Лабораторная работа 5. Настройка прав доступа пользователей к внешним устройствам в Dallas Lock

8.0

Весьма важной с точки зрения обеспечения информационной безопасности задачей является настройка доступа пользователей к внешним устройствам ввода и вывода данных. Настраивать доступ к внешним устройствам необходимо, поскольку они часто используются нарушителями для несанкционированного доступа к защищаемой информации [8].

Возможностей операционных систем семейства Windows для блокирования и разграничения доступа к различным интерфейсам подключения внешних устройств, протоколам и технологиям передачи данных недостаточно, поэтому необходимо использовать добавочные средства защиты информации [10]. Для настройки доступа к этим объектам на защищаемом компьютере на закладке «Контроль ресурсов» следует выбрать вкладку «Устройства» в интерфейсе настройки программы Dallas Lock 8.0 (рис. 31).

Учетные записи

Параметры безопасности

Дискреционный Мандатный Аудит Контроль доступ доступ целостности

Контроль устройств

файловой системы

ф Android устройства

Q Bluetooth устройства

Ё J*! DVD и CD-ROM дисководы

Ё HID устройства (Human Interface Devices)

L. ?-] MTD устройства

ни PCMCIA устройства

: sr Secure Digital устройства

Ё U USB контроллеры

і Беспроводные устройства (Wireless Communication Devices) Биометрические устройства

і- Дисководы магнитных дисков

Ё Звуковые, видео и игровые устройства

Jjj Инфракрасные устройства (IrDA)

: -а Контроллеры магнитных дисков

  • ??? у,™ Ленточные накопители
  • 1-й Модемы

Д> Переносные устройства (iOS и другие)

Ё Порты (СОМ и LPT)

Е ф Преобразованные сменные накопители

Ё Принтеры

:--Я Сенсоры

Ё Сетевые адаптеры

Сканеры и цифровые фотоаппараты

Ё ф Сменные накопители

???? ф Хост-контроллеры шины IEEE 1394

Рис. 31. Интерфейс настройки доступа к внешним устройствам

Откроется окно, используя которое, можно настроить доступ к устройствам различного типа. Кратко опишем наиболее часто используемые из них.

Под Android-устройствами понимаются смартфоны, интернет-планше-ты, электронные книги, цифровые проигрыватели, игровые приставки, нетбуки и другие изделия, работающие под управлением операционной системы «Android», которую в настоящее время разрабатывает компания Google.

Wireless Communication, Bluetooth, инфракрасный протокол связи IrDA - это технологии, позволяющие осуществлять беспроводную передачу данных и обеспечивающие обмен информацией между различными электронными устройствами.

Dallas Lock позволяет разграничивать доступ пользователей к использованию сетевых интерфейсов, принтеров, накопителей данных, устройств, подключаемых с помощью MTD, PCMCIA, USB, COM, LPT разъемов и т.д.

Базовыми принципами при разграничении доступа к устройствам или технологиям организации связи являются следующие:

  • - если тип устройств или способ организации связи не используется, то его следует блокировать;
  • - доступ пользователей к используемым устройствам должен быть разграничен. При этом следует определить конкретный перечень применяемых устройств, а также права доступа к ним для каждого пользователя, зарегистрированного на защищаемом компьютере.

Рассмотрим практические аспекты настройки доступа к устройствам, интерфейсам подключений и технологиям передачи данных, выполняемые с помощью Dallas Lock 8.0.

Чтобы настроить доступ к какому-либо классу устройств, способу передачи данных или интерфейсу, следует выделить соответствующий элемент, вызвать контекстное меню и выбрать пункт «Свойства» (рис. 32).

і 0 Bluetooth устрсйст

Свойства...

К

|+ 132 DVD и CD-ROM дне ф HID устройства (Hi

Обновить

1 ??] MTD устройства

Свернуть

Ь'И PCMCIA устройств*

Развернуть

Я0 Secure Digital устро ф ф USB контроллеры

Свернуть все

і Беспроводные устр

Развернуть все

і Devices)

Рис. 32. Открытие окна настройки доступа к Android-устройствам

В появившемся окне можно разграничить доступ к устройствам. На рисунке 33 показана ситуация, когда дискреционное и мандатное разграничение доступа возможно только применительно к типу объектов в целом.

Например, блокировка Android-устройств приведет к тому, что подключение любых изделий этого типа будет невозможным.

Разграничения только на уровне типа устройств действует для Android, Bluetooth, HID, MTD, PCMCIA, Secure Digital, беспроводных, биометрических, инфракрасных, переносных устройств, контроллеров магнитных шин, ленточных накопителей, модемов, сканеров и цифровых фотоаппаратов и т.п.

Управление доступом к устройствам: Android устройства

Дискреционный доступ

Аудит доступа

Назначение доступа к устройствам

Назначенные права

Для данного устройства контроль доступа на уровне пользователей невозможен

Разрешить Запретить

Доступ [Г] [V]

ОК ] [ Отмена | [ Применить

Рис. 33. Настройки доступа к Android-устройствам

Также желательно настроить аудит доступа, который применяется к двум типам событий - успех и отказ в использовании (рис. 34).

Управление доступом к устройствам: Android устройства

Дискреционный доступ

Назначение аудита устройств

[V] Аудит включен

События Успех Отказ

Аудит подключений устройств І2] [/]

Аудит доступа

ОК Отмена [ применит»

Рис. 34. Настройка аудита использования Android-устройств

На уровне отдельных устройств возможно разграничить доступ для портов СОМ и LPT, принтеров, USB-накопитслсй. На рисунке 35 показано разграничение доступа к USB Flash-накопителям в целом.

Параметры открытых USB-Flash накопителей по умолчанию

Общие

Дискреционный доступ

Аудит доступа

Изменение прав дискреционного доступа

Назначенные права

Пользователи...

Группы...

| Все ~] | Удалить

[V] Автоматический поиск полэзователей/грут

Разрешить Запретите

| Л Потый доступ

ф Только чтение

I $ Закрыть доступ

Обзор папки

В

Изменение содержимого

в

Удаление вложенных объектов

в

Выполнение вложенных объектов 0

Чтете разрешений

в

Запись разрешений

в

0

ОК Отмена

Применить

Рис. 35. Настройка прав доступа к USB Flash-накопителям для группы «Все»

Запрет использования USB Flash-накопитслсй по умолчанию для всех пользователей позволяет исключить их неучтенное использование. Также настраивается аудит доступа к USB Flash-накопителям (рис. 36).

Параметры открытых USB-Flas

т накопителей по умолчанию

Назначение аудита

VI Аудит включен

События ., _

Успех Отказ

Открытие объекта [Z S

Закрытие объекта [V] [V]

Чтение данных [V] [V]

Запись данных [У ®

Создание 0 [V]

Удаление [V] (§3

Выполнение [7] [V]

Изменение разрешений [V] [V]

Полный аудит [У [V]

Теневое копирование І2І

ІНЗ.І

Общие

Дискреционный доступ

j-Аудит доступа

Отмена

Применить

Рис. 36. Настройка аудита доступа к USB Flash-накопителям для группы «Все»

Однако в настоящее время обработка информации может потребовать ее копирования на съемные накопители данных. Чтобы разрешить использо-

вание учтенного USB Flash-накопителя информации для определенного пользователя или группы, выполняются следующие действия:

  • - накопитель вставляется в USB-разъем;
  • -открывается окно «Устройства» на вкладке «Контроль ресурсов» (рис. 37);
  • -раскрывается список USB Flash-дисков и выделяется интересующий нас накопитель данных;
  • - вызывается контекстное меню и в нем выбирается пункт «Свойства».
  • ?- Переносные устройства (iOS и другие) ’7 Порты (СОМ и LPT)

Ё- ф Преобразованные сменные накопители (+-Др Принтеры : -Ц Сенсоры

Ё ??* Сетевые адаптеры

~ Сканеры и цифровые фотоаппар

В-- й Сменные накопители

I «S CD-ROM диски I м FDD-диски

Е)-USB-Flash диски

&

Flash(A72C612A-6A73AED5)!|

Свойства...

Обновить

Свернуть

Развернуть

Свернуть все

Развернуть все

і— ф Хост-контроллеры шины IEEE 1394

Рис. 37. Открытие окна разграничения доступа к USB Flash-накопителю

В открывшемся окне следует указать пользователя или группу пользователей, для которых устанавливаются права доступа (рис. 38).

Запрет выполнения вложенных объектов позволит блокировать запуск программ с USB Flash-накопителя. Параметры аудита можно не определять, поскольку они уже были указаны для всех USB Flash-накопителей ранее.

Безопасность: F:

Общие

Дискреционный доступ

р_||| Изменение прав дискреционного доступа

Мандатный доступ

Аудит доступа

іалпоченпоїс і ipoocs

JLuserl

Пользователи... 1 Группы... Все Удалить

[< Автоматический поиск пользователей/групп

l_J Полный доступ

Только чтение

; Закрыть доступ

Разрешить Запретить

Обзор папки И

Изменение содержимого [V

Удаление вложенных объектов [У]

Выполнение вложенных объектов Q й

Чтение разрешений [У

Запись разрешений [У]

OK ] | Отмена ] Применить

Разграничение прав доступа пользователя к USB Flash-накопителю

Рис. 38. Разграничение прав доступа пользователя к USB Flash-накопителю

При разграничении доступа к USB Flash-накопителю можно добавить несколько пользователей или групп, зарегистрированных в Dallas Lock 8.0 и каждой учетной записи указать свои права доступа и аудита.

Задание 1. Самостоятельно присвоить пользователям kadrl и kadr2 доступ к двум USB Flash-накопителям, используемым для их авторизации при входе в систему.

Задание 2. Самостоятельно заблокировать доступ к Android, Bluetooth, HID, MTD, PCMCIA, Secure Digital, беспроводным, биометрическим, инфракрасным, переносным устройствам, а также контроллерам магнитных шин, ленточным накопителям, модемам, сканерам и цифровым фотоаппаратам. Заблокировать использование СОМ и LPT портов.

Задание 3. Самостоятельно разграничить доступ пользователей к принтерам. Разрешить использование одного из установленных принтеров группе пользователей «Кадровики». Использование остальных заблокировать по аналогии с настройкой USB Flash-накопителей.

Отчет о проделанной работе должен содержать распечатку конфигурации Dallas Lock, где были бы указаны права доступа к съемным устройствам.

Контрольные вопросы

  • 1. В чем опасность неконтролируемого использования съемных устройств?
  • 2. Что представляют собой Android-устройства?
  • 3. Какие технологии передачи данных способен блокировать Dallas Lock?
  • 4. Какова общая последовательность действий при настройке контролируемого доступа к USB Flash-накопителям?
  • 5. Как настраивается контролируемый доступ к принтерам?
  • 6. Возможно ли разграничить права доступа пользователей на запись информации на оптические диски?
  • 7. Какими возможностями ограничения использования внешних устройств обладает Windows?
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >