 |
Разграничение доступа к объектам
|
|
|
|
Одной из главных задач любой системы защиты информации от несанкционированного доступа является разграничение доступа к объектам файловой системы. Dallas Lock 8.0 - не исключение. Она позволяет гибко и удобно задавать пользователям права на доступ к объектам ФС. После задания прав пользователи могут работать только с теми объектами, доступ к которым им разрешен, и совершать над ними только санкционированные операции. Dallas Lock 8.0 позволяет разграничивать доступ ко всем объектам ФС: файлам, папкам, дискам, ‑ которые могут располагаться как на локальных дисках, так и на сменных и сетевых.
Для разграничения доступа к объектам в Dallas Lock 8.0 предусмотрены два принципа:
согласно индивидуальному списку доступа к объекту (дискреционный доступ);
согласно классификационной метке объекта - мандатный доступ (только для Dallas Lock 8.0 редакции «С»).
Дискреционный доступ к объектам
По умолчанию в системе защиты все пользователи имеют доступ ко всем объектам. Механизм дискреционного доступа основывается на предоставлении пользователю прав на определенные операции с объектами файловой системы. Этот способ разграничения доступа похож на тот, который реализован в Windows на NTFS.
Дескрипторы объектов
Дескриптор — это символическое имя или идентификатор назначенного для объекта файловой системы правила доступа.
Глобальные параметры доступа к ресурсам ФС называют еще «глобальными дескрипторами», тогда как совокупность всех параметров безопасности (дискреционный и мандатный доступ, аудит, контроль целостности), назначенных на какой либо объект файловой системы, называют дескриптором этого объекта. Соответственно, операция назначения каких-либо параметров безопасности на объект файловой системы называется «создать дескриптор», «назначить дескриптор» или даже «повесить дескриптор».
|
|
|
Дескрипторы объектов в свою очередь делятся на «дескрипторы дискреционного доступа», «дескрипторы мандатного доступа», «дескрипторы аудита», «дескрипторы контроля целостности». Дескриптор дискреционного доступа, это дескриптор, содержащий только параметры дискреционного доступа, дескриптор аудита, это дескриптор, содержащий только параметры аудита и т.д.
Точно так же дескрипторы делятся на локальные дескрипторы (назначенные локальным объектам ФС), сетевые дескрипторы (назначенные объектам, расположенным в сети), сменные дескрипторы (назначенные объектам, расположенным на сменных накопителях). Кроме того дескрипторы бывают дескрипторами файлов (назначенные на файл), дескрипторами папок (назначенные на папку) и дескрипторами дисков (назначенные на диск).
Права доступа
Применительно к правам доступа, всех пользователей, зарегистрированных в системе защиты, можно разделить на три разряда:
1. Учетные записи. Это индивидуальные учетные записи пользователей, для которых установлены индивидуальные (отличные от других пользователей и групп пользователей) права доступа, а также учетные записи, зарегистрированные по маске для доменных пользователей.
2. Группы пользователей. Всем пользователями, входящим в одну группу, автоматически назначаются права на доступ, установленные для группы.
3. Все. К этому разряду относятся все пользователи, для которых не установлены индивидуальные права доступа и одновременно не входящие ни в одну из групп. Такие пользователи автоматически объединяются в группу «Все». Этой группе, как и любой другой, могут быть разрешены/запрещены любые операции с любыми объектами файловой системы.
В системе защиты Dallas Lock 8.0-C каждому объекту ФС и подключаемому устройству может быть сопоставлен список, элементами которого могут являться индивидуальные пользователи, учетные записи «по маске», группы пользователей и разряд «Все».
|
|
|
Каждый объект системы защиты характеризуется набором параметров безопасности. Каждый параметр безопасности контролирует определенную операцию (удаление, выполнение, изменение и другие), которая может быть произведена с объектом. Любая операция с объектом может быть разрешена либо запрещена пользователю. Соответственно каждый параметр может иметь значение «разрешить» или «запретить» (флажки в соответствующих полях).
Права доступа можно задавать либо для индивидуальной учетной записи пользователя, либо для группы, либо для учетной записи пользователя «по маске».
Операции, которые можно производить с объектом в системе защиты, зависят от типа объекта.
Локальные, сменные и удаленные диски, каталоги и подкаталоги характеризуются следующими параметрами:
Обзор папки. Чтение содержимого. Позволяет увидеть все вложенные в данную папку каталоги, подкаталоги, файлы, содержащиеся в корневом каталоге объекта.
Выполнение вложенных объектов. Выполнение находящихся в папке файлов.
Изменение содержимого. Изменение находящихся в папке вложенных папок и файлов (запись, удаление, создание).
Для файлов возможны следующие параметры (файлы могут находиться на локальных дисках, на сменных носителях, на сетевых ресурсах):
Чтение. Позволяет прочитать содержимое файла любого типа.
Запись. Удаление файлов, а также запись на диск модифицированного (измененного) файла.
Выполнение. Имеет смысл только для программ. Позволяет запускать программу на выполнение.
Дополнительные параметры:
Чтение разрешений. Позволяет просмотреть значения параметров, установленные для ресурса.
Изменение разрешений. Позволяет не только читать разрешения, но и изменять их.
| Примечание. Операции «Чтение разрешений» и «Изменение разрешений» доступны текущему пользователю, только если он обладает полномочиями на просмотр параметров ресурсов и управление дискреционным доступом соответственно. |
Если объект является вложенным, и ему не сопоставлен список пользователей с правами, то права доступа пользователя к данному объекту определяются параметрами корневого объекта.
|
|
|
Если пользователь находится в сопоставленном объекту списке и одновременно входит в состав группы пользователей, находящейся в сопоставленном объекту списке, то действуют параметры доступа, установленные для этого пользователя.
Если пользователь входит в состав нескольких групп, находящихся в сопоставленном объекту списке, и хотя бы для одной из этих групп установлен запрет на совершение данной операции, а также отсутствует индивидуальное сопоставление данного пользователя объекту (нет явно назначенных прав), то пользователю эта операция запрещена.
Если пользователь не находится в сопоставленном объекту списке и не входит ни в одну из сопоставленных объекту (или корневому объекту) групп пользователей, то для него действуют параметры, установленные для группы «Все».
| Примечание.Если для какого-то ресурса назначены параметры безопасности (права дискреционного доступа, аудит, контроль целостности) и этот ресурс переименовать, то параметры безопасности сохранятся (за исключением случая назначения дескрипторов для пути, подробнее в разделе «Дескрипторы по пути»). |
|
| Примечание.Если сделать копию объекта файловой системы, на который назначены параметры безопасности, то копия не будет иметь таких же прав безопасности. |
|
| Примечание.В Dallas Lock 8.0 реализован собственный механизм дискреционного доступа, независимый от NTFS. Благодаря этому, права доступа Dallas Lock 8.0 могут быть назначены не только на диски отформатированные под NTFS, но и на диски с другими файловыми системами, сменные накопители, сетевые ресурсы. Более того, механизм дискреционного доступа Dallas Lock 8.0 намного удобнее в настройке и интуитивно понятнее, чем встроенный в ОС механизм NTFS. Но нужно помнить, что Dallas Lock 8.0 не заменяет встроенный механизм NTFS, а дублирует его. То есть одновременно работают оба механизма, и что бы пользователь получил доступ к объекту файловой системы, Dallas Lock 8.0, и NTFS должны разрешить доступ. Если же хоть один из этих механизмов откажет в доступе, пользователь не сможет работать с объектом ФС. Об этой особенности важно помнить. И если, вдруг, возникнет ситуация, при которой в Dallas Lock 8.0 доступ к объекту разрешен, но фактически доступа нет, то первым делом следует проверить, какие права NTFS установлены на этот объект. Также эту ситуацию легко отследить, если на объект назначить аудит отказов доступа. В случае, если доступ будет блокироваться NTFS, а также включена политика «аудит: заносить в журнал ошибки Windows», то в журнале напротив записи будет отображена особая иконка – с буковкой «w», а если доступ блокируется установленной системой защиты – то стандартная иконка отказа. Рекомендуется при использовании Dallas Lock 8.0, разграничивать доступ к файловой системе только средствами Dallas Lock 8.0, а механизм разграничения доступа NTFS не использовать. |
5.1.3. Механизм определения прав доступа пользователя к ресурсам
|
|
|
При попытке пользователя совершить с объектом файловой системы компьютера любую операцию система защиты Dallas Lock анализирует назначенные права доступа согласно иерархии назначенных параметров на объекты снизу вверх, то есть проверка происходит, начиная с локальных параметров объекта; глобальные параметры проверяются в последнюю очередь. При этом локальные настройки имеют приоритет над глобальными настройками.
Причем при проверке прав дискреционного доступа назначенные права прибавляются. Это означает, что происходит проверка значения (наличие флажков «запретить»/«разрешить») для каждого наименования прав (обзор, выполнение, чтение, запись и пр.), и, если право не имеет состояния «запретить»/«разрешить» на нижнем уровне, то система проводит проверку и присваивает значение состоянию, исходя из более высокого уровня параметров, к которым относится данный объект.
Если право имеет различные состояния «запретить»/«разрешить» на разных уровнях, например, «запретить» для файла и «разрешить» для более глобального уровня, папки, в которую вложен файл, то приоритетным будет право локального уровня «запретить».
Приоритеты параметров в Dallas Lock 8.0 представляют собой следующую иерархию:
Таблица 1. Приоритеты параметров дескрипторов
| Тип параметров | Название параметров | Приоритет |
| Глобальные параметры (список глобальных параметров на вкладке «Контроль доступа» => «Глобальные») | «Параметры по умолчанию» | Самый низкий |
| «Параметры сменных дисков по умолчанию» «Параметры фиксированных дисков по умолчанию» «Параметры сети по умолчанию» | Средний | |
| «Параметры FDD-дисков по умолчанию» «Параметры CD-ROM дисков по умолчанию» «Параметры USB-Flash дисков по умолчанию» | Более высокий | |
| Локальные параметры | Параметры папок (приоритет меняется в зависимости от иерархии папок) | Высокий |
| Параметры файлов | Самый высокий | |
| Параметры конкретных экземпляров дисков |
|
|
|
В системе реализован механизм назначения дискреционных прав как на глобальные параметры (раздел «Дискреционный доступ для глобальных» см. ниже), так и на локальные объекты ФС (раздел «Дискреционный доступ для локальных объектов»).
Таким образом, система защиты последовательно выполняет следующие действия проверки:
1. Если для данного объекта ФС пользователю назначены права, то возможность совершения запрошенной операции устанавливается исходя из этих прав. Если параметру, контролирующему данную операцию, присвоено значение «Разрешить», то операция выполняется. Если параметру присвоено значение «Запретить», операция блокируется.
2. Если для данного объекта ФС не назначены права для данного пользователя, но права назначены для одной из групп, в которую входит пользователь, то для определения возможности совершения запрашиваемой операции аналогично используются права этой группы.
3. Если для данного объекта ФС не назначены права ни конкретно для данного пользователя, ни для какой-либо из групп, в которые входит этот пользователь, то для определения возможности совершения запрошенной операции используются права, назначенные группе «Все».
4. Если же права не назначены ни для пользователя, ни для какой-либо группы, куда этот пользователь входит, ни для группы «Все», то система защиты проверяет, входит ли данный объект в состав другого объекта (папка/диск). Если входит, то повторяются действия 1-3 для объекта, содержащего данный объект. Если объект не входит в состав другого объекта ФС, то система защиты переходит к проверке глобальных параметров по иерархии, представленной в таблице.
5. Анализ глобальных параметров осуществляется по той же самой схеме, что и локальных. Проверяются права, назначенные для пользователя, если они не назначены, то для групп, куда этот пользователь входит, и если права не назначены для таких групп, то проверяются права группы «Все». Если же и для группы «Все» не назначены права, то аналогично проверяются права глобальных параметров, имеющих более низкий приоритет. Если осуществлялась проверка глобальных параметров самого низкого приоритета, то выполнение операции разрешается.
Пример
Пусть существует файл, расположенный по пути «C:\Docs\balans.txt».Также есть следующие пользователи, каждый из которых входит только в одну группу:
· «Оператор», в группе «Пользователи»;
· «Аудитор», в группе «Пользователи»;
· «Админ», в группе «Администраторы».
На файл «C:\Docs\balans.txt» назначены права:
· группа «Все» - доступ запрещен;
· группа «Пользователи» - разрешено чтение;
· пользователь «Оператор» - разрешен полный доступ.
В результате распределения системой прав на данный объект, пользователи будут иметь следующие возможности для совершения операций с объектом:
пользователь «Оператор» будет иметь полный доступ к файлу «C:\Docs\balans.txt» (права для пользователя будут проверяться первыми, и они имеют более высокий приоритет, чем права, заданные для групп);
пользователь «Аудитор» будет иметь доступ только на чтение (для него не назначено отдельных прав, но он входит в группу «Пользователи»);
пользователь «Админ» не получит доступа к этому файлу (для него не назначено отдельных прав, он не входит в группу «Пользователи», поэтому для него будут использоваться права, назначенные для группы «Все»).
|
|
|
