Добавил:

D3M4K Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Томский Государственный Университет Систем Управления и Радиоэлектроники

Предмет:

Безопасность операционных систем

Файл:

2 семестр / БОС5

.docx

Скачиваний:

Добавлен:

29.06.2023

Размер:

1.17 Mб

Скачать

☆

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

РАЗГРАНИЧЕНИЕ ДОСТУПА К УСТРОЙСТВАМ

Отчет по лабораторной работе №5

по дисциплине «Безопасность операционных систем»

Вариант 5

Студент гр. 739-1

Климанов М. Д.

26.10.2021

Руководитель

Преподаватель кафедры

КИБЭВС

__________Мосейчук В.А

__.__.2021

Томск 2021

1 Введение

Целью данной работы является практическое изучение принципов разграничения доступа к устройствам на основе программного продукта DeviceLock.

2 Ход работы

2.1 Настройка DeviceLock Management Console

Нужно войти под учётной записью «Администратор». Запустить «DeviceLock Management Console» (рисунок 2.1).

Рисунок 2.1 – DeviceLock Management Console

Далее нужно подключить «DeviceLock Management Console» к компьютеру. Для этого в контекстном меню «Сервис DeviceLock» требуется выбрать «Подключиться…» и дополнительно включить настройку «Подключаться к локальному компьютеру при запуске» для автоматического подключения сервиса (рисунок 2.2).

Рисунок 2.2 - Подключение консоли DeviceLock

Затем нужно добавить учетную запись «Администратор» в качестве администратора DeviceLock (рисунок 2.3).

Рисунок 2.3 - Добавление администратора DeviceLock

2.2 Разграничение доступа к устройствам

Если у пользователя отсутствуют права доступа к данному устройству, будет возвращено сообщение об ошибке – «доступ запрещён». Необходимо запретить доступ учетной записи «user» к приводу DVD/CD-ROM (рисунок 2.4).

Рисунок 2.4 – Разрешения для устройств

На рисунке 2.5 представлен запрет пользователю «user» на использование DVD/CD-ROM.

Рисунок 2.5 – Запрет на пользование для «user»

Далее требуется разрешить пользователю «user» только чтение файлов со съемных носителей (рисунок 2.6).

Рисунок 2.6 - Разрешения для съемных устройств

Нужно проверить работоспособность данного разрешения, поэтому с помощью пользователя «user» нужно попробовать создать файл на съемном носителе. На рисунке 2.7 представлена ошибка при создании на съемном носителе.

Рисунок 2.7 – Ошибка при создании файла

Необходимо заново войти под учётной записью «Администратор» и установить пользователю «user» полный доступ к съёмным устройствам в будние дни с 8:00 до 17:00 (рисунок 2.8).

Рисунок 2.8 – Разграничения доступа к устройствам по дням недели и времени суток

2.3 Белый список устройств

Под учётной записью «Администратор» необходимо запретить доступ к USB-порту для учётной записи «user» (рисунок 2.9).

Рисунок 2.9 – Разрешения для USB-порта

Так как разграничению доступа подвергаются все USB-устройства, возникает необходимость делать исключения для USB-устройств, разрешённых к использованию в организации.

Исключения можно указывать двумя способами:

- через «Настройки безопасности» (рисунок 2.10);

- через «Белый список» на основе идентификации модели или конкретного экземпляра устройства.

Рисунок 2.10 – Настройка безопасности

Перед тем как устройство может быть авторизовано через белый список, оно должно быть добавлено в базу данных. Для это нужно перейти во вкладку «Устройства – Белый список USB» (рисунок 2.11), в контекстном меню выбрать «Управление». В появившемся окне (рисунок 2.12) перейти в «Базу данных USB-устройств».

Рисунок 2.11 – Переход к вкладке «Белый список USB»

Рисунок 2.12 - Белый список USB-устройств

Необходимо добавить в «Базу данных устройств» те USB-устройства, к которым необходимо разрешить доступ, выбрав устройство и нажав кнопку «Добавить» (рисунок 2.13).

Рисунок 2.13 - База данных USB-устройств

Чтобы разрешить пользователю «user» доступ к USB-устройству из базы данных, нужно добавить его учётную запись (рисунок 2.14).

Рисунок 2.14 – Добавление устройства в белый список пользователя

2.4 Аудит использования устройств

Применение аудита для пользователя «user» к съемным устройствам можно в разделе «Устройства – Аудит и теневое клонирование» (рисунок 2.15).

Рисунок 2.15 - Настройка аудита для съёмных устройств

Далее нужно войти под учётной записью «Администратор».

Доступ к результатам аудита можно получить во вкладке «Просмотрщик журнала аудита» (рисунок 2.16).

Журналы аудита могут храниться как в стандартных журналах ОС «Windows», так и в журналах DeviceLock. Для этого необходимо перейти во вкладку «Настройка сервиса – Аудит и теневое копирование» (рисунок 2.17).

Рисунок 2.16 – Просмотрщик журнала аудита

Рисунок 2.17 – Вкладка «Настройка сервиса – Аудит и теневое копирование»

Для того чтобы просмотреть журнал аудита через стандартный журнал «Windows», нужно запустить консоль управления «Пуск – Выполнить – MMC». В ней добавить оснастку «Просмотр событий» (рисунок 2.18). Вкладка «DeviceLock Log» предоставляет журнал аудита (рисунок 2.19).

Рисунок 2.18 – Добавление оснастки

Рисунок 2.19 – Вкладка «Devicelock Log»

2.5 Теневое копирование файлов

Теневое копирование позволяет сохранять копии всех файлов, которые пользователь копирует на съёмные носители или отправляет на печать. Сохранённые файлы могут быть в дальнейшем проанализированы на предмет наличия в них конфиденциальной информации.

Для включения для пользователя «user» теневого копирования файлов на съёмных устройствах. Нужно перейти в раздел DeviceLock «Устройства – Аудит и теневое копирование» (рисунок 2.20).

Рисунок 2.20 – Включение теневого копирования для съёмных устройств

Под учётной записью «user» нужно подключить съёмное устройство и скопировать на него текстовый или графический файл. Под учётной записью «Администратор» необходимо открыть раздел DeviceLock «Просмотрщик журнала теневого копирования» (рисунок 2.21).