 |
Цель Работы: Изучение порядка настройки прав доступа администратора и пользователя системы защиты от НСД Dallas Lock 4.0
|
|
|
|
Регистрация пользователей
Очистка памяти 
Файловые операции в журнале работы
Конфигурации
Дискреционный доступ
Создание списков доступа к объектам
Зарегистрировать 3-х пользователей
Ограничить количество входов в систему
Права пользователей
Создайте в папке три папки.
Настройте дискреционный доступ к созданным ресурсам, следующим образом (относиться к папкам и файлам в одной из них):
- один из пользователей (владелец) имеет полный доступ;
- второму пользователю запрещён доступ;
- третий пользователь имеет разрешение только на чтение.
Контрольные вопросы
1) Назначение и возможности оболочки ADMSHELL
Программа-оболочка ADMSHELL предназначена для администратора безопасности системы DALLAS LOCK. Она обеспечивает настройку системы защиты для реализации ее основных возможностей: создание и корректировка списка пользователей, создание списков доступных файлов и папок, контроль журналов.
Оболочка ADMSHELL предоставляет администратору следующие возможности:
- Регистрировать идентификаторы (электронные карты), устанавливать время работы, операции, которые будут фиксироваться в электронном журнале работы, а также устанавливать другие параметры защиты.
- Редактировать текст индивидуального командного файла автозапуска для каждого из пользователей.
- Определять для пользователя список доступных или недоступных объектов на компьютере (папок, файлов).
- Удалять пользователя из списка и изменять полномочия пользователя.
- Просматривать список пользователей и получать полную информацию по их полномочиям.
- Просматривать, копировать и очищать электронный журнал входов, журнал несанкционированных входов, контролировать все события по доступу к компьютеру.
|
|
|
- Просматривать электронный журнал действий пользователей и контролировать операции с файлами на дисках с возможностью копирования и удаления журнала.
2) Сколько максимально пользователей можно зарегистрировать в системе?
На каждом компьютере можно зарегистрировать до 31 пользователя с индивидуальными идентификаторами. 32-ой пользователь регистрируется с мастер-картой автоматически при инсталляции, имеет статус администратора и имя ADMINISTRATOR.
3) Можно ли удаленно проводить регистрацию, удаление и редактирование пользователей?
Нет. Процедуры регистрации, удаления пользователей и изменения их полномочий проводятся непосредственно на объекте защиты, т.е. на том компьютере, для которого назначаются пользователи
4) Какие параметры CMOS-памяти позволяет контролировать система защиты? Чем это обеспечивается?
CMOS-память содержит важные настройки компьютера. Система защиты позволяет контролировать часть параметров CMOS-памяти компьютера, обычно объединенных в группу “Standard” и “Advanced”. Эта группа параметров содержит информацию о памяти, жестких дисках, дисководах компьютера и др.
5) Назначение параметров регистрации Создание файла автозапуска.
При установке данной опции для пользователя в папке “C:\DSLOCK\AUTOEXEC” будет создан индивидуальный файл автозапуска. Файл будет иметь имя, указанное в поле “Имя для файлов конфигурации”, и будет представлять собой копию файла автозапуска, с которым в последний раз был загружен компьютер (“C:\AUTOEXEC.BAT”). В дальнейшем отредактируйте содержимое нового файла в соответствии с конкретными задачами пользователя прямо из оболочки, имеющей встроенный редактор. Возможно также применение для этих целей других текстовых редакторов в формате ASCII.
6) Назначение параметров регистрации Защита таймера от изменений.
|
|
|
Для того, чтобы пользователь не мог изменить системное время, предусмотрена защита таймера компьютера. Если необходимо ограничить права пользователя по модификации даты и времени, установите опцию “Защита таймера от изменений”.
Защищается доступ к аппаратному таймеру компьютера. Работая в Windows или DOS-сессии, пользователь сможет изменить текущие дату и время. Эти изменения будут касаться только программного таймера операционной системы. При следующей перезагрузке компьютера дата и время будут восстановлены из аппаратного таймера. Система защиты работает только с аппаратным таймером. Изменение программного таймера операционной системы никак не скажется на времени, фиксируемом в журналах защиты, на ограничении по времени работы пользователя на компьютере.
7) Назначение параметров регистрации Блокировка загрузки драйверов.
При установке этой опции блокируется динамическая загрузка VXD-драйверов
для пользовательских приложений.
8) Назначение параметров регистрации Полное удаление файлов.
После обычного удаления файлов с дисков компьютера они могут быть восстановлены. Если же для регистрируемого пользователя будет включен режим полного удаления файлов, то удаляемая информация будет затираться на диске нулевым кодом. Удаленные данные уже не смогут быть восстановлены. Режим полного удаления файлов не распространяется на работу с объектом Windows 95/98 “Корзина”, поскольку при удалении файлов в корзину фактически происходит только их перемещение. Режим полного стирания информации устанавливается в поле “Полное удаление файлов”.
9) Назначение параметров регистрации Очистка освобождаемой памяти.
В обычном режиме при освобождении страниц основной памяти (например, в результате завершения программ) эти страницы отмечаются в операционной системе как свободные. Однако информация в них не удаляется и при использовании специальных средств может быть прочитана. Если для регистрируемого пользователя будет включен режим “Очистки освобождаемой памяти”, то при освобождении страниц памяти они будут заполняться нулевым кодом. Режим полного стирания информации устанавливается в поле “Очистка освобождаемой памяти”.
|
|
|
При “горячей” перезагрузке информация о системных данных не удаляется из памяти, память может быть очищена только при холодной перезагрузке компьютера.
10) Назначение параметров регистрации Блокировка клавиатуры при загрузке.
Использование “горячих” клавиш, определяющих способ загрузки Windows 95/98, может быть заблокировано двумя способами:
1) Установкой при регистрации пользователя опции Блокировка клавиатуры при загрузке. Клавиатура в этом случае для данного пользователя будет аппаратно блокироваться на время загрузки компьютера. Это позволит избежать отмены выполнения пользователем всего файла CONFIG.SYS или его части путем нажатия “горячих” клавиш при загрузке Windows 95/98. Данная опция устанавливается в окне регистрации пользователя в программе ADMSHELL и распространяется только на регистрируемого пользователя. Использование аппаратной блокировки клавиатуры обладает следующей особенностью: поскольку клавиатура блокируется на все время загрузки операционной системы, пользователь не сможет выбирать альтернативные варианты загрузки операционной системы из загрузочного меню, созданного в файле CONFIG.SYS.
2) Установкой опции Запрещено использование клавиатуры при загрузке ОС в программе настройки системы защиты SETUP меню Настройки вкладке Режим загрузки. Это мера распространяется на всех пользователей, а также администраторов. При этом возможно использование загрузочного меню, созданного в файле CONFIG.SYS.
11) Что такое классификационная метка? Какие классификационные метки есть в системе?
Каждому пользователю сопоставляется классификационная метка, задающая круг доступных ему объектов (дисков, папок и файлов компьютера). Возможны три метки, задаваемые в поле “Классификационная метка”:
- Совершенно секретно - доступны совершенно секретные, секретные объекты и открытые данные, т.е. все объекты компьютера;
- Секретно - доступны только секретные объекты и открытые данные;
- Открытые данные - доступны только открытые данные.
|
|
|
Список совершенно секретных и секретных объектов задается в оболочке администратора. Открытые данные - это все остальные объекты. Администраторы всегда имеют метку “Совершенно секретно”.
12) Какие ограничения есть на имя пользователя?
В этом поле допускается ввод пробелов и символов в русском регистре (кириллица). Максимальная длина имени ‑ 20 символов. Если введенное имя уже использовано матрицей доступа, программа при выполнении регистрации предупредит об этом. Имя будет необходимо заменить на уникальное для матрицы доступа данного компьютера.
13) Расскажите о принципах работы мандатного доступа.
Все объекты (диски, папки, файлы компьютера) в системе защиты разбиваются на три группы, определяемые уровнем секретности:
- Совершенно секретные объекты - список задается в системе защиты;
- Секретные объекты - список задается в системе защиты;
- Открытые объекты - все остальные объекты.
Каждому пользователю сопоставляется классификационная метка, определяющая уровень его привилегий по доступу к классифицированным объектам. В соответствии с группами объектов используются три классификационные метки:
- Совершенно секретно;
- Секретно;
- Открытые данные.
Пользователи, имеющие метку “Совершенно секретно”, могут работать с совершенно секретными объектами, с секретными объектами и с открытыми данными, т. е. со всеми объектами. Пользователи, имеющие метку “Секретно”, могут работать с секретными объектами и с открытыми данными. Пользователи, имеющие метку “Открытые данные”, могут работать только с открытыми данными. Классификационная метка задается при регистрации пользователя.
14) Что такое список общих файлов?
В системе всегда существуют файлы, запись в которые осуществляют непосредственно приложения или операционная система (без явного участия пользователя). Такие файлы и соответствующие им приложения обязательно должны быть занесены в список общих файлов. Часть таких файлов являются стандартными, их имена известны заранее для любого компьютера, они помещены в список общих файлов изначально
Лабораторная работа №3
Настройка ЖУРНАЛОВ СисТЕМЫ
|
|
|
