Какой из видов доступа к ресурсам дает более серьезное разграничение прав пользователей

Обновлено: 16.05.2024

Реализация контроля и разграничения прав доступа по созданию файловых объектов и к системным файловым объектам

УДК 004.056.53

Введение

В работах [1,2] авторами были предложены принципы и методы контроля доступа к создаваемым файловым объектам, основанные на их автоматической разметке и их практическая реализация. Эти методы позволяют реализовать разграничительную политику доступа к данным, обрабатываемым в информационной системе (к создаваемым в процессе работы пользователей файлам). Принципиальным достоинством подобных методов контроля доступа, кардинально меняющим собственно технологию защиты обрабатываемых в информационной системе данных от несанкционированного к ним доступа, является простота администрирования реализующих их средств защиты и корректность реализации разграничительной политики доступа в общем случае [3,4] (реализация данных подходов рассмотрена, например, в статье, размещенной на этом сайте по ссылке).

Вместе с тем, данные методы позволяют реализовать разграничительную политику доступа в отношении именно создаваемых объектов (создаваемых в процессе работы пользователей файлов, данных, помещаемых в буфер обмена), но не разграничивать права доступа по созданию новых файлов, равно как и не позволяют разграничивать прав доступа к системным файлам, которые исходно присутствуют в системе, а не создаются пользователями в процессе работы.

В данной работе рассмотрим реализацию контроля и разграничения прав доступа к файловым объектам, решающего данные задачи защиты информации, а также средство защиты, реализующее запатентованные авторами технические решения [5,6], использованные и апробированные при разработке комплексной системы защиты информации «Панцирь +" для ОС Microsoft Windows.

1. Требования и подходы к реализации контроля и разграничения прав доступа по созданию файловых объектов и к системным объектам.

Принципиальным при формировании требований к реализации контроля доступа к защищаемым ресурсам, в том числе, к файловым объектам, является ответ на следующий вопрос: каким образом и в каком виде хранятся правила доступа субъектов к объектам (или к объектам субъектов)? Именно способ хранения правил доступа во многом влияет на функциональные возможности контроля доступа, поскольку им определяется то, каким образом идентифицируется в разграничительной политике объект доступа.

Видим, возможности по заданию объекта доступа в разграничительной политике принципиально расширяются. Но главное другое - это качественное расширение функциональных возможностей реализуемого контроля и разграничения прав доступа.

Проиллюстрируем сказанное на примере реализации контроля и разграничения прав доступа по созданию файлов. Появляется возможность разграничивать не только то, в каких объектах можно/нельзя субъекту создавать файловые объекты, в первую очередь, файлы, но и то, какие типы файлов ему разрешено/запрещено создавать. В частности, эту возможность можно использовать для защиты от несанкционированной загрузки на компьютер программ, в том числе, вредоносных, и модификации санкционированно установленных программ (для этого достаточно запретить создавать файлы с расширениями исполняемых объектов). Аналогичным образом при помощи масок могут назначаться объекты файловой системы с расширениями *.js, *.vbs, *.php и др., которые являются скриптовыми файлами. Предотвращение возможности создания на компьютере подобных файлов, загружаемых с веб-сайтов (большинство из этих скриптов предназначено для автозаполнения форм, рекламного баннера, загрузки дополнительной страницы с рекламой и т.д.) не только позволяет защитить соответствующее приложение от наделения его вредоносными свойствами [9], но и позволяет защитить пользователя от получения им ненужной рекламы и ссылок при работе в сети интернет.

Также к важным вопросам, формирующим требования к реализации контроля доступа, следует отнести способ задания (используемый набор сущностей) в разграничительной политике субъекта доступа и способ назначения правил доступа – назначаются ли правила доступа субъекта к объектам, либо, наоборот, к объекту субъектов.

При контроле и разграничении прав доступа к защищаемым ресурсам с использованием двух сущностей, идентифицирующих пользователя – исходный и эффективный, при запуске процесса запоминается, каким пользователем он запущен (первичный идентификатор), а при запросе этим процессом доступа к ресурсу определяется, от лица какого пользователя запрашивается доступ (эффективный идентификатор). Разграничительной политикой устанавливаются разрешения/запреты смены идентификатора при доступе к защищаемым ресурсам. Аутентификация в данном случае состоит в проверке подлинности идентификации – корректности смены (если она разрешена) первичного идентификатора при запросах доступа к ресурсам.

Замечание. Естественно, что разграничительная политика доступа должна задаваться в отношении, как интерактивных, так и системных пользователей, как прикладных, так и системных процессов.

Хранение правил доступа в виде отдельного объекта (без привязки в качестве атрибутов доступа к файловым объектам) позволяет принципиально изменить способ назначения прав доступа и отображения заданной разграничительной политики доступа, реализовав назначение прав доступа не к объектам субъектов, а субъектов к объектам. Это крайне принципиальный момент. Реализация данного подхода не только кардинально упрощает реализацию настройки разграничительной политики доступа, но и позволяет наглядно в одном окне интерфейса средства защиты отображать заданные права доступа для выбранного субъекта ко всем объектам, а не к конкретному объекту субъектов, что требуется при реализации разграничений прав доступа между субъектами. Чтобы получить аналогичную информацию о реализованной разграничительной политике доступа к объектам в отношении какого-либо субъекта при альтернативном способе задания прав доступа, потребуется просмотреть атрибуты доступа всех файловых объектов в системе.

Теперь рассмотрим, пожалуй, один из ключевых моментов использования масок при задании субъектов и объектов доступа в разграничительной политике, какие при этом могут возникать противоречия, и как они могут устраняться.

В общем случае под одну и ту же маску будет подпадать (покрываться маской) несколько реальных субъектов, соответственно объектов доступа, с этой целью маски и используются. Но при этом один и тот же реальный субъект, соответственно объект доступа может подпадать одновременно под несколько масок.

В [5,6] предложено техническое решение (с различными способами идентификации субъекта доступа), реализующее автоматическое ранжирование системой между собою масок задаваемых в разграничительной политике субъектов (объектов) доступа по точности описания реального субъекта (объекта), с возможностью ручного изменения автоматически заданных рангов вручную администратором.

2. Средство контроля и разграничения прав доступа.

Создание субъектов доступа.

Субъекты доступа, которые, как ранее говорили, идентифицируются в разграничительной политике доступа тремя сущностями, создаются из меню, приведенного на рис.1.

Рис.1. Меню создания субъекта доступа в разграничительной политике

Созданные субъекты автоматически ранжируются (по заданным правилам) по точности описателя и отображаются в интерфейсе в соответствующем порядке (либо сверху вниз, либо снизу вверх), см. рис.2.

Рис.2. Интерфейс отображения созданных субъектов доступа в разграничительной политике

В качестве субъектов доступа в разграничительной политике используются профили, что в том числе позволяет реализовать ролевую модель контроля доступа в том случае, если профили создаются под определенные роли.

Субъекты, которые будут обладать одинаковыми правами доступа к объектам, помещаются в один и тот же профиль (для помещения субъекта в профиль, имена соответствующего субъекта и профиля задаются при создании субъекта в окне задания субъекта доступа, см. рис.1). Интерфейс отображения созданных профилей, в котором отображаются созданные администратором профили и включенные в профили субъекты (описываемые своими именами), приведен на рис.4. Для упрощения администрирования реализована возможность создания нового профиля на основе существующего, по средством необходимой модификации существующего профиля.

Рис.4. Интерфейс отображения профилей в разграничительной политике

Создание объектов доступа.

Файловые объекты доступа создаются из меню, приведенного на рис.4 и отображаются в интерфейсе, представленном на рис.5.

Рис.5. Меню создания объекта доступа в разграничительной политике

Рис.6. Интерфейс отображения созданных объектов доступа в разграничительной политике

Как отмечали ранее, при задании объектов доступа могут использоваться маски и переменные среды окружения. С учетом возможности использования масок, одновременно несколько заведенных объектов, могут соответствовать реальному объекту, определяемому его полнопутевым именем, к которому запрашивается доступ. Для выбора правила доступа реализован следующий приоритет точности описания объектов в разграничительной политике, исходя из их типа: файл, маска файла, каталог, маска каталога, маска. Заданные в разграничительной политике объекты сравниваются с реальным объектом и запроса доступа, с целью определения наиболее точного описателя, в заданном порядке обработки - файл, если не подходит, то маска файла, соответственно, каталог, маска каталога, маска.

Тип объекта (файл, маска файла, каталог, маска каталога, маска) при его заведении в системе задается автоматически, но при реализации конкретной разграничительной политики, при этом администратору предоставляется возможность смены типа файлового объекта (назначения вручную) при его создании. пользователю может понадобиться установить тип объекта вручную.

Обособленно при задании объектов доступа находятся файловые устройства (файловые накопители). Для реализации корректной разграничительной политики доступа (предотвращения возможности ее обхода), объект доступа файловое устройство в разграничительной политике доступа необходимо идентифицировать не буквой диска, к которой устройство было примонтировано (она может быть изменена), а непосредственно идентификатором устройства. При этом объект доступа можно задавать, как моделью (типом) устройств, так и конкретным устройством, идентифицируемым его серийным номером, см. рис.7. Созданные объекты доступа файловые устройства соответствующим образом отображаются интерфейсе, представленном на рис.6.

Рис.7. Задание объекта доступа устройство в разграничительной политике

Создание правил доступа и правил аудита доступа.

Правила доступа и правила аудита для заданных субъектов к заданным объектам создаются из меню, приведенного на рис.8 и отображаются в интерфейсе, применительно к выбранному субъекту (профилю), представленном на рис.9.

Рис.8. Меню задания правил доступа в разграничительной политике

Рис.9. Интерфейс отображения созданных правил доступа и аудита доступа для выбранного субъекта в разграничительной политике

В качестве же объектов доступа в создаваемых разграничительных политиках, в том числе по созданию новых файловых объектов, могут использоваться файловые объекты, в том числе на внешних накопителях, присутствующие на момент задания правил доступа администратором (классифицируемые нами в [1], как статичные), в том числе системные файловые объекты.

Как видим, рассмотренные решения имеют, что имеют общего, с используемыми сегодня на практике реализациями методов контроля и разграничения прав доступа к файловым объектам, и могут эффективно применяться при реализации сложных разграничительных политик доступа.

Рис.10. Задание объекта доступа объект реестра ОС в разграничительной политике

Рис.11. Интерфейс отображения созданных объектов доступа – объектов реестра ОС в разграничительной политике

Рис.12. Меню задания правил доступа к объектам реестра ОС в разграничительной политике

Литература

К.А. Щеглов, А.Ю. Щеглов. Принцип и методы контроля доступа к создаваемым файловым объектам // Вестник компьютерных и информационных технологий. - 2012. - № 7. - С. 43-47.

Щеглов А.Ю., Щеглов К.А. Система контроля доступа к файлам на основе их автоматической разметки. Патент на изобретение № 2524566. Приоритет изобретения 18.03.2013.

Щеглов К.А., Щеглов А.Ю. Практическая реализация дискреционного метода контроля доступа к создаваемым файловым объектам//Вестник компьютерных и информационных технологий. - 2013. - № 4. - С. 43-49.

Щеглов К.А., Щеглов А.Ю. Реализация метода мандатного доступа к создаваемым файловым объектам // Вопросы защиты информации. - 2013. - Вып. 103. - № 4. - С. 16-20.

Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. - Москва, 1992.

Маркина Т.А., Щеглов А.Ю. Метод защиты от атак типа drive-by загрузка. - Известия ВУЗзов. Приборостроение, 2014. - № 4. - С. 15-20.

Щеглов К.А., Щеглов А.Ю. Методы идентификации и аутентификации пользователя при доступе к файловым объектам // Вестник компьютерных и информационных технологий. - 2012. - № 10. - С. 47-51.

Щеглов К.А., Щеглов А.Ю. Защита от атак со стороны приложений, наделяемых вредоносными функциями. Модели контроля доступа // Вопросы защиты информации. - 2012. - Вып. 99. - № 4. - С. 31-36.

Щеглов К.А., Щеглов А.Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. - 2013. - Вып. 101. - № 2. - С. 36-43.

При рассмотрении вопросов информационной безопасности используются понятия субъекта и объекта доступа. Субъект доступа может производить некоторый набор операций над каждым объектом доступа. Эти операции могут быть доступны или запрещены определенному субъекту или группе субъектов. Доступ к объектам обычно определяется на уровне операционной системы ее архитектурой и текущей политикой безопасности. Рассмотрим некоторые определения, касающиеся методов и средств разграничения доступа субъектов к объектам.

Метод доступа к объекту – операция, которая определена для данного объекта. Ограничить доступ к объекту возможно именно с помощью ограничения возможных методов доступа.

Владелец объекта – субъект, который создал объект несет ответственность за конфиденциальность информации, содержащейся в объекте, и за доступ к нему.

Право доступа к объекту – право на доступ к объекту по одному или нескольким методам доступа.

Разграничение доступа – набор правил, который определяет для каждого субъекта, объекта и метода наличие или отсутствие права на доступ с помощью указанного метода.

Модели разграничения доступа

Наиболее распространенные модели разграничения доступа:

  • дискреционная (избирательная) модель разграничения доступа;
  • полномочная (мандатная) модель разграничения доступа.

Дискреционная модель характеризуется следующими правилами:

Готовые работы на аналогичную тему

  • любой объект имеет владельца;
  • владелец имеет право произвольно ограничивать доступ субъектов к данному объекту;
  • для каждого набора субъект – объект – метод право на доступ определен однозначно;
  • наличие хотя бы одного привилегированного пользователя (например, администратора), который имеет возможность обращаться к любому объекту с помощью любого метода доступа.

В дискреционной модели определение прав доступа хранится в матрице доступа: в строках перечислены субъекты, а в столбцах – объекты. В каждой ячейке матрицы хранятся права доступа данного субъекта к данному объекту. Матрица доступа современной операционной системы занимает десятки мегабайт.

Полномочная модель характеризуется следующими правилами:

  • каждый объект обладает грифом секретности. Гриф секретности имеет числовое значение: чем оно больше, тем выше секретность объекта;
  • у каждого субъекта доступа есть уровень допуска.

Допуск к объекту в этой модели субъект получает только в случае, когда у субъекта значение уровня допуска не меньше значения грифа секретности объекта.

Преимущество полномочной модели состоит в отсутствии необходимости хранения больших объемов информации о разграничении доступа. Каждым субъектом выполняется хранение лишь значения своего уровня доступа, а каждым объектом – значения своего грифа секретности.

Методы разграничения доступа

Виды методов разграничения доступа:

Разграничение доступа по спискам

Суть метода состоит в задании соответствий: для каждого пользователя задается список ресурсов и права доступа к ним или для каждого ресурса определяется список пользователей и права доступа к этим ресурсам. С помощью списков возможно установление прав с точностью до каждого пользователя. Возможен вариант добавления прав или явного запрета доступа. Метод доступа по спискам используется в подсистемах безопасности операционных систем и систем управления базами данных.

Использование матрицы установления полномочий

При использовании матрицы установления полномочий применяется матрица доступа (таблица полномочий). В матрице доступа в строках записываются идентификаторы субъектов, которые имеют доступ в компьютерную систему, а в столбцах – объекты (ресурсы) компьютерной системы.

В каждой ячейке матрицы может содержаться имя и размер ресурса, право доступа (чтение, запись и др.), ссылка на другую информационную структуру, которая уточняет права доступа, ссылка на программу, которая управляет правами доступа и др.

Данный метод является достаточно удобным, так как вся информация о полномочиях сохраняется в единой таблице. Недостаток матрицы – ее возможная громоздкость.

Разграничение доступа по уровням секретности и категориям

Разграничение по степени секретности разделяется на несколько уровней. Полномочия каждого пользователя могут быть заданы в соответствии с максимальным уровнем секретности, к которому он допущен.

При разграничении по категориям задается и контролируется ранг категории пользователей. Таким образом, все ресурсы компьютерной системы разделены по уровням важности, причем каждому уровню соответствует категория пользователей.

Парольное разграничение доступа

Парольное разграничение использует методы доступа субъектов к объектам с помощью пароля. Постоянное использование паролей приводит к неудобствам для пользователей и временным задержкам. По этой причине методы парольного разграничения используются в исключительных ситуациях.

На практике принято сочетать разные методы разграничений доступа. Например, первые три метода усиливаются парольной защитой. Использование разграничения прав доступа является обязательным условием защищенной компьютерной системы.

Разграничение прав доступа в Windows


Статья о разграничении прав доступа в операционных системах Windows: дискретном и мандатном. В статье рассматриваются разграничения прав доступа к папкам и файлам на уровне операционной системы Windows и с помощью Secret Net.

Дискретное разграничение прав доступа

Свойства папки

Основные права доступа к папкам

В файловой системе NTFS в Windows XP существует шесть стандартных разрешений:

  1. Полный доступ;
  2. Изменить;
  3. Чтение и выполнение;
  4. Список содержимого папки;
  5. Чтение;
  6. Запись.

Основные права доступа к папкам Windows XP

Основные права доступа к папкам Windows10

Каталоги для примера

Выбор пользователя Список содержимого

По аналогии установите права для соответствующих папок.

После установки прав доступа проверьте их. Для этого войдите в операционную систему под пользователем, для которого устанавливали права, в моем случае это user.

Смена пользователя

Откройте каждую папку и проверьте, что разрешения выполняются.

Элементы разрешений на доступ

Каждое разрешение состоит из нескольких элементов, которые позволяют более гибко настраивать систему безопасности. Войдите в операционную систему под учетной записью администратора.

Элементы разрешений на доступ

Поэкспериментируйте с элементами и проверьте, как они работаю.

Элементы разрешений на доступ для записи

Элементы разрешений на доступ для записи

Владелец файла

В файловой системе NTFS у каждого файла есть свой владелец. Владельцем файла является пользователь операционной системы. Он может управлять разрешениями на доступ к объекту независимо от установленных разрешений.

Владелец файла в NTFS

Наследование прав доступа

В файловой системе NTFS поддерживается наследование разрешений. Если вы устанавливаете разрешение на папку, то оно наследуется для всех вложенных файлов и папок.

При любых изменениях разрешений на родительскую папку они меняются в дочерних (вложенных) файлах и каталогах.

Отключение наследования разрешений

Запреты

Кроме установки разрешений в файловых системах можно устанавливать запреты. Например, вы можете разрешить чтение и выполнение, но запретить запись. Таким образом, пользователь для которого установлен запрет и разрешения сможет запустить исполняемый файл или прочитать текстовый, но не сможет отредактировать и сохранить текстовый файл.

Запреты на объекты в файловой системе NTFS

Запреты на объекты в файловой системе NTFS

В дополнительных параметрах безопасности можно посмотреть действующие разрешения и для конкретного пользователя.

Действующие разрешения

Разграничение прав доступа с помощью Secret Net (на примере версии 5.1)

При использовании Secret Net доступ к файлам осуществляется, в случае если пользователю присваивается соответствующий уровень допуска. В примере я использую Windows XP с установленным программным продуктом Secret Net 5.1.

Локальная политика безопасности

Полномочное управление доступом: название уровней конфиденциальности

Введите названия уровней. У меня это:

  • Низший – Общедоступно.
  • Средний – Конфиденциально.
  • Высший – Секретно.

Название уровней доступа

Настройка субъектов

Настройка субъектов

Далее установите все флажки.

  • Управление категориями конфиденциальности означает, что пользователь имеет право изменять категории конфиденциальности папок и файлов, а так же может управлять режимом наследования категорий конфиденциальности папок.
  • Печать конфиденциальных документов означает, что пользователь может распечатывать конфиденциальные документы. Данная возможность появляется, если включен контроль печати конфиденциальных документов.
  • Вывод конфиденциальной информации означает, что пользователь может копировать конфиденциальную информацию на внешние носители.

Уровни доступа пользователя

Создание нового пользователя

Настройка объектов

Та или иная категория конфиденциальности является атрибутом папки или файла. Изменения этих атрибутов производятся уполномоченными пользователями (в данном случае Администратором). Категория конфиденциальности может присваиваться новым файлам или папкам автоматически или по запросу.

Автоматическое присвоение категорий конфиденциальности

При этом стоит учесть, что категории конфиденциальности могут назначаться только папка и файлам в файловой системе NTFS. В случае если у пользователя нет такой привилегии, он может только повысить категорию конфиденциальности и только не выше своего уровня.

В случае если категория допуска пользователя выше чем категория конфиденциальности объект, то пользователь имеет право на чтение документа, но не имеет права изменять и сохранять документ.

Отказано в доступе

То есть пользователь не может работать с документами, у которых уровень конфиденциальности выше, чем у него.

Повышение уровня конфиденциальности

Не стоит забывать, что конфиденциальные файлы нельзя копировать в общедоступные папки, чтобы не допустить их утечки.

Контроль потоков данных

Контроль потоков данных используется для того, что бы запретить пользователям возможность понижения уровня конфиденциальности файлов.

Полномочное управление доступом: Режим работы

Выбор уровня конфиденциальности

На этом все, если у вас остались вопросы задавайте их в комментариях.

Анатолий Бузов

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.


Каждый ресурс, за исключением объектов Active Directory, расположен на каком-либо компьютере. Для регулирования доступа к этому ресурсу создаются локальные группы на данном компьютере либо локальные доменные группы в домене Active Directory. В списках допусков к объектам, составляющим ресурс, фигурируют только эти локальные группы. Число локальных групп соответствует числу уровней доступа, необходимому для данного ресурса. Таких уровней как минимум два: для администрирования ресурса и для повседневного использования.

Можно включать пользователей, каждого в отдельности, в списки доступа к объектам, но это слишком сложно. Можно включать пользователей в соответствующие локальные группы, все будет работать, но этот вариант также далек от идеала. Во-первых, теряется возможность централизовать все действия. Придется проделать их для каждого домена в отдельности, если объекты, составляющие ресурс, размещаются на компьютерах из разных доменов. Во-вторых, при перемещении ресурса в другой домен (если используются локальные доменные группы) или даже на другой компьютер (если используются локальные группы компьютера) придется проделать слишком много операций, включая всех пользователей в другой набор локальных групп.

Для экономии времени можно действовать по-другому. Наряду с локальными группами для регулирования доступа к ресурсу создают соответствующие им глобальные группы, включают последние в состав локальных и для предоставления доступа делают пользователей членами соответствующих глобальных групп. При перемещении ресурса все усилия сводятся к раздаче разрешений на доступ к объектам новым локальным группам и включению в них старых глобальных групп, которые остаются без изменений. В результате получается цепочка взаимосвязей: учетная запись — глобальная группа — локальная группа — разрешения на доступ к объектам.

Такой подход хорош, но есть одна беда: для исполнения своих служебных обязанностей пользователю требуется доступ ко множеству объектов, поэтому приходится включать его в несколько глобальных групп, регулирующих доступ к этим объектам. Если же круг обязанностей меняется, при стандартном подходе AGLP необходимо тщательно пересмотреть членство пользователя в группах. Как правило, на практике все сводится к добавлению пользователя в новые группы, чтобы он получил доступ к другим ресурсам.

В результате пользователи получают доступ и к тем ресурсам, которые нужны на новом месте, и к тем, которые уже не требуются. Это может порождать как минимум разного рода недоразумения: ошибочное удаление файлов, печать на принтере в другом конце здания и т. п. Последствия могут быть и более печальными, вплоть до утечки конфиденциальной информации.

Чтобы избежать подобного развития событий, требуется при изменении круга обязанностей пользователя не только включать его в соответствующие группы, но и исключать из других групп, членство в которых давало ему право на доступ к ранее требовавшимся ресурсам. Полная ревизия членства пользователя в группах при изменении служебных обязанностей — дело нелегкое и в рамках стандартного подхода AGLP трудноавтоматизируемое.

Возможные модификации стандартной схемы

Круг обязанностей пользователей определяет набор необходимых им ресурсов с соответствующим уровнем доступа к ресурсам и обычно описан специальным нормативным документом компании — должностной инструкцией. Меняется должность сотрудника — меняется должностная инструкция, а в новой инструкции описан новый круг решаемых задач, которым соответствует набор необходимых ресурсов с нужными уровнями доступа. Кроме того, многие пользователи могут занимать одинаковые должности, регулируемые общей должностной инструкцией. Поэтому, если в нашей информационной системе будут описаны должности сотрудников, для каждой из которых будет указан набор ресурсов с необходимым уровнем доступа, то после этого останется только связывать пользователей с должностями, от которых они и унаследуют соответствующие права и разрешения.

Можно создать для каждой должности учетную запись пользователя, после чего требовать, чтобы сотрудники при входе в корпоративную сеть регистрировались от имени учетной записи, соответствующей занимаемой должности. Тогда соблюдается традиционный подход AGLP, но не соблюдается другой базовый принцип информационной безопасности — принцип разграничения ответственности. То есть опять-таки возможны недоразумения: при совершении нарушений по журналам регистрации Windows не удастся установить, кто именно из сотрудников нарушил правила.

Предлагается модифицировать схему AGLP таким образом, чтобы включить в нее описания должностей и привязку пользователей к должностям. Для этого следует удлинить упомянутую выше цепочку взаимоотношений, добавив в нее еще одно звено, еще одну доменную глобальную группу.

То есть следует:

  • создать глобальные группы, соответствующие должностям;
  • включить глобальные группы должностей в глобальные группы, регулирующие доступ к ресурсам. Набор этих групп определяется должностными обязанностями, описанными в должностной инструкции;
  • включать пользователей в группы, соответствующие должностям.

Образуется цепочка взаимоотношений: учетная запись — глобальная группа должностных обязанностей — глобальная группа доступа к ресурсу — локальная группа доступа к ресурсу — разрешения на объекты. Это можно записать в виде аббревиатуры AGGLP, см. рис. 2.

Для того чтобы реализация этой схемы была возможна, в корпоративной сети должна быть развернута служба Active Directory, причем не в режиме совместимости с Windows NT (смешанный режим не допускает вложенного членства в группах, поэтому описанные действия просто невозможны), а в собственном режиме Windows 2000 или режиме Windows Server 2003.

Еще одно ограничение: так, как описано выше, предлагаемый подход будет работать только в пределах одного домена. Дело в том, что в состав доменных глобальных групп разрешается включать только другие доменные глобальные группы из того же домена и пользователей из того же домена. Для сети со множеством доменов, входящих в состав одного леса (а если Active Directory работает в режиме Windows Server 2003, то и нескольких лесов, связанных доверительными отношениями), этот вариант не подходит. Но ничто не мешает использовать вместо доменных глобальных групп универсальные. В силу ограничений в допустимом вложенном членстве (универсальная группа может включать доменную глобальную, но не наоборот) универсальные группы должны быть обязательно на обеих позициях — как для регулирования доступа, так и для описания должностей.

Таким образом, получается следующий вариант регулирования доступа к ресурсам.

  • Для каждого ресурса создаются локальные доменные группы, соответствующие разным уровням доступа к ресурсу. Этим группам следует присвоить необходимые разрешения на доступ к объектам. В таком случае локальные группы на компьютерах не нужны, так как можно предоставлять разрешения на доступ к ресурсам непосредственно локальной доменной группе.
  • Для каждого ресурса создаются универсальные группы, регулирующие доступ к объектам. Для каждой локальной группы, соответствующей определенному уровню доступа к объекту, создается соответствующая ей универсальная группа, которая включается в состав данной локальной группы.
  • Для каждой должности формируется универсальная группа. Эта группа включается в состав универсальных групп, регулирующих доступ к ресурсам, в соответствии с должностной инструкцией.
  • В состав универсальных групп в соответствии с занимаемой должностью вводят учетные записи пользователей.

Получившуюся цепочку взаимоотношений можно записать следующим образом: учетная запись — универсальная группа должности — универсальная группа доступа к ресурсу — локальная доменная группа — разрешения на доступ к объектам. Можно эту цепочку обозначить аббревиатурой AUULP, см. рис. 3.

Вариант AUULP также не лишен недостатков. Информация об универсальных группах распространяется в составе данных глобального каталога, поэтому добавление большого количества универсальных групп автоматически приведет к увеличению трафика репликации. Что касается обработки этих данных контроллерами домена, то с этой стороны проблем возникнуть не должно — вычислительная мощность компьютеров, которые сейчас имеются в продаже, с запасом покрывает необходимые потребности. А вот трафик репликации — это дополнительная статья расходов для территориально распределенной организации, отдельные подсети которой соединены между собой через VPN с использованием публичных каналов.

Впрочем, большие объемы данных будут пересылаться единовременно, при внедрении структуры групп по должностям; впоследствии трафик порождают лишь изменения данных: модификация структуры универсальных групп, связанная с изменением штатного расписания и должностных инструкций, и изменение членства в группах, связанное с перемещением сотрудников и текучестью кадров.

Чтобы избежать предоставления администраторам на местах излишних полномочий, предлагается ввести еще один уровень вложенности групп, регулирующий членство в универсальных группах описания должностей, но для каждого администратора на местах в отдельности.

  • создать глобальную группу (как правило, в зону ответственности администраторов на местах входит какой-либо один домен или объект - организационное подразделение, поэтому для работы в рамках такой зоны достаточно манипуляций с глобальными доменными группами), соответствующую универсальной группе, описывающей должность;
  • включить эти глобальные группы в соответствующие универсальные группы;
  • уполномочить администраторов на местах распоряжаться членством в этих глобальных группах. При этом они смогут управлять членством в такой группе только пользователей из своей зоны ответственности.

Размещение объектов и дополнительный контроль

Возникают дополнительные вопросы: где в структуре службы каталога размещать необходимые объекты — учетные записи пользователей и групп, чтобы предлагаемое решение работало максимально эффективно, и какой дополнительный контроль возможен для установленных настроек.

Размещать объекты следует так, чтобы при администрировании их было легко отыскать. Для этого целесообразно в одном из доменов (поскольку используются универсальные группы, это может быть любой домен леса) создать структуру объектов — организационных подразделений, воспроизводящую организационную структуру предприятия. В составе организационных подразделений, соответствующих административным подразделениям предприятия, и следует размещать универсальные группы, соответствующие должностям.

В сетях с централизованным администрированием можно ограничиться созданием такой структуры. Если администрирование децентрализованное, то наряду со структурой универсальных групп, воспроизводящих структуру подразделений, аналогичные структуры подразделений, воспроизводящих административную структуру, с включенными в них глобальными группами, соответствующими универсальным группам для должностей, следует создать для каждой зоны ответственности отдельного администратора или группы администраторов.

В любом случае информация об организационных подразделениях и существующих в них учетных записях попадает в глобальный каталог и доступна всем компьютерам во всех сайтах леса, поэтому на производительности системы такое размещение групп не отразится.

Локальные доменные группы и соответствующие им универсальные группы, регулирующие доступ к ресурсам, следует размещать в доменах таким образом, чтобы они располагались вблизи от того ресурса, доступ к которому эти группы регулируют.

Дополнительный контроль всех настроек, устанавливаемых в рамках реализации подхода AUULP/AGUULP, возможен с использованием групповых политик. Если ресурс представляет собой фиксированный набор папок и/или файлов, целесообразно контролировать списки разрешений на эти папки и файлы с помощью групповой политики: раздел Computer Settings — Security Settings — File System. Соответствующий объект групповой политики (GPO) должен применяться к тому серверу, на котором размещается ресурс, но в то же время не затрагивать те серверы, которых данная настройка не касается. Поэтому целесообразно этот объект групповой политики размещать в том объекте — организационном подразделении, где непосредственно размещается данный сервер, и дополнительно настроить на GPO список разрешений, чтобы настройка не затрагивала остальные серверы, расположенные здесь же.

Вложенное членство в группах также можно регулировать через групповые политики. Надо только иметь в виду, что эти политики должны применяться ко всем контроллерам домена, или как минимум к тому из них, который является мастером инфраструктуры. Соответствующие настройки выполняются в разделе Computer Settings — Security Settings — Restricted Groups:

  • локальная доменная группа, регламентирующая доступ к ресурсу, - настройка Members, включить только соответствующую универсальную группу;
  • универсальная группа, регламентирующая доступ к ресурсу, - настройка Member of, включить только соответствующую локальную доменную группу;
  • универсальная группа, описывающая набор прав доступа, необходимых для исполнения должностных обязанностей, - настройка Member of, включить соответствующие универсальные группы, регламентирующие доступ к необходимым ресурсам.

Сопутствующие перекрестные проверки для членства в группе, соответствующей должностным обязанностям, в группах, регулирующих доступ к ресурсам, в виде настроек Members универсальных групп, регулирующих доступ к ресурсам, настроить затруднительно в силу их многочисленности. Впрочем, ничто не мешает приложить дополнительные усилия и настроить такие проверки тоже. С точки зрения принципа минимизации полномочий настройка атрибута Members более эффективна, так как позволяет однозначно указать, кто включен в состав данной группы, в то время как атрибут Member of позволяет только проверить, включен ли данный объект в состав указанной группы, и включить его в указанные группы, дополнительно состав этих групп не ограничивая.

Кроме того, при планировании структуры групповых политик, реализующих дополнительные проверки списков доступа к файлам и папкам, а также проверки членства в группах, нужно иметь в виду следующее. Настройки раздела Computer Settings — Security Settings — File System из разных объектов групповых политик суммируются, и правила разрешения конфликтов при наследовании GPO действуют в отношении каждого отдельно взятого файла или папки, упомянутых в этом разделе. Поэтому соответствующие параметры могут настраиваться в любых GPO, действие которых распространяется на компьютер, содержащий ресурс. Желательно, чтобы это был GPO, применяемый к компьютеру последним.

В то же время содержимое раздела Computer Settings — Security Settings — Restricted Groups замещается целиком, и действовать будут только установки, указанные в последнем применяемом GPO. Поэтому необходимо соблюдать следующие ограничения.

  • В настройках групповой политики Computer Settings - Security Settings - Restricted Groups должна фигурировать вся проверяемая структура членства в группах, касающаяся групп данного домена.
  • Недопустима ситуация, когда результирующие настройки раздела Computer Settings - Security Settings - Restricted Groups будут разными для разных контроллеров домена. В противном случае синхронизация данных между доменами при попытке определить членство в группах приведет к неопределенному результату.

Рекомендуется действовать следующим образом.

  • Указать настройки Computer Settings - Security Settings - Restricted Groups в одном и только в одном GPO для каждого домена. Прописать там параметры членства во всех группах, созданных в данном домене.
  • Привязать этот GPO ко всем объектам - организационным подразделениям, в которых находятся контроллеры домена.
  • Переместить данный GPO в списке привязок наверх, чтобы он применялся последним и именно его настройки вступали в силу.

Если указывать настройки Computer Settings — Security Settings — Restricted Groups в нескольких GPO, придется следить за тем, чтобы содержимое настроек было всегда одинаковым. При этом любая перестройка будет затруднена и может вызвать проблемы, если новое состояние забыли скопировать в какой-то из задействованных GPO.

Право выбора

Предлагаемый подход к разграничению доступа к сетевым ресурсам на основании должностных обязанностей не избавляет от выполнения многих операций вручную, особенно на начальном этапе либо при перестройке структуры ресурсов или структуры должностей, когда приходится пересматривать и разрешения на объекты, и групповые политики, где задана проверка многоступенчатого членства в группах. Облегчение наступает потом, когда система начнет работать, и для присвоения необходимых прав достаточно включить пользователя в группу, соответствующую его должности.

Могут быть и другие способы, реализующие разграничение доступа на основе должностей сотрудников или их организационных ролей, что с функциональной точки зрения одно и то же. Например, в состав Windows Server 2003 включен компонент Authorization Manager, реализующий похожий подход, но только там для предоставления пользователю необходимого набора прав и разрешений используются наборы сценариев на VBScript или Jscript, из которых вызываются системные API, реализующие работу со списками разрешений и предоставление системных прав. В случае его использования необходимо сначала разработать соответствующие сценарии, зато при подходящем наборе сценариев получается гарантированный результат.

Тем не менее, если администратору затруднительно по какой-либо причине использовать сценарии в Authorization Manager (например, еще не установлена Windows Server 2003 или же Active Directory пока работает в режиме Windows 2000 Native), можно воспользоваться предлагаемым подходом AUULP или придумать что-то свое. В любом случае всем администраторам желаю успехов в нашем нелегком труде!

Нажмите, чтобы узнать подробности

Практическая работа.Разграничение прав доступа в сети.Общее дисковое пространство в ЛС.

Практическая работа 8

Тема: Разграничение прав доступа в сети, общее дисковое пространство в локальной сети

Цель: освоение приемов обмена файлами между пользователями локальной компьютерной сети.

Теоретические сведения к лабораторной работе

Основными устройствами для быстрой передачи информации на большие расстояния в настоящее время являются телеграф, радио, телефон, телевизионный передатчик, телекоммуникационные сети на базе вычислительных систем.

Передача информации между компьютерами существует с самого момента возникновения ЭВМ. Она позволяет организовать совместную работу отдельных компьютеров, решать одну задачу с помощью нескольких компьютеров, совместно использовать ресурсы и решать множество других проблем.

Под компьютерной сетью понимают комплекс аппаратных и программных средств, предназначенных для обмена информацией и доступа пользователей к единым ресурсам сети.

Основное назначение компьютерных сетей - обеспечить совместный доступ пользователей к информации (базам данных, документам и т.д.) и ресурсам (жесткие диски, принтеры, накопители CD-ROM, модемы, выход в глобальную сеть и т.д.).

Абоненты сети – объекты, генерирующие или потребляющие информацию.

Абонентами сети могут быть отдельные ЭВМ, промышленные роботы, станки с ЧПУ (станки с числовым программным управлением) и т.д. Любой абонент сети подключён к станции.

Станция аппаратура, которая выполняет функции, связанные с передачей и приёмом информации.

Для организации взаимодействия абонентов и станции необходима физическая передающая среда.

Физическая передающая среда – линии связи или пространство, в котором распространяются электрические сигналы, и аппаратура передачи данных.

Одной из основных характеристик линий или каналов связи является скорость передачи данных (пропускная способность).

Скорость передачи данных – количество бит информации, передаваемой за единицу времени.

Обычно скорость передачи данных измеряется в битах в секунду (бит/с) и кратных единицах Кбит/с и Мбит/с.

Соотношения между единицами измерения: 1 Кбит/с =1024 бит/с; 1 Мбит/с =1024 Кбит/с; 1 Гбит/с =1024 Мбит/с.

На базе физической передающей среды строится коммуникационная сеть. Таким образом, компьютерная сеть – это совокупность абонентских систем и коммуникационной сети.

Виды сетей. По типу используемых ЭВМ выделяют однородные и неоднородные сети. В неоднородных сетях содержатся программно несовместимые компьютеры.

По территориальному признаку сети делят на локальные и глобальные.

Локальные сети (LAN, Local Area Network) объединяют абонентов, расположенных в пределах небольшой территории, обычно не более 2–2.5 км.

Локальные компьютерные сети позволят организовать работу отдельных предприятий и учреждений, в том числе и образовательных, решить задачу организации доступа к общим техническим и информационным ресурсам.

Глобальные сети (WAN, Wide Area Network)объединяют абонентов, расположенных друг от друга на значительных расстояниях: в разных районах города, в разных городах, странах, на разных континентах (например, сеть Интернет).

Взаимодействие между абонентами такой сети может осуществляться на базе телефонных линий связи, радиосвязи и систем спутниковой связи. Глобальные компьютерные сети позволят решить проблему объединения информационных ресурсов всего человечества и организации доступа к этим ресурсам.





Основные компоненты коммуникационной сети:

средства передачи (физическая передающая среда и специальная аппаратура, обеспечивающая передачу информации).

Топология локальных сетей. Под топологией компьютерной сети обычно понимают физическое расположение компьютеров сети относительно друг друга и способ соединения их линиями.

Топология определяет требования к оборудованию, тип используемого кабеля, методы управления обменом, надежность работы, возможность расширения сети. Существует три основных вида топологии сети: шина, звезда и кольцо.


Шина (bus), при которой все компьютеры параллельно подключаются к одной линии связи, и информация от каждого компьютера одновременно передается ко всем остальным компьютерам. Согласно этой топологии создается одноранговая сеть. При таком соединении компьютеры могут передавать информацию только по очереди, так как линия связи единственная.

Достоинства:

простота добавления новых узлов в сеть (это возможно даже во время работы сети);

сеть продолжает функционировать, даже если отдельные компьютеры вышли из строя;

недорогое сетевое оборудование за счет широкого распространения такой топологии.

сложность сетевого оборудования;

сложность диагностики неисправности сетевого оборудования из-за того, что все адаптеры включены параллельно;

обрыв кабеля влечет за собой выход из строя всей сети;

ограничение на максимальную длину линий связи из-за того, что сигналы при передаче ослабляются и никак не восстанавливаются.


Звезда (star), при которой к одному центральному компьютеру присоединяются остальные периферийные компьютеры, причем каждый из них использует свою отдельную линию связи. Весь обмен информацией идет исключительно через центральный компьютер, на который ложится очень большая нагрузка, поэтому он предназначен только для обслуживания сети.

Достоинства:

выход из строя периферийного компьютера никак не отражается на функционировании оставшейся части сети;

простота используемого сетевого оборудования;

все точки подключения собраны в одном месте, что позволяет легко контролировать работу сети, локализовать неисправности сети путем отключения от центра тех или иных периферийных устройств;

не происходит затухания сигналов.

выход из строя центрального компьютера делает сеть полностью неработоспособной;

жесткое ограничение количества периферийных компьютеров;

значительный расход кабеля.


Кольцо (ring), при котором каждый компьютер передает информацию всегда только одному компьютеру, следующему в цепочке, а получает информацию только от предыдущего в цепочке компьютера, и эта цепочка замкнута. Особенностью кольца является то, что каждый компьютер восстанавливает приходящий к нему сигнал, поэтому затухание сигнала во всем кольце не имеет никакого значения, важно только затухание между соседними компьютерами.

Достоинства:

легко подключить новые узлы, хотя для этого нужно приостановить работу сети;

большое количество узлов, которое можно подключить к сети (более 1000);

высокая устойчивость к перегрузкам.

выход из строя хотя бы одного компьютера нарушает работу сети;

обрыв кабеля хотя бы в одном месте нарушает работу сети.

В отдельных случаях при конструировании сети используют комбинированную топологию. Например, дерево (tree)– комбинация нескольких звезд.

Каждый компьютер, который функционирует в локальной сети, должен иметь сетевой адаптер (сетевую карту). Функцией сетевого адаптера является передача и прием сигналов, распространяемых по кабелям связи. Кроме того, компьютер должен быть оснащен сетевой операционной системой.

При конструировании сетей используют следующие виды кабелей:


неэкранированная витая пара. Максимальное расстояние, на котором могут быть расположены компьютеры, соединенные этим кабелем, достигает 90 м. Скорость передачи информации - от 10 до 155 Мбит/с; экранированная витая пара. Скорость передачи информации - 16 Мбит/с на расстояние до 300 м.


коаксиальный кабель. Отличается более высокой механической прочностью, помехозащищённостью и позволяет передавать информацию на расстояние до 2000 м со скоростью 2-44 Мбит/с;


волоконно-оптический кабель. Идеальная передающая среда, он не подвержен действию электромагнитных полей, позволяет передавать информацию на расстояние до 10 000 м со скоростью до 10 Гбит/с.

Понятие о глобальных сетях. Глобальная сеть– это объединения компьютеров, расположенных на удаленном расстоянии, для общего использования мировых информационных ресурсов. На сегодняшний день их насчитывается в мире более 200. Из них наиболее известной и самой популярной является сеть Интернет.

В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи. Каждый компьютер имеет уникальный идентификатор, что позволяет "проложить к нему маршрут" для доставки информации. Обычно в глобальной сети объединяются компьютеры, работающие по разным правилам (имеющие различную архитектуру, системное программное обеспечение и т.д.). Поэтому для передачи информации из одного вида сетей в другой используются шлюзы.

Шлюзы (gateway)– это устройства (компьютеры), служащие для объединения сетей с совершенно различными протоколами обмена.

Протокол обмена– это набор правил (соглашение, стандарт), определяющий принципы обмена данными между различными компьютерами в сети.

Протоколы условно делятся на базовые (более низкого уровня), отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.

Главный компьютер сети, который предоставляет доступ к общей базе данных, обеспечивает совместное использование устройств ввода-вывода и взаимодействия пользователей называется сервером.

Компьютер сети, который только использует сетевые ресурсы, но сам свои ресурсы в сеть не отдает, называется клиентом (часто его еще называют рабочей станцией).

Для работы в глобальной сети пользователю необходимо иметь соответствующее аппаратное и программное обеспечение.

Программное обеспечение можно разделить на два класса:

программы-серверы, которые размещаются на узле сети, обслуживающем компьютер пользователя;

программы-клиенты, размещенные на компьютере пользователя и пользующиеся услугами сервера.

Глобальные сети предоставляют пользователям разнообразные услуги: электронная почта, удаленный доступ к любому компьютеру сети, поиск данных и программ и так далее.

Содержание работы:

Задание №1. Определите общий ресурс компьютера. Для этого:
В операционной системе Windows найти на рабочем столе значок Сеть.
Открыть папку, где будут видны все компьютеры, которые подключены в одну сеть.
В данном окне появятся все компьютеры, которые подключены к сети.
Открыть один из них. Посмотреть ресурсы компьютера, которыми можно воспользоваться. Такие ресурсы называются общими.
Задание № 2. Предоставьте доступ для пользователей локальной сети к папке на своем компьютере, подключенном к локальной сети. Для этого:
В операционной системе Windows открыть окно папки Компьютер и на одном из дисков С: или D: создать свою папку. Назвать ее номером своей группы.
Щелкнуть правой кнопкой мыши по значку папки и в контекстном меню папки выберите команду Общий доступ.
В появившемся диалоговом окне Дополнительный общий доступ установить флажок Открыть общий доступ к этой папке.
Если все правильно сделано, то на диске (у вашей папки) появится значок, который показывает, что папка является общей.
314960635



Задание №3. Проверьте возможности доступа к ресурсам компьютеров, подключенных к локальной сети. Для этого:
Щелкнуть по значку Сеть, в окне появится список компьютеров, подключенных к локальной сети (смотри задание 1.)
Открыть свой компьютер и внимательно посмотреть: какие из ресурсов доступны пользователям. Если название Вашей папки есть в перечне, то все сделано правильно.

С помощью текстового редактора Word создайте письмо к одногруппникам.

Сохраните данный текст в папке Почта_1 своего компьютера в файле письмо1.doc, где 1 – номер компьютера.

Откройте папку другого компьютера, например, Почта_2 и скопируйте в него файл письмо1 из своей папки Почта_1.

В своей папке Почта_1 прочитайте письма от других пользователей, например письмо2. Допишите в них свой ответ.

Переименуйте файл письмо2 .doc в файл письмо2_ответ1.doc

Переместите файл письмо2_ответ1.doc в папку Почта _2 и удалите его из своей папки

Далее повторите п.2-4 для других компьютеров.

Решите задачу. Максимальная скорость передачи данных в локальной сети 100 Мбит/с. Сколько страниц текста можно передать за 1 сек, если 1 страница текста содержит 50 строк и на каждой строке - 70 символов

Читайте также: