Кафедра: Информационные Технологии
Лабораторная Работа
На тему: Управление доступом к дискам, каталогам и файлам
Москва, 2008 год
1. Общие сведения
Система Secret Net включает в свой состав средства, позволяющие организовать полномочное управление доступом пользователей к ресурсам файловой системы компьютера.
При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных и подключенных сетевых дисках компьютера, назначается категория конфиденциальности. Категории конфиденциальности соответствует уровень доступа к конфиденциальной информации, устанавливаемый для пользователей компьютера.
Включение и настройка режима полномочного управления доступом осуществляется в окне управления общими параметрами системы защиты.
Для настройки режима необходимо:
Вызвать на экран окно управления общими параметрами.
Активизировать диалог «Режимы»:
Рис. 21. Диалог «Режимы» (настройка общих параметров)
Поставить отметку в поле «Полномочное управление доступом». При установке отметки поля выключателей, с помощью которых осуществляется дополнительная настройка режима, становятся доступными для изменений.
Установить отметку в поле «Контроль потоков данных», чтобы разрешить системе защиты контролировать потоки данных приложений, работающих с конфиденциальной информацией.
Если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое, поставить отметку в поле «Контроль буфера обмена».
Установить отметку в поле «Контроль печати»для включения режима, обеспечивающего:
печать конфиденциальных документов толькосредствами редактора MS Word (версии 8.0 и выше) или редактора SnetWPad, входящего в комплект поставки системы Secret Net;
Для изменения шаблона грифа конфиденциальности, нажать кнопку «Гриф». На экране появится окно редактора MS Word, в котором будет открыт специальный файл шаблона грифа конфиденциальности с именем STAMP.RTF, содержащийся в каталоге C:-SNET-.
Нажать кнопку «ОК» в окне управления общими параметрами.
Для каждого пользователя компьютера необходимо установить некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Кроме того, в связи с тем, что присваивать дискам и каталогам категорию конфиденциальности может только администратор безопасности компьютера или пользователь, который обладает соответствующей привилегией на администрирование системы защиты, необходимо предоставить пользователям, которые будут управлять доступом других пользователей к конфиденциальным данным, необходимые привилегии.
Для определения уровня допуска пользователя необходимо:
Вызвать на экран окно управления свойствами пользователя.
Нажать кнопку в поле «Уровень допуска» и выбрать из открывшегося спискаодно из трех возможных значений, соответствующих трем категориям конфиденциальности информации.
Активизировать диалог «Запреты».
Если требуется запретить выводить (копировать) конфиденциальную информацию на дискеты, поставить отметку в поле «Запрет вывода конфиденциальной информации на дискеты».
Нажать кнопку «ОК».
Для предоставления привилегии пользователю:
Вызвать на экран окно управления свойствами пользователя.
Активизировать диалог «Привилегии».
В группе «Привилегии на администрирование системы» открыть группу привилегий «Категории конфиденциальности ресурсов».
Предоставить пользователю необходимую привилегию.
Нажать кнопку «ОК».
Управление категориями конфиденциальности локальных и сетевых дисков, а также каталогов, расположенных на этих дисках, осуществляется с помощью программы «Проводник».
При включении режима полномочного управления доступом:
в диалоге управления атрибутами Secret Net локальных дисков, каталогов и файлов становится доступной группа «Категория конфиденциальности»;
в контекстном меню подключенных сетевых дисков, а также каталогов и файлов, расположенных на этих дисках, становится доступной команда «Secret Net», вызывающая диалог, с помощью которого осуществляется управление категориями конфиденциальности сетевых ресурсов.
Категория конфиденциальности может быть присвоена каталогу даже в том случае, если у него отсутствует владелец.
При включенном режиме полномочного управления доступом запрещается присваивать категорию конфиденциальности каталогу C:-SNET-, а также системному диску и системным каталогам ОС Windows (WINDOWS, SYSTEM).
Для присвоения ресурсу категории конфиденциальности необходимо:
В окне программы Проводник вызвать контекстное меню для ярлыка диска или каталога и активизировать в нем команду «Secret Net».
Устанавливаемая для ресурса категория конфиденциальности присваивается как самому диску или каталогу, так и содержащимся в нем каталогам и файлам.
Выбрать категорию конфиденциальности диска или каталога.
Нажать кнопку «ОК».
Запрещается присваивать категорию конфиденциальности системным дискам и системным каталогам ОС Windows (WINDOWS, SYSTEM).
Тип доступа к ресурсу определяется установленными для ресурса атрибутами. Атрибуты Secret Net присваиваются файлам, каталогам и логическим дискам:
Автоматически системой Secret Net при ее установке на компьютер.
Автоматически системой Secret Net при создании пользователем файла или каталога (атрибуты, назначенные пользователю по умолчанию).
Администратором (привилегированным пользователем) в программе Проводник или с помощью специальной программы IMAGE32.
Правила владения ресурсами:
Ресурс, для которого не определены атрибуты владения, считается «общим». Любой зарегистрированный пользователь компьютера может осуществлять с «общим» ресурсом любые действия, кроме присваивания ему атрибутов владения и управления доступом - право на выполнение этого действия определяется привилегиями на администрирование системы защиты.
При создании нового ресурса (каталога или файла), ему автоматически присваиваются атрибуты владения и доступа, назначенные по умолчанию пользователю, создавшему ресурс.
Возможность изменения атрибутов владения, присвоенных ресурсам, ограничена и определяется привилегиями на администрирование системы защиты, предоставленными данному пользователю.
Правила управления доступом к ресурсам:
Система не отображает имя ресурса, если у текущего пользователя отсутствует право доступа к этому ресурсу (установлены права «Нет доступа»). Это правило не распространяется на пользователей, обладающих соответствующими привилегиями на работу с системой.
Если права доступа пользователя к ресурсу не позволяют ему выполнить некоторую операцию с ресурсом, система Secret Net блокирует выполнение этой операции. При этом в журнале безопасности регистрируется соответствующее событие НСД. Это правило не действует, если установлен «мягкий режим» работы с атрибутами, или в том случае, когда пользователю предоставлены соответствующие привилегии на работу с системой.
При создании нового ресурса (каталога или файла), ему автоматически присваиваются атрибуты владения и доступа, назначенные по умолчанию пользователю, создавшему ресурс.
Возможность изменения атрибутов доступа, присвоенных ресурсам, ограничена и определяется привилегиями на администрирование системы защиты, предоставленными данному пользователю.
Правила наследования атрибутов доступа:
Атрибуты управления доступом к диску распространяются на все каталоги, под каталоги и файлы, находящиеся на данном диске.
Атрибуты управления доступом к каталогу распространяются на все файлы и подкаталоги, а также на все файлы подкаталогов, входящие в состав данного каталога.
В части ограничения прав доступа приоритет атрибутов доступа к диску выше, чем приоритет атрибутов доступа к каталогам и файлам данного диска, а приоритет атрибутов доступа к каталогу выше приоритета атрибутов доступа к его файлам и подкаталогам.
В части расширения прав доступа приоритет атрибутов доступа к диску или каталогу считается ниже, чем приоритет атрибутов подкаталогов и файлов этого диска или каталога.
Привилегии на работу с системой имеют наивысший приоритет при определении эффективных прав доступа пользователя к ресурсу и отменяют соответствующие ограничения доступа, заданные атрибутами доступа и владения.
2. Настройка индивидуальных параметров
Индивидуальные параметры механизма избирательного управления доступом настраиваются для каждого пользователя компьютера. Средствами локального администрирования могут быть настроены следующие параметры:
определены атрибуты по умолчанию, которые будут автоматически устанавливаться на создаваемые пользователем каталоги и файлы;
настроен режим контроля атрибутов.
Настройка индивидуальных параметров осуществляется в окне управления свойствами пользователя.
2.1 Определение атрибутов по умолчанию для пользователя
При создании нового ресурса (каталога или файла), ему могут быть автоматически присвоены атрибуты владения и доступа, назначенные по умолчанию пользователю, создавшему ресурс.
Для определения атрибутов по умолчанию необходимо:
Вызвать на экран окно управления свойствами пользователя.
Активизировать диалог «Режимы».
Вызвать на экран диалог определения атрибутов:
Установить отметку в поле «Установка атрибутов по умолчанию» - если атрибуты пользователю еще не назначались.
Нажать кнопку «Назначить».
Выбрать название группы ресурсов в перечне.
Активизировать с помощью мыши список расширений файлов, и отредактировать его, добавив новые расширения файлов или удалив существующие.
Рис. 22. Определение атрибутов по умолчанию для пользователя
Редактирование списка расширений осуществляется стандартными операциями редактирования текста. Одно расширение отделяется от другого символом ‘;’ («точка с запятой»).
Определить атрибуты по умолчанию для ресурсов выбранной группы в поле «Владелец». Для этого нажать кнопку и выбрать одно из следующих значений:
Supervisor
- владельцем создаваемых ресурсов станет администратор безопасности компьютера;
(админ.)
- владельцем ресурсов станет пользователь - администратор безопасности данного компьютера по умолчанию;
(текущий)
- владельцем ресурсов станет данный пользователь;
(нет)
- ресурс становится «общим», не принадлежащим никому конкретно.
Определить права доступа владельца к ресурсу в полях «Чтение», «Запись» и «Выполнение».
Определить атрибуты по умолчанию в поле «Группа»:
Определить группу пользователей-владельцев всех ресурсов, создаваемых пользователем и относящихся к данной группе ресурсов. Для этого нажать кнопку и выбрать название группы пользователей из открывшегося списка.
Определить права доступа всех пользователей, входящих в состав группы, установив отметки в соответствующих полях выключателей.
Определить атрибуты доступа к ресурсам, создаваемым пользователем и относящимся к данной группе ресурсов, для всех остальных пользователей компьютера. Для определения прав доступа этих пользователей необходимо установить отметки в соответствующих полях выключателей в группе «Остальные».
Не все комбинации значений атрибутов являются допустимыми. Нельзя установить следующие комбинации: «Запись без чтения», «Выполнение без чтения» и «Выполнение и запись без чтения».
Нажать кнопку «OК».
Нажать кнопку «ОК» в окне управления свойствами пользователя.
2.2 Настройка режима контроля атрибутов
Механизм избирательного управления доступом к ресурсам может функционировать в одном из двух режимов работы: «мягком» или «жестком». При установленном «мягком» режиме контроля атрибутов пользователю будет запрещено выполнять действия над ресурсами, если эти ресурсы недоступны ему на чтение. Пользователю разрешается выполнять действия, запрещенные атрибутами доступа к ресурсам, но при этом соответствующие события НСД будут регистрироваться в журнале безопасности. При «жестком» (основном) режиме работы пользователю запрещается выполнять над ресурсом действия, превышающие его права доступа к ресурсу.
Для настройки режима необходимо:
Вызвать на экран окно управления свойствами пользователя.
Активизировать диалог «Режимы».
Установить отметку в поле «Мягкий режим контроля атрибутов», если необходимо включить «мягкий» режим контроля атрибутов. Если необходимо включить «жесткий» режим работы, удалить отметку из этого поля.
Выключатель недоступен для изменений, если пользователю предоставлены привилегии на работу с системой «Без атрибутов на дисках», «Без атрибутов на каталогах» и «Без атрибутов на файлах».
Нажать кнопку «OК».
3. Управление доступом к ресурсам в программе Проводник
Для управления атрибутами Secret Net дисков, каталогов и файлов необходимо вызвать на экран окно программы Проводник.
3.1 Управление доступом пользователей к дискам
Для управления доступом к диску:
В окне программы Проводник выбрать диск, вызвать на экран окно настройки свойств этого ресурса и активизировать диалог «Secret Net».
Рис. 23. Диалог управления доступом к диску
Выбрать в списке имя пользователя, для которого необходимо изменить атрибуты доступа к диску.
Привилегии по доступу к ресурсам компьютера «Видимость дисков» и «Без атрибутов на дисках», предоставленные пользователю, отменяют соответствующие ограничения на доступ этого пользователя к логическим дискам, заданные атрибутами доступа.
Группа полей «Атрибуты» содержит имя выбранного пользователя и установленные для него значения атрибутов доступа к диску.
Чтобы разрешить доступ необходимо поставить отметку в поле соответствующего выключателя: «Чтение», «Запись», «Выполнение».
Чтобы запретить доступ - удалить отметку.
Установленные права доступа немедленно отобразятся в колонке «Доступ» списка пользователей.
Нажать кнопку «ОК».
Не рекомендуется ограничивать права пользователя на выполнение программ, размещенных на диске [С:] (или другом локальном диске, с которого производится загрузка операционной системы), т.е. устанавливать для пользователя следующие атрибуты доступа к этому диску: «Чтение и запись», «Только чтение», «Нет доступа». В этом случае при входе пользователя загрузка операционной системы окажется невозможной.
При попытке установить атрибуты доступа пользователя к системному диску, небезопасные для работы системы, на экране появится предупреждающее сообщение:
3.2 Управление доступом пользователей к каталогам
Для управления доступом к каталогу необходимо:
В окне программы «Проводник» выбрать один или несколько каталогов, вызвать на экран окно настройки свойств ресурса и активизировать диалог «Secret Net».
Рис. 24. Диалог управления доступом к каталогу
При просмотре или изменении атрибутов для нескольких каталогов, значение «Не определен» в колонке «Доступ» указывает на то, что пользователю назначены разные права доступа к выбранным каталогам.
Указать в поле «Владелец»имя пользователя-владельца каталога и атрибуты доступа к каталогу для владельца.
При просмотре или изменении атрибутов для нескольких каталогов значение «(не определен)» в текстовом поле указывает на то, что у выбранных каталогов разные пользователи-владельцы. При изменении данного значения для всех выбранных каталогов будет установлено одинаковое имя пользователя-владельца.
Чтобы изменить имя пользователя-владельца необходимо выбрать в поле с открывающимся списком одно из следующих значений:
имя пользователя;
имя пользователя SUPERVISOR – для того чтобы владельцем каталога стал администратор системы защиты;
значение «(админ.)» – для того чтобы владельцем каталога стал пользователь - администратор безопасности данного компьютера;
при установке значения «нет» каталог становится общим, не принадлежащим никому конкретно. При этом все пользователи компьютера не будут иметь ограничений на доступ к каталогу (если ограничения не заданы атрибутами доступа к диску и атрибутами доступа к каталогам, в состав которых входит этот каталог).
Определить значения атрибутов доступа к каталогу для пользователя-владельца, установив или удалив отметки в полях «Чтение», «Запись», «Выполнение».
В поле «Группа» выбрать название группы пользователей и определить соответствующие ей атрибуты доступа, повторив действия, описанные выше для поля «Владелец».
Установить значения атрибутов доступа к каталогу для остальных пользователей компьютера.
Поставить отметку в поле выключателя «Применять рекурсивно», чтобы установить заданные атрибуты на все файлы и подкаталоги, содержащиеся в данном каталоге, а также на файлы в подкаталогах.
Нажать кнопку «ОК».
Права пользователя на доступ к каталогу определяются значениями атрибутов, установленных на сам каталог, значениями атрибутов всех каталогов, стоящих выше данного в иерархии, и значениями атрибутов доступа к диску, на котором расположен каталог.
Привилегии на работу с системой «Видимость каталогов» и «Без атрибутов на каталогах», предоставленные пользователю, отменяют соответствующие ограничения на доступ этого пользователя к каталогам, заданные атрибутами доступа и владения.
3.3 Управление доступом пользователей к файлам
Для управления доступом к файлу необходимо:
В окне программы Проводник выбрать один или несколько файлов, вызвать на экран окно настройки свойств ресурса и активизировать диалог «Secret Net».
Рис. 25. Диалог управления доступом к файлу
Процедура изменения атрибутов файла аналогична процедуре изменения атрибутов каталога.
Определить в группе полей «Владелец» имя пользователя-владельца файла и атрибуты доступа к файлу для владельца.
В группе полей «Группа» указать название группы пользователей и соответствующие ей атрибуты доступа.
Установить значения атрибутов доступа к файлу для остальных пользователей компьютера.
Определить дополнительные атрибуты файла в группе полей «Дополнительно».
Атрибут «Полный доступ»имеет смысл только для программ. Устанавливает для программы специальный режим работы. В этом режиме не контролируется доступ программы к ресурсам файловой системы (дискам, каталогам и файлам), аппаратным ресурсам (коммуникационным портам и принтерам) и ресурсам операционной системы (системным файлам, и т.д.). Попытки доступа программы к этим ресурсам не регистрируются в журнале безопасности. При включенном режиме полномочного управления доступом все попытки доступа программы к конфиденциальным ресурсам контролируются.
Атрибуты «Аудит чтения» и «Аудит записи» включают для файла режим, при котором осуществляется регистрация в журнале безопасности всех успешных попыток доступа к данному файлу, соответственно, на чтение и изменение файла.
Для регистрации попыток доступа к файлам, которым определены дополнительные атрибуты «Аудит чтения» и «Аудит записи», необходимо включить соответствующие режимы регистрации событий.
Атрибут «Только чтение» включает для файла режим, при котором реальный доступ к этому файлу разрешен только на чтение, но программе, которая осуществляет доступ к файлу на запись, возвращается признак успешного завершения операции изменения файла.
Нажать кнопку «ОК».
Права пользователя на доступ к файлу определяются значениями атрибутов, установленных на сам файл, значениями атрибутов всех каталогов, образующих путь к файлу, а также значениями атрибутов доступа к диску.
Привилегии по доступу к ресурсам компьютера «Видимость файлов» и «Без атрибутов на файлах», предоставленные пользователю, отменяют соответствующие ограничения на доступ этого пользователя к файлам, заданные атрибутами доступа и владения.
4. Управление атрибутами в программе IMAGE32
В комплект поставки системы Secret Net входит программа IMAGE32, предназначенная для управления атрибутами доступа и владения ресурсов файловой системы компьютера.
Кроме этого программа позволяет управлять категориями конфиденциальности локальных дисков и каталогов.
При запуске программы IMAGE32 н
Рис. 26. Стартовый диалог программы
IMAGE
32
В центре диалогового окна программы IMAGE32 отображаются пиктограммы с именами логических дисков компьютера. Для просмотра этой структуры используются стандартные операции над деревом объектов, принятые в Windows, а также вертикальная и горизонтальная полосы прокрутки. Для обновления ветвей дерева объектов необходимо подвести курсор к имени диска или каталога, нажать правую кнопку мыши и выбрать в контекстном меню команду:
«Обновить вложенные ресурсы (F5)» – чтобы обновить вложенные ресурсы уровня иерархии текущей ветви;
«Обновить все вложенные ресурсы (Shift+F5)» – для полного обновления текущей ветви дерева.
Группа переключателей «Атрибуты» позволяет определить режим работы программы IMAGE32:
Работа программы в режиме «Диалог»
позволяет выбрать ресурсы файловой системы (каталоги и файлы), узнать или установить для них атрибуты владения и управления доступом. Для включения этого режима необходимо установить отметку в поле «Диалог».
Отметка, установленная в поле «Файлы»
, переводит программу IMAGE32 в режим записи установленных атрибутов в файл или установки записанных атрибутов из файла.
4.1 Настройка параметров IMAGE32
Прежде чем приступить к управлению атрибутами с помощью программы IMAGE32, необходимо настроить параметры программы.
Для настройки параметров необходимо:
Нажать кнопку «Параметры», чтобы вызвать на экран диалог управления параметрами программы IMAGE32:
Рис. 27. Настройка параметров
IMAGE
32
Настроить параметры программы
Таблица 1
Настройки параметров программы
IMAGE
32
Наименование параметра | Назначение |
Сохранять короткие имена | Если поле содержит отметку, при сохранении атрибутов в файл пути к ресурсам будут содержать только короткие имена файлов и каталогов (формат MS DOS) |
Сохранять имена ресурсов в DOS формате | Если поле содержит отметку, при сохранении атрибутов в файл используется кодировка MS DOS |
Пересоздавать файл при сохранении атрибутов | Если поле содержит отметку, при сохранении атрибутов в существующий файл этот файл всегда создается заново, а старое содержимое файла уничтожается. Иначе сохраняемые атрибуты дописываются в конец заданного файла |
Разрешить использование масок для имен ресурсов | Если поле содержит отметку, при редактировании файлов с атрибутами в именах ресурсов разрешает использовать подстановочные символы ('?' , '*' , '*.*' и др.) |
Разрешить синхронизацию | В текущей реализации программы не используется. |
Снятие атрибутов с остальных ресурсов | Если поле содержит отметку, при выполнении операции присвоения атрибутов всем ресурсам, которые не выбраны в диалоге, либо не заданы в файле, присваиваются свободные (нулевые) атрибуты. При этом текущие значения атрибутов будут потеряны |
Разрешить конвертированиеатрибутов | Если поле содержит отметку, при переустановке системы защиты в режиме «Установка существующих атрибутов» атрибуты более ранней версии системы Secret Net 9x преобразуются в новый формат |
Выход по завершении обработки команды | Если поле содержит отметку, сразу же после выполнения какой-либо операции (либо при установке атрибутов, либо при получении атрибутов) работа программы завершается автоматически |
Имена пользователей групп в файле с атрибутами |
Если поле содержит отметку, в конец файла с атрибутами добавляется перечень имен пользователей и групп пользователей с указанием регистрационных номеров |
Редактор для файлов с атрибутами | Определяет путь к текстовому редактору, который будет вызываться при открытии файлов, содержащих атрибуты. По умолчанию предлагается редактор SnEdi |
Сохранить изменения, нажав кнопку «ОК».
4.2 Управление атрибутами в режиме «Диалог»
Управление доступом пользователей к ресурсам в режиме «Диалог» заключается в последовательном выполнении следующих операций:
выбор ресурсов (файлов и каталогов);
назначение атрибутов доступа и владения выбранным ресурсам;
присвоение назначенных атрибутов выбранным ресурсам.
Для выбора ресурса необходимо отметить его ярлык, используя следующие способы установки отметок:
Подвести курсор к ярлыку каталога (файла) и нажать правую кнопку мыши. В этом случае отметка устанавливается только на каталог (файл), вложенные ресурсы каталога не выбираются.
Подвести курсор к имени ресурса. Нажать правую кнопку мыши и активизировать в появившемся контекстном меню команду:
«Выбрать ресурс» - чтобы выбрать файл или каталог (вложенные ресурсы каталога не выбираются);
«Выбрать вложенные ресурсы» - для выбора вложенных файлов и подкаталогов 1 уровня иерархии (но не самого каталога);
«Выбрать все вложенные ресурсы» - если требуется выбрать содержимое каталога полностью (но не сам каталог).
Рис. 28. Окно программы
IMAGE
32 в режиме «Диалог»
Для определения атрибутов необходимо:
В поле «Владелец»:
указать имя пользователя - владельца всех выбранных ресурсов;
определить права владельца на доступ к ресурсам, установив или удалив отметки в полях выключателей «Чтение», «Запись» и «Выполнение».
В поле «Группа»:
указать название группы пользователей-владельцев всех выбранных ресурсов;
определить права доступа пользователей, входящих в состав группы, с помощью выключателей «Чтение», «Запись», «Выполнение».
В поле «Остальные»:
определить права на доступ к выбранным ресурсам для всех остальных пользователей компьютера.
В поле «Дополнительно»:
определить дополнительные атрибуты для выбранных файлов.
Процедура настройки атрибутов доступа и владения в программе IMAGE32 соответствует процедуре настройки атрибутов в программе Проводник.
Для присвоения атрибутов:
Нажать кнопку «Установить», которая становится активной при изменении значений атрибутов.
4.3 Управление атрибутами в режиме «Файлы»
В окне программы IMAGE32, переведенной в режим «Файлы», поле «Список файлов с атрибутами» содержит имена подключенных файлов с атрибутами.
По умолчанию список содержит файл INSTALL.DAT, хранящийся в каталоге C:-SNET-. Для того чтобы сохранить атрибуты доступа и владения в другой файл, следует добавить его в список файлов.
Рис. 29. Окно программы
Image
32 в режиме «Файлы»
Для сохранения атрибутов в файл необходимо:
Выбрать ресурсы, атрибуты которых необходимо сохранить.
Если при настройке программы IMAGE32 был задан параметр «Пересоздавать файл при сохранении атрибутов», при сохранении атрибутов выбранных ресурсов в файл прежнее содержимое файла уничтожается.
В поле «Список файлов с атрибутами» указать имя файла для записи атрибутов:
установить отметку в поле выключателя слева от имени файла;
или выбрать имя файла в списке, вызвать контекстное меню и активизировать команду «Использовать файлы».
Для выполнения этой операции необходимо, чтобы в списке был выбран только один файл. Если в списке отмечено несколько файлов - кнопка «Получить» будет недоступна.
Не рекомендуется изменять содержимое файла INSTALL.DAT. Этот файл содержит атрибуты, которые присваиваются ресурсам файловой системы программой установки Secret Net.
Нажать кнопку «Получить».
Процесс записи атрибутов отображается на экране индикаторами прогресса. Если требуется прервать процесс необходимо нажать кнопку «Остановить».
Для установки атрибутов из файла необходимо:
В поле «Список файлов с атрибутами» указать имена файлов, атрибуты из которых будут присвоены указанным в этих файлах ресурсам:
установить отметку в поле выключателя слева от имени файла;
или выбрать имя файла в списке, вызвать контекстное меню и активизировать команду «Использовать файлы».
Нажать кнопку «Установить».
Если для одного и того же ресурса заданы различные комбинации атрибутов в разных секциях файлов с атрибутами, ресурсу будут присвоены атрибуты из той секции, которая обработана программой последней.
4.3.1 Управление списком файлов
Управление списком файлов осуществляется с помощью контекстного меню, команды которого предназначены для выполнения следующих операций:
добавление файла в список;
исключение файла из списка;
редактирование файла.
Для добавления файла в список необходимо:
Вызвать контекстное меню в любом месте списка файлов.
Активизировать команду «Добавить файлы в список».
В появившемся на экране диалоге:
Рис. 30. Добавление файла в список
В поле «Папка» указать каталог, содержащий нужный файл, или каталог, в котором будет создан новый файл с атрибутами.
В списке файлов выбрать имя добавляемого файла или указать в поле «Имя файла» имя создаваемого файла с атрибутами.
В поле «Тип файлов» указать формат файла.
Отметить поле «Использовать файлы», чтобы разрешить выполнение операций присвоения атрибутов из файла или сохранения атрибутов в добавляемый файл.
Нажать кнопку «Открыть».
Для исключения файлов из списка необходимо:
Выбрать в списке один или несколько файлов.
Вызвать контекстное меню для выделенного фрагмента и активизировать команду «Удалить файлы из списка». Выбранные файлы будут немедленно исключены из списка файлов с атрибутами.
Для редактирования файла с атрибутами необходимо:
Подвести курсор к имени файла.
Выполнить одно из следующих действий:
вызвать контекстное меню и активизировать команду «Редактировать файл»;
дважды нажать левую кнопку мыши.
Отредактировать содержание файла в появившемся на экране окне текстового редактора, используя стандартные операции редактирования текста.
Сохранить изменения и закрыть окно редактора.
4.4 Специальные возможности программы IMAGE32
Из программы IMAGE32 можно вызвать на экран диалоговое окно, позволяющее изменить атрибуты доступа и владения, а также категории конфиденциальности локальных дисков, каталогов и файлов, расположенных на этих дисках. Вызвать окно управления атрибутами можно в любом из режимов работы программы IMAGE32.
Для управления доступом к ресурсу необходимо:
Подвести курсор к имени ресурса, нажать правую кнопку мыши и активизировать в появившемся контекстном меню команду «Свойства». На экране появится окно управления атрибутами Secret Net:
Рис. 31. Окно управления атрибутами
Определить атрибуты доступа и владения для выбранного ресурса. Процедура установки атрибутов доступа и владения полностью соответствует процедуре установки атрибутов в программе Проводник:
для дисков;
для каталогов;
для файлов.
Установить категорию конфиденциальности диска или каталога.
Нажать кнопку «ОК».
5. Функции редактора SnEdit
В комплект поставки системы Secret Net входит специальный редактор SnEdit, предназначенный для редактирования некоторых файлов, используемых при настройке общих параметров системы защиты или параметров работы пользователя.
Программа SNEDIT.EXE размещается в каталоге C:-SNET-.
Таблица 2
Перечень функций редактора
SnEdit
Команда меню | Комбинация клавиш | Назначение |
Файл | ||
Создать | Ctrl + N | Создание нового файла |
Открыть | Ctrl + O | Открытие существующего файла |
Сохранить | Ctrl + S | Сохранение редактируемого файла |
Сохранить как | Сохранение текущего файла под другим именем | |
Печать | Ctrl + P | Печать редактируемого документа |
Предварительный просмотр | Просмотр документа перед печатью | |
Параметры печати | Вызов диалогового окна «Настройка принтера» | |
Последние текстовые файлы | Отображение имен редактировавшихся текстовых файлов (не более 4 последних) | |
Последние файлы UEL | Отображение имен редактировавшихся файлов в формате UEL - списка (не более 4 последних) | |
Последние конфигурационные файлы | Отображение имен редактировавшихся конфигурационных файлов (не более 4 последних) | |
Последние Bat -файлы | Отображение имен редактировавшихся командных файлов (не более 4 последних) | |
Выход | Закрытие файла и выход из редактора | |
Правка | ||
Отменить | Ctrl + Z | Отмена последнего действия |
Вернуть | Ctrl + Y | Отмена действия последней команды «Отменить» |
Вырезать | Ctrl + X | Удалить выделенный фрагмент и поместить его в буфер обмена |
Копировать | Ctrl + С | Копировать выделенный фрагмент и поместить его в буфер обмена |
Вставить | Ctrl + V | Вставка содержимого буфера обмена |
Удалить | Del | Удалить выделенный фрагмент |
Выделить все | Ctrl + A | Выделить содержимое открытого документа |
Найти | Ctrl + F | Поиск указанного фрагмента |
Найти далее | F3 | Поиск указанного фрагмента |
Заменить | Ctrl + H | Поиск и замена указанного фрагмента |
Вид | ||
Панель инструментов | Отображение на экране и скрытие панели инструментов | |
Строка состояния | Отображение на экране и скрытие строки состояния | |
Кодировка | Определение кодировки содержимого файла (MS DOS или Windows) при сохранении атрибутов в файл | |
Цветовая индикация | F5 | Цветовая индикация записей файла |
Список программ | ||
Добавить | Добавление имен исполняемых файлов в UEL-список с помощью стандартного диалога добавления файлов Windows | |
Сортировать | Сортировка записей по алфавиту в каждой секции файла | |
Настроить | F7 | Вызывает на экран диалог для корректировки замкнутой программной среды |
Параметры | ||
Шрифт | Вызов диалога «Выбор шрифта» для установки шрифта по умолчанию | |
Справка | ||
Содержание | Вызов справки по Secret Net 4.0 | |
Информация о программе SnEdit | Вывод информации о программе. |
5.1 Структура файлов с атрибутами
Программа IMAGE32, предназначенная для управления атрибутами доступа к ресурсам, может функционировать в режиме записи установленных атрибутов в файл или установки записанных атрибутов из файла. Для корректной работы программы IMAGE32 с файлами допускается использование только специальных текстовых файлов с атрибутами - Image32 Data Files.
Структура файла
Файл с атрибутами представляет собой структурированный текстовый файл, состоящий из нескольких секций. Количество и состав секций не являются жестко фиксированными параметрами.
Записи в файле с атрибутами могут быть нескольких видов:
Название секции. Указывает на начало секции и содержит имя секции в квадратных скобках, например:
[EXECUTE]
Максимальная длина названия секции (учитывая символы «скобка») – 1024 символа.
Комментарий. Строка комментария начинается с символа «;» (точка с запятой). Такие строки игнорируются программой IMAGE32.
Значащая строка. Такая строка может содержать:
комбинацию атрибутов доступа и владения для ресурсов, перечисленных в секции. Комбинация атрибутов задается ключевым словом Attributes и имеет вид:
Attributes = RWXRWXRWXSrwo 1 1
имена ресурсов. Такая строка может содержать имя файла, маску для имен файлов, полный путь к каталогу. Запись, содержащая полный путь к каталогу и маску для имен файлов, используется только для установки атрибутов из файла. В такой записи имя каталога должно заканчиваться символом «».
Маски для имен файлов могут содержать символы «*» и «?». Символ «*» соответствует любой последовательности символов. Символ «?» соответствует одному любому символу. Эти правила применимы как к имени, так и к расширению файла. Если имя файла содержит «*» или «?», а расширение не задано, то считается, что расширение равно «*».
Примеры записи:
*.dll
Avp32.exe
C:Tools
С:Tools*.*
С:Tools*.exe
полный путь к ресурсу с указанием комбинации атрибутов доступа и владения, например:
E:1_PROBA RWX --- RWX ---- 1 0
E:1_PROBAPLAYERS.DAT RWX --- RWX Srwo 1 0
Если при настройке программы IMAGE32 активирован параметр «Имена пользователей и групп в файле с атрибутами», тогда при сохранении файла с атрибутами в этой программе в конец файла добавится перечень имен пользователей и названий групп с указанием регистрационных номеров этих объектов.
Условные обозначения атрибутов
Комбинация атрибутов в записи состоит из нескольких групп символов, отделенных друг от друга символом «пробел». Первые три группы атрибутов соответствуют атрибутам доступа и владения для категорий пользователей «Владелец», «Группа», «Остальные», четвертая – дополнительным атрибутам файла, две последние группы цифр соответствуют регистрационному номеру пользователя – владельца ресурса и регистрационному номеру группы пользователей.
Используются следующие условные обозначения атрибутов:
Атрибуты доступа Дополнительные атрибуты
R – чтение S – полный доступ W – запись r – аудит чтения X – выполнение w – аудит записи o – только чтение – (минус) данный атрибут не задан
Пример файла с атрибутами
[SPECIAL]
; Специальные программы, которым необходим доступ к диску
Attributes = R-X R-X R-X S--- 1 1
Avp32.exe
_Avp32.exe
Avpcc.exe
[EXECUTE]
; Исполняемые файлы по расширению
Attributes = RWX R-X R-X ---- 1 1
*.exe
*.com
*.xtp
; Другие исполняемые файлы
Dn.prg
E:102I'LL~1.MP3 RWX --- RWX ---- 0 0
E:103-CAN~1.MP3 RWX --- RWX ---- 0 0
E:103BRIT~1.MP3 RWX --- RWX ---- 0 0
При использовании операции установки атрибутов из файла:
Если в секции содержится запись, содержащая атрибуты доступа и владения непосредственно для ресурса (см. пример выше), ресурсу будут присвоены атрибуты, указанные в записи.
Если для одного и того же ресурса заданы различные комбинации атрибутов в разных секциях файлов с атрибутами, ресурсу будут присвоены атрибуты из той секции, которая обработана программой последней.
Список литературы
1. Система защиты информации SecretNet 4.0 автономный вариант для Windows 9x. Принципы построения. М: ЗАО НИП «Информзащита», 2003.
2. Система защиты информации SecretNet 4.0 автономный вариант для Windows 9x. Руководство пользователя. М: ЗАО НИП «Информзащита», 2003.