользователей или
группы, которым разрешен локальный вход на компьютер. По умолчанию установлено
значение «Все», которое надо убрать.
5. Интерактивный вход: запрещен. Если все пользователи, которым явно разрешен вход,
определены, то значение этой настройки можно не менять.
6. Удаленный вход: разрешен. Следует выбрать только тех пользователей или группы,
которым разрешен удаленный вход на компьютер. По умолчанию установлено значение
«Все», которое надо убрать.
7. Удаленный вход: запрещен. Если все пользователи, которым явно разрешен
удаленный вход, определены, то значение этой настройки можно не менять.
8. Принудительное завершение работы по расписанию. По умолчанию значения
параметра не определены. Можно оставить без изменений. Однако, если требуется, чтобы
работа завершалась строго по указанному при настройке пользователя расписанию, можно
указать соответствующих пользователей или их группы.
9. Печать разрешена. По умолчанию печать разрешена всем. Следует убрать значение по
умолчанию и указать только тех пользователей, кому будет разрешена печать с защищаемого
компьютера.
10. Печать запрещена. Если был определен перечень пользователей для осуществления
печати, то этот параметр можно оставить без изменений.
11. Низкоуровневый доступ к жестким дискам. По умолчанию разрешен только
администраторам. Изменять его, добавляя в список обычных пользователей, не следует.
12. Низкоуровневый доступ к сменным носителям. Необходимо убрать учетную запись
«Все». Можно добавить администратора безопасности или его помощника.
13. Деактивация системы защиты должна быть доступна только администратору
безопасности и его помощнику, если таковой имеется. В большинстве случаев
рекомендуется создавать вторую учетную запись администратора, дублирующую
возможности системного администратора.
Задание 1. С учетом зарегистрированных ранее пользователей самостоятельно настроить их
права в защищаемой системе. Для настройки компьютера KADR использовать данные таблицы 3 и
рисунка 18. При настройке прав можно использовать доменные группы пользователей
«Кадровики» и «Бухгалтеры».
Таблица 3 Права пользователей защищаемого компьютера KADR
Учетные
записи
и
№ Настраиваемые показатели
группы
1
Аудит: просмотр теневых копий распечатываемых документов
Администратор
2
Аудит: просмотр теневых копий файлов
Администратор
3
Учетные записи: Принудительная двухфакторная аутентификация
Кадровики
4
Интерактивный вход: разрешен
Кадровики
5
Интерактивный вход: запрещен
Бухгалтеры
6
Удаленный вход: разрешен
Кадровики, Бухгалтеры
7
Удаленный вход: запрещен
8
Принудительное завершение работы по расписанию
Бухгалтеры
9
Печать разрешена
Кадровики
10 Печать запрещена
Бухгалтеры
11 Низкоуровневый доступ к жестким дискам
Администратор
12 Низкоуровневый доступ к сменным носителям
13 Деактивация системы защиты
Администратор
Задание 2. Аналогично осуществить настройку компьютера BUH, используя данные
таблицы 4.
Таблица 4 Права пользователей защищаемого компьютера BUH
№ Настраиваемые показатели
теневых
Учетные записи и группы
1
Аудит: просмотр
документов
копий
распечатываемых
2
Аудит: просмотр теневых копий файлов
3
Учетные
записи:
аутентификация
4
Интерактивный вход: разрешен
Бухгалтеры
5
Интерактивный вход: запрещен
Кадровики
6
Удаленный вход: разрешен
Кадровики, Бухгалтеры
7
Удаленный вход: запрещен
8
Принудительное завершение работы по расписанию
Кадровики
9
Печать разрешена
Бухгалтеры
Принудительная
Администратор
Администратор
двухфакторная
Бухгалтеры
10 Печать запрещена
Кадровики
11 Низкоуровневый доступ к жестким дискам
Администратор
12 Низкоуровневый доступ к сменным носителям
13 Деактивация системы защиты
Администратор
Задание 3. Протестировать возможность локального входа для учетных записей, входящих в
группу Бухгалтеры на компьютере BUH.
Задание 4. Протестировать возможность локального входа для учетных записей, входящих в
группу Кадровики на компьютере KADR.
Задание 5. На компьютере BUH временно включить запрет интерактивного входа для
группы пользователей «Все». Попробовать осуществить вход с помощью учетной записи buhl.
Убрать запрет интерактивного входа с группы пользователей «Все» можно только под учетной
записью администратора безопасности.
Контрольные вопросы
1. Где настраиваются права пользователей по работе в защищаемой информационной
системе?
2. Какие макропараметры работы пользователей в системе можно настроить с
использованием закладки «Права пользователей»?
3. Для чего нужно теневое копирование копий файлов и распечатанных документов?
В чем положительные и отрицательные стороны использования этой настройки?
4. Что обозначает понятие «Интерактивный вход»?
5. В чем заключается особенность осуществления низкоуровневого доступа к
данным?
Лабораторная работа № 4. Настройка прав доступа пользователей к объектам файловой
системы в Dallas Lock 8.0
Цель работы: получение навыков настройки прав доступа пользователей к файлам и
каталогам в Dallas Lock 8.0.
Теоретическая информация. Особенности настройки прав доступа пользователей к
объектам файловой структуры
После того, как пользователям был предоставлен локальный или сетевой доступ к
компьютеру, настраивается разграничение их доступа к каталогам и файлам, находящимся на нем.
Средства дискреционной настройки прав доступа имеются во всех редакциях Dallas Lock 8.0.
Дискреционная модель настройки прав доступа к объектам оперирует такими понятиями, как
«чтение», «запись», «изменение», «создание» и т.п. Конкретный набор прав и используемые
принципы обработки ситуаций, связанных с предоставлением или отказом пользователю доступа
к объектам, зависит от особенностей реализации дискреционного механизма в каждом конкретном
случае. Реализация дискреционного механизма управления доступом в Dallas Lock 8.0. достаточно
подробно описана в руководстве пользователя (с. 77-88), которое находится на лицензионном
диске этого программного продукта. Укажем на некоторые основные особенности реализации
модели дискреционного разграничения прав доступа.
Для работы с каталогами предусмотрены следующие привилегии [8]:
1. Обзор папки. Обеспечивает возможность чтения содержимого каталога - всех
вложенных в него папок и файлов.
2. Изменение содержимого. Обеспечивает возможность записи, удаления и создания
папок и файлов внутри настраиваемого объекта.
3. Удаление вложенных объектов.
4. Выполнение вложенных объектов. Запуск исполняемых файлов, вложенных в
настраиваемый каталог.
Для администрирования доступа к отдельно взятому файлу возможна установка следующих
прав:
1. Чтение. Просмотр содержимое файла любого типа.
2. Запись. Включает в себя удаление файла, а также его изменение.
3. Удаление.
4. Выполнение. Запуск исполняемого файла.
Для работы с реестром на его ветки можно установить права:
1. Чтение. Позволяет прочитать содержимое.
2. Запись. Создание, изменение и удаление ветки реестра и ее параметров.
3. Удаление.
Для объектов предусмотрены также права чтения и изменения разрешений. Однако их
реализация возможна только в том случае, если кроме установки соответствующих прав
пользователю будут даны привилегии администрирования Dallas Lock.
Для ситуаций с относительно простым определением прав доступа пользователей к объектам
дискреционный механизм, используемый в Dallas Lock, представляется более предпочтительным,
чем имеющийся в Windows. Однако есть ряд ситуаций, где необходимо использование более
сложной модели разграничения прав, существующей в Windows.
В Dallas Lock установлены свои правила обработки доступа пользователей к объектам,
которые могут отличаться от существующих в Windows.
1. Если для вложенного объекта не определен список пользователей с правами доступа,
то действуют права, указанные для корневого объекта.
2. Если пользователю и группе, в которую он входит, явно указаны противоречащие друг
другу права доступа к объекту, то действуют привилегии, определенные для
пользователя.
3. Если явно для пользователя права доступа к объекту установлены не были, то они
определяются суммой прав групп, в которые он входит, и для которых были указаны
привилегии работы с настраиваемым объектом. Если при этом хотя бы для одной группы
был установлен явный запрет на какую-либо привилегию, то он будет распространяться
и на пользователя.
4. Если пользователь не указан в списке доступа к объекту и не входит ни в одну из
групп, для которых был настроен доступ, то для него действуют привилегии,
установленные для группы «Все».
В приведенном списке правилам, существующим в Windows, может противоречить пункт 2,
так в Windows явный запрет всегда выше явного разрешения вне зависимости от того, для кого он
указан, для группы или входящего в нее пользователя.
Рассмотрим практические аспекты настройки прав доступа к каталогам в
многопользовательских системах.
Чтобы обеспечить конфиденциальность обработки данных, надо разграничить права доступа
пользователей к ним. Для настройки прав доступа к объекту в окне проводника следует выделить
его значок, вызвать контекстное меню (рис. 19) и выбрать пункт «DL8.0: Права доступа».
Рис. 19. Открытие окна разграничения прав доступа в Dallas Lock
В появившемся окне следует, используя кнопки «Пользователи» и «Группы», выбрать
субъектов доступа, а затем указать права доступа к настраиваемому объекту (рис. 20).
Рис. 20. Установка прав доступа на корневой каталог диска D:
Настраивать доступ проще с использованием кнопок «Полный доступ», «Только чтение»,
«Закрыть доступ», изменяя затем вручную предложенный шаблон прав. Далее рассмотрим задачу
обеспечения многопользовательского доступа пользователей к ресурсам компьютера.
Пусть на диске D: компьютера KADR сотрудники кадровой службы ведут обработку
информации. Настройка прав их доступа должна начинаться с создания структуры каталогов на
диске защищаемого компьютера (рис. 21).
Рис. 21. Структура каталогов пользователей на компьютере KADR
В предложенной структуре каталогов имеется папка «Бухгалтер», предназначенная для
обмена информацией о сотрудниках организации с бухгалтерией. К каталогу «Бухгалтер» должны
иметь удаленный доступ пользователи, входящие в группу «Бухгалтерия».
Задание 1. Создать структуру каталогов, показанную на рисунке 21 на компьютере KADR.
Настроить права доступа для группы «Кадровики» к подкаталогам диска D: в соответствии с
таблицей 5.
Сначала следует установить блокировку изменения информации на весь диск D:, разрешив
только возможность чтения каталогов для определенных групп пользователей. В данном случае
это пользователи групп «Кадровики» и «Бухгалтеры».
Внимание!!! Для группы «Все» следует закрыть доступ к диску D:.
Таким образом, можно будет заблокировать произвольные действия пользователей по
созданию новых каталогов в корне диска D:. Затем следует начать разграничение прав доступа
пользователей и их групп к каталогам более низких уровней.
Таблица 5
Разграничение прав доступа для группы «Кадровики»
Привилегия
D: D:kadrl (наследов) D:kadr2 (наследов) D:Бyxгалтер
Обзор папки
+
+
+
+
Изменение содержимого
—
—
—
+
Удаление вложенных объектов
—
—
—
+
Выполнение вложенных объектов —
—
—
—
Чтение разрешений
+
+
+
+
Запись разрешений
—
—
—
+
Задание 2. В соответствии с таблицей 5 самостоятельно настроить права доступа к каталогам
для группы «Кадровики».
Для группы «Бухгалтеры» устанавливаются права, указанные в таблице 6. В результате они
не смогут менять или просматривать данные из каталогов сотрудников отдела кадров, но получат
доступ к своей папке [10].
Таблица 6
Разграничение прав доступа для доменной группы «Бухгалтеры» к рабочим каталогам на
компьютере KADR
D:kadrl
Привилегия
D:
D:kadr2 (наследов) D:Бухгалтер
(наследов)
Обзор папки
+
—
—
+
Изменение содержимого
—
—
—
+
Удаление вложенных объектов
—
—
—
+
Выполнение вложенных объектов
—
—
—
—
Чтение разрешений
+
—
—
+
Запись разрешений
—
—
—
+
Задание 3. В соответствии с таблицей 6 самостоятельно настроить права доступа к каталогам
для группы «Бухгалтеры».
Согласно заданию для каждого пользователя отдела кадров предусмотрены свои рабочие
каталоги. Разграничение доступа к рабочим каталогам для пользователя kadrl представлено в
таблице 7.
Таблица 7 Разграничение прав доступа для пользователя kadrl к рабочим каталогам
Привилегия
D:kadr 1
Открытые
D:kadrl fl_ личные
дела
D:kadr2
Открытые
D:kadr2
ПД приказы
Обзор папки
+
+
+
—
Изменение содержимого
+
+
—
—
Удаление вложенных
объектов
+
+
—
—
Выполнение вложенных
объектов
—
—
—
—
Чтение разрешений
+
+
+
—
Запись разрешений
+
+
—
—
Задание 4. В соответствии с таблицей 7 самостоятельно настроить права доступа к каталогам
для пользователя kadrl.
Разграничение доступа к рабочим каталогам для пользователя kadr2 представлено в таблице
8.
Таблица 8 Разграничение прав доступа для пользователя kadr2 к рабочим каталогам
D:kadrl
D:kadrl fl_личные D:kadr2
D:kadr2
ПД
Привилегия
Открытые дела
Открытые
приказы
Обзор папки
+
—
+
+
Изменение содержимого
—
—
+
+
Удаление
объектов
вложенных
—
—
+
+
Выполнение
объектов
вложенных
—
—
—
—
Чтение разрешений
+
—
+
+
Запись разрешений
—
—
+
+
Задание 5. В соответствии с таблицей 8 самостоятельно настроить права доступа к каталогам
для пользователя kadr2.
Механизм дискреционной настройки прав доступа в Dallas Lock гораздо проще в настройке,
чем тот, который предлагается в Windows. Однако в ряде случаев упрощения не позволяют решать
некоторые проблемы, связанные с разграничением прав доступа. В частности, субъект доступа
(пользователь или группа), которому предоставлена возможность изменение информации в
каталоге, может его удалить. В ряде случаев это неприемлемо. Чтобы заблокировать такую
возможность, следует использовать аппарат настройки дискреционных прав Windows.
Внимание!!! В большинстве случаев совместное использование механизмов разграничения
прав доступа Windows и Dallas Lock нежелательно. В большинстве случаев рекомендуется
использовать какой-либо один механизм во избежание возникновения противоречий в настройках.
Чтобы пользователи не могли удалить каталог «Бухгалтер», выполняются следующие
действия:
1) вызывается контекстное меню щелчком правой кнопкой мыши на значке каталога
«Бухгалтер»;
2) выбирается пункт «Свойства», а в открывшемся окне вкладка «Безопасность»;
3) щелчком на кнопке «Дополнительно» открываются интерфейс настройки
дополнительных параметров безопасности;
4) затем следует щелкнуть по кнопке «Изменить разрешения» и в появившемся окне
нажать на кнопку «Добавить»;
5) в появившемся окне следует ввести имя пользователя или группы, для которой
выполняется настройка. В данном случае в поле «Введите имена выбираемых объектов»
указывается группа «Все» и нажимается кнопка ОК;
6) в появившемся окне определяется область действия устанавливаемых настроек. В
списке «Применять» выбирается строка «Только для этой папки» (рис. 22);
Рис. 22. Расширенная настройка прав доступа для каталога «Бухгалтер»
7) В перечне привилегий установить запрещающие флажки на «Удаление», «Смена
разрешений» и «Смена владельцев». Для остальных привилегий настройки не устанавливать.
Подтвердить изменения настроек.
Задание 6. Описанные выше действия самостоятельно повторить для каталогов:
1) D:kadrl Открытые;
2) D:kadr1 ПД_личные_дела;
3) D:kadr2 Открытие;
4) D:kadr2 ПД_приказы.
Задание 7. Настроить общий доступ к каталогу «Бухгалтер».
Общий доступ определяет возможность работы с каталогом удаленно.
Общий доступ открывается и настраивается средствами Windows. Для этого выполняется
следующая последовательность действий:
1) с помощью контекстного меню щелчком по значку каталога «Бухгалтер»
вызывается окно свойств;
2) выбирается вкладка «Доступ»;
3) затем открывается диалог расширенной настройки с помощью нажатия на
соответствующую кнопку;
4) установить флажок «открыть общий доступ к этой папке» (рис. 23);
Рис. 23. Открытие общего доступа к каталогу
5) нажать на кнопку «Разрешения»;
6) удалить учетную запись группы «Вcе», добавить группы «Бухгалтеры»,
«Кадровики» и установить для них одинаковые права доступа, как показано на
рисунке 24;
7) подтвердить установленные настройки прав доступа.
Рис. 24. Установка разрешений работы с общими ресурсами
Задание 8. Правильность выполненных в заданиях 2-6 настроек самостоятельно
протестировать с помощью действий с каталогами под учетными записями kadrl, kadr2, buhl. На
время тестирования можно убрать запрет локального входа для учетной записи buhl. При
тестировании проверять возможности создания и удаления файлов из рабочих каталогов. Также
следует проверить возможность осуществления несанкционированных действий и 38
удаления рабочих каталогов. После осуществления тестовых действий локально следует
проверить корректность защитных настроек для общего ресурса «Бухгалтер», соответствующий
каталогу «D: Бухгалтер».
Задание 9. Создать структуру каталогов, показанную на рисунке 25 на компьютере BUH.
Настроить права доступа для группы «Бухгалтеры» к подкаталогам диска D: в соответствии с
таблицей 9.
Рис. 25. Структура каталогов пользователей при па компьютере BUH
Как и в случае с компьютером KADR. сначала следует установить блокировку изменения
информации на весь диск D:. разрешив только возможность чтения каталогов для групп
«Кадровики» и «Бухгалтеры». Папка «Кадровик» предназначена для обмена информацией о
сотрудниках организации с отделом кадров. К каталогу «Кадровик» должны иметь удаленный
доступ пользователи, входящие в группу «Кадровики». Права доступа к каталогам верхнего
уровня для группы «Бухгалтеры» представлены в таблице 9.
Таблица 9 Разграничение прав доступа для группы «Бухгалтеры»
Привилегия
D: D:buh1 (наследов) D:buh2 (наследов) D:Кадровик
Обзор папки
+
+
+
+
Изменение содержимого
—
—
—
+
Удаление вложенных объектов
—
—
—
+
Выполнение вложенных объектов —
—
—
—
Чтение разрешений
+
+
+
+
Запись разрешений
—
—
—
+
Права доступа к каталогам верхнего уровня для группы «Кадровики» представлены в
таблице 10.
Таблица 10 Разграничение прав доступа для группы «Кадровики»
Привилегия
D: D:buh1 (наследов) D:buh2 (наследов) D:Кадровик
Обзор папки
+
—
—
+
Изменение содержимого
—
—
—
+
Удаление вложенных объектов
—
—
—
+
Выполнение вложенных объектов —
—
—
—
Чтение разрешений
+
—
—
+
Запись разрешений
—
—
—
+
Внимание!!! Для группы «Все» закрыть доступ к диску D:.
Для каждого пользователя бухгалтерии предусмотрены свои рабочие каталоги.
Разграничение доступа к рабочим каталогам для пользователя buhl представлено в таблице 11.
Таблица 11 Разграничение прав доступа для пользователя buhl к рабочим каталогам
D:buh1
D:buhl
Зap_ D:buh2
D:buh2
Привилегия
Открытые
плата
Открытые Контрагенты
Обзор папки
+
+
+
—
Изменение содержимого
+
+
—
—
Удаление
объектов
вложенных
+
+
—
—
Выполнение
объектов
вложенных
—
—
—
—
+
+
+
—
Чтение разрешений
Запись разрешений
+
+
—
—
Задание 10. В соответствии с таблицей 11 самостоятельно настроить права доступа к
каталогам для пользователя buh 1. Разграничение доступа к рабочим каталогам для пользователя
buh2 представлено в таблице 12.
Таблица 12 Разграничение прав доступа для пользователя buh2 к рабочим каталогам
D:buh1
Открытые
Привилегия
D:buhl
плата
Зap_ D:buh2
Открытые
D:buh2
Контрагенты
Обзор папки
+
—
+
+
Изменение содержимого
—
—
+
+
Удаление
объектов
вложенных
—
—
+
+
Выполнение
объектов
вложенных
—
—
—
—
+
—
+
+
Чтение разрешений
Запись разрешений
—
—
+
+
Задание 11. В соответствии с таблицей 12 самостоятельно настроить нрава доступа к
каталогам для пользователя buh2.
Задание 12. Разграничить доступ пользователей buhl и buh2, и работающих на компьютере
BUH к каталогу общего доступа «Бухгалтер» на компьютере KADR.
Выполнение.
Общая последовательность настройки следующая. Сначала осуществляется глобальная
блокировка доступа всех пользователей к сетевым ресурсам, а затем предоставляется доступ
только к тем каталогам, которые используются ими для работы (рис. 26).
Внимание!!! Указание группы «Все» вызовет блокировку возможности настраивать опцию
«Параметры сети по умолчанию» для всех учетных записей, кроме администратора безопасности
(учетной записи, под которой была установлена система защиты). При этом возможность работы с
сетью у учетных записей, относящихся к группе администраторов, останется.
Рис. 26. Глобальная блокировка доступа пользователей по сети
Далее в окне проводника следует открыть сетевое окружение, выбрать интересующий вас
компьютер и начать настройку доступа к каталогам общего пользования. На рисунке 27 показан
выбор каталога «Бухгалтер», расположенного на компьютере KADR, для настройки удаленного
доступа к нему с рабочей станции BUH.
Внимание!!! Если рабочие станции не видны в сети, то следует проверить работу служб
«Браузер компьютеров», «DHCP Client», «DNS Client», «Сетевые подключения», «Служба
сведений о подключенных сетях», «Удаленный вызов процедур (RPC)», «Сервер», «Модуль
поддержки NetBIOS через TCP/IP», «Рабочая станция» как на компьютере, где находится каталог
общего доступа, так и на том, откуда производится настройка.
Рис. 27. Выбор каталога для настройки
Затем следует указать права доступа для групп пользователей или учетных записей, которые
будут работать с каталогом (рис. 28), и завершить настройку нажатием кнопки ОК.
Рис. 28. Определение прав удаленного доступа к каталогу общего пользования
С помощью программы «Проводник» открыть папку рабочего стола пользователя buhl
(C:Users\buhl\Paбочий стол) и создать там ярлык для открытия папки общего доступа «Бухгалтер»,
указав путь к ней: «D:\Бyxгалтер». Затем повторить эти действия для пользователя buh2.
Поскольку настройки доступа, устанавливаемые в Dallas Lock, могут противоречить
настройкам безопасности Windows, надо проверить соответствующие параметры в политике
безопасности компьютера KADR. Следует зайти на компьютер KADR под учетной записью
доменного администратора, открыть окно «Администрирование» в «Панели управления», где
выбрать пункт «Локальная политика безопасности». Для настройки доступа к компьютеру по сети
в окне «Локальная политика безопасности» надо выбрать подпункт «Назначение прав
пользователей» (рис. 29).
Рис. 29. Выбор группы политик для настройки сетевого доступа
Затем следует просмотреть значения, указанные в политике «Доступ к компьютеру из сети».
По умолчанию разрешен доступ для учетных записей «Все», «Администраторы», «Пользователи»,
«Операторы архива» (рис. 30).
С такими настройками общий доступ к ресурсу «D:\Бухгалтер» будет предоставлен. Однако
для повышения безопасности следует убрать группы «Все», «Операторы архива». Можно также
убрать группу «Пользователи», но тогда надо обязательно добавить доменные группы
«Кадровики» и «Бухгалтеры».
Политику «Отказать в доступе к этому компьютеру из сети» можно оставить без изменений.
Если в ней указать какую-либо учетную запись или группу, то для них будет запрещен доступ к
компьютеру, даже если он был разрешен в политике «Доступ к компьютеру из сети», поскольку в
Windows явный запрет главнее явного разрешения.
Рис. 30. Настройка политик безопасности доступа к компьютеру по сети
После осуществления настройки папки общего доступа следует зайти на компьютер BUH
под учетной записью buhl и протестировать возможность работы с каталогом «Бухгалтер» на
компьютере kadr.
Задание 13. Самостоятельно разграничить доступ пользователей kadrl и kadr2, и работающих
на компьютере KADR к каталогу общего доступа «Кадровик» на компьютере BUH.
Отчет о выполненной работе должен включать в себя:
- распечатку конфигурации Dallas Lock с правами доступа учетных записей kadrl,
kadr2, а также групп «Бухгалтеры», «Кадровики», «Все» на компьютере KADR;
- распечатку конфигурации Dallas Lock с правами доступа учетных записей buhl,
buh2, а также групп «Бухгалтеры», «Кадровики», «Все» на компьютере вин.
Контрольные вопросы
1. В чем особенности реализации опций в разграничительной политике доступа к ресурсам
средствами Dallas Lock?
2. От чего зависит «весомость» установленной настройки прав доступа к объекту?
3. Почему в работе потребовалось использовать разграничительные возможности Windows?
4. Как заблокировать возможность удаления пользователем своего рабочего каталога
средствами Windows?
5. Каким образом разграничивается общий доступ к ресурсу «Бухгалтер»?
6. Для чего нужна принудительная двухфакторная аутентификация?
Лабораторная работа 5. Настройка прав доступа пользователей к внешним устройствам в
Dallas Lock 8.0
Цель работы: Научиться настраивать права доступа к внешним устройствам.
Весьма важной с точки зрения обеспечения информационной безопасности задачей является
настройка доступа пользователей к внешним устройствам ввода и вывода данных. Настраивать
доступ к внешним устройствам необходимо, поскольку они часто используются нарушителями
для несанкционированного доступа к защищаемой информации [8].
Возможностей операционных систем семейства Windows для блокирования и разграничения
доступа к различным интерфейсам подключения внешних устройств, протоколам и технологиям
передачи данных недостаточно, поэтому необходимо использовать добавочные средства защиты
информации [10]. Для настройки доступа к этим объектам на защищаемом компьютере на
закладке «Контроль ресурсов» следует выбрать вкладку «Устройства» в интерфейсе настройки
программы Dallas Lock 8.0 (рис. 31).
Рис. 31. Интерфейс настройки доступа к внешним устройствам
Откроется окно, используя которое, можно настроить доступ к устройствам различного типа.
Кратко опишем наиболее часто используемые из них.
Под Android-устройствами понимаются смартфоны, интернет-планшеты, электронные книги,
цифровые проигрыватели, игровые приставки, нетбуки и другие изделия, работающие под
управлением операционной системы «Android», которую в настоящее время разрабатывает
компания Google.
Wireless Communication, Bluetooth, инфракрасный протокол связи IrDA - это технологии,
позволяющие осуществлять беспроводную передачу данных и обеспечивающие обмен
информацией между различными электронными устройствами.
Dallas Lock позволяет разграничивать доступ пользователей к использованию сетевых
интерфейсов, принтеров, накопителей данных, устройств, подключаемых с помощью MTD,
PCMCIA, USB, COM, LPT разъемов и т.д.
Базовыми принципами при разграничении доступа к устройствам или технологиям
организации связи являются следующие:
- если тип устройств или способ организации связи не используется, то его следует
блокировать;
- доступ пользователей к используемым устройствам должен быть разграничен. При этом
следует определить конкретный перечень применяемых устройств, а также права доступа к
ним для каждого пользователя, зарегистрированного на защищаемом компьютере.
Рассмотрим практические аспекты настройки доступа к устройствам, интерфейсам
подключений и технологиям передачи данных, выполняемые с помощью Dallas Lock 8.0.
Чтобы настроить доступ к какому-либо классу устройств, способу передачи данных или
интерфейсу, следует выделить соответствующий элемент, вызвать контекстное меню и выбрать
пункт «Свойства» (рис. 32).
Рис. 32. Открытие окна настройки доступа к Android-устройствам
В появившемся окне можно разграничить доступ к устройствам. На рисунке 33 показана
ситуация, когда дискреционное и мандатное разграничение доступа возможно только
применительно к типу объектов в целом.
Например, блокировка Android-устройств приведет к тому, что подключение любых изделий
этого типа будет невозможным.
Разграничения только на уровне типа устройств действует для Android, Bluetooth, HID, MTD,
PCMCIA, Secure Digital, беспроводных, биометрических, инфракрасных, переносных устройств,
контроллеров магнитных шин, ленточных накопителей, модемов, сканеров и цифровых
фотоаппаратов и т.п.
Рис. 33. Настройки доступа к Android-устройствам
Также желательно настроить аудит доступа, который применяется к двум типам событий успех и отказ в использовании (рис. 34).
Рис. 34. Настройка аудита использования Android-устройств
На уровне отдельных устройств возможно разграничить доступ для портов СОМ и LPT,
принтеров, USB-накопитслсй. На рисунке 35 показано разграничение доступа к USB Flashнакопителям в целом.
Рис. 35. Настройка прав доступа к USB Flash-накопителям для группы «Все»
Запрет использования USB Flash - накопителей по умолчанию для всех пользователей
позволяет исключить их неучтенное использование. Также настраивается аудит доступа к USB
Flash-накопителям (рис. 36).
Рис. 36. Настройка аудита доступа к USB Flash-накопителям для группы «Все»
Однако в настоящее время обработка информации может потребовать ее копирования на
съемные накопители данных. Чтобы разрешить использование учтенного USB Flash-накопителя
информации для определенного пользователя или группы, выполняются следующие действия:
- накопитель вставляется в USB-разъем;
-открывается окно «Устройства» на вкладке «Контроль ресурсов» (рис. 37);
-раскрывается список USB Flash-дисков и выделяется интересующий нас накопитель
данных;
- вызывается контекстное меню и в нем выбирается пункт «Свойства».
Рис. 37. Открытие окна разграничения доступа к USB Flash-накопителю
В открывшемся окне следует указать пользователя или группу пользователей, для которых
устанавливаются права доступа (рис. 38).
Запрет выполнения вложенных объектов позволит блокировать запуск программ с USB
Flash-накопителя. Параметры аудита можно не определять, поскольку они уже были указаны для
всех USB Flash-накопителей ранее.
Рис. 38. Разграничение прав доступа пользователя к USB Flash-накопителю
При разграничении доступа к USB Flash-накопителю можно добавить несколько
пользователей или групп, зарегистрированных в Dallas Lock 8.0 и каждой учетной записи указать
свои права доступа и аудита.
Задание 1. Самостоятельно присвоить пользователям kadrl и kadr2 доступ к двум USB Flashнакопителям, используемым для их авторизации при входе в систему.
Задание 2. Самостоятельно заблокировать доступ к Android, Bluetooth, HID, MTD, PCMCIA,
Secure Digital, беспроводным, биометрическим, инфракрасным, переносным устройствам, а также
контроллерам магнитных шин, ленточным накопителям, модемам, сканерам и цифровым
фотоаппаратам. Заблокировать использование СОМ и LPT портов.
Задание 3. Самостоятельно разграничить доступ пользователей к принтерам. Разрешить
использование одного из установленных принтеров группе пользователей «Кадровики».
Использование остальных заблокировать по аналогии с настройкой USB Flash-накопителей.
Отчет о проделанной работе должен содержать распечатку конфигурации Dallas Lock, где
были бы указаны права доступа к съемным устройствам.
Контрольные вопросы
1. В чем опасность неконтролируемого использования съемных устройств?
2. Что представляют собой Android-устройства?
3. Какие технологии передачи данных способен блокировать Dallas Lock?
4. Какова общая последовательность действий при настройке контролируемого доступа к
USB Flash-накопителям?
5. Как настраивается контролируемый доступ к принтерам?
6. Возможно ли разграничить права доступа пользователей на запись информации на
оптические диски?
7. Какими возможностями ограничения использования внешних устройств обладает
Windows?
Лабораторная работа № 6. Настройка аудита доступа к объектам файловой структуры и
внешним устройствам в Dallas Lock 8.0
Цель работы: получение навыков настройки подсистемы аудита доступа пользователей к
файловым объектам и используемым внешним устройствам на защищаемом Dallas Lock 8.0.
компьютере. Получение навыков анализа действий пользователей на защищаемом Dallas Lock 8.0.
компьютере.
Теоретическая информация
При рассмотрении функциональных возможностей семейства операционных систем
Windows было показано, что используемая в них модель разграничения доступа к объектам
файловой системы и внешним устройствам не в полной мере соответствует предъявляемым
требованиям. Такая же картина наблюдается и при рассмотрении возможностей, которые
предоставляет Windows для обеспечения аудита действий пользователей. Так, например,
подсистема аудита в Windows имеет следующие недостатки:
1) крайне тяжело отследить подключение внешних устройств. Об их использовании
лишь можно догадываться по наличию некоторых событий в операционной системе.
При этом понять, какая информация была скопирована на внешние устройства или
перемещена на компьютер, а также какое именно внешнее устройство
использовалось, весьма затруднительно;
2) сложно выявить события печати документов, а также информацию, которая была
выведена па печать;
3) способ организации хранения информации о событиях. Проблема состоит в том,
что журналы аудита в Windows, как правило, настроены па перезапись старых
событий. А если этого не происходит, то работа компьютера может быт
заблокирована. В этой связи администратор безопасности должен все время следить,
чтобы интересующая его информация не была перезаписана. Если же настроить
блокировку компьютера при переполнении журнала аудита, то это будет затруднять
нормальную работу пользователей;
4) несмотря па значительное улучшение возможностей интерфейса в плане
фильтрации данных и поиска событий, в журналах Windows все еще тяжело искать
записи о событиях.
Поэтому использование добавочных средств защиты, позволяющих в полной мере
обеспечить требования к аудиту действий пользователей, необходимо. В подсистеме аудита
действий пользователей в Dallas Lock указанных недостатков не наблюдается. Предусмотрено
несколько журналов, события в которые записываются в зависимости от типа (вход в систему,
печать документа, запуск программы, доступ к файлу и т.п.), что облегчает поиск интересующей
администратора безопасности информации (рис. 39):
- входов в систему. Регистрирует входы и выходы в защищаемую систему, доступ к
сетевым ресурсам, попытки входа на защищаемый компьютер извне;
- управления учетными записями;
- ресурсов;
- печати;
- управления политиками;
- процессов;
- из сохраненного ранее файла.
Рис. 39. Журналы учета работы пользователей
По умолчанию в журналах хранится до 20000 записей о событиях. После переполнения
журнал архивируется и помещается в специальный каталог «C:\DLLOCK80\Logs». Действующие
журналы хранятся в каталоге «С:\DLLOCK80\Jrn». Как файлы журналов, так и их архивы хранятся
в зашифрованном виде и недоступны для просмотра или изменения со стороны обычных
пользователей.
Чтобы события вносились в журналы аудита, в системе защиты необходимо установить
соответствующие настройки. Для этого следует открыть вкладку «Параметры безопасности», а в
ней закладку «Аудит» (рис. 40).
Чтобы настройки аудита позволяли отслеживать наиболее существенные действия
пользователей в защищаемой системе, а также соответствовали требованиям, предъявляемым к
защите персональных данных, следует включить аудит следующих событий [8]:
- входов пользователей в систему;
- доступа пользователей к ресурсам;
- управления политиками безопасности и учетными записями;
- печати (с целью контроля утечки информации с помощью ее вывода на твердую копию);
- запуска и завершения процессов;
- запуска и остановки операционной системы;
- исходящие попытки входа на удаленные компьютеры;
- запуска и остановки модулей администрирования Dallas Lock;
- устройств (включать необходимо, поскольку неконтролируемый вывод информации на
внешние носители, как правило, приводит к утечке значительного объема защищаемой
информации);
Рис. 40. Настройка учета событий по категориям
- создавать теневые копии распечатываемых документов. Этот параметр позволяет
контролировать вывод информации пользователями, поскольку появляется
возможность анализа содержимого выведенных па печать файлов. «Теневые копии»
помещаются в специальный каталог «С:\DLLOCK80\Logs\PrintCopy», где их могут
просмотреть пользователи, обладающие соответствующими правами;
- разрешать печать из-под уровней доступа. Этот параметр имеется только в версии
Dallas Lock 8С. С его помощью можно установить или запретить печать документов
определенной степени важности. Например, если используется система управления
потоками, то можно заблокировать печать персональных данных
Внесение в журнал событий операционной системы, аудит системных пользователей можно
не включать. Учет событий операционной системы, как правило, требуется при анализе
противоречий в настройках систем безопасности Windows и Dallas Lock. Например, доступ к
каталогу был разрешен в Dallas Lock, по пользователь не может его открыть. В этом случае
следует внимательно рассмотреть права, назначенные в Windows.
Аудит системных пользователей, к которым относятся такие учетные записи, как SYSTEM,
LOCAL SERVICE, NETWORK SERVICE и пр., требуется, если в работе приложений и служб
(например, таких как MS SQL Server), стартующих под этими учетными записями, происходят
сбои.
Печать штампа чаще всего не требуется.
Выгрузка журналов Dallas Lock в журнал событий ОС также обычно не требуется. Аудит в
Dallas Lock организован лучше, поэтому более вероятным будет решение обратной задачи - аудит
событий Windows.
Параметр «максимальное количество записей в журналах» устанавливается для каждого
журнала индивидуально. Корректировать начальное значение, равное 20000, обычно не следует.
Задание 1. Самостоятельно настроить параметры аудита действия пользователей на
компьютере КADR так, как показано на рисунке 41.
Задание 2. Выполнить архивацию (аналог очистки) всех журналов, кроме журнала
управления учетными записями. Архивация в данном случае выполняется в учебных целях, чтобы
в дальнейшем при выполнении заданий можно было легче искать требуемую информацию.
Рис. 41. Архивация журналов аудита Dallas Lock
Архивированные журналы помещаются в каталог «C:\DLLOCK80\Logs».
Задание 3. Подготовить отчет о действиях с учетными записями.
Чтобы составить отчет, необходимо выполнить следующую последовательность действий:
1. Открыть закладку журнала управления учетными записями. В нем должны
отображаться все изменения, связанные с настройкой учетных записей пользователей.
2. Нажать на кнопку «Экспорт», расположенную справа па вкладке журнала.
3. Выбрать «пункт Текст - разделитель табуляция». Сохранить файл в рабочий каталог
администратора безопасности. В файлах типа csv после их открытия в Excel не всегда
можно прочесть всю необходимую информацию.
4. Скопировать всю информацию из текстовою файла в документ MS Word.
Осуществить конвертацию текста в таблицу, выполнить операции форматирования и
создания шапки отчета. Распечатать первые два листа.
В созданном отчете видны все действия с учетными записями, выполненные
администратором и расположенные в хронологическом порядке. В столбце «Комментарий»
указываются настройки, установленные при выполнении операции.
Задание 4. Открыть журнал управления политиками. Должны быть видны записи об
архивации и экспорте журналов. Выполнить экспорт журнала и поместить информацию из него в
файл Word.
Задание 5. Настроить аудит работы пользователей с каталогами. Сначала следует вызвать
контекстное меню щелчком на нанке «D:\kadrl» и выбрать пункт «DL8.0: Права доступа». Затем
выберите вкладку «Аудит доступа» (рис. 42). Установите флажки «полный аудит» на отказах и
успехах. Сохраните настройки. Завершите сеансе работы.
Рис. 42. Включение аудита действия пользователей для каталогов
Затем следует зайти в систему под учетной записью пользователя kadrl. Сначала специально
сделайте ошибку в пароле. В подкаталогах «D:\kadr1\Открытые» и «D:\kadr1\ПД_личные_дела»
выполните ряд операций по работе с файлами. Создайте по одному произвольному файлу типа doc
или txt в каждом каталоге. Измените их содержимое, записав туда произвольный текст.
Скопируйте файл из каталога «D:\kadr1\Открытые» в «D:\kadr1\ПД_личные_дела». Переименуйте
созданную копию. Распечатайте любой документ. Если работа осуществляется на виртуальной
машине, то можно осуществить печать в виртуальный принтер. Удалите любой файл. Выйдите из
системы.
На следующем этане следует осуществить анализ действий пользователя. Для этого зайдите
под учетной записью администратора безопасности.
Задание 6. Найти файлы, созданные пользователем kadrl за время последнего сеанса работы.
Сначала следует открыть консоль администрирование Dallas Lock, затем вкладку
«Журналы» и в ней закладку «Журнал ресурсов». Чтобы быстро найти интересующую нас
информацию, следует использовать интерфейс фильтров событий, для чего надо нажать на кнопку
«Настроить фильтр». В появившемся окне (рис. 43) для ускорения поиска следует указать:
1) примерный временной интервал, в течение которого предположительно могли
происходить интересующие вас события;
2) учетную запись пользователя, чьи действия будут анализироваться;
3) выполненную операцию, которую можно выбрать из соответствующего списка.
Рис. 43. Настройка фильтра событий
Если есть возможность, то следует указывать и другие параметры. Создание фильтра
завершается нажатием на кнопку «ОК». Чтобы использовать созданный фильтр, следует в окне
соответствующего журнала нажать на кнопку «Применить фильтр». В рассматриваемом примере
были найдены записи, показанные на рисунке 44. С помощью инструмента экспорта полученные
результаты можно сохранить в текстовом или html-файле.
Рис. 44. Результат поиска записей о действиях пользователя mytestKadr1
Задание 7. Самостоятельно найти файлы, которые были изменены (категория события «Запись в файл»). Проанализировать найденные события и сохранить информацию о них в
текстовый файл для последующей печати отчета о выполнении работы.
Задание 8. Самостоятельно найти файлы, которые были удалены. Проанализировать
найденные события и сохранить информацию о них в текстовый файл для последующей печати
отчета о выполнении работы.
Задание 9. Проанализируйте содержание журнала входа в систему. Самостоятельно
сформируйте и выведите отчет о пользователях, входивших в систему в течение последней
недели.
Задание 10. Откройте события печати. Выделите запись с интересующим вас файлом и
нажмите кнопку «Теневая копия» (рис. 45). Должно открыться окно проводника, указывающее на
каталог, где временно хранятся графические файлы - снимки содержимого распечатанной
информации. Для их просмотра используются встроенные в Windows программы просмотра
изображений.
Другой способ просмотра теневых копий заключается в следующем. Откройте каталог,
предназначенный для хранения копий распечатанных файлов -«C:\DLLOCK80\Logs\PrintCopy\
Log». Затем по дате, времени и наименованию принтера выберите интересующий вас подкаталог и
откройте его. В нем будут находиться файлы с изображением распечатанной информации.
Рис. 45. Теневая копия распечатанного документа
Чтобы узнать, кто именно распечатал документ, можно сопоставить время создания теневой
копии с соответствующим событием в журнале печати документов. Сформируйте в произвольной
форме и выведите на печать отчет о документах, распечатанных пользователем kadrl.
Задание 11. Включите в глобальной настройке «открытые сменные носители но умолчанию»
аудит на создание, запись и чтение данных, удаление, выполнение объектов, а также теневое
копирование данных.
Зайдите под пользователем kadrl. подключите разрешенный для этой учетной записи USB
Flash-накопитель данных. Скопируйте на съемный носитель информации файл, предназначенный
для хранения условных персональных данных. Выйдите из системы, зайдите под учетной записью
администратора безопасности, откройте журнал ресурсов, найдите событие «Создание теневой
копии файла». После выделения искомой строки следует нажать на кнопку «Теневая копия» (рис.
46). Вы увидите содержимое скопированного файла.
Теневое копирование документов в Dallas Lock можно использовать для контроля не только
печати документов или их копирования на съемные накопители, но и работы с файлами в
определенных каталогах. Однако включать теневое копирование ко всем без исключения папкам
не следует ввиду значительного объема обрабатываемой пользователями информации. Чаще всего
эта опция используется в случае, когда осуществляется вывод данных на внешние носители или
печать.
Отчет о проделанной работе должен содержать:
1) распечатку конфигурации настроек политик аудита Dallas Lock;
2) распечатки записей журналов учета работы пользователей, полученных в
результате выполнения заданий.
Рис. 46. Открытие теневой копии распечатанного файла с использованием данных
журнала печати
Рис. 47. Просмотр теневой копии скопированного на съемный носитель документа
Контрольные вопросы
1. Какие задачи решает аудит работы пользователей?
2. В чем заключаются основные недостатки организации аудита в ОС Windows?
3. Как организовано хранение информации о событиях в Dallas Lock?
4. Какие журналы для хранения информации о событиях имеются в Dallas Lock?
5. Какие наиболее существенные, по вашему мнению, действия пользователей в процессе их
работы должны учитываться?
6. Какие параметры событий защищаемой системы можно документировать Dallas Lock?
7. Какие настройки должны быть установлены, чтобы осуществлялся аудит работы
пользователей с файлами?
8. Какие настройки должны быть установлены, чтобы осуществлялся аудит работы
пользователей со съемными носителями?
9. Какие настройки должны быть установлены, чтобы осуществлялся аудит печати
документов пользователями?
Лабораторная работа № 7. Настройка подсистемы очистки остаточной информации в Dallas Lock
8.0
Цель работы: получение навыков настройки средств гарантированной очистки удаленной
информации.
Теоретическая информация
Наличие гарантированной очистки удаленной информации является одним из важных аспектов
обеспечения информационной безопасности. Необходимость наличия такого рода механизмов
обусловлена особенностями работы операционной системы Windows с файлами. Когда
пользователь дает команду удалить файл, то в реальности удаляется только указатель на файл в
таблице MFT, а также ставится метка о том, что определенные секторы жесткого диска свободные,
несмотря на то, что информация в них остается. Секторы, хранящие информацию из удаленного
файла, перезаписываются не сразу, и могут быть заняты позже, через неопределенный
промежуток времени, по причине копирования в них новых данных.
Безусловно, чтобы осуществить несанкционированный доступ к такой «не полностью удаленной
информации», требуется применение специальных программ, осуществляющих низкоуровневый
доступ к данным. Здесь нарушителя может ожидать несколько достаточно серьезных препятствий:


1) запрет низкоуровневого доступа к жесткому диску и съемным носителям (эти настройки
находятся на вкладке «Права пользователей» закладки «Параметры безопасности»);
2) противодействие механизма замкнутой программной среды (подробней его настройка
будет рассмотрена позже).
Тем не менее наличие остаточной информации на жестком диске компьютера создает
объективные предпосылки для ее утечки. Еще большую опасность остаточная информация
представляет в случае ее нахождения на съемных носителях, которые теоретически могут быть
подключены к другим компьютерам. Таким образом, возникает потребность в использовании
программно-аппаратных комплексов, обладающих возможностями гарантированной очистки
информации в удаляемых файлах. СЗИ Dallas Lock обладает такими возможностями. Чтобы
настроить механизм гарантированной очистки информации, следует открыть закладку
«Параметры безопасности», а в ней вкладку «Очистка остаточной информации» (рис. 48).
По умолчанию очистка остаточных данных в СЗИ Dallas Lock отключена. Для параметров
«Очистка освобождаемого дискового пространства», «Очистка файла подкачки виртуальной
памяти», «Очистка данных в конфиденциальных сеансах доступа» (доступен только для версии
Dallas Lock 8-С) и «Проверять очистку информации» установлены значения «Нет».
Установлен один цикл затирания нулевой последовательностью (параметр «затирающая
последовательность»), однако срабатывать автоматически он не будет из-за значений верхних
параметров.
Рис. 48. Настройки очистки остаточной информации «по умолчанию»
Рассмотрим возможность восстановления удаленных данных в случае установки настроек
системы защиты информации по умолчанию (рис. 48). Для этого следует создать четыре тестовых
документов формата docx или txt. Они не должны быть пустыми. Их место расположения указано
в таблице 13.
Таблица 13 Содержимое и назначение тестовых файлов
№ пп
Полный путь к файлу
1
D:\ kadr1\Открытые\Это данные Петрова.docx
2
D:\ kadr1\Открытые\Личные данные Зайцев.docx
Содержание файла
Персональные данные сотрудников
3
D:\kadrl\Открытые\Личные данные Сидорова.docx
4
F:\Личные данные Рябоконева.docx (на флэш)
Задание 1. В папке «D:\kadr 1\Открытые», зайдя под учетной записью пользователя kadrl,
подключить учтенный USB Flash-накопитель, скопировать на него созданный документ «Это
данные Петрова.docx». Перезагрузить компьютер, снова зайти в систему под учетной записью
kadrl, удалить с нажатой клавишей shift созданные файлы на жестком диске и USB Flashнакопителе.
При имитации действий условного нарушителя будем исходить из того, что ему удалось
включить свою учетную запись в группу «Администраторы». Также будем считать, что съемный
накопитель с удаленной информацией попал к нему в руки. Для восстановления данных можно
использовать различные свободно распространяемые программы.
В данном случае использовалась утилита Recuva в portable модификации. Ее запуск
позволил обнаружить тестовые файлы в состоянии, позволяющем осуществить их полное
восстановление, как на жестком диске (рис. 49), так и съемном носителе (рис. 50).
Выполните восстановление файлов и просмотрите их состояние. Файлы должны сохранить
всю информацию на момент их удаления.
Рис. 49. Результат поиска остаточной информации на жестком диске
Рис. 50. Результат поиска остаточной информации на USB Plash-накопителе
На рисунке 51 показаны фрагменты восстановленного тестового файла «Это данные
Петрова.docx» в шестнадцатеричном коде с жесткого диска. Виден стандартный заголовок файла с
docx расширением (рис. 51), а также данные.
Рис. 51. Просмотр файла в шестнадцатеричном коде
Задание 2. Настроить механизм очистки остаточной информации.
Чтобы файл удалялся безвозвратно, необходимо настроить параметры, управляющие
процессом гарантированной очистки остаточной информации, как показано на рисунке 52.
Рис. 52. Настройка системы очистки остаточной информации
Внимание!!! Если используется Dallas Lock 8.0-С, а работа осуществляется только в не
конфиденциальном режиме, то параметру «Очищать данные в конфиденциальных сеансах
доступа» следует присвоить значение «Нет». Если же важность представляет только
конфиденциальная информация и используется подсистема управления потоками данных, то
значение параметра «Очищать данные в конфиденциальных сеансах доступа» должно быть равно
«Да». В версии Dallas Lock 8.0-К параметр «Очищать данные в конфиденциальных сеансах
доступа» отсутствует.
Настройте параметры очистки остаточной информации, как показано на рисунке 52, а затем
удалите тестовый файл «Личные данные Зайцева.dосх» на жестком диске. Затем выполните
восстановление с помощью соответствующей программы. Откройте файл в режиме просмотра
шестнадцатеричного кода. В Far - manager режим просмотра шестнадцатеричного кода
открывается с помощью выделения файла с последующим нажатием клавиш F4 и F6. На рисунке
53 приводится шестнадцатеричный код восстановленного тестового файла при наличии в Dallas
Lock настроек, соответствующих рисунку 52. Видно, что информация в файле отсутствует.
Рис. 53. результат восстановления файла с настроенной очисткой остаточной
информации
Задание 3. Выполнить надежное удаление файла с помощью команд контекстного меню.
Удаление важных файлов можно производить, используя команду «DL 8.0: Удалить и
зачистить» контекстного меню (рис. 54).
Рис. 54. Удаление файла с последующей зачисткой остаточных данных
Удалите тестовый файл с помощью команды контекстного меню «DL 8.0: Удалить и
зачистить». Перезагрузите компьютер.
Задание 4. Выполнить попытку восстановления удаленных файлов.
Попробуйте восстановить файл, удаленный с помощью команды контекстного меню, и
просмотреть его содержимое в шестнадцатеричном режиме с помощью программы Far-manager.
Задание 5. Выполняется самостоятельно. Попытаться восстановить файл, удаленный на
съемном накопителе данных при настроенном на автоматическую зачистку остаточной
информации СЗИ Dallas Lock.
Проверьте, чтобы настройки очистки остаточной информации были установлены так, как
показано на рисунке 52. При необходимости настройте параметры очистки и перезагрузите
компьютер.
Работая под обычным пользователем (для версии Dallas Lock 8.0-С в не конфиденциальном
режиме), создайте файл на USB Flash-накопителе с тестовыми данными. Затем удалите этот файл.
Перезагрузите компьютер. Войдите в систему под учетной записью администратора и попробуйте
восстановить только что уничтоженный на USB Flash-накопителе файл. Каков результат попытки
восстановления файла?
Задание 6. Настроить параметры, препятствующие несанкционированному использованию
средств восстановления информации на защищаемом компьютере. Определите значения настроек:
1. Низкоуровневого доступа к жестким дискам (закладка «Права пользователей»
вкладки «Параметры безопасности») - указать только учетную запись администратора
безопасности. Если указана группа «Администраторы» (то есть пользователи, входящие в
группу администраторов Windows), то ее следует убрать.
2. Низкоуровневого доступа к сменным накопителям (закладка «Права
пользователей» вкладки «Параметры безопасности») - указать или учетную запись
администратора безопасности, или никого (убрать всех).
3. Запрета смены пользователей без перезагрузки (закладка «Вход» вкладки
«Параметры безопасности») - включить.
Отчет о выполненной работе должен содержать снимки экрана, демонстрирующие процесс
выполнения заданий, а также ответы на контрольные вопросы.
Контрольные вопросы
1. Как происходит удаление файлов в ОС Windows и почему данные оказываются
доступными для восстановления?
2. Что нужно сделать, чтобы данные было невозможно восстановить?
3. Какие условия должны быть, чтобы нарушитель мог восстановить удаленный
файл при условии наличия Dallas Lock 8.0?
4. Какие настройки в Dallas Lock 8.0 должны быть установлены, чтобы для
нарушителя было невозможно восстановить удаленные файлы?
Лабораторная работа № 8. Использование криптографических методов защиты информации в СЗИ
Dallas Lock 8
Цель работы: получение навыков использования криптографических методов защиты важной
информации в СЗИ Dallas Lock 8. Изучение отличий в возможностях обеспечения криптозащиты
информации в различных версиях Dallas Lock 8.
Теоретическая информация
Использование криптографических методов защиты информации существенно повышает
защищенность обрабатываемой информации. В Dallas Lock 8.0 версий «К» и «С» методы
криптографии используются для решения целого ряда важных задач [8]:
1) контроль целостности объектов защищаемой информационной системы. Здесь применяются
алгоритмы хеширования данных, позволяющие отслеживать изменения в состоянии
контролируемых объектов;
2) защита конфигурационных файлов системы защиты информации и файлов журнала доступа от
несанкционированных изменений и прочтений;
3) создание шифрованных файл-контейнеров. Такого рода объекты могут быть использованы для
хранения важной информации, и в ряде случаев даже для ее пересылки по электронной почте;
4) создание шифрованных съемных носителей информации. Проблема утечки данных через
съемные носители весьма актуальна. Однако если USB Flash-накопитель был зашифрован, то в
случае его потери или кражи информация, сохраненная па нем, не будет доступна для нарушителя
или постороннего лица;
5) создание шифрованных файл-дисков. Этот тип объектов, так же, как и файл-контейнеры, может
использоваться для хранения важной информации в зашифрованном виде. Файл-диски
отличаются от контейнеров тем, что поддерживают прозрачное шифрование. Пользователь,
подключивший файл-диск, видит его в файловом менеджере в качестве отдельного тома. На этот
том, а также на подкаталоги внутри него можно раздать разрешения доступа;
6) прозрачное шифрование разделов жестких дисков возможно только в версии Dallas Lock 8С.
Пользователь получает доступ к зашифрованному диску в режиме прозрачного шифрования после
авторизации и загрузки операционной системы. Зашифровать можно любые разделы жесткого
диска.
Рассмотрим подробней различные
пользовательской информации.
способы
практической
реализации
мер
по
защите
Задание 1. Создать шифрованный файл-контейнер для пользователя kadrl.
Выполнение
1. Осуществите локальный вход на компьютер KADR под учетной записью kadrl и создайте в
каталоге «D:\kadr1\ПД_личный_дела» подкаталог «отдел_ИБ». В нем создайте три непустых
тестовых файла. Затем вернитесь в каталог «D:kadr 1ПД_личный_дела».
2. Выделите подкаталог «отдел ИБ» и вызовите контекстное меню, где выберите пункт «DL 8.0:
Преобразование» (рис. 55).
Рис. 55. Вызов диалога создания шифрованного файл-контейнера
Откроется окно настройки параметров создания шифрованного файл-контейнера (рис. 56).
Рассмотрим подробней назначение элементов диалогового окна (рис. 56). В поле «Результат
преобразования» указывается место создания файл-контейнера и его имя. С помощью кнопки
«Обзор» можно изменить каталог, где будет сохранен файл-контейнер. По умолчанию он
создается там же, где находится шифруемый объект.
3. Укажите место создания файл-контейнера там же, где находится шифруемый каталог.
По умолчанию для шифрования используется встроенный в Dallas Lock алгоритм ГОСТ 28147-89,
обладающий гарантированной криптографической стойкостью, при условии, что используемый
ключ шифрования не является слабым. Относительно качества реализации алгоритма ГОСТ
28147-89 в Dallas Lock можно указать, что его функциональность подтверждается наличием
сертификатов ФСТЭК РФ, где указано, что выполнялись проверки на отсутствие не
декларированных возможностей по уровню 2 для модификации «С» и уровню 4 для модификации
«К» соответственно.
Рис. 56. Настройка параметров шифрованного файл-контейнера
Если пользователь хочет выбрать другой алгоритм для шифрования данных, то ему
следует нажать на кнопку «Изменить». В этом случае выбор алгоритма шифрования будет
осуществлен из числа внешних криптографических провайдеров, установленных на защищаемом
компьютере (рис. 57).
Выбор криптографического провайдера имеет большое значение. В частности, если на
него не влияют какие-либо внешние факторы, связанные с предварительной договоренностью с
другими пользователями и т.п., то, по-нашему мнению, предпочтительнее использовать
криптографический провайдер Microsoft DH SChannel Cryptographic Provider. Он допускает
использование алгоритма AES-256 и hash функции SHA-256/ 384/512. Также в качестве алгоритма
шифрования можно использовать алгоритм 3DES с длинами ключей 112 или 168 бит. Нс
рекомендуется использовать алгоритм DES с длиной ключа 56 бит. Если на защищаемом
компьютере установлено программное обеспечение Crypto Pro, то есть возможность использовать
криптографические алгоритмы этого программного продукта.
Рис. 57. Выбор алгоритма шифрования из числа внешних криптографических провайдеров
4. В качестве алгоритма шифрования установить ГОСТ 28147-89.
После выбора используемого алгоритма преобразования данных следует осуществить
ввод пароля.
Пароль вводится в соответствующей области окна (рис. 56). Нажатие на кнопку с
изображением глаза позволяет увидеть вводимые символы пароля. Также можно воспользоваться
опцией генерации пароля. При вводе пароля шифрования следует учитывать, что его сложность
определяется политиками, настраивающими сложность паролей пользователей. То есть если для
пользовательских паролей установлена длина нс менее восьми знаков с обязательным вводом
цифр и специальных символов, то и для ввода шифрующих паролей действуют такие же условия.
5. Введите парольную фразу, соответствующую
пользователей.
настройкам политики паролей
Кроме пароля для усиления стойкости криптографического преобразования в качестве
идентификатора можно использовать USB Flash-накопители, ключи e-token, ru-token и т.п. В этом
случае расшифрование станет невозможным до тех пор, пока не будет предъявлен
соответствующий идентификатор. Однако если шифруемую информацию планируется передавать
по сети в виде файл-контейнера, то использовать идентификатор не следует, иначе получатель не
сможет его открыть.
6. Если пользователю назначен идентификатор, то выберите его в списке «Аппаратная
идентификация».
Достаточно часто при создании шифрованного файла-контейнера возникает задача
удаления исходной информации, находящейся в открытом виде. Для этого следует установить
флажок «Зачистить исходные файлы».
7. Установите флажок «Зачистить исходные файлы» с целью надежного удаления
шифруемых файлов.
8. Нажмите кнопку «ОК» для выполнения операции шифрования.
В результате выполнения действий должен быть создан зашифрованный файл-контейнер,
а открытые данные должны быть удалены.
Задание 2. Восстановить данные из шифрованного файл-контейнера.
Расшифрование контейнера возможно только на компьютерах, где установлены Dallas
Lock. Для расшифрования следует выделить файл-контейнер, вызвать контекстное меню и
выбрать пункт «DL8.0: Обратное преобразование». В появившемся окне, которое практически
полностью повторяет интерфейс шифрования, следует указать:
- место, куда будут помещены расшифрованные данные;
- используемый алгоритм расшифрования;
- пароль для расшифрования;
- идентификатор, подтверждающий право пользователя на выполнение операции
расшифрования;
- опцию удаления шифрованного объекта.
Выполните самостоятельно восстановление данных из зашифрованного объекта и
сохраните их в рабочий каталог пользователя.
Задание 3. Создать преобразованный файл-диск для пользователя kadrl.
Па первом этапе следует определить, кто из пользователей будет использовать
преобразованные (шифрованные) файл-диски. Чтобы указать для пользователей права,
регламентирующие их работу с шифрованными файл-дисками, необходимо выбрать вкладку
«Контроль ресурсов», в ней закладку «Глобальные» и затем открыть настройку «Параметры
преобразованных файл-дисков по умолчанию». При разграничении доступа пользователей
возможны три ситуации.
1) Субъект доступа может создавать сам шифрованные файл-диски, если ему назначить
права доступа в «Параметрах преобразованных файл-дисков по умолчанию», как показано на
рисунке 58.
Рис. 58. Привилегии, позволяющие создавать шифрованные файл-диски
2) Субъект доступа может подключать шифрованные файл-диски без возможности их создания.
Ему должны быть предоставлены права чтения для «Параметра преобразованных файл-дисков по
умолчанию» (рис. 59).
Рис. 59. Привилегии, позволяющие подключать существующие шифрованные файл-диски
При этом следует понимать, что внутри подключенных файл-дисков пользователь может иметь
возможность изменять информацию. Как указывалось ранее, доступ пользователей к каталогам
внутри шифрованного файл-диска настраивается отдельно по тем же принципам, что и для
обычного, нешифрованного ресурса.
3) Блокирование возможности создания новых или подключения существующих шифрованных
файл-дисков обеспечивается установкой полного запрета доступа (рис. 60).
Рис. 60. Привилегии, блокирующие любую работу с шифрованными файл-дисками
На защищаемом компьютере KADR настройте глобальный «Параметр преобразованных файлдисков по умолчанию», как показано на рисунке 61.
Рис. 61. Настройка глобального параметра доступа к файл-дискам
Установленные разрешения прав создания шифрованных файл-дисков позволят администратору
контролировать создание такого рода ресурсов.
Так как у обычных пользователей создание преобразованных файл-дисков заблокировано, то они
теперь могут быть созданы только под учетной записью администратора. Для этого следует зайти
под ней в систему и выполнить действия:
1. Открыть интерфейс создания файл-дисков, вызвав команду «Создать преобразованный файлдиск...» (рис. 62).
Рис. 62. Открытие интерфейса создания файл-дисков
2. Указать параметры создания файл-диска (рис. 63).
Рис. 63. Определение параметров создаваемого файл-диска
Криптография эффективно защищает информацию от несанкционированного ознакомления с ней
нарушителем, но не может защитить от удаления. Поэтому файл-диски создаются в областях, где
их не могут удалить. Например, на рисунке 63 показано создания файл-диска в каталоге, куда
доступ пользователям, кроме kadrl и администратора, заблокирован.
Размер файл-диска определяется исходя из объема предполагаемой к хранению в нем
информации. Также надо указать букву, под которой будет виден криптографический ресурс в
файловой системе компьютера. Большое значение, как и в случае с файл-контейнером, имеет
выбор алгоритма шифрования. По умолчанию установлен алгоритм XOR32, однако он
обеспечивает меньшую криптографическую стойкость, чем ГОСТ 28147-89.
3. Указать в качестве используемого при создании файл-диска алгоритма шифрования ГОСТ
28147-89.
Чтобы изменить алгоритм шифрования, следует нажать на кнопку «Изменить» (рис. 63), а затем в
списке «Алгоритм» (рис. 64) выбрать тот метод преобразований информации, который
планируется применить. Кроме XOR32 и ГОСТ 28147-89 можно использовать и другие
алгоритмы. Для этого в списке «алгоритм» надо установить значение «Внешний
криптопровайдер». На рисунке 64 показаны настройки, характерные для выбора одного из
внешних криптопровайдеров, предоставляемых Microsoft.
Для повышения защищенности создаваемого файл-диска можно указать идентификатор,
используемый пользователем при входе в систему. Однако если предполагается, что крипторесурс
будет использоваться несколькими пользователями, то идентификатор назначать нс следует,
поскольку это может привести к проблемам при организации доступа к нему.
Рис. 64. Выбор алгоритма шифрования при создании файл-диска
Если же файл-диск предназначается для индивидуального использования, то использование
двухфакторной авторизации при доступе к нему положительно скажется на безопасности файлдиска.
Кроме того, во вкладке «Вход» вкладки «Параметры безопасности» для параметра «блокировать
файл-диски при отключении аппаратных идентификаторов» следует установить значение «Да».
4. Подключите используемый пользователем kadrl идентификатор и укажите его в списке
«Аппаратный идентификатор» (рис. 63). Без этого идентификатора доступ к данным внутри файлдиска будет невозможен даже для администратора.
5. Укажите пароль доступа к создаваемому файл-диску.
Введите пароль, сложность которого соответствует установленным параметрам.
определения всех параметров файл-контейнера нажмите па кнопку «Создать».
После
6. После подключения файл-диска следует разграничить права доступа к объектам внутри него как
для обычного раздела диска (рис. 65).
Рис. 65. Вызов диалога разграничения прав доступа для работы с файлами внутри
подключенного файл-диска
Затем установите следующие права дискреционного доступа:
- для группы «Все» - закрыть доступ;
-для пользователя kadrl - установить полный доступ с блокировкой выполнения вложенных
объектов (рис. 66).
Рис. 66. Установка прав доступа для работы с файлами внутри подключенного файл-диска
Задание 4. Выполнить самостоятельно. Создать преобразованный файл-диск для пользователя
kadr2 на защищаемом компьютере KADR.
Крипто ресурс следует создать в каталоге D:\kadr2\ПД_приказы. В качестве алгоритма
шифрования использовать ГОСТ 28147-89. Размер файл-диска установить 20 Мб. В качестве
средства авторизации, наряду с парольной фразой, предусмотреть использование USB Flashнакопителя или идентификаторов e-token или ru-token. Используемая после подключения диска
буква - «У». Как и для крипто ресурса, созданного ранее для kadrl, разграничить дискреционные
права доступа к объектам внутри файл-диска. Полный доступ дать пользователю kadr2. Учетную
запись группы «Все» заблокировать.
Задание
5.
Выполнить
тестирование
возможности
работы
с
D:\kadr1\ПД_личные_данные\kadr1.dlpfd под учетной записью пользователя kadrl.
файл-диском
При выполнении задания требуется выполнить следующие действия:
1) зайти в систему под учетной записью kadrl;
2) подключить файл-диск D:kadrlПД_Личные данные kadrl .dlpfd.
3) указать параметры доступа. Выполнить авторизацию.
4) зайти в подключенный диск через проводник и опробовать выполнение различных
действий над файлами и папками.
5) отключить файл-диск.
Задание 6. Выполнить тестирование возможности работы с файл-диском D:kadr2 ПД_приказы
kadr2.cilpfd под учетной записью пользователя kadr2.
При выполнении задания требуется выполнить следующие действия:
1) зайти в систему под учетной записью kadr2;
2) подключить файл-диск, расположенный в каталоге D:kadr2ПД_ Личные данные
kadr2.dlpfd.
3) указать параметры доступа. Выполнить авторизацию.
4) зайти в подключенный диск через проводник и опробовать выполнение различных
действий над файлами и папками.
5) отключить файл-диск.
Задание 7. Выполнить самостоятельно Создать файл-диск в каталоге D:kadr1\Открытые kadr.
dlpfd. В качестве алгоритма шифрования использовать ГОСТ 28147-89. Размер файл-диска - 20
Мб. В качестве средства авторизации - только парольную фразу. Используемая после
подключения диска буква - «X». Дополнительно разграничить доступ к подключаемому ресурсу
между пользователями следующим образом:



для группы «Все» доступ заблокирован;
пользователь kadrl может изменять любую информацию внутри созданного ресурса;
пользователь kadr2 - может просматривать любую информацию внутри созданного
ресурса.
Рассмотрим использование преобразованных USB Flash-накопителей. Основное преимущество
использования такого рода носителей заключаются в том, что информация на них хранится в
зашифрованном виде. В случае утери или кражи преобразованного флэш-накопителя информация,
сохраненная на нем, будет защищена от несанкционированного ознакомления с ней со стороны
других лиц.
Настройка использования преобразованных съемных накопителей начинается с установки
глобальных параметров доступа к ним.
Задание 8. Настроить параметры глобального доступа к преобразованным USB Flashнакопителям.
Глобальные параметры доступа к преобразованным USB Flash-накопителям можно установить
двумя способами:
1) открыть вкладку «Глобальные» в закладке «Контроль ресурсов». В появившемся списке дважды
щелкнуть по строке «Параметры преобразованных USB Flash-накопителей по умолчанию». Для
группы «Все» установить блокировку дискреционного доступа. Также для группы «Все»
заблокировать доступ для глобального параметра «преобразованных сменных накопителей по
умолчанию»;
2) открыть вкладку «Устройства», расположенную в закладке «Контроль ресурсов». Выделить
ветку устройств «Преобразованные сменные накопители», вызвать контекстное меню, выбрать
пункт «Свойства» (рис. 67). В открывшемся окне зайти на вкладку «Дискреционный доступ» и
установить блокировку для группы «Все».
В данном случае используется тот же принцип контролируемого администратором безопасности
использования съемных накопителей, что и в ситуациях с нешифрованными USB Flashнакопителям.
Рис. 67. Открытие интерфейса разграничения доступа к преобразованным носителям
После установки глобального запрета следует перейти к настройке ключей преобразования
съемных накопителей.
Задание 9. Создание ключа преобразования съемного накопителя.
Чтобы создать ключ преобразования, необходимо открыть вкладку «Преобразование съемных
накопителей» (рис. 68), расположенную на закладке «Параметры безопасности» и нажать на
кнопку «Добавить».
Рис. 68. Открытие интерфейса создания ключа преобразования накопителей
В появившемся окне (рис. 69) необходимо ввести параметры создаваемого ключа преобразования.
С его помощью в дальнейшем будут выполняться операции шифрования и расшифрования
информации на USB Flash-накопителе в прозрачном режиме.
На рисунке 69 представлены настройки создаваемого ключа шифрования для пользователя kadrl.
Параметрами, являющимися обязательными для заполнения, являются: имя создаваемого ключа,
используемый алгоритм шифрования и пароль доступа. Возможность выбора других алгоритмов
шифрования рассматривалась ранее, при создании файл-дисков.
Можно дополнительно указать USB-устройство, используемое для повышения защищенности
создаваемого шифрованного ресурса. Однако если предполагается коллективное использование
преобразованного USB Flash-накопителя, то лучше использовать только парольную
идентификацию.
После указания всех необходимых параметров следует нажать на кнопку «ОК» и сгенерировать
ключ.
Рис. 69. Создание ключа преобразования съемных носителей
Теперь созданный ключ можно использовать для преобразования USB Flash-накопителей.
Задание 10. Выполнить преобразование USB Flash-накопителя.
Чтобы преобразовать (зашифровать) подключенный USB Flash-накопитель, следует выделить
строку с соответствующим ключом, вызвать контекстное меню и выбрать пункт «Сделать
преобразуемым» (рис. 70).
Рис. 70. Выбор ключа преобразования для использования при шифровании USB Flashнакопителей
В появившемся окне в списке «сменный накопитель» следует указать USB Flash-накопитель,
который будет зашифрован (рис. 71). При необходимости можно выбрать другой ключ
преобразования и указать новую метку тома, после чего нажать «Выполнить».
Рис. 71. Выбор ключа преобразования USB Flash-накопителя
Для открытия записанных на преобразованный накопитель данных потребуется не только наличие
Dallas Lock, по и зарегистрированного в нем ключа преобразования, параметры которого
идентичному тому, что использовался при шифровании. Так как глобальный доступ к
преобразованным накопителям был заблокирован, то обычный пользователь не сможет работать с
ними. Чтобы пользователь kadrl смог использовать определенный зашифрованный накопитель,
ему необходимо предоставить права доступа к нему. Для этого необходимо открыть вкладку
«контроль устройств», найти накопитель, который будет закреплен за пользователем kadrl (рис.
72).
Рис. 72. Вызов интерфейса настройки доступа к преобразованному USB Flash-накопителю
данных
Выделив настраиваемый накопитель, следует вызвать контекстное меню и выбрать пункт
«Свойства». В открывшемся окне перейти во вкладку «Дискреционный доступ» и установить
полный доступ для пользователя kadrl, кроме возможности выполнения вложенных объектов (рис.
73).
Рис. 73. Настройка доступа пользователя kadrl к преобразованному USB Flash-накопителю
Задание 11. Самостоятельно создать ключ преобразования съемного накопителя key_kadr2,
предназначенный для пользователя kadr2. В качестве алгоритма шифрования выбрать ГОСТ
28147-89. Установить пароль, соответствующий настройкам системы защиты информации.
Задание 12. Самостоятельно преобразовать второй USB Flash-накопитель. В качестве ключа
преобразования использовать ключ key_kadr2.
Задание 13. Самостоятельно предоставить доступ пользователю kadr2 к настраиваемому USB
Flash-накопителю.
Задание 14. Зайти под учетными записями kadrl и kadr2, проверить работоспособность
подключаемых накопителей, выполнить тестовые операции создания, сохранения, удаления
файлов и созданий каталогов на преобразованных флэш-накопителях. Попробовать, работая под
учетной записью пользователя kadrl, использовать преобразованный флэш-накопитель,
предназначенный для пользователя kadr2.
Задание 15. Зайти под учетной записью администратора безопасности. Удалить ключ key_kadr2,
предварительно запомнив параметры его создания (имя, используемый алгоритм шифрования,
пароль). Попробовать прочесть содержание преобразованного USB Flash-накопителя,
зашифрованного ранее с использованием ключа key_kadr2. Каков результат прочтения файла?
Воссоздать ключ key_kadr2. Попробовать прочесть USB Flash-накопитель снова.
Задание 16. На компьютере BUH самостоятельно зарегистрировать преобразованный USB Flashнакопитель данных. В качестве алгоритма шифрования выбрать AES 256, реализуемый одним из
внешних криптопровайдеров. На USB Flash-накопителе создать два каталога:
- first (доступ имеет пользователь buhl);
- second (доступ имеет пользователь buh2).
Использование других преобразованных USB Flash-накопиетелей заблокировать.
Задание 17. Самостоятельно настроить аудит работы с зарегистрированными преобразованными
накопителями. Учитывать действия по созданию, удалению, чтению данных, изменению, записи
файлов.
Отчет о проделанной работе должен содержать распечатку конфигурации с установленными
правами доступа на преобразованные носители информации.
Контрольные вопросы
1. Какими возможностями криптографической защиты информации обладают различные редакции
Dallas Lock 8?
2. Для чего предназначены шифрованные файл-контейнеры? Обеспечивают ли они возможность
прозрачного шифрования информации?
3. Какова общая последовательность работы с шифрованными файл-контейнерами?
4. Для чего предназначены шифрованные файл-диски? В чем их отличие от шифрованных файлконтейнеров?
5. Каким образом можно ограничить возможности пользователей по созданию шифрованных
файл-дисков?
6. Как создать преобразованные (шифрованные) USB Flash-накопители данных?
7. В чем состоит технология организации ограниченного использования преобразованных USB
Flash-накопителей данных на защищаемом компьютере?
8. Какие криптографические алгоритмы можно использовать в Dallas Lock 8.0 для обеспечения
защиты информации?
9. Какого типа криптографические алгоритмы используются для контроля целостности
информации?
Лабораторная работа № 9. Контроль целостности программно-аппаратной среды защищаемого
компьютера в Dallas Lock 8.0
Цель работы: получение навыков настройки подсистемы контроля целостности программной и
аппаратной сред защищаемого с помощью Dallas Lock 8 компьютера.
Теоретическая информация
Под контролем целостности программно-аппаратной среды понимается проверка ее неизменности
в процессе функционирования защищаемой информационной системы. Целостность программноаппаратной среды контролируется с помощью соответствующего модуля, входящего в состав
средства защиты информации. Контроль целостности программно-аппаратной среды
противодействует целому спектру потенциальных угроз 18]:



внедрению и воздействию компьютерных вирусов и различного рода вредоносных
программ;
несанкционированному применению возможностей прикладного и системного
программного обеспечения со стороны пользователя, нс связанных с использованием
вредоносных программ;
несанкционированному изменению аппаратной части защищаемого компьютера.
Следует отметить, что даже самые последние версии операционных систем семейства Windows не
в состоянии в полной мере решать задачи, связанные с контролем целостности как программной,
так и аппаратной частей защищаемого компьютера. Так, при загрузке операционной системы
наличие необходимых аппаратных компонентов только проверяется, по в случае замены одного
работающего устройства (слота оперативной памяти, видеокарты, сетевой карты и т.п.) на
аналогичное другое, также в работающем состоянии, никакой реакции не последует. При контроле
целостности программного обеспечения Windows при загрузке проверяет только файлы своего
ядра. Контроль прикладного программного обеспечения и многих системных файлов в ОС
семейства Windows не осуществляют. В этой связи использование добавочных средств защиты
информации, позволяющих в полной мере контролировать целостность программной и
аппаратной сред компьютера, представляется необходимым. Dallas Lock 8 обеспечивает
следующие возможности контроля целостности защищаемого компьютера.
1. Контроль целостности файлов самого Dallas Lock 8. Этот пункт представляется наиболее
важным, поскольку без возможности эффективного самоконтроля целостности средства защиты
информации говорить о его эффективности в плане проверки других ресурсов нет смысла.
Контроль целостности Dallas Lock 8 выполняется при загрузке операционной системы. Он
настраивается по умолчанию при установке средства защиты и применения базовой конфигурации
его настроек. На рисунке 74 представлен перечень файлов, контролируемых по умолчанию. Чтобы
его увидеть, следует открыть закладку «Контроль целостности» вкладки «Контроль ресурсов».
Рис. 74. Перечень контролируемых по умолчанию файлов Dallas Lock 8
2. Возможность произвольного добавления файлов для контроля целостности. В этом диалоговом
окне, показанном на рисунке 74, можно с помощью вызова контекстного меню (рис. 75) добавить
объект файловой системы или реестра или выполнить другое требуемое действие.
Рис. 75. Контекстное меню управления контролем целостности объектов
Как правило, для контроля целостности выбирают файлы с расширением схс, com, bat, dll, осх и
т.п., где есть исполняемый код. Офисные файлы с расширениями типа doc, docx, xls, xlsx и т.п.
контролируются крайне редко, поскольку подразумевается, что пользователи в процессе работы
будут их изменять. Если для объекта настроен контроль целостности, то Dallas Lock будет
блокировать любые попытки его модификации со стороны пользователей, разрешая только чтение
или запуск. Возможность изменения установленных настроек будут иметь пользователи с правами
администраторов.
Для добавления нескольких файлов определенного тина для контроля целостности можно
использовать следующую последовательность действий:
- в окне проводника открывается каталог, где надо обнаружить файлы;
- с помощью поиска находятся все файлы с требуемым расширением;
- найденные объекты выделяются, затем вызывается контекстное меню и выбирается пункт
«DL8.0: Права доступа...» (рис. 76).
Рис. 76. Групповое выделение объектов для настройки контроля целостности
В открывшемся окне выполняются действия, указанные ниже:
1) открывается вкладка «Контроль целостности».
2) включается флажок «Контроль целостности включен».
3) устанавливается флажок «Восстанавливать при нарушении контроля целостности».
4) устанавливается флажок «Проверять целостность при доступе».
5) запускается расчет с помощью нажатия на кнопку «Применить». В полях «Контрольная
сумма» и «Расчетная КС» должен появиться список полученных контрольных сумм. Их
количество равно числу выделенных после поиска файлов. Завершить настройку нажатием на
кнопку «ОК» (рис. 77).
Рис. 77. Диалоговое окно расчета и контроля целостности файлов
После обновления информации в закладке «Контроль целостности» вкладки «Контроль ресурсов»
можно увидеть добавленные объекты. Настройки, предписывающие восстанавливать измененные
файлы и проверять их при доступе, используются для повышения надежности работы подсистемы
контроля целостности.
3. Возможность контроля целостности макропараметров программной и аппаратной сред
защищаемого компьютера. Эта очень удобная опция позволяет контролировать целостность
макропараметров практически всей программно-аппаратной среды защищаемого компьютера:
- BIOS - изменения параметров BIOS;
- USB-устройства - изменения в USB-контроллере, подключения и отключения USB-портов;
- диски - контроллеры гибких дисков, дисководы и дисковые устройства;
- драйверы - установка и удаление драйверов;
- кодеки - установка или удаление кодеков на ПК;
- операционная система - изменения свойств ОС данного ПК (изменение имени, ІР-адреса,
активация и пр.);
- папки общего доступа - создание или удаление папок общего доступа на данном ПК;
- принтеры - список всех установленных на ПК принтеров, факсов, МФУ и др. печатающих
устройств;
- программы - установка или удаление программ на данном ПК;
- разделы диска - изменения разделов жесткого диска, форматирование диска, подключение новых
дисков;
- сеть - сетевые подключения и сетевые карты;
- система - порты, мониторы, шины, звуковые устройства и другие системные устройства;
- службы - установка или удаление служб ОС;
-список пользователей - список пользователей, созданных в локальной операционной системе;
-устройства ввода - подключенные устройства ввода на данном ПК: клавиатуры, мыши.
Окно настройки макропараметров контроля целостности показано на рисунке 78. Чтобы его
открыть, следует выбрать закладку «Контроль целостности» вкладки «Параметры безопасности»,
а в ней подкатегорию «Прогр. апп. среда».
Рис. 78. Настройка макропараметров контроля целостности программно-аппаратной среды
защищаемого компьютера
Для настройки контроля макропараметра необходимо выделить соответствующую строку (рис.
78), вызвать контекстное меню, выбрать пункт «Свойства», а в открывшемся окне указать
используемый алгоритм (рис. 79).
Рис, 79. Выбор алгоритма для расчета контрольных сумм параметра
Рекомендуется устанавливать только наиболее существенные для защищаемой информационной
системы параметры контроля. Постановка на контроль всех параметров может привести к
замедлению работы компьютера.
4. Запуск контроля целостности защищаемых ресурсов в соответствии с установленным графиком.
Его настройка доступна в подкатегории «Политики» закладки «Контроль целостности»,
расположенной на вкладке «Параметры безопасности». По умолчанию контроль целостности
файловой системы, реестра, программно-аппаратной среды установлен только на момент загрузки
операционной системы (рис. 80).
Рис. 80. Настройка периодичности запуска контроля целостности программно-аппаратной
среды защищаемой информационной системы
Чтобы настроить периодичность проверки какой-либо группы показателей, следует открыть
диалог «Контроль но расписанию» и в появившемся окне установить график его выполнения. На
рисунке 81 показана настройка периодичности контроля файловой системы.
Рис. 81. Настройка периодичности контроля файловой системы
Не рекомендуется устанавливать слишком частый интервал запуска проверки контроля
целостности.
Задание 1. Включить контроль целостности следующих параметров программно-аппаратной
среды: USB-устройства, сеть, BIOS, операционная система, службы, программы, список
пользователей.
Внимание!!! При работе в среде виртуальных машин Virtual Box при настройке контроля
параметра «Сеть» могут наблюдаться ошибки контроля целостности. В этом случае следует снять
контроль параметра «Сеть».
После включения вызвать контекстное меню щелчком по белому фону окна и выбрать пункт
«Пересчитать».
Задание 2. Зайти под учетной записью kadrl. Открыть интерфейс настройки работы служб
компьютера Пуск Панель управления Все элементы панели управлениях Администрирование Х
Службы. Запустить какую-нибудь службу, доступную для изменения под обычной учетной
записью. Перезагрузить компьютер и попробовать зайти вновь под этой же записью. Если
контроль служб был включен и настроен администратором безопасности корректно, то при входе
пользователя появится окно, сигнализирующее о нарушении целостности параметра «Службы»
(рис. 82).
Рис. 82. Обнаружение нарушения целостности программно-аппаратной среды
Нарушение целостности достаточно часто означает попытку НСД к информации. Именно поэтому
для обычных пользователей ставят настройку запрета входа в случае нарушения целостности
контролируемых параметров системы в свойствах их учетных записей (рис. 83).
Рис. 83. Фрагмент вкладка «Общие» свойств пользователей
В данной ситуации вход в систему возможен только для администраторов. После входа под
учетной записью администратора безопасности следует проверить информацию из журнала входа
(рис. 84), где должна появиться запись о блокировке входа пользователя.
После определения причин блокировки следует заново пересчитать значения контроля
целостности программно-аппаратной среды защищаемого компьютера. Для запуска пересчета
следует открыть окно контроля целостности программно-аппаратной среды защищаемого
компьютера (рис. 78), где вызвать контекстное меню и выбрать пункт «Пересчитать» [ 8 ].
Рис. 84. Запись в журнале о нарушении целостности программно-аппаратной среды
Задание 2. Настроить периодичность запуска контроля файловой системы па 10:00 и 15:00 с
понедельника по пятницу. Контроль при старте операционной системы оставить.
Задание 3. Настроить периодичность запуска контроля программно-аппаратной среды на 11:00 и
16:00 с понедельника по пятницу. Контроль при старте операционной системы оставить.
Задание 4. Работая под учетной записью администратора, в каталоге «D: кас!г1общие» создать
текстовый документ произвольного содержания. Включить контроль целостности и рассчитать
контрольную сумму файла. Проверить, чтобы у пользователя kadrl был полный доступ к этому
объекту. Затем зайти под учетной записью kadrl и попробовать изменить файл, целостность
которого контролируется. Каков результат попытки изменения контролируемого файла?
Задание 5. Составить отчетные документы о состоянии защищаемой информационной системы.
По завершении работ, выполняемых с целью обеспечения информационной безопасности
защищаемых информационных систем, следует документально оформить факт выполнения работ
и установленных настроек системы защиты информации. Для формирования документов следует
открыть главное меню Dallas Lock и выбрать пункт «Отчеты» (рис. 85).
Рис. 85. Выбор отчета о защищаемой системе
В паспорте программного обеспечения указывается информация об установленных программных
продуктах, контрольных суммах их значений, фирмах-разработчиках. Фрагмент формируемого
отчета о программном обеспечении приведен в таблице 14. Дополнительно в полях «Назначение»
и «Примечание» можно добавить свою информацию.
Таблица 14 Паспорт программного обеспечения (фрагмент)
Название
ПО:
Разработчик:
Назначение:
Объем
(Кбайт):
Контрольная
сумма:
7-Zip 9.20
И. Павлов
Сервисное ПО
СВ968А78
FAR File
Manager
E. Рошаль
Сервисное ПО
95720С4
Microsoft
Office 2007
Microsoft
Corporation
Прикладное ПО
366552
8CC5DCFF
Dallas
Lock8.0C
ООО
"Конфидент"
СЗИ от НСД
273732
FD75A82D
Adobe Reader
8
Adobe Systems
Incorporated
Прикладное ПО
118044
8C53971F
Примечание:
Паспорт аппаратной части полностью описывает совокупность устройств, входящих в состав
защищаемой информационной системы. Устройства разделены по типам и сгруппированы в
разных таблицах.
Отчет о правах и конфигурациях показывает сведения о настройках системы защиты информации
и правах пользователей, зарегистрированных в Dallas Lock.
Отчет о проделанной работе должен содержать распечатку конфигурации Dallas Lock, где были
бы указаны настройки контроля целостности ресурсов.
Контрольные вопросы
1. В чем суть процесса контроля целостности?
2. Почему требуется контролировать не только программную, но и аппаратную среду?
3. Какие возможности контроля целостности имеет операционная система Windows?
4. Какие возможности контроля целостности обеспечивает Dallas Lock?
5. Как включить и настроить контроль файловых ресурсов?
6. Как включить и настроить контроль программно-аппаратной среды?
7. Как включить и настроить проверку целостности ресурсов по расписанию?
8. Для чего требуется формирование отчетных документов, описывающих состояние
защищаемой информационной системы?
9. Какие отчеты позволяет автоматически создать Dallas Lock?
Лабораторная работа 10. Настройка замкнутой программной среды в Dallas Lock 8
Цель работы: получение навыков настройки механизма ограничения несанкционированного
запуска исполняемых файлов.
Теоретическая информация
Замкнутая программная среда (ЗПС) является механизмом, использование которого существенно
повышает защищенность информационной системы. При активном механизме замкнутой
программной среды возможна работа только определенного перечня исполняемых файлов.
Замкнутая программная среда препятствует распространению вирусов и вредоносного
программного обеспечения, блокирует выполнение несанкционированного программного
обеспечения со стороны пользователей.
Настройка замкнутой программной среды представляет собой процесс определения перечня
исполняемых файлов, запуск которых разрешен для пользователя. К исполняемым относятся
файлы, имеющие расширение ехе, dll, com, bat, scr, sys и т.п. Возможность их запуска
определяется механизмом замкнутой программной среды на основе анализа следующих
параметров:
- полного наименования файла, включающего путь к нему и имя «C:Windowssystem32cmd.exe». Использование полного имени файла блокирует
возможность запуска файлов-двойников из других каталогов. Например, достаточно часто
вредоносные программы создают двойников для файла «C:windowsexplorer.exe»,
расположенных в других каталогах;
- контрольной суммы файла, характеризующей его состояние. Этот параметр не дает
возможности осуществить подмену исполняемого файла в контролируемом каталоге;
- прав доступа пользователей к исполняемым файлам. Пользователи, запускающие
исполняемые файлы, должны иметь права только на их чтение. Наличие других прав на
исполняемые файлы может привести к проникновению вирусов (вредоносный код при
проникновении в систему сначала всегда запускается с правами пользователя,
осуществляющего в данный момент работу) или дать возможность внутреннему
нарушителю
изменить
программную
среду
с
целью
и
осуществления
несанкционированного доступа к защищаемым данным. Поэтому возможность
произвольного изменения, добавления, удаления и запуска исполняемых файлов со
стороны обычных пользователей должна быть заблокирована.
По этой причине на каталоги, где у пользователя есть права на изменение информации, должен
быть установлен обязательный запрет запуска исполняемых файлов.
Настройка замкнутой программной среды в Dallas Lock имеет свои особенности и может быть
выполнена двумя разными способами - с помощью мягкого режима (когда механизмы системы
защиты информации в той или иной степени отключены) или режима обучения [8].
Мягкий режим по своей сути является частным случаем неактивного режима. Если включен
мягкий режим работы, то Dallas Lock не блокирует действия пользователя, даже если у него нет на
это прав, а только вносит информацию о возникающей ошибке в журнал доступа к ресурсам.
Затем администратор безопасности должен проанализировать внесенные в журнал ошибки,
связанные с запуском программ, и принять решение о разрешении или запрете доступа к ним.
Особенностью режима обучения является то, что он позволяет одновременно фиксировать
события о запрете доступа и автоматически назначать права на ресурсы, к которым доступ
блокируется. Таким образом, по сравнению с использованием мягкого режима, процесс настройки
замкнутой программной среды существенно упрощается.
В данной работе для настройки замкнутой программной среды будет использован режим
обучения.
Задание 1. С помощью режима обучения настроить механизм замкнутой программной среды для
пользователей kadrl и kadr2, работающих за компьютером K.ADR.
В руководстве по эксплуатации Dallas Lock на первом этапе рекомендуется создать группу и
добавить в нес учетные записи пользователей, для которых будет настраиваться замкнутая
программная среда. В данном случае пользователи kadrl и kadr2 уже входят в состав группы
«Кадровики». Поэтому этап создания группы можно пропустить. Если же потребность в создании
новых групп вес же имеется, то для их добавления следует выполнить действия, показанные на
рис. 86.
Затем для параметра «Параметры ФС по умолчанию» (рис. 87) надо установить глобальный запрет
на запуск исполняемых файлов (рис. 88) для созданной группы пользователей (в данном случае
это группа «Кадровики»),
Таким образом, для группы «Кадровики» устанавливается глобальный запрет на запуск любых
исполняемых файлов. Если сейчас прекратить настройку ЗПС, то пользователи, входящие в
группу «Кадровики», не смогут войти в систему. Поэтому дальнейшие действия следует
направить па то, чтобы обеспечить группе «Кадровики» возможность запуска ограниченного
перечня исполняемых файлов. В Dallas Lock при формировании списка исполняемых файлов,
разрешенных к запуску, используется правило приоритета настроек доступа, согласно которому
весомость прав, установленных на глобальные объекты, ниже, чем на отдельно взятые файлы. То
есть если на исполняемый файл «X» были указаны права, разрешающие его запуск, то они имеют
приоритет над блокировкой выполнения вложенных объектов, установленных для глобального
объекта «Параметры ФС по умолчанию».
Рис. 86. Создание группы учетных записей
Рис. 87. Доступ к настройке «Параметры ФС по умолчанию»
После открытия диалога настройки прав доступа перейдите во вкладку «дискреционный доступ»,
выберите группу «Кадровики» и установите для нее запрет на выполнение вложенных объектов
(рис. 88).
Рис. 88. Доступ к настройке «Параметры ФС по умолчанию»
После установки глобального запрета запуска файлов для группы «Кадровики» зайдите и очистите
журнал доступа к ресурсам, выполнив его архивацию. Затем откройте основное меню Dallas Lock
(рис. 89) и выберите пункт «Настройка режимов работы», а в нем «Включить режим обучения».
Рис. 89. Включение режима обучения
Поскольку режим обучения не является штатным режимом работы программы, то следует
подтвердить его включение (рис. 90).
Рис. 90. Подтверждение активации режима обучения
После активации режима обучения появится окно, где следует указать автоматически назначаемые
права доступа на исполняемые файлы, при запуске которых будут фиксироваться ошибки (рис.
91).
Рис. 91. Установка прав доступа на заблокированные исполняемые файлы
Так как нас интересуют именно исполняемые файлы, то должны быть предоставлены права
доступа на чтение с возможностью запуска программ. Права на изменение настраиваемых
исполняемых файлов должны быть заблокированы. После появления сообщения об успешной
активации режима обучения (рис. 92) компьютер следует перезагрузить.
Рис. 92. Сообщение об успешной активации режима обучения
Перезагрузка нужна для того, чтобы зафиксировать все возможные отказы запуска, в том числе и
некоторых файлов ядра операционной системы, выполняемых при ее старте. Поэтому простого
завершения сеанса работы с последующей сменой пользователя в данном случае будет
недостаточно.
В процессе настройки выполните запуск программ, входящих в пакет MS Office. Работая в MS
Word, следует выполнить различные операции форматирования текста, вставки таблиц,
добавления объектов различного типа -формул, символов, рисунков, фигур и т.п. В MS Excel
следует осуществить расчет суммы двух чисел, вызвать наиболее распространенные функции,
построить диаграмму, отсортировать и отфильтровать произвольно сформированный список и т.п.
Также выполните просмотр любого pdf-файла с помощью программы Adobe Acrobat Reader.
Внимание!!! Предпочтительнее, чтобы работа в режиме обучения осуществлялась либо
администратором безопасности, либо под его непосредственным контролем. Так как Dallas Lock
«записывает» все действия пользователя и автоматически дает права на «чтение и запуск» для
используемых исполняемых файлов, то следует запускать только те программы, которые в
дальнейшем будут использоваться в процессе работы. Некоторые продукты, такие как пакет
программ MS Office, Corel Draw, различные СУБД и т.п., наряду с основными исполняемым
файлами в процессе работы могут периодически использовать dll файлы. Поэтому, осуществляя
настроечный запуск таких больших программ, рекомендуется выполнить действия, которые
обычно осуществляет пользователь в процессе работы, чтобы на все необходимые dll-файлы были
установлены соответствующие права доступа.
После завершения сеанса настройки следует перезагрузить компьютер и, войдя под учетной
записью администратора безопасности, отключить режим обучения. Отключение этого режима
необходимо, поскольку, пока он активирован, пользователь может выполнять практически любые
действия, что недопустимо при обычной работе. Отключение режима обучения происходит так
же, как и его активация (рис. 89), только вместо надписи «Включить режим обучения» появится
«Выключить режим обучения».
Результат работы пользователя в режиме обучения можно увидеть, открыв вкладку
«Дискреционный доступ», расположенную на закладке «Контроль ресурсов» (рис. 93).
Рис. 93. Фрагмент перечня файлов, на которые были установлены права доступа при
настройке замкнутой программной среды
На вес файлы, к которым выполнялись обращения пользователя kadrl, будут установлены права,
которые были определены при включении режима обучения (рис. 91). Теперь следует осуществить
первый вход в систему с работающей в штатном режиме системы защиты информации.
Задание 2. Выполнить вход пользователем kadrl при включенном механизме замкнутой среды и
самостоятельно протестировать его возможности по ограничению несанкционированного запуска
программ.
Осуществите запуск программ MS Word, MS Excel, Adobe Acrobat Reader. Программ, кроме
разрешенных для запуска, при первом входе пользователя после остановки работы режима
обучения не запускайте.
Задание 3. Корректировка установленных прав доступа к файлам.
После завершения сеанса работы пользователя следует снова зайти под учетной записью
администратора безопасности и выбрать вкладку «Журналы», а затем закладку «Журнал
ресурсов» (рис. 95). Для поиска ошибок запуска программ (ехе и dll-файлов), даже если они не
были видны во время работы пользователя, следует настроить (действие 1), а затем применить
(действие 2) фильтр записей журнала по критериям: пользователь ОС, выполнение, операция,
объект доступа (рис. 95).
Для поиска записей устанавливаются следующие значения:
1) пользователь ОС - имя_доменакабт1;
2) результат - ошибка;
3) операция - выполнение;
4) объекте доступа - C:Windows*.exe, C:Windows*.dll. C:Program files)* .exe, C:Program files)* .dll.
Так как объекты доступа заданы четырьмя масками, то поиск записей в журнале и назначение прав
для них следует выполнить четыре раза.
После применения фильтра найденные записи надо выделить, нажав на первую строчку в
журнале, затем на клавишу Shift и, не отпуская Shift, на последнюю запись. Затем нажать на
кнопку «Права на файлы» (действие 3 на рисунке 95). В появившемся окне для группы
«Кадровики» устанавливаются права на чтение файлов. Выбор прав доступа закрепляется
нажатием на кнопку «ОК» (рис. 96). Самостоятельно откорректируйте разграничение прав на
остальные три группы файлов, задавая другие маски в поле «объект доступа» (рис. 95). После
установки прав чтения и выполнения на все требуемые файлы выполните архивацию журнала
ресурсов и перезагрузите компьютер.
Задание 4. Самостоятельно попробуйте запустить программы Калькулятор, Paint, Word Pad,
командную строку (C:Windowssystem32cmd.exe), редактор реестра (C:Windows egedit.exe),
которые не запускались при включенном режиме обучения.
Задание 5. Скопируйте любой исполняемый файл (например, c:win-dowssystem32cmd.exe) и
попробуйте запустить его из различных каталогов профиля пользователя kadrl, где у него есть
максимальные права: выйдите из системы. Если запуск файла не был настроен, то должно
появиться диалоговое окно с сообщением о его блокировании (рис. 94).
Рис. 94. Сообщение о блокировании запуска программы
Рис. 95. Настройка и применение фильтра отказов доступа к исполняемым файлам
Рис. 96. Корректировка прав доступа для замкнутой программной среды
Задание 7. С помощью механизмов фильтрации самостоятельно найдите все исполняемые файлы,
запуск которых завершился ошибкой. С помощью кнопки «Экспорт» скопируйте перечень
объектов в файл, а затем распечатайте в виде отчета.
Задание 8. Самостоятельно настройте ЗПС для пользователей, входящих в группу «Бухгалтеры»
на компьютере BUH. Они должны иметь возможность запускать офисные программы,
просматривать pdf-файлы и архивировать файлы с помощью программы 7-zip.
Отчет о проделанной работе должен содержать распечатку файла, сформированного по итогам
выполнения задания 7.
Контрольные вопросы
1. Что означает термин ЗПС?
2. От каких угроз способна защитить настроенная система ЗПС?
3. Какие параметры файлов и почему учитываются ЗПС при анализе возможности запуска
исполняемых файлов?
4. Какие режимы работы СЗИ Dallas Lock используются при настройке ЗПС? В чем их отличие
друг от друга?
5. Где можно просмотреть перечень файлов, на которые были установлены права доступа при
настройке ЗПС?
6. Опишите технологию настройки ЗПС при использовании режима обучения.
7. Почему при настройке ЗПС требуется перезагрузка компьютера, а завершение сеанса работы
администратора из системы недостаточно?
Идентификация, аутентификация и авторизация субъектов доступа
В защищенной ОС любой пользователь (субъект доступа), перед тем как начать работу с
системой, должен пройти идентификацию, аутентификацию и авторизацию.
Идентификация субъекта доступа заключается в том, что субъект сообщает операционной
системе идентифицирующую информацию о себе (имя, учетный номер и т. д.) и таким образом
идентифицирует себя.
Для того чтобы установить, что пользователь именно тот, за кого себя выдает, в
информационных системах предусмотрена процедура аутентификации, задача которой предотвращение доступа к системе нежелательных лиц.
Аутентификация субъекта доступа заключается в том, что субъект предоставляет
операционной системе, помимо идентифицирующей информации, еще и аутентифицирующую
информацию, подтверждающую, что он действительно является тем субъектом доступа, к
которому относится идентифицирующая информация.
Авторизация субъекта доступа происходит после успешной идентификации и
аутентификации. При авторизации субъекта ОС выполняет действия, необходимые для того,
чтобы субъект мог начать работу в системе. Например, авторизация пользователя в операционной
системе UNIX включает в себя порождение процесса, являющегося операционной оболочкой, с
которой в дальнейшем будет работать пользователь. В операционной системе Windows NT
авторизация пользователя включает в себя создание маркера доступа пользователя, создание
рабочего стола и запуск на нем от имени авторизуемого пользователя процесса Userinit,
инициализирующего индивидуальную программную среду пользователя. Авторизация субъекта
не относится напрямую к подсистеме защиты операционной системы. В процессе авторизации
решаются технические задачи, связанные с организацией начала работы в системе уже
идентифицированного и аутентифицированного субъекта доступа.
С точки зрения обеспечения безопасности ОС, процедуры идентификации и
аутентификации являются весьма ответственными. Действительно, если злоумышленник сумел
войти в систему от имени другого пользователя, он легко получает доступ ко всем объектам ОС, к
которым имеет доступ этот пользователь. Если при этом подсистема аудита генерирует сообщения
о событиях, потенциально опасных для безопасности ОС, то в журнал аудита записывается не имя
злоумышленника, а имя пользователя, от имени которого злоумышленник работает в системе.
Наиболее распространенными методами идентификации и аутентификации являются
следующие:

идентификация и аутентификация с помощью имени и пароля;

идентификация и аутентификация с помощью внешних носителей ключевой
информации;

идентификация и аутентификация с помощью биометрических характеристик
пользователей.
Разграничение доступа к объектам операционной системы
Основными понятиями процесса разграничения доступа к объектам операционной системы
являются объект доступа, метод доступа к объекту и субъект доступа [42].
Объектом доступа (или просто объектом) называют любой элемент операционной
системы, доступ к которому пользователей и других субъектов доступа может быть произвольно
ограничен. Возможность доступа к объектам ОС определяется не только архитектурой
операционной системы, но и текущей политикой безопасности. Под объектами доступа понимают
как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и
программные ресурсы (файлы, программы, семафоры), то есть все то, доступ к чему
контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в
системе, и может быть доступен через хорошо определенные и значимые операции.
Методом доступа к объекту называется операция, определенная для объекта. Тип
операции зависит от объектов. Например, процессор может только выполнять команды, сегменты
памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а
для файлов могут быть определены методы доступа «чтение», «запись» и «добавление»
(дописывание информации в конец файла).
Субъектом доступа называют любую сущность, способную инициировать выполнение
операций над объектами (обращаться к объектам по некоторым методам доступа). Обычно
полагают, что множество субъектов доступа и множество объектов доступа не пересекаются.
Иногда к субъектам доступа относят процессы, выполняющиеся в системе. Однако
логичнее считать субъектом доступа именно пользователя, от имени которого выполняется
процесс. Естественно, под субъектом доступа подразумевают не физического пользователя,
работающего с компьютером, а «логического», от имени которого выполняются процессы
операционной системы.
Таким образом, объект доступа - это то, к чему осуществляется доступ, субъект доступа это тот, кто осуществляет доступ, и метод доступа - это то, как осуществляется доступ.
Для объекта доступа может быть определен владелец - субъект, которому принадлежит
данный объект и который несет ответственность за конфиденциальность содержащейся в объекте
информации, а также за целостность и доступность объекта.
Обычно владельцем объекта автоматически назначается субъект, создавший данный
объект; в дальнейшем владелец объекта может быть изменен с использованием соответствующего
метода доступа к объекту. На владельца, как правило, возлагается ответственность за корректное
ограничение прав доступа к данному объекту других субъектов.
Правом доступа к объекту называют право на получение доступа к объекту по некоторому
методу или группе методов. Например, если пользователь имеет возможность читать файл,
говорят, что он имеет право на чтение этого файла. Говорят, что субъект имеет некоторую
привилегию, если он имеет право па доступ по некоторому методу или группе методов ко всем
объектам ОС, поддерживающим данный метод доступа.
Разграничением доступа субъектов к объектам является совокупность правил,
определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к
данному объекту по данному методу. При избирательном разграничении доступа возможность
доступа определена однозначно для каждой тройки субъект-объект-метод, при полномочном
разграничении доступа ситуация несколько сложнее.
Субъекта доступа называют суперпользователем, если он имеет возможность игнорировать
правила разграничения доступа к объектам.
Разграничение доступа к объектам операционной системы
Основными понятиями процесса разграничения доступа к объектам операционной системы
являются объект доступа, метод доступа к объекту и субъект доступа [42].
Объектом доступа (или просто объектом) называют любой элемент операционной
системы, доступ к которому пользователей и других субъектов доступа может быть произвольно
ограничен. Возможность доступа к объектам ОС определяется не только архитектурой
операционной системы, но и текущей политикой безопасности. Под объектами доступа понимают
как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и
программные ресурсы (файлы, программы, семафоры), то есть все то, доступ к чему
контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в
системе, и может быть доступен через хорошо определенные и значимые операции.
Методом доступа к объекту называется операция, определенная для объекта. Тип
операции зависит от объектов. Например, процессор может только выполнять команды, сегменты
памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а
для файлов могут быть определены методы доступа «чтение», «запись» и «добавление»
(дописывание информации в конец файла).
Субъектом доступа называют любую сущность, способную инициировать выполнение
операций над объектами (обращаться к объектам по некоторым методам доступа). Обычно
полагают, что множество субъектов доступа и множество объектов доступа не пересекаются.
Иногда к субъектам доступа относят процессы, выполняющиеся в системе. Однако
логичнее считать субъектом доступа именно пользователя, от имени которого выполняется
процесс. Естественно, под субъектом доступа подразумевают не физического пользователя,
работающего с компьютером, а «логического», от имени которого выполняются процессы
операционной системы.
Таким образом, объект доступа – это то, к чему осуществляется доступ, субъект доступа это тот, кто осуществляет доступ, и метод доступа - это то, как осуществляется доступ.
Для объекта доступа может быть определен владелец - субъект, которому принадлежит
данный объект и который несет ответственность за конфиденциальность содержащейся в объекте
информации, а также за целостность и доступность объекта.
Обычно владельцем объекта автоматически назначается субъект, создавший данный
объект; в дальнейшем владелец объекта может быть изменен с использованием соответствующего
метода доступа к объекту. На владельца, как правило, возлагается ответственность за корректное
ограничение прав доступа к данному объекту других субъектов.
Правом доступа к объекту называют право на получение доступа к объекту по некоторому
методу или группе методов. Например, если пользователь имеет возможность читать файл,
говорят, что он имеет право на чтение этого файла. Говорят, что субъект имеет некоторую
привилегию, если он имеет право па доступ по некоторому методу или группе методов ко всем
объектам ОС, поддерживающим данный метод доступа.
Разграничением доступа субъектов к объектам является совокупность правил,
определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к
данному объекту по данному методу. При избирательном разграничении доступа возможность
доступа определена однозначно для каждой тройки субъект-объект-метод, при полномочном
разграничении доступа ситуация несколько сложнее.
Субъекта доступа называют суперпользователем, если он имеет возможность игнорировать
правила разграничения доступа к объектам.