Права доступу до змінних накопичувачів
Система захисту Dallas Lock 8.0 дозволяє контролювати доступ користувачів до накопичувачів на змінних носіях (usb-flash-дисках, флоппі та компакт-дисках та ін.). При цьому є можливість розмежовувати доступ як до певних типів накопичувачів, так і до конкретних окремо взятих екземплярів.
Для обмеження доступу за типами накопичувачів потрібно скористатися глобальними параметрами. Так, якщо будь-якому користувачеві, у глобальних параметрах «Параметри змінних дисків за замовчуванням», заборонити всі дії, цей користувач не зможе працювати ні з якими змінними накопичувачами взагалі. Можна вчинити і кардинальніше – у «Параметрах змінних дисків за замовчуванням» заборонити всі дії для групи «Всі». У цьому випадку зі змінними накопичувачами не зможе працювати жоден із користувачів (за винятком суперадміністратора).
Якщо ж після цього необхідно дозволити будь-якому користувачеві роботу, наприклад з компакт-дисками, потрібно в глобальних параметрах «Параметри CD-ROM дисків за замовчуванням» дозволити користувачеві всі операції.
Можна дозволити цьому користувачу читати флешки. Для цього, у глобальних параметрах "параметри USB-Flash дисків за промовчанням", необхідно дозволити користувачеві лише читання.
Для призначення прав на конкретний змінний накопичувач потрібно підключити цей накопичувач до відповідного порту ПК (у випадку, якщо це USB-Flash) або вставити його в дисковод CD-ROM (у разі компакт-диска). Далі потрібно знайти диск, який відповідає накопичувачу за допомогою провідника windows explorer, і в контекстному меню диска вибрати пункт «DL8.0: Права доступу».
Подальше налаштування прав доступу нічим не відрізняється від налаштування доступу до локальних папок. При цьому в список об'єктів, що контролюються, ці накопичувачі занесуться безлітери диска, а у спеціальному форматі, до якого входить тип накопичувача та його серійний номер. Тому, якщо під час наступного підключення USB-Flash операційна система, можливо, призначить йому іншу букву диска, права однаково контролюватимуться.
Серійний номер накопичувача Dallas Lock 8.0 має на увазі серійний номер розділу, розташованого на даному накопичувачі. Серійний номер тома можна дізнатися, виконавши командуdirу командному рядку ОС (рис. 82).
Мал. 82. Визначення серійного номера тома
Серійний номер тому, це 32-бітне число, яке, зазвичай, записується в шістнадцятковому вигляді.
Необхідно мати на увазі, що після форматування накопичувача його серійний номер змінюється.
Слід звернути увагу, щоб призначити права доступу на конкретний змінний накопичувач, не обов'язково підключати його до ПК фізично, є інший спосіб. Для цього потрібно знати серійний номер цього накопичувача та виконати такі дії.
2. За допомогою контекстного меню правої кнопки або панелі кнопок, що управляють, вибрати дію «Додати». Відобразиться вікно, призначене для вибору об'єкта файлової системи. У цьому вікні, у верхній частині, в полі редагування імені необхідно ввести рядок, який описує змінний накопичувач і натиснути кнопку «Вибрати».
Рядок, що описує змінний накопичувач, має строго певний формат і містить тип накопичувача і його серійний номер. Для USB-Flash вона має бути такою: «Flash(A1234567):\ », де A1234567 – серійний номер; для дискети - "FDD (A1234567):" ; для компакт-диска - "CD(A1234567):\ ".
3. Якщо вказано все правильно, з'явиться стандартне вікно редагування параметрів безпеки об'єкта ФС.
Дескриптори по дорозі
Яквідзначалося вище, якщо на об'єкт файлової системи встановлений дескриптор, то при перейменуванні цього об'єкта дескриптор залишиться на ньому. Якщо видалити об'єкт – дескриптор також видалитись. Тобто дескриптор прив'язаний до об'єкта.
Але, в окремих випадках це буває незручно. Наприклад, під час роботи з Microsoft Word. Програма MS Word влаштована таким чином, що коли в ній відкривається будь-який документ, після редагування та збереження змін вона виконує послідовність наступних дій:
перейменовує вихідний документ;
створює новий документ під первісним ім'ям;
видаляє перейменований вихідний документ.
Що відбувається з дескриптором, якщо його призначено на документ, при його редагуванні? Він перейменовується та видаляється разом із вихідним документом. Система Dallas Lock 8.0 справно працює відповідно до закладених у ній принципів. Але для користувача це виглядає як помилка: на документ були призначені права, користувач його відредагував, права зникли. Виникає суперечлива ситуація.
Щоб таких ситуацій не виникало, найправильніше призначати права не на документи, а на папки, в яких ці документи знаходяться.
Але це буває незручно, наприклад, коли в одній папці мають бути кілька документів з різними правами. У цьому випадку на ці документи слід призначати дескриптори для шляху. Їхня відмінність від звичайних дескрипторів у тому, що вони не перейменовуються і не видаляються разом з об'єктом. Вони «прив'язані» до конкретного шляху і можуть існувати навіть, якщо цим шляхом ніяких документів не знаходиться.
Щоб створити дескриптор для шляху, потрібно діяти так само, як і при створенні звичайного дескриптора. Але у вікні призначення прав потрібно встановити прапорець у полі«Дескриптор шляхом» (рис. 83).
Мал. 83. Призначений дескриптор шляхом
Дескриптори для шляху виділені у списку контрольованих файлів блакитним значком, тоді як звичайні дескриптори мають білий, а глобальні – помаранчевий (рис. 84).
Мал. 84. Список об'єктів із призначеним доступом
Без зайвої необхідності використовувати дескриптори на шляху не рекомендується.
Згідно з мандатним принципом керування доступом, кожному об'єкту файлової системи можна надати мітку конфіденційності. Обліковий запис користувача також визначає рівень конфіденційності, який визначає документи, з якими він може працювати.
У системі захисту Dallas Lock 8.0 позначки конфіденційності мають номери від 0 до 7. Чим більший номер, тим вищий рівень конфіденційності. Якщо не вказано жодної мітки, то вважається, що об'єкт має мітку 0 (нуль). Якщо мітку конфіденційності привласнити папці (диску), то всі об'єкти, що знаходяться в цій папці (диску), матимуть ту саму мітку, за винятком тих випадків, коли їм явно присвоєно інші мітки конфіденційності.
Для зручності роботи, міткам конфіденційності можна надавати імена. За замовчуванням першим п'ятьма рівнями конфіденційності (від 0 до 4) присвоєно найменування:
0 (Відкриті дані);
1 (Конфіденційні дані);
2 (Персональні дані);
3 (Секретні дані);
4 (Цілком таємні дані).
Відповідно до цього присвоєння міток мандатного доступу, користувач, наприклад, має допуск рівня «Конфіденційні дані», не може отримати доступ до об'єкта, що має мітку «Секретні дані». У той же час, користувач з допуском рівня "Секретні дані", право доступу до об'єкта з позначкою "Конфіденційні дані" має, і таке інше.
Усистема захисту Dallas Lock 8.0 використовується 7 міток (рівнів) конфіденційності. Імена цих міток можна змінити на інші, на роботу системи захисту це не вплине. Для системи захисту має значення лише номер.
Мал. 85. Список рівнів мандатного доступу
У вікні обраного рівня мандатного доступу можна ввести нове найменування і для його збереження натиснути «OK».
Присвоїти позначку конфіденційності об'єкту файлової системи можна за допомогою вікна властивостей, викликавши його за допомогою пункту контекстного меню об'єкта «Права доступу» та відкривши вкладку «Мандатний доступ» (рис. 86).
Мал. 86. Призначення прав доступу до об'єкта ФС
Для того, щоб призначити мітку конфіденційності на об'єкт ФС необхідно:
1. Увімкнути мандатний доступ, поставивши прапорець у полі «Мандатний доступ увімкнено».
2. У видавному списку поля "Мітка" вибрати необхідний рівень.
3. За бажанням заповнити поле «Підстава».
4. Натиснути «Застосувати» та «ОК».
Якщо мандатний доступ призначається на папку, то включення механізму папок, що розділяються (прапорець в полі «Папка є розділюваною») визначить для цієї папки особливий статус (див. нижче).
Користувач може зберігати створені файли тільки в папках, які мають мітку конфіденційності, що дорівнює його поточному рівню допуску.
Деяким програмам, наприклад MS Office, потрібно робити запис у свою системну папку під будь-яким рівнем мандатного доступу, інакше програма не працюватиме.
У системі захисту Dallas Lock 7.7 це вирішувалося налаштуванням механізму процесів-виключень та механізму папки для тимчасових файлів. Але ці механізми мали свої недоліки, наприклад, процеси-виключення додавали потенційну можливість витоку інформації, а об'єкти в папкахтимчасові файли видалялися в процесі завершення роботи користувача.
Для зручності, коректної та безпечної роботи в системі захисту Dallas Lock 8.0 реалізований особливий механізм папок, що розділяються.
Папка, що розділяється - це папка, яка має одне конкретне розташування, але в залежності від рівня під яким входить користувач, він фізично потрапляє в папку зі своїм рівнем конфіденційності.
Таким чином, якщо деяку папку позначити, як розділяється, то в ній можна буде створювати будь-які файли незалежно від поточного рівня конфіденційності. І під час завершення сеансу роботи всі об'єкти в цій папці будуть збережені.
Для того щоб позначити папку як розділяється, потрібно в контекстному меню «Права доступу» даної папки вибрати вкладку «Мандатний доступ», увімкнути мандатний доступ і поставити прапорець у полі «Папка є розділюваною» (рис. 87), натиснути «Застосувати» та "OK".
Мал. 87. Увімкнення механізму розділеної папки
Встановлювати мандатний рівень не потрібно. У деяких випадках, якщо необхідно розділити папку в профілі користувача, краще зробити це, увійшовши в ОС під обліковим записом суперадміністратора.
Видалити або перейменувати папку, яка позначена як розділяється неможливо. Спроба видалення або перейменування без зняття властивості розділяння не буде завершена, і виведеться попередження.
Щоб видалити або перейменувати таку папку, необхідно вимкнути властивість роздільності папки у параметрах доступу. Після зняття відповідного прапорця та натискання кнопки «Застосувати» з'явиться повідомлення про те, що після підтвердження операції всі конфіденційні дані (не тільки ті, що є на даному мандатному рівні) будуть видалені. Тільки після цього можна видалити або перейменувати папку.