Кафедра:Информационные Технологии
ЛабораторнаяРабота
На тему: Управлениедоступом к дискам, каталогам и файлам
Москва,2008 год
1. Общие сведения
Система Secret Netвключает в свой состав средства, позволяющие организовать полномочноеуправление доступом пользователей к ресурсам файловой системы компьютера.
При организации полномочногоуправления доступом для каждого пользователя компьютера устанавливаетсянекоторый уровень допуска к конфиденциальной информации, определяющий его правана доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных иподключенных сетевых дисках компьютера, назначается категорияконфиденциальности. Категории конфиденциальности соответствует уровень доступак конфиденциальной информации, устанавливаемый для пользователей компьютера.
Включение и настройкарежима полномочного управления доступом осуществляется в окне управления общимипараметрами системы защиты.
Для настройки режиманеобходимо:
Вызвать на экран окноуправления общими параметрами.
Активизировать диалог«Режимы»:
/>
Рис. 21. Диалог«Режимы» (настройка общих параметров)
Поставитьотметку в поле «Полномочное управление доступом». При установке отметки полявыключателей, с помощью которых осуществляется дополнительная настройка режима,становятся доступными для изменений.
Установитьотметку в поле «Контроль потоков данных», чтобы разрешить системе защитыконтролировать потоки данных приложений, работающих с конфиденциальнойинформацией.
Еслитребуется контролировать передачу конфиденциальной информации через буферобмена (Clipboard) из одного приложения в другое, поставить отметку в поле«Контроль буфера обмена».
Установитьотметку в поле «Контроль печати»для включения режима, обеспечивающего:
печать конфиденциальныхдокументов толькосредствами редактора MS Word (версии 8.0 и выше) илиредактора SnetWPad, входящего в комплект поставки системы Secret Net;
Дляизменения шаблона грифа конфиденциальности, нажать кнопку «Гриф». На экранепоявится окно редактора MS Word, в котором будет открыт специальный файлшаблона грифа конфиденциальности с именем STAMP.RTF, содержащийся в каталогеC:\-SNET-.
Нажатькнопку «ОК» в окне управления общими параметрами.
Для каждогопользователя компьютера необходимо установить некоторый уровень допуска кконфиденциальной информации, определяющий его права на доступ кконфиденциальным данным. Кроме того, в связи с тем, что присваивать дискам икаталогам категорию конфиденциальности может только администратор безопасностикомпьютера или пользователь, который обладает соответствующей привилегией наадминистрирование системы защиты, необходимо предоставить пользователям,которые будут управлять доступом других пользователей к конфиденциальнымданным, необходимые привилегии.
Дляопределения уровня допуска пользователя необходимо:
Вызвать наэкран окно управления свойствами пользователя.
Нажатькнопку в поле «Уровень допуска» и выбрать из открывшегося спискаодно изтрех возможных значений, соответствующих трем категориям конфиденциальностиинформации.
Активизироватьдиалог «Запреты».
Еслитребуется запретить выводить (копировать) конфиденциальную информацию надискеты, поставить отметку в поле «Запрет вывода конфиденциальной информации надискеты».
Нажатькнопку «ОК».
Дляпредоставления привилегии пользователю:
Вызвать наэкран окно управления свойствами пользователя.
Активизироватьдиалог «Привилегии».
В группе«Привилегии на администрирование системы» открыть группу привилегий «Категорииконфиденциальности ресурсов».
Предоставитьпользователю необходимую привилегию.
Нажатькнопку «ОК».
Управлениекатегориями конфиденциальности локальных и сетевых дисков, а также каталогов,расположенных на этих дисках, осуществляется с помощью программы «Проводник».
Привключении режима полномочного управления доступом:
в диалоге управленияатрибутами Secret Net локальных дисков, каталогов и файлов становится доступнойгруппа «Категория конфиденциальности»;
в контекстном менюподключенных сетевых дисков, а также каталогов и файлов, расположенных на этихдисках, становится доступной команда «Secret Net», вызывающая диалог, с помощьюкоторого осуществляется управление категориями конфиденциальности сетевыхресурсов.
Категорияконфиденциальности может быть присвоена каталогу даже в том случае, если у негоотсутствует владелец.
Привключенном режиме полномочного управления доступом запрещается присваиватькатегорию конфиденциальности каталогу C:\-SNET-, а также системному диску исистемным каталогам ОС Windows (WINDOWS, SYSTEM).
Дляприсвоения ресурсу категории конфиденциальности необходимо:
В окнепрограммы Проводник вызвать контекстное меню для ярлыка диска или каталога иактивизировать в нем команду «Secret Net».
Устанавливаемая дляресурса категория конфиденциальности присваивается как самому диску иликаталогу, так и содержащимся в нем каталогам и файлам.
Выбрать категориюконфиденциальности диска или каталога.
Нажать кнопку «ОК».
Запрещаетсяприсваивать категорию конфиденциальности системным дискам и системным каталогамОС Windows (WINDOWS, SYSTEM).
Тип доступак ресурсу определяется установленными для ресурса атрибутами. Атрибуты SecretNet присваиваются файлам, каталогам и логическим дискам:
Автоматически системойSecret Net при ее установке на компьютер.
Автоматически системойSecret Net при создании пользователем файла или каталога (атрибуты, назначенныепользователю по умолчанию).
Администратором(привилегированным пользователем) в программе Проводник или с помощьюспециальной программы IMAGE32.
Правилавладения ресурсами:
Ресурс, длякоторого не определены атрибуты владения, считается «общим». Любойзарегистрированный пользователь компьютера может осуществлять с «общим»ресурсом любые действия, кроме присваивания ему атрибутов владения и управлениядоступом — право на выполнение этого действия определяется привилегиями наадминистрирование системы защиты.
Присоздании нового ресурса (каталога или файла), ему автоматически присваиваютсяатрибуты владения и доступа, назначенные по умолчанию пользователю, создавшемуресурс.
Возможностьизменения атрибутов владения, присвоенных ресурсам, ограничена и определяетсяпривилегиями на администрирование системы защиты, предоставленными данномупользователю.
Правилауправления доступом к ресурсам:
Система неотображает имя ресурса, если у текущего пользователя отсутствует право доступак этому ресурсу (установлены права «Нет доступа»). Это правило нераспространяется на пользователей, обладающих соответствующими привилегиями наработу с системой.
Если правадоступа пользователя к ресурсу не позволяют ему выполнить некоторую операцию сресурсом, система Secret Net блокирует выполнение этой операции. При этом вжурнале безопасности регистрируется соответствующее событие НСД. Это правило недействует, если установлен «мягкий режим» работы с атрибутами, или в томслучае, когда пользователю предоставлены соответствующие привилегии на работу ссистемой.
Присоздании нового ресурса (каталога или файла), ему автоматически присваиваютсяатрибуты владения и доступа, назначенные по умолчанию пользователю, создавшемуресурс.
Возможностьизменения атрибутов доступа, присвоенных ресурсам, ограничена и определяетсяпривилегиями на администрирование системы защиты, предоставленными данномупользователю.
Правиланаследования атрибутов доступа:
Атрибутыуправления доступом к диску распространяются на все каталоги, под каталоги ифайлы, находящиеся на данном диске.
Атрибутыуправления доступом к каталогу распространяются на все файлы и подкаталоги, атакже на все файлы подкаталогов, входящие в состав данного каталога.
В частиограничения прав доступа приоритет атрибутов доступа к диску выше, чемприоритет атрибутов доступа к каталогам и файлам данного диска, а приоритетатрибутов доступа к каталогу выше приоритета атрибутов доступа к его файлам иподкаталогам.
В частирасширения прав доступа приоритет атрибутов доступа к диску или каталогусчитается ниже, чем приоритет атрибутов подкаталогов и файлов этого диска иликаталога.
Привилегиина работу с системой имеют наивысший приоритет при определении эффективных правдоступа пользователя к ресурсу и отменяют соответствующие ограничения доступа,заданные атрибутами доступа и владения.
2. Настройка индивидуальных параметров
Индивидуальныепараметры механизма избирательного управления доступом настраиваются длякаждого пользователя компьютера. Средствами локального администрирования могутбыть настроены следующие параметры:
определены атрибуты поумолчанию, которые будут автоматически устанавливаться на создаваемыепользователем каталоги и файлы;
настроен режим контроляатрибутов.
Настройкаиндивидуальных параметров осуществляется в окне управления свойствамипользователя.
2.1 Определение атрибутов по умолчанию для пользователя
Присоздании нового ресурса (каталога или файла), ему могут быть автоматическиприсвоены атрибуты владения и доступа, назначенные по умолчанию пользователю,создавшему ресурс.
Дляопределения атрибутов по умолчанию необходимо:
Вызвать наэкран окно управления свойствами пользователя.
Активизироватьдиалог «Режимы».
Вызвать наэкран диалог определения атрибутов:
Установить отметку вполе «Установка атрибутов по умолчанию» — если атрибуты пользователю еще неназначались.
Нажать кнопку«Назначить».
Выбратьназвание группы ресурсов в перечне.
Активизироватьс помощью мыши список расширений файлов, и отредактировать его, добавив новыерасширения файлов или удалив существующие.
/>
Рис. 22. Определениеатрибутов по умолчанию для пользователя
Редактированиесписка расширений осуществляется стандартными операциями редактирования текста.Одно расширение отделяется от другого символом ‘;’ («точка с запятой»).
Определитьатрибуты по умолчанию для ресурсов выбранной группы в поле «Владелец». Дляэтого нажать кнопку и выбрать одно из следующих значений:
Supervisor — владельцем создаваемых ресурсов станет администратор безопасности компьютера;
(админ.) — владельцем ресурсов станет пользователь — администратор безопасности данногокомпьютера по умолчанию;
(текущий) — владельцем ресурсов станет данный пользователь;
(нет) — ресурс становится «общим», не принадлежащим никому конкретно.
Определитьправа доступа владельца к ресурсу в полях «Чтение», «Запись» и «Выполнение».
Определитьатрибуты по умолчанию в поле «Группа»:
Определить группупользователей-владельцев всех ресурсов, создаваемых пользователем и относящихсяк данной группе ресурсов. Для этого нажать кнопку и выбрать название группыпользователей из открывшегося списка.
Определить правадоступа всех пользователей, входящих в состав группы, установив отметки всоответствующих полях выключателей.
Определитьатрибуты доступа к ресурсам, создаваемым пользователем и относящимся к даннойгруппе ресурсов, для всех остальных пользователей компьютера. Для определенияправ доступа этих пользователей необходимо установить отметки в соответствующихполях выключателей в группе «Остальные».
Не всекомбинации значений атрибутов являются допустимыми. Нельзя установить следующиекомбинации: «Запись без чтения», «Выполнение без чтения» и «Выполнение и записьбез чтения».
Нажатькнопку «OК».
Нажать кнопку«ОК» в окне управления свойствами пользователя.
2.2 Настройка режима контроля атрибутов
Механизмизбирательного управления доступом к ресурсам может функционировать в одном издвух режимов работы: «мягком» или «жестком». При установленном «мягком» режимеконтроля атрибутов пользователю будет запрещено выполнять действия надресурсами, если эти ресурсы недоступны ему на чтение. Пользователю разрешаетсявыполнять действия, запрещенные атрибутами доступа к ресурсам, но при этомсоответствующие события НСД будут регистрироваться в журнале безопасности. При«жестком» (основном) режиме работы пользователю запрещается выполнять надресурсом действия, превышающие его права доступа к ресурсу.
Длянастройки режима необходимо:
Вызвать наэкран окно управления свойствами пользователя.
Активизироватьдиалог «Режимы».
Установитьотметку в поле «Мягкий режим контроля атрибутов», если необходимо включить«мягкий» режим контроля атрибутов. Если необходимо включить «жесткий» режимработы, удалить отметку из этого поля.
Выключательнедоступен для изменений, если пользователю предоставлены привилегии на работус системой «Без атрибутов на дисках», «Без атрибутов на каталогах» и «Безатрибутов на файлах».
Нажатькнопку «OК».
3. Управление доступом к ресурсам в программе Проводник
Дляуправления атрибутами Secret Net дисков, каталогов и файлов необходимо вызватьна экран окно программы Проводник.
3.1 Управление доступом пользователей к дискам
Дляуправления доступом к диску:
В окнепрограммы Проводник выбрать диск, вызвать на экран окно настройки свойств этогоресурса и активизировать диалог «Secret Net».
/>
Рис. 23. Диалогуправления доступом к диску
Выбрать всписке имя пользователя, для которого необходимо изменить атрибуты доступа кдиску.
Привилегиипо доступу к ресурсам компьютера «Видимость дисков» и «Без атрибутов надисках», предоставленные пользователю, отменяют соответствующие ограничения надоступ этого пользователя к логическим дискам, заданные атрибутами доступа.
Группаполей «Атрибуты» содержит имя выбранного пользователя и установленные для негозначения атрибутов доступа к диску.
Чтобы разрешить доступнеобходимо поставить отметку в поле соответствующего выключателя: «Чтение»,«Запись», «Выполнение».
Чтобы запретить доступ- удалить отметку.
Установленные правадоступа немедленно отобразятся в колонке «Доступ» списка пользователей.
Нажатькнопку «ОК».
Нерекомендуется ограничивать права пользователя на выполнение программ,размещенных на диске [С:] (или другом локальном диске, с которого производитсязагрузка операционной системы), т.е. устанавливать для пользователя следующиеатрибуты доступа к этому диску: «Чтение и запись», «Только чтение», «Нетдоступа». В этом случае при входе пользователя загрузка операционной системыокажется невозможной.
При попыткеустановить атрибуты доступа пользователя к системному диску, небезопасные дляработы системы, на экране появится предупреждающее сообщение:
3.2 Управление доступом пользователей к каталогам
Для управления доступомк каталогу необходимо:
В окне программы«Проводник» выбрать один или несколько каталогов, вызвать на экран окнонастройки свойств ресурса и активизировать диалог «Secret Net».
/>
Рис. 24. Диалогуправления доступом к каталогу
При просмотре илиизменении атрибутов для нескольких каталогов,значение «Не определен» в колонке «Доступ» указывает на то, что пользователюназначены разные права доступа к выбранным каталогам.
Указать вполе «Владелец»имя пользователя-владельца каталога и атрибуты доступа ккаталогу для владельца.
Припросмотре или изменении атрибутов для нескольких каталогов значение «(неопределен)» в текстовом поле указывает на то, что у выбранных каталогов разныепользователи-владельцы. При изменении данного значения для всех выбранныхкаталогов будет установлено одинаковое имя пользователя-владельца.
Чтобыизменить имя пользователя-владельца необходимо выбрать в поле с открывающимсясписком одно из следующих значений:
имя пользователя;
имя пользователяSUPERVISOR – для того чтобы владельцем каталога стал администратор системызащиты;
значение «(админ.)» –для того чтобы владельцем каталога стал пользователь — администраторбезопасности данного компьютера;
при установке значения«нет» каталог становится общим, не принадлежащим никому конкретно. При этом всепользователи компьютера не будут иметь ограничений на доступ к каталогу (еслиограничения не заданы атрибутами доступа к диску и атрибутами доступа ккаталогам, в состав которых входит этот каталог).
Определитьзначения атрибутов доступа к каталогу для пользователя-владельца, установив илиудалив отметки в полях «Чтение», «Запись», «Выполнение».
В поле«Группа» выбрать название группы пользователей и определить соответствующие ейатрибуты доступа, повторив действия, описанные выше для поля «Владелец».
Установитьзначения атрибутов доступа к каталогу для остальных пользователей компьютера.
Поставитьотметку в поле выключателя «Применять рекурсивно», чтобы установить заданныеатрибуты на все файлы и подкаталоги, содержащиеся в данном каталоге, а также нафайлы в подкаталогах.
Нажатькнопку «ОК».
Правапользователя на доступ к каталогу определяются значениями атрибутов,установленных на сам каталог, значениями атрибутов всех каталогов, стоящих вышеданного в иерархии, и значениями атрибутов доступа к диску, на которомрасположен каталог.
Привилегиина работу с системой «Видимость каталогов» и «Без атрибутов на каталогах»,предоставленные пользователю, отменяют соответствующие ограничения на доступэтого пользователя к каталогам, заданные атрибутами доступа и владения.
3.3 Управление доступом пользователей к файлам
Дляуправления доступом к файлу необходимо:
В окне программыПроводник выбрать один или несколько файлов, вызвать на экран окно настройкисвойств ресурса и активизировать диалог «Secret Net».
/>
Рис. 25. Диалог управлениядоступом к файлу
Процедураизменения атрибутов файла аналогична процедуре изменения атрибутов каталога.
Определитьв группе полей «Владелец» имя пользователя-владельца файла и атрибуты доступа кфайлу для владельца.
В группеполей «Группа» указать название группы пользователей и соответствующие ейатрибуты доступа.
Установитьзначения атрибутов доступа к файлу для остальных пользователей компьютера.
Определитьдополнительные атрибуты файла в группе полей «Дополнительно».
Атрибут «Полный доступ»имеет смысл только для программ. Устанавливает для программы специальныйрежим работы. В этом режиме не контролируется доступ программы к ресурсамфайловой системы (дискам, каталогам и файлам), аппаратным ресурсам(коммуникационным портам и принтерам) и ресурсам операционной системы(системным файлам, и т.д.). Попытки доступа программы к этим ресурсам нерегистрируются в журнале безопасности. При включенном режиме полномочногоуправления доступом все попытки доступа программы к конфиденциальным ресурсамконтролируются.
Атрибуты «Аудит чтения»и «Аудит записи» включают для файла режим, при котором осуществляетсярегистрация в журнале безопасности всех успешных попыток доступа к данномуфайлу, соответственно, на чтение и изменение файла.
Длярегистрации попыток доступа к файлам, которым определены дополнительныеатрибуты «Аудит чтения» и «Аудит записи», необходимо включить соответствующиережимы регистрации событий.
Атрибут «Только чтение»включает для файла режим, при котором реальный доступ к этому файлу разрешентолько на чтение, но программе, которая осуществляет доступ к файлу на запись,возвращается признак успешного завершения операции изменения файла.
Нажатькнопку «ОК».
Правапользователя на доступ к файлу определяются значениями атрибутов, установленныхна сам файл, значениями атрибутов всех каталогов, образующих путь к файлу, атакже значениями атрибутов доступа к диску.
Привилегиипо доступу к ресурсам компьютера «Видимость файлов» и «Без атрибутов нафайлах», предоставленные пользователю, отменяют соответствующие ограничения надоступ этого пользователя к файлам, заданные атрибутами доступа и владения.
4. Управление атрибутами в программе IMAGE32
В комплектпоставки системы Secret Net входит программа IMAGE32, предназначенная дляуправления атрибутами доступа и владения ресурсов файловой системы компьютера.
Кроме этогопрограмма позволяет управлять категориями конфиденциальности локальных дисков икаталогов.
При запускепрограммы IMAGE32 на экране появится следующее окно:
/>
Рис. 26. Стартовыйдиалог программы IMAGE32
В центре диалоговогоокна программы IMAGE32 отображаются пиктограммы с именами логических дисковкомпьютера. Для просмотра этой структуры используются стандартные операции наддеревом объектов, принятые в Windows, а также вертикальная и горизонтальнаяполосы прокрутки. Для обновления ветвей дерева объектов необходимо подвестикурсор к имени диска или каталога, нажать правую кнопку мыши и выбрать в контекстномменю команду:
«Обновить вложенныересурсы (F5)» – чтобы обновить вложенные ресурсы уровня иерархии текущей ветви;
«Обновить все вложенныересурсы (Shift+F5)» – для полного обновления текущей ветви дерева.
Группа переключателей«Атрибуты» позволяет определить режим работы программы IMAGE32:
Работапрограммы в режиме «Диалог» позволяет выбрать ресурсы файловой системы(каталоги и файлы), узнать или установить для них атрибуты владения иуправления доступом. Для включения этого режима необходимо установить отметку вполе «Диалог».
Отметка, установленнаяв поле «Файлы», переводит программу IMAGE32 в режим записи установленныхатрибутов в файл или установки записанных атрибутов из файла.
4.1 Настройка параметров IMAGE32
Прежде чем приступить куправлению атрибутами с помощью программы IMAGE32, необходимо настроитьпараметры программы.
Для настройкипараметров необходимо:
Нажать кнопку«Параметры», чтобы вызвать на экран диалог управления параметрами программыIMAGE32:
/>
Рис. 27. Настройкапараметров IMAGE32
Настроить параметрыпрограммы
Таблица 1
Настройки параметровпрограммы IMAGE32Наименование параметра Назначение Сохранять короткие имена Если поле содержит отметку, при сохранении атрибутов в файл пути к ресурсам будут содержать только короткие имена файлов и каталогов (формат MS DOS) Сохранять имена ресурсов в DOS формате Если поле содержит отметку, при сохранении атрибутов в файл используется кодировка MS DOS Пересоздавать файл при сохранении атрибутов Если поле содержит отметку, при сохранении атрибутов в существующий файл этот файл всегда создается заново, а старое содержимое файла уничтожается. Иначе сохраняемые атрибуты дописываются в конец заданного файла Разрешить использование масок для имен ресурсов Если поле содержит отметку, при редактировании файлов с атрибутами в именах ресурсов разрешает использовать подстановочные символы ('?', '*', '*.*' и др.) Разрешить синхронизацию В текущей реализации программы не используется. Снятие атрибутов с остальных ресурсов Если поле содержит отметку, при выполнении операции присвоения атрибутов всем ресурсам, которые не выбраны в диалоге, либо не заданы в файле, присваиваются свободные (нулевые) атрибуты. При этом текущие значения атрибутов будут потеряны Разрешить конвертирование атрибутов Если поле содержит отметку, при переустановке системы защиты в режиме «Установка существующих атрибутов» атрибуты более ранней версии системы Secret Net 9x преобразуются в новый формат Выход по завершении обработки команды Если поле содержит отметку, сразу же после выполнения какой-либо операции (либо при установке атрибутов, либо при получении атрибутов) работа программы завершается автоматически
Имена пользователей групп в файле
с атрибутами Если поле содержит отметку, в конец файла с атрибутами добавляется перечень имен пользователей и групп пользователей с указанием регистрационных номеров Редактор для файлов с атрибутами Определяет путь к текстовому редактору, который будет вызываться при открытии файлов, содержащих атрибуты. По умолчанию предлагается редактор SnEdi
Сохранить изменения,нажав кнопку «ОК».
4.2 Управление атрибутами в режиме «Диалог»
Управление доступомпользователей к ресурсам в режиме «Диалог» заключается в последовательномвыполнении следующих операций:
выбор ресурсов (файлови каталогов);
назначение атрибутовдоступа и владения выбранным ресурсам;
присвоение назначенныхатрибутов выбранным ресурсам.
Для выбора ресурсанеобходимо отметить его ярлык, используя следующие способы установки отметок:
Подвести курсор кярлыку каталога (файла) и нажать правую кнопку мыши. В этом случае отметкаустанавливается только на каталог (файл), вложенные ресурсы каталога невыбираются.
Подвести курсор к имениресурса. Нажать правую кнопку мыши и активизировать в появившемся контекстномменю команду:
«Выбрать ресурс» — чтобы выбрать файл или каталог (вложенные ресурсы каталога не выбираются);
«Выбрать вложенныересурсы» — для выбора вложенных файлов и подкаталогов 1 уровня иерархии (но несамого каталога);
«Выбрать все вложенныересурсы» — если требуется выбрать содержимое каталога полностью (но не самкаталог).
/>
Рис. 28. Окно программыIMAGE32в режиме «Диалог»
Дляопределения атрибутов необходимо:
В поле«Владелец»:
указать имяпользователя — владельца всех выбранных ресурсов;
определить прававладельца на доступ к ресурсам, установив или удалив отметки в полях выключателей«Чтение», «Запись» и «Выполнение».
В поле «Группа»:
указать название группыпользователей-владельцев всех выбранных ресурсов;
определить правадоступа пользователей, входящих в состав группы, с помощью выключателей«Чтение», «Запись», «Выполнение».
В поле«Остальные»:
определить права на доступ квыбранным ресурсам для всех остальных пользователей компьютера.
В поле«Дополнительно»:
определитьдополнительные атрибуты для выбранных файлов.
Процедуранастройки атрибутов доступа и владения в программе IMAGE32 соответствуетпроцедуре настройки атрибутов в программе Проводник.
Дляприсвоения атрибутов:
Нажать кнопку«Установить», которая становится активной при изменении значений атрибутов.
4.3 Управление атрибутами в режиме «Файлы»
В окне программы IMAGE32, переведенной в режим «Файлы», поле «Списокфайлов с атрибутами» содержит имена подключенных файлов с атрибутами.
Поумолчанию список содержит файл INSTALL.DAT, хранящийся в каталоге C:\-SNET-.Для того чтобы сохранить атрибуты доступа и владения в другой файл, следуетдобавить его в список файлов.
/>
Рис. 29. Окно программыImage32в режиме «Файлы»
Длясохранения атрибутов в файл необходимо:
Выбратьресурсы, атрибуты которых необходимо сохранить.
Если принастройке программы IMAGE32 был задан параметр «Пересоздавать файл присохранении атрибутов», при сохранении атрибутов выбранных ресурсов в файлпрежнее содержимое файла уничтожается.
В поле«Список файлов с атрибутами» указать имя файла для записи атрибутов:
установить отметку вполе выключателя слева от имени файла;
или выбрать имя файла всписке, вызвать контекстное меню и активизировать команду «Использовать файлы».
Длявыполнения этой операции необходимо, чтобы в списке был выбран только одинфайл. Если в списке отмечено несколько файлов — кнопка «Получить» будетнедоступна.
Нерекомендуется изменять содержимое файла INSTALL.DAT. Этот файл содержитатрибуты, которые присваиваются ресурсам файловой системы программой установкиSecret Net.
Нажатькнопку «Получить».
Процессзаписи атрибутов отображается на экране индикаторами прогресса. Если требуетсяпрервать процесс необходимо нажать кнопку «Остановить».
Дляустановки атрибутов из файла необходимо:
В поле «Списокфайлов с атрибутами» указать имена файлов, атрибуты из которых будут присвоеныуказанным в этих файлах ресурсам:
установить отметку вполе выключателя слева от имени файла;
или выбрать имя файла всписке, вызвать контекстное меню и активизировать команду «Использовать файлы».
Нажатькнопку «Установить».
Если дляодного и того же ресурса заданы различные комбинации атрибутов в разных секцияхфайлов с атрибутами, ресурсу будут присвоены атрибуты из той секции, котораяобработана программой последней.
4.3.1 Управление списком файлов
Управлениесписком файлов осуществляется с помощью контекстного меню, команды которогопредназначены для выполнения следующих операций:
добавление файла всписок;
исключение файла изсписка;
редактирование файла.
Для добавленияфайла в список необходимо:
Вызватьконтекстное меню в любом месте списка файлов.
Активизироватькоманду «Добавить файлы в список».
Впоявившемся на экране диалоге:
/>
Рис. 30. Добавлениефайла в список
В поле«Папка» указать каталог, содержащий нужный файл, или каталог, в котором будетсоздан новый файл с атрибутами.
В спискефайлов выбрать имя добавляемого файла или указать в поле «Имя файла» имясоздаваемого файла с атрибутами.
В поле «Типфайлов» указать формат файла.
Отметитьполе «Использовать файлы», чтобы разрешить выполнение операций присвоенияатрибутов из файла или сохранения атрибутов в добавляемый файл.
Нажатькнопку «Открыть».
Дляисключения файлов из списка необходимо:
Выбрать всписке один или несколько файлов.
Вызватьконтекстное меню для выделенного фрагмента и активизировать команду «Удалитьфайлы из списка». Выбранные файлы будут немедленно исключены из списка файлов сатрибутами.
Дляредактирования файла с атрибутами необходимо:
Подвестикурсор к имени файла.
Выполнитьодно из следующих действий:
вызвать контекстноеменю и активизировать команду «Редактировать файл»;
дважды нажать левуюкнопку мыши.
Отредактироватьсодержание файла в появившемся на экране окне текстового редактора, используястандартные операции редактирования текста.
Сохранитьизменения и закрыть окно редактора.
4.4 Специальные возможности программы IMAGE32
Изпрограммы IMAGE32 можно вызвать на экран диалоговое окно, позволяющее изменитьатрибуты доступа и владения, а также категории конфиденциальности локальныхдисков, каталогов и файлов, расположенных на этих дисках. Вызвать окноуправления атрибутами можно в любом из режимов работы программы IMAGE32.
Дляуправления доступом к ресурсу необходимо:
Подвести курсор к имени ресурса, нажать правую кнопку мыши иактивизировать в появившемся контекстном меню команду «Свойства». На экранепоявится окно управления атрибутами Secret Net:
/>
Рис. 31. Окноуправления атрибутами
Определитьатрибуты доступа и владения для выбранного ресурса. Процедура установкиатрибутов доступа и владения полностью соответствует процедуре установки атрибутовв программе Проводник:
для дисков;
для каталогов;
для файлов.
Установитькатегорию конфиденциальности диска или каталога.
Нажатькнопку «ОК».
5. Функции редактора SnEdit
В комплект поставкисистемы Secret Net входит специальный редактор SnEdit, предназначенный дляредактирования некоторых файлов, используемых при настройке общих параметровсистемы защиты или параметров работы пользователя.
Программа SNEDIT.EXEразмещается в каталоге C:\-SNET-.
Таблица 2
Перечень функцийредактора SnEditКоманда меню Комбинация клавиш Назначение Файл Создать Ctrl + N Создание нового файла Открыть Ctrl + O Открытие существующего файла Сохранить Ctrl + S Сохранение редактируемого файла Сохранить как Сохранение текущего файла под другим именем Печать Ctrl + P Печать редактируемого документа Предварительный просмотр Просмотр документа перед печатью Параметры печати Вызов диалогового окна «Настройка принтера» Последние текстовые файлы Отображение имен редактировавшихся текстовых файлов (не более 4 последних) Последние файлы UEL Отображение имен редактировавшихся файлов в формате UEL — списка (не более 4 последних) Последние конфигурационные файлы Отображение имен редактировавшихся конфигурационных файлов (не более 4 последних) Последние Bat -файлы Отображение имен редактировавшихся командных файлов (не более 4 последних) Выход Закрытие файла и выход из редактора Правка Отменить Ctrl + Z Отмена последнего действия Вернуть Ctrl + Y Отмена действия последней команды «Отменить» Вырезать Ctrl + X Удалить выделенный фрагмент и поместить его в буфер обмена Копировать Ctrl + С Копировать выделенный фрагмент и поместить его в буфер обмена Вставить Ctrl + V Вставка содержимого буфера обмена Удалить Del Удалить выделенный фрагмент Выделить все Ctrl + A Выделить содержимое открытого документа Найти Ctrl + F Поиск указанного фрагмента Найти далее F3 Поиск указанного фрагмента Заменить Ctrl + H Поиск и замена указанного фрагмента Вид Панель инструментов Отображение на экране и скрытие панели инструментов Строка состояния Отображение на экране и скрытие строки состояния Кодировка Определение кодировки содержимого файла (MS DOS или Windows) при сохранении атрибутов в файл Цветовая индикация F5 Цветовая индикация записей файла Список программ Добавить Добавление имен исполняемых файлов в UEL-список с помощью стандартного диалога добавления файлов Windows Сортировать Сортировка записей по алфавиту в каждой секции файла Настроить F7 Вызывает на экран диалог для корректировки замкнутой программной среды Параметры Шрифт Вызов диалога «Выбор шрифта» для установки шрифта по умолчанию Справка Содержание Вызов справки по Secret Net 4.0 Информация о программе SnEdit Вывод информации о программе.
5.1 Структура файлов с атрибутами
ПрограммаIMAGE32, предназначенная для управления атрибутами доступа к ресурсам, можетфункционировать в режиме записи установленных атрибутов в файл или установкизаписанных атрибутов из файла. Для корректной работы программы IMAGE32 сфайлами допускается использование только специальных текстовых файлов сатрибутами — Image32 Data Files.
Структурафайла
Файл сатрибутами представляет собой структурированный текстовый файл, состоящий изнескольких секций. Количество и состав секций не являются жестко фиксированнымипараметрами.
Записи вфайле с атрибутами могут быть нескольких видов:
Название секции. Указываетна начало секции и содержит имя секции в квадратных скобках, например:
[EXECUTE]
Максимальнаядлина названия секции (учитывая символы «скобка») – 1024 символа.
Комментарий. Строкакомментария начинается с символа «;» (точка с запятой). Такие строкиигнорируются программой IMAGE32.
Значащая строка. Такаястрока может содержать:
комбинацию атрибутовдоступа и владения для ресурсов, перечисленных в секции. Комбинация атрибутовзадается ключевым словом Attributes и имеет вид:
Attributes = RWX RWX RWX Srwo 1 1
имена ресурсов. Такаястрока может содержать имя файла, маску для имен файлов, полный путь ккаталогу. Запись, содержащая полный путь к каталогу и маску для имен файлов,используется только для установки атрибутов из файла. В такой записи имякаталога должно заканчиваться символом «\».
Маски дляимен файлов могут содержать символы «*» и «?». Символ «*» соответствует любойпоследовательности символов. Символ «?» соответствует одному любому символу.Эти правила применимы как к имени, так и к расширению файла. Если имя файласодержит «*» или «?», а расширение не задано, то считается, что расширениеравно «*».
Примерызаписи:
*.dll
Avp32.exe
C:\Tools
С:\Tools\*.*
С:\Tools\*.exe
полный путь к ресурсу суказанием комбинации атрибутов доступа и владения, например:
E:\1_PROBA RWX — RWX — 1 0
E:\1_PROBA\PLAYERS.DAT RWX — RWX Srwo 1 0
Если принастройке программы IMAGE32 активирован параметр «Имена пользователей и групп вфайле с атрибутами», тогда при сохранении файла с атрибутами в этой программе вконец файла добавится перечень имен пользователей и названий групп с указаниемрегистрационных номеров этих объектов.
Условные обозначенияатрибутов
Комбинация атрибутов взаписи состоит из нескольких групп символов, отделенных друг от друга символом«пробел». Первые три группы атрибутов соответствуют атрибутам доступа ивладения для категорий пользователей «Владелец», «Группа», «Остальные»,четвертая – дополнительным атрибутам файла, две последние группы цифрсоответствуют регистрационному номеру пользователя – владельца ресурса ирегистрационному номеру группы пользователей.
Используются следующиеусловные обозначения атрибутов:
Атрибуты доступаДополнительные атрибуты
R – чтение S – полный доступ W – запись r – аудит чтения X –выполнение w – аудит записи o – только чтение – (минус) данный атрибут не задан
Пример файла сатрибутами
[SPECIAL]
; Специальныепрограммы, которым необходим доступ к диску
Attributes= R-X R-X R-X S--- 1 1
Avp32.exe
_Avp32.exe
Avpcc.exe
[EXECUTE]
; Исполняемые файлы по расширению
Attributes= RWX R-X R-X — 1 1
*.exe
*.com
*.xtp
; Другие исполняемыефайлы
Dn.prg
E:\1\02I'LL~1.MP3 RWX--- RWX — 0 0
E:\1\03-CAN~1.MP3RWX — RWX — 0 0
E:\1\03BRIT~1.MP3RWX — RWX — 0 0
При использованииоперации установки атрибутов из файла:
Если в секциисодержится запись, содержащая атрибуты доступа и владения непосредственно дляресурса (см. пример выше), ресурсу будут присвоены атрибуты, указанные взаписи.
Если для одного и тогоже ресурса заданы различные комбинации атрибутов в разных секциях файлов сатрибутами, ресурсу будут присвоены атрибуты из той секции, которая обработанапрограммой последней.
Списоклитературы
1. Системазащиты информации SecretNet 4.0 автономный вариант для Windows9x. Принципы построения. М: ЗАО НИП«Информзащита», 2003.
2. Системазащиты информации SecretNet 4.0 автономный вариант для Windows9x. Руководство пользователя. М: ЗАОНИП «Информзащита», 2003.