Управление доступом к дискам, каталогам и файлам (стр. 2 из 4)

Выбрать название группы ресурсов в перечне.

Активизировать с помощью мыши список расширений файлов, и отредактировать его, добавив новые расширения файлов или удалив существующие.

Рис. 22. Определение атрибутов по умолчанию для пользователя

Редактирование списка расширений осуществляется стандартными операциями редактирования текста. Одно расширение отделяется от другого символом ‘;’ («точка с запятой»).

Определить атрибуты по умолчанию для ресурсов выбранной группы в поле «Владелец». Для этого нажать кнопку и выбрать одно из следующих значений:

Supervisor - владельцем создаваемых ресурсов станет администратор безопасности компьютера;

(админ.) - владельцем ресурсов станет пользователь - администратор безопасности данного компьютера по умолчанию;

(текущий) - владельцем ресурсов станет данный пользователь;

(нет) - ресурс становится «общим», не принадлежащим никому конкретно.

Определить права доступа владельца к ресурсу в полях «Чтение», «Запись» и «Выполнение».

Определить атрибуты по умолчанию в поле «Группа»:

Определить группу пользователей-владельцев всех ресурсов, создаваемых пользователем и относящихся к данной группе ресурсов. Для этого нажать кнопку и выбрать название группы пользователей из открывшегося списка.

Определить права доступа всех пользователей, входящих в состав группы, установив отметки в соответствующих полях выключателей.

Определить атрибуты доступа к ресурсам, создаваемым пользователем и относящимся к данной группе ресурсов, для всех остальных пользователей компьютера. Для определения прав доступа этих пользователей необходимо установить отметки в соответствующих полях выключателей в группе «Остальные».

Не все комбинации значений атрибутов являются допустимыми. Нельзя установить следующие комбинации: «Запись без чтения», «Выполнение без чтения» и «Выполнение и запись без чтения».

Нажать кнопку «OК».

Нажать кнопку «ОК» в окне управления свойствами пользователя.

2.2 Настройка режима контроля атрибутов

Механизм избирательного управления доступом к ресурсам может функционировать в одном из двух режимов работы: «мягком» или «жестком». При установленном «мягком» режиме контроля атрибутов пользователю будет запрещено выполнять действия над ресурсами, если эти ресурсы недоступны ему на чтение. Пользователю разрешается выполнять действия, запрещенные атрибутами доступа к ресурсам, но при этом соответствующие события НСД будут регистрироваться в журнале безопасности. При «жестком» (основном) режиме работы пользователю запрещается выполнять над ресурсом действия, превышающие его права доступа к ресурсу.

Для настройки режима необходимо:

Вызвать на экран окно управления свойствами пользователя.

Активизировать диалог «Режимы».

Установить отметку в поле «Мягкий режим контроля атрибутов», если необходимо включить «мягкий» режим контроля атрибутов. Если необходимо включить «жесткий» режим работы, удалить отметку из этого поля.

Выключатель недоступен для изменений, если пользователю предоставлены привилегии на работу с системой «Без атрибутов на дисках», «Без атрибутов на каталогах» и «Без атрибутов на файлах».

Нажать кнопку «OК».

3. Управление доступом к ресурсам в программе Проводник

Для управления атрибутами Secret Net дисков, каталогов и файлов необходимо вызвать на экран окно программы Проводник.

3.1 Управление доступом пользователей к дискам

Для управления доступом к диску:

В окне программы Проводник выбрать диск, вызвать на экран окно настройки свойств этого ресурса и активизировать диалог «Secret Net».

Рис. 23. Диалог управления доступом к диску

Выбрать в списке имя пользователя, для которого необходимо изменить атрибуты доступа к диску.

Привилегии по доступу к ресурсам компьютера «Видимость дисков» и «Без атрибутов на дисках», предоставленные пользователю, отменяют соответствующие ограничения на доступ этого пользователя к логическим дискам, заданные атрибутами доступа.

Группа полей «Атрибуты» содержит имя выбранного пользователя и установленные для него значения атрибутов доступа к диску.

Чтобы разрешить доступ необходимо поставить отметку в поле соответствующего выключателя: «Чтение», «Запись», «Выполнение».

Чтобы запретить доступ - удалить отметку.

Установленные права доступа немедленно отобразятся в колонке «Доступ» списка пользователей.

Нажать кнопку «ОК».

Не рекомендуется ограничивать права пользователя на выполнение программ, размещенных на диске [С:] (или другом локальном диске, с которого производится загрузка операционной системы), т.е. устанавливать для пользователя следующие атрибуты доступа к этому диску: «Чтение и запись», «Только чтение», «Нет доступа». В этом случае при входе пользователя загрузка операционной системы окажется невозможной.

При попытке установить атрибуты доступа пользователя к системному диску, небезопасные для работы системы, на экране появится предупреждающее сообщение:

3.2 Управление доступом пользователей к каталогам

Для управления доступом к каталогу необходимо:

В окне программы «Проводник» выбрать один или несколько каталогов, вызвать на экран окно настройки свойств ресурса и активизировать диалог «Secret Net».

Рис. 24. Диалог управления доступом к каталогу

При просмотре или изменении атрибутов для нескольких каталогов, значение «Не определен» в колонке «Доступ» указывает на то, что пользователю назначены разные права доступа к выбранным каталогам.

Указать в поле «Владелец»имя пользователя-владельца каталога и атрибуты доступа к каталогу для владельца.

При просмотре или изменении атрибутов для нескольких каталогов значение «(не определен)» в текстовом поле указывает на то, что у выбранных каталогов разные пользователи-владельцы. При изменении данного значения для всех выбранных каталогов будет установлено одинаковое имя пользователя-владельца.

Чтобы изменить имя пользователя-владельца необходимо выбрать в поле с открывающимся списком одно из следующих значений:

имя пользователя;

имя пользователя SUPERVISOR – для того чтобы владельцем каталога стал администратор системы защиты;

значение «(админ.)» – для того чтобы владельцем каталога стал пользователь - администратор безопасности данного компьютера;

при установке значения «нет» каталог становится общим, не принадлежащим никому конкретно. При этом все пользователи компьютера не будут иметь ограничений на доступ к каталогу (если ограничения не заданы атрибутами доступа к диску и атрибутами доступа к каталогам, в состав которых входит этот каталог).

Определить значения атрибутов доступа к каталогу для пользователя-владельца, установив или удалив отметки в полях «Чтение», «Запись», «Выполнение».

В поле «Группа» выбрать название группы пользователей и определить соответствующие ей атрибуты доступа, повторив действия, описанные выше для поля «Владелец».

Установить значения атрибутов доступа к каталогу для остальных пользователей компьютера.

Поставить отметку в поле выключателя «Применять рекурсивно», чтобы установить заданные атрибуты на все файлы и подкаталоги, содержащиеся в данном каталоге, а также на файлы в подкаталогах.

Нажать кнопку «ОК».

Права пользователя на доступ к каталогу определяются значениями атрибутов, установленных на сам каталог, значениями атрибутов всех каталогов, стоящих выше данного в иерархии, и значениями атрибутов доступа к диску, на котором расположен каталог.

Привилегии на работу с системой «Видимость каталогов» и «Без атрибутов на каталогах», предоставленные пользователю, отменяют соответствующие ограничения на доступ этого пользователя к каталогам, заданные атрибутами доступа и владения.

3.3 Управление доступом пользователей к файлам

Для управления доступом к файлу необходимо:

В окне программы Проводник выбрать один или несколько файлов, вызвать на экран окно настройки свойств ресурса и активизировать диалог «Secret Net».

Рис. 25. Диалог управления доступом к файлу

Процедура изменения атрибутов файла аналогична процедуре изменения атрибутов каталога.

Определить в группе полей «Владелец» имя пользователя-владельца файла и атрибуты доступа к файлу для владельца.

В группе полей «Группа» указать название группы пользователей и соответствующие ей атрибуты доступа.

Установить значения атрибутов доступа к файлу для остальных пользователей компьютера.

Определить дополнительные атрибуты файла в группе полей «Дополнительно».

Атрибут «Полный доступ»имеет смысл только для программ. Устанавливает для программы специальный режим работы. В этом режиме не контролируется доступ программы к ресурсам файловой системы (дискам, каталогам и файлам), аппаратным ресурсам (коммуникационным портам и принтерам) и ресурсам операционной системы (системным файлам, и т.д.). Попытки доступа программы к этим ресурсам не регистрируются в журнале безопасности. При включенном режиме полномочного управления доступом все попытки доступа программы к конфиденциальным ресурсам контролируются.

Атрибуты «Аудит чтения» и «Аудит записи» включают для файла режим, при котором осуществляется регистрация в журнале безопасности всех успешных попыток доступа к данному файлу, соответственно, на чтение и изменение файла.

Для регистрации попыток доступа к файлам, которым определены дополнительные атрибуты «Аудит чтения» и «Аудит записи», необходимо включить соответствующие режимы регистрации событий.