Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Контроль целостности для файлов




Назначить контроль целостности для объекта ФС можно двумя разными способами: используя оболочку администратора СЗИ НСД Dallas Lock 8.0 или, вызвав контекстное меню файла щелчком по его значку. Объекты файловой системы, на которые назначен контроль целостности любым из способов, автоматически появляются в списке объектов в окне выбранной категории «Контроль целостности» на вкладке «Контроль доступа».

При выборе категории «Все» на вкладке «Контроль доступа» также появляется список, содержащий параметры всех объектов: глобальных, локальных или сетевых, на которые назначены какие-либо права дискреционного доступа, аудит, а также контроль целостности.

Чтобы задать контроль целостности для локального объекта ФС с помощью оболочки администратора необходимо в списке объектов категории «Контроль целостности» на вкладке «Контроль доступа» нажать кнопку «Добавить». В появившемся диалоговом окне, с помощью управляющих кнопок или прописав вручную, необходимо указать путь к ресурсу и нажать кнопку «Выбрать». Откроется окно редактирования параметров объекта ФС. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (см. ниже).

Задать проверку контроля целостности для локальных объектов файловой системы без помощи оболочки администратора, а с помощью контекстного меню можно следующим способом:

1. Правым щелчком мыши на значке объекта, для которого необходимо установить проверку контроля целостности, открыть контекстное меню и выбрать из него пункт «DL8.0: Права доступа» (рис. 138).

Рис. 138. Контекстное меню

2. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (рис. 139).

Рис. 139. Контроль целостности ресурса файловой системы

3. Необходимо выставить флажок в поле «Контроль целостности включен» и выбрать алгоритм расчета контрольной суммы.

4. Отметить при необходимости поле «Проверять контроль целостности при доступе».

При попытке доступа пользователем к файлу, у которого нарушена целостность и отмечено поле «Проверять контроль целостности при доступе», компьютер данного пользователя будет заблокирован (при условии, если у учетной записи включен параметр «Блокировать при нарушении целостности»). Данная функция бывает полезной для избежания попыток несанкционированно модифицировать файл пользователями.

5. Нажать «Применить» и «ОК».

Примечание.Если для файла задан контроль целостности, то система не позволит его удалить или переименовать. Попытки модифицировать контролируемый файл будут блокироваться. Такой объект будет доступен только для чтения и исполнения. Полный доступ к объекту, для которого установлен контроль целостности, имеет только Суперадминистратор.

Если некоторый объект файловой системы, на который назначен контроль целостности, будет изменен или поврежден, то контрольная сумма нарушится, ее запись на экране будет окрашена красным цветом, и станет доступна кнопка «Пересчитать» (рис. 140).

Рис. 140. Нарушение целостности файла

При нажатии на кнопку «Пересчитать» происходит пересчет контрольной суммы. Пересчет новой контрольной суммы позволяет снова установить целостность файла и проводить ее дальнейшее отслеживание.

В списке объектов категории «Контроль целостности» на вкладке «Контроль доступа» значок объекта, у которого нарушена целостности будет красным (рис. 141).

Рис. 141. Список контролируемых объектов

Пересчет и проверка контрольных сумм в данном списке всех контролируемых файлов осуществляется каждый раз при выборе данного раздела оболочки администратора. Также пересчет и проверка будет произведена после каждого нажатия кнопки «Обновить» на панели «Действия» в этом разделе.

 


УДАЛЕННЫЙ ДОСТУП

Если защищенный компьютер входит в состав ЛВС, то информация, хранящаяся на этом компьютере, защищена от несанкционированного доступа по сети.

Возможны следующие ситуации:

6. Пользователь обращается к незащищенному Dallas Lock 8.0 компьютеру с компьютера, который защищен Dallas Lock 8.0.

7. Пользователь обращается к защищенному Dallas Lock 8.0 компьютеру с компьютера, на котором эта система не установлена (c незащищенного компьютера).

8. На обоих компьютерах, и на том, с которого обращаются, и на том, к которому обращаются, установлена система защиты Dallas Lock 8.0.

Удаленный доступ защищенных компьютеров осуществляется не зависимо от редакций системы защиты Dallas Lock 8.0 «K» или «C».

9.1. Удаленный доступ
к незащищенному компьютеру с защищенного

Данный случай ничем не отличается от случая, когда доступ осуществляется с незащищенного СЗИ НСД компьютера на незащищенный компьютер.

9.2. Удаленный доступ
к защищенному компьютеру с незащищенного

По умолчанию в системе Dallas Lock 8.0 на защищенном компьютере предусмотрена зарегистрированная учетная запись пользователя anonymous.

Для того чтобы был возможен доступ к защищенному СЗИ НСД компьютеру по сети с незащищенного компьютера, учетная запись пользователя anonymous должна быть включена. Кроме того, нужно проследить, чтобы пользователю anonymous не был запрещен удаленный доступ. Все остальные права пользователя anonymous администратор определяет согласно проводимой политике безопасности.

Таким образом, со всех компьютеров, включенных в ЛВС, но не защищенных СЗИ НСД Dallas Lock 8.0, можно будет обратиться к защищенному компьютеру и получить доступ к его ресурсам в рамках прав, установленных для учетной записи anonymous.

При попытке обратиться к защищенному компьютеру на экране может возникнуть сообщение об ошибке (рис. 142).

Рис. 142. Ошибка подключения к удаленному компьютеру

В этом случае следует внимательно проверить права, предоставленные учетной записи anonymous,в частности, право на удаленный доступ. Кроме того, нужно внимательно просмотреть журнал входов. Скорее всего, в нем можно увидеть причину отказа.

9.3. Удаленный доступ
к защищенному компьютеру с защищенного

Для удаленного входа необходимо, чтобы у учетной записи, под которой входит пользователь, параметрами безопасности было предусмотрено соответствующее право (вкладка «Параметры безопасности» => категория «Права пользователей» => параметр «Вход в ОС: Удаленный»).

При удаленном входе с защищенного компьютера на защищенный компьютер, пользователь осуществляет вход под учетной записью с таким же именем, под которым он работает. Если на удаленном компьютере нет учетной записью с таким же именем, у пользователя есть возможность войти под учетной записью anonymous, которая предусмотрена в системе защиты по умолчанию.

В случае неудачного соединения, доступ к удаленному компьютеру осуществлен не будет, и система выдаст предупреждение.

На разных защищенных компьютерах в ЛВС одна учетная запись может быть зарегистрирована с разными правами. Когда происходит удаленный вход, права проверяются в соответствии с правами учетной записи удаленного компьютера.

Еще одним необходимым условием удаленного входа является следующее: если в свойствах учетной записи удаленного компьютера установлен флажок «Блокировать при нарушении целостности», то на удаленном компьютере целостность не должна быть нарушена.

Ключи удаленного доступа

Каждый защищенный системой Dallas Lock 8.0 компьютер имеет ключ удаленного доступа. Пользователи могут осуществлять удаленный вход на защищенные компьютеры (при условии соблюдения остальных условий) только при совпадении ключей удаленного доступа.

На всех защищенных компьютерах в ЛВС, после установки СЗИ НСД с файлом конфигурации по умолчанию, зарегистрирован ключ удаленного доступа с пустым значением. Однако в системе реализована возможность изменения ключа удаленного доступа на компьютере. Для этого в оболочке администратора на вкладке «Параметры безопасности» в категории политик безопасности «Вход» необходимо выбрать и открыть параметр «Ключ удаленного доступа» и заполнить требуемые поля (рис. 143).

Рис. 143. Окно ввода нового ключа удаленного доступа

Рекомендуется вводить и изменять настройки ключей удаленного доступа только опытным специалистам, и только в тех случаях, когда это действительно необходимо. Так как неосторожная смена ключа доступа у одного ПК, может привести к тому, что удаленный доступ на него будет невозможен.

Для создания ключа удаленного доступа, отвечающего всем требованиям параметров безопасности, установленных системой защиты Dallas Lock 8.0, можно воспользоваться помощью генератора паролей системы защиты. Для этого следует нажать поле с надписью «Генерация ключа». Система автоматически создаст уникальный ключ, значение которого необходимо ввести в поля «Ключ» и «Подтверждение».

Примечание. Политики сложности паролей распространяются и на установку значений для ключа удаленного доступа. Поэтому, чтобы была возможность задать, например, пустое значение ключа удаленного доступа, необходимо, чтобы параметр «Пароли: минимальная длина» имел значение «Не используется».

 


 

Сетевое администрирование

Система защиты Dallas Lock 8.0 позволяет осуществлять сетевое (удаленное) администрирование параметров безопасности других компьютеров, на которых установлена система защиты. С помощью сетевого администрирования возможны те же действия, что и при локальном администрировании: создание, удаление, редактирование пользователей и групп; редактирование политик безопасности; просмотр, назначение, редактирование параметров доступа, контроля целостности, аудита объектов файловой системы; просмотр журналов и прочее.

Визуально процесс сетевого администрирования практически не отличается от процесса локального администрирования, так как запускается та же самая оболочка администратора, которая подключается не к локальному драйверу защиты, а к удаленному.

После установки системы защиты на компьютере в меню «Пуск» в группе программ Dallas Lock 8.0 появляется значок программы удаленного администрирования «Сетевой администратор» (рис. 144):

Рис. 144. Вызов удаленного администрирования СЗИ

Для осуществления сетевого администрирования на компьютерах, входящих в ЛВС, необходимо соблюдение следующих условий:

На всех компьютерах, для которых предполагается сетевое администрирование, должна быть установлена СЗИ НСД Dallas Lock 8.0.

На всех компьютерах, для которых предполагается сетевое администрирование, должны быть установлены одинаковые ключи удаленного доступа (подробнее в разделе «Ключи удаленного доступа»).

Примечание. По умолчанию в системе защиты ключ удаленного доступа пустой, и если ни на одном из компьютеров он не изменялся, то специально для осуществления удаленного доступа его вводить не следует.

Пользователь, осуществляющий сетевое администрирование (удаленный администратор), должен быть зарегистрирован на всех компьютерах К1, К2, K3…Кn.

Администратор, осуществляющий сетевое администрирование, на целевых компьютерах должен обладать правом удаленного доступа (вкладка «Параметры безопасности» => категория «Права пользователей» => параметр «Вход в ОС: удаленный»).

На компьютерах К2, К3….Кn сетевому администратору должны быть предоставлены соответствующие полномочия на администрирование.

Сетевое администрирование защищенных компьютеров осуществляется не зависимо от редакций системы защиты Dallas Lock 8.0 «K» или «C».

При соблюдении этих условий с компьютера К1 можно осуществлять сетевое администрирование компьютеров К2, К3…Кn. Для этого необходимо запустить программу сетевого администратора. В появившемся окне ввести имя удаленного компьютера (рис. 145).

Рис. 145. Доступ к удаленному администрированию

Если имя удаленного компьютера введено верно и все вышеперечисленные условия соблюдены, то на экране развернется оболочка администратора Dallas Lock 8.0 с параметрами удаленного компьютера, и пользователь получит возможность осуществлять администрирование в рамках предоставленных ему на том компьютере полномочий.

В случае неудачного соединения, доступ к удаленному компьютеру осуществлен не будет, и система выдаст предупреждение. В этом случае следует внимательно проверить выполнение условий осуществления удаленного администрирования.

В окне отображения текущих сессий на клиенте в оболочки администратора можно наблюдать появление новой записи о текущей сессии под учетной записью суперадминистратора с удаленного компьютера, (рис. 146).

Рис. 146. Сессии пользователей при удаленном администрировании

Также в списке меню дополнительных функций оболочки администратора с параметрами удаленного компьютера появится значок принудительной перезагрузки удаленного компьютера (рис. 147).

Рис. 147. Кнопка перезагрузки при удаленном администрировании


Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...