 |
Механизм определения прав доступа пользователя к ресурсам ФС
|
|
|
|
Дескрипторы объектов
Дескриптор — это символический идентификатор назначенного для объекта файловой системы (или устройства) правила доступа.
Глобальные параметры доступа к объектам ФС называют «глобальными дескрипторами», тогда как совокупность всех параметров безопасности (дискреционный и мандатный доступ, аудит, контроль целостности), назначенных на какой либо объект файловой системы, называют дескриптором этого объекта. Соответственно, операция назначения каких-либо параметров безопасности на объект файловой системы (или устройства) называется «создать дескриптор», «назначить дескриптор» или даже «повесить дескриптор».
Дескрипторы объектов в свою очередь делятся на дескрипторы дискреционного доступа, дескрипторы мандатного доступа, дескрипторы аудита, дескрипторы контроля целостности. Дескриптор дискреционного доступа, это дескриптор, содержащий только параметры дискреционного доступа, дескриптор аудита, это дескриптор, содержащий только параметры аудита и т.д.
Точно также дескрипторы делятся на локальные дескрипторы (назначенные локальным объектам ФС или конкретным устройствам), сетевые дескрипторы (назначенные объектам ФС, расположенным в сети), сменные дескрипторы (назначенные объектам, расположенным на сменных накопителях).
Кроме того дескрипторы бывают дескрипторами файлов (назначенные на файл), дескрипторами папок (назначенные на папку), дескрипторами устройства, например, дисков (назначенные на диск).
Окно дескриптора состоит из закладок: «Общие», «Дискреционный доступ», «Аудит», «Контроль целостности». В зависимости от объекта тот или иной дескриптор доступа может отсутствовать, как и соответствующая ему закладка. Окно дескриптора можно вызвать через контекстное меню объекта (пункт меню «DL80:Права доступа») или через оболочку администратора при назначении прав доступа на объект.
|
|
|
Для одновременно выделенных нескольких объектов в открывшемся окне дескриптора будут просматриваться установленные параметры безопасности всех объектов: причем, на закладке «Общие» параметры будут перечислены списком, на других закладках будет иметь место различное состояние (вид) отмеченных параметров:
Дискреционный доступ
По умолчанию в системе защиты все пользователи имеют доступ ко всем объектам. Механизм дискреционного доступа основывается на предоставлении пользователю прав на определенные операции с объектами файловой системы. Этот способ разграничения доступа похож на тот, который реализован в Windows на NTFS.
Права доступа
Применительно к правам доступа, всех пользователей, зарегистрированных в системе защиты, можно разделить на три разряда:
1. Учетные записи. Это индивидуальные учетные записи пользователей, для которых установлены индивидуальные (отличные от других пользователей и групп пользователей) права доступа, а также учетные записи, зарегистрированные по маске для доменных пользователей.
2. Группы пользователей. Всем пользователями, входящим в одну группу, автоматически назначаются права на доступ, установленные для группы.
3. Все. К этому разряду относятся все пользователи, для которых не установлены индивидуальные права доступа и одновременно не входящие ни в одну из групп. Такие пользователи автоматически объединяются в группу «Все». Этой группе, как и любой другой, могут быть разрешены/запрещены любые операции с любыми объектами файловой системы.
В системе защиты Dallas Lock 8.0 каждому объекту ФС может быть сопоставлен список, элементами которого могут являться индивидуальные пользователи, учетные записи «по маске», группы пользователей и разряд «Все». Каждый объект системы защиты характеризуется набором параметров безопасности.
|
|
|
Каждый параметр безопасности контролирует определенную операцию (удаление, выполнение, изменение и другие), которая может быть произведена с объектом. Любая операция с объектом может быть разрешена либо запрещена пользователю. Соответственно каждый параметр может иметь значение «разрешить» или «запретить» (флажки в соответствующих полях). Права доступа можно задавать либо для индивидуальной учетной записи пользователя, либо для группы, либо для учетной записи пользователя «по маске». Операции, которые можно производить с объектом в системе защиты, зависят от типа объекта.
Если объект является вложенным, и ему не сопоставлен список пользователей с правами, то права доступа пользователя к данному объекту определяются параметрами корневого объекта. Если пользователь находится в сопоставленном объекту списке и одновременно входит в состав группы пользователей, находящейся в сопоставленном объекту списке, то действуют параметры доступа, установленные для этого пользователя. Если пользователь входит в состав нескольких групп, находящихся в сопоставленном объекту списке, и хотя бы для одной из этих групп установлен запрет на совершение данной операции, а также отсутствует индивидуальное сопоставление данного пользователя объекту (нет явно назначенных прав), то пользователю эта операция запрещена. Если пользователь не находится в сопоставленном объекту списке и не входит ни в одну из сопоставленных объекту (или корневому объекту) групп пользователей, то для него действуют параметры, установленные для группы «Все».
Механизм определения прав доступа пользователя к ресурсам ФС
При попытке пользователя совершить с объектом файловой системы компьютера любую операцию система защиты Dallas Lock 8.0 анализирует назначенные права доступа согласно иерархии назначенных параметров на объекты снизу вверх, то есть п роверка происходит, начиная с локальных параметров объекта; глобальные параметры проверяются в последнюю очередь. При этом л окальные настройки имеют приоритет над глобальными настройками. Причем при проверке прав дискреционного доступа назначенные права прибавляются. Это означает, что происходит проверка значения (наличие флажков «запретить»/«разрешить») для каждого наименования прав (обзор, выполнение, чтение, запись и пр.), и, если право не имеет состояния «запретить»/«разрешить» на нижнем уровне, то система проводит проверку и присваивает значение состоянию, исходя из более высокого уровня параметров, к которому относится данный объект. Если право имеет различные состояния «запретить»/«разрешить» на разных уровнях, например, «запретить» для файла и «разрешить» для более глобального уровня, папки, в которую вложен файл, то приоритетным будет право локального уровня «запретить». Приоритеты параметров в Dallas Lock 8.0 представляют собой следующую иерархию:
|
|
|
Отдельными категориями в списке параметров выделены преобразованные и открытые сменные накопители (FDD-диски, USB-Flash диски). Данное разграничение имеет смысл, если в Dallas Lock 8.0 настраивается доступ к преобразованным сменным накопителям. В случае, когда нет преобразованных накопителей, все сменные накопители считаются открытыми и права должны назначаться именно для таких параметров.
В системе защиты реализован механизм назначения дискреционных прав как на глобальные параметры, так и на локальные объекты файловой системы. Таким образом, система защиты последовательно выполняет следующие действия проверки:
1. Если для данного объекта ФС пользователю назначены права, то возможность совершения запрошенной операции устанавливается исходя из этих прав. Если параметру, контролирующему данную операцию, присвоено значение «Разрешить», то операция выполняется. Если параметру присвоено значение «Запретить», операция блокируется.
2. Если для данного объекта ФС не назначены права для данного пользователя, но права назначены для одной из групп, в которую входит пользователь, то для определения возможности совершения запрашиваемой операции аналогично используются права этой группы.
|
|
|
3. Если для данного объекта ФС не назначены права ни конкретно для данного пользователя, ни для какой-либо из групп, в которые входит этот пользователь, то для определения возможности совершения запрошенной операции используются права, назначенные группе «Все».
4. Если же права не назначены ни для пользователя, ни для какой-либо группы, куда этот пользователь входит, ни для группы «Все», то система защиты проверяет, входит ли данный объект в состав другого объекта (папка/диск). Если входит, то повторяются действия 1-3 для объекта, содержащего данный объект. Если объект не входит в состав другого объекта ФС, то система защиты переходит к проверке глобальных параметров по иерархии, представленной в таблице.
5. Анализ глобальных параметров осуществляется по той же самой схеме, что и локальных. Проверяются права, назначенные для пользователя, если они не назначены, то для групп, куда этот пользователь входит, и если права не назначены для таких групп, то проверяются права группы «Все». Если же и для группы «Все» не назначены права, то аналогично проверяются права глобальных параметров, имеющих более низкий приоритет. Если осуществлялась проверка глобальных параметров самого низкого приоритета, то выполнение операции разрешается.
|
|
|
12 |
