- •Государственная система защиты информации
- •Введение
- •Содержание работы администратора би по применению комплекса "аккорд".
- •Планирование применения комплекса.
- •Установка и настройка комплекса "Aккорд".
- •Эксплуатация комплекса.
- •Снятие защиты.
- •Основные механизмы реализации защитных функций в сзи "Аккорд".
- •Требование идентификации и аутентификации.
- •Требование реализации дискреционного механизма разграничения доступа.
- •Требование регистрации событий.
- •Требование целостности ксз.
- •Требование очистки памяти.
- •Некоторые особенности действия атрибутов и подготовки прд.
- •Примеры прд для типовых ситуаций разграничения доступа.
- •Пример 2. Пользователю на диске будут видны и доступны только явно описанные каталоги.
- •Пример 3. Разрешено работать только с файлами и только в выделенном каталоге.
- •Пример 4. Применение атрибутов наследования.
- •Пример 5. То же, но пользователю нельзя удалять файлы.
- •Пример 6. Пользователю предоставляется право с полными полномочиями работать в выделенной директории на диске d:.
- •Пример 7. Конфиденциальное делопроизводство.
- •Пример 8. То же, но пользователь имеет право читать файлы, размещенные в корневом каталоге на диске a:.
- •Пример 9. То же, но пользователь может читать все файлы, размещенные на a:.
- •Пример 10. Установка атрибутов файлов.
- •Пример 11. Установка атрибутов для выделенных программ.
- •Пример 12. Запрет доступа к файлам.
- •Пример 13. Анализ ресурсов.
- •Пример 14. Использование атрибута "o".
- •Пример 15. Описание сетевого ресурса.
- •Пример 16. Созданию изолированной программной среды (ипс) в ос Windows 9х.
- •Пример 17. Конфиденциальное делопроизводство в средеWindows 95/98 иMicrosoft Office.
- •Пример 18. Регистрация вывода документа на печатающее устройство.
- •Управление ас в процессе работы.
- •Правовые аспекты применения комплекса "Аккорд".
- •Приложения Приложение 1. Рекомендации по организации службы информационной безопасности.
- •Приложение 2. Операции, регистрируемые подсистемой регистрации.
Пример 15. Описание сетевого ресурса.
Иллюстрацию использования сетевых ресурсов продемонстрируем на задаче, аналогичной приведенной в Примере 7. Здесь, однако, каталоги размещаются на сервере, а пользователи имеют различные права. Приводимая цепочка показывает, как можно организовать конфиденциальное делопроизводство в сети. Необходимо обратить внимание на описание каталогов, расположенных на сервере.
Пользователь: A1
Основные параметры
Идентификатор:A1
Права администратора: Нет
Стартовый каталог: C:\
Задача для запуска: C:\NORTON\NC.EXE
Детальность журнала: Низкая
Права доступа
C:\ [RWC VMEGXO S]
D:\ [RWCDNVMEGXO 0]
\SERVER\VOL2\ [G 0]
\SERVER\VOL2\A1\ [RV GX A 0]
\SERVER\VOL2\A2\ [RWCDNVMEGXO 0]
\SERVER\VOL2\A3\ [ WC V G O 0]
Пользователь: A2
Основные параметры
Идентификатор:A2
Права администратора: Нет
Стартовый каталог: C:\
Задача для запуска: C:\NORTON\NC.EXE
Детальность журнала: Низкая
Права доступа
C:\ [RWC VMEGXO S]
D:\ [RWCDNVMEGXO S]
\SERVER\VOL2\ [G 0]
\SERVER\VOL2\A2\ [RV GX A 0]
\SERVER\VOL2\A3\ [RWCDNVMEGXO 0]
\SERVER\VOL2\A4\ [ WC V G O 0]
Пользователь: A3
Основные параметры
Идентификатор:A3
Права администратора: Нет
Стартовый каталог: C:\
Задача для запуска: C:\NORTON\NC.EXE
Детальность журнала: Низкая
Права доступа
C:\ [RWC VMEGXO S]
D:\ [RWCDNVMEGXO S]
\SERVER\VOL2\ [G 0]
\SERVER\VOL2\A3\ [RV GX A 0]
\SERVER\VOL2\A4\ [RWCDNVMEGXO 0]
\SERVER\VOL2\A5\ [ WC V G O 0]
Примечание. Чтобы дать пользователю полный доступ ко всем сетевым ресурсам, нужно в описании каталогов ввести символ « \ » и дать полный доступ – [RWCDNVMEGXO S]. В этом случае доступ определяется только настройками сетевого администрирования.
Пример 16. Созданию изолированной программной среды (ипс) в ос Windows 9х.
Windows 95/98 обладает достаточно обширным набором функций и утилит для изменения конфигурации и подключения новых устройств и ресурсов. С одной стороны эти функции облегчают работу квалифицированному пользователю, но с другой - могут служить источником НСД. В каталоге \Windows\System находятся файлы с расширением .cpl. Это файлы, которые позволяют изменять конфигурацию и настройку системы и отдельных ее компонент. "Иконки" этих файлов Вы можете увидеть на Панели Управления. Ниже приводится список файлов .cpl для типичной конфигурации Windows 95/98 и функции, выполняемые каждым файлом.
APPWIZ.CPL - Applications Setup Wizard (Установка и удаление программ)
DESK.CPL - Desktop Control Panel (Экран)
INTL.CPL - International Control Panel (Языки и стандарты)
JOY.CPL - Joystic Control Panel (Джойстик)
MAIN.CPL - Main Control Panel (Клавиатура, Мышь, Принтеры)
MLCFG32.CPL - Microsoft Exchange (Почта и факс)
MMSYS.CPL - Multimedia Control Panel (Мультимедиа)
MODEM.CPL - Microsoft Modem Control Panel (Модемы)
NETCPL.CPL - Network Control Panel (Сеть)
ODBCCP32.CPL- ODBC Control Panel (32bit ODBC)
PASSWORD.CPL- Network Security and Administration UI (Пароли)
SYSDM.CPL - System Setting Device Manager Control Panel (Система и Установка оборудования)
TELEPHON.CPL- Telephon Control Panel (Телефон)
TIMEDATE.CPL- Time/date Setting Control Panel (Дата/время).
Для защиты от НСД также большое значение имеет файл MSSHRUI.DLL в каталоге \WINDOWS\SYSTEM. Данный файл управляет выделением ресурсов компьютера в совместное пользование.
Для того, чтобы любой из этих файлов сделать "скрытым", необходимо в редакторе прав доступа ACED32.EXE запретить все права доступа к нему. При этом файл становится недоступным (для конкретного пользователя) и соответствующая функция исключается из Панели Управления.
Рассмотрим более подробно методику создания ИПС при использовании Windows 95/98.
"АККОРД" установлен на локальном компьютере.
В этом случае в редакторе прав доступа ACED32.EXE для конкретного пользователя следует запретить доступ к файлам APPWIZ.CPL, MLCFG32.CPL, MODEM.CPL, NETCPL.CPL, PASSWORD.CPL и SYSDM.CPL.
Пользователю запрещено:
- установка и удаление программ;
- работа с Microsoft Network и Microsoft Exchange;
- установка и настройка модемов;
- установка и настройка сетевых карт;
- изменение способа входа в Windows и пароля, а также удаленное управление
данным компьютером;
- установка/удаление оборудования.
Стартовой задачей следует указать C:\WINDOWS\win.com. Доступ к каталогам и файлам прописать в соответствии с полномочиями, установленными для данного пользователя. После перезагрузки компьютера и входа в систему зарегистрированного пользователя запустится Windows 95, в которой пользователь может работать только в разрешенных каталогах и только с установленным ПО. ПРД в этом случае могут выглядеть так:
Пользователь: MAIN_USER
Права администратора: Нет
Стартовый каталог: C:\
Задача для запуска: C:\WINDOWS\WIN.COM
Детальность журнала: Низкая
A:\ [RWCDNVOMEGX S]
C:\ [RW VO GX 0]
C:\ACCORD\ [RW VO GX S]
C:\DRWEB\ [RW VO GX S]
C:\MSOFFICE\ [RWCDNVOMEGX S]
C:\PROGRAM FILES\ [RWCDNVOMEGX S]
C:\TEMP\ [RWCDNVOMEG S]
C:\WINDOWS\ [RWCDNVOMEGX S]
C:\WINDOWS\REGEDIT.EXE [ ]
C:\WINDOWS\SYSTEM\APPWIZ.CPL [ ]
C:\WINDOWS\SYSTEM\MLCFG32.CPL [ ]
C:\WINDOWS\SYSTEM\MODEM.CPL [ ]
C:\WINDOWS\SYSTEM\NETCPL.CPL [ ]
C:\WINDOWS\SYSTEM\PASSWORD.CPL [ ]
C:\WINDOWS\SYSTEM\SYSDM.CPL [ ]
D:\ [RW VO G 0]
D:\OPEN_DOC\ [RWCDNVOMEG S]
Пользователь сможет работать с документами в каталоге D:\OPEN_DOC средствами Windows или MSOffice, но не может изменить конфигурацию системы.
"АККОРД" установлен на компьютере, подключенном к ЛВС.
В этом случае в редакторе прав доступа ACED32.EXE для конкретного пользователя следует запретить доступ к файлам APPWIZ.CPL, MLCFG32.CPL, MODEM.CPL, NETCPL.CPL, PASSWORD.CPL, SYSDM.CPL и MSSHRUI.DLL.
Пользователю запрещено:
- установка и удаление программ;
- работа с Microsoft Network и Microsoft Exchange;
- установка и настройка модемов;
- установка и настройка сетевых карт;
- изменение способа входа в Windows и пароля, а также удаленное управление данным компьютером;
- установка/удаление оборудования;
- предоставления дисков, файлов и принтеров компьютера в совместное пользование (MSSHRUI.DLL).
ПРД в этом случае могут выглядеть так:
Пользователь: MAIN_USER
Права администратора: Нет
Стартовый каталог: C:\
Задача для запуска: C:\WINDOWS\WIN.COM
Детальность журнала: Низкая
A:\ [RWCDNVОMEGX S]
C:\ [RW VО GX 0]
C:\ACCORD\ [RW VО GX S]
C:\DRWEB\ [RW VО GX S]
C:\MSOFFICE\ [RWCDNVОMEGX S]
C:\PROGRAM FILES\ [RWCDNVОMEGX S]
C:\TEMP\ [RWCDNVО G S]
C:\WINDOWS\ [RWCDNVОMEGX S]
C:\WINDOWS\REGEDIT.EXE [ ]
C:\WINDOWS\SYSTEM\ MSSHRUI.DLL [ ]
C:\WINDOWS\SYSTEM\APPWIZ.CPL [ ]
C:\WINDOWS\SYSTEM\INETCPL.CPL [ ]
C:\WINDOWS\SYSTEM\MAIN.CPL [ ]
C:\WINDOWS\SYSTEM\MLCFG32.CPL [ ]
C:\WINDOWS\SYSTEM\MMSYS.CPL [ ]
C:\WINDOWS\SYSTEM\MODEM.CPL [ ]
C:\WINDOWS\SYSTEM\NETCPL.CPL [ ]
C:\WINDOWS\SYSTEM\PASSWORD.CPL [ ]
C:\WINDOWS\SYSTEM\SYSDM.CPL [ ]
C:\WINDOWS\SYSTEM\TELEPHON.CPL [ ]
D:\ [RW VО G 0]
D:\OPEN_DOC\ [RWCDNVОMEG S]