Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

РАЗГРАНИЧЕНИЕ ДОСТУПА К УСТРОЙТВАМ

Отчет по лабораторной работе №4

по дисциплине «Безопасность операционных систем»

Студент гр. 711-2

_______Е.П. Толстолес

__.__.2023

Руководитель

Доцент каф. КИБЭВС

_______ А.Ю. Якимук

__.__.2023

Томск 2023

Введение

Целью работы состоит в практическом изучении принципов разграничения доступа к устройствам на основе программного продукта DeviceLock.

2 ХОД РАБОТЫ

2.1 Настройка DeviceLock Management Console

Сначала необходимо под учётной записью «Администратор». Запустить «DeviceLock Management Console» (рисунок 2.1).

Рисунок 2.1 - DeviceLock Management Console

Затем нужно подключить «DeviceLock Management Console» к компьютеру. Для этого в контекстном меню «Сервис DeviceLock» требуется выбрать «Подключиться…» и дополнительно включить настройку «Подключаться к локальному компьютеру при запуске» для автоматического подключения сервиса (рисунок 2.2).

Рисунок 2.2 - Подключение консоли DeviceLock

Затем нужно добавить учетную запись «Администратор» в качестве администратора DeviceLock (рисунок 2.3).

Рисунок 2.3 - Добавление администратора DeviceLock

2.2 Разграничение доступа к устройствам

Если у пользователя отсутствуют права доступа к данному устройству, будет возвращено сообщение об ошибке – «доступ запрещён». Необходимо запретить доступ учетной записи «user» к приводу DVD/CD-ROM (рисунок 2.4).

Рисунок 2.4 – Разрешения для устройств

На рисунке 2.5 представлен запрет пользователю «user» на использование DVD/CD-ROM.

Рисунок 2.5 – Запрет на пользование для «user»

Далее требуется разрешить пользователю «user» только чтение файлов со съемных носителей (рисунок 2.6).

Рисунок 2.6 - Разрешения для съемных устройств

Нужно проверить работоспособность данного разрешения, поэтому с помощью пользователя «user» нужно попробовать создать файл на съемном носителе. На рисунке 2.7 представлена ошибка при создании на съемном носителе.

Рисунок 2.7 – Ошибка форматирования съемного носителя

Необходимо заново войти под учётной записью «Администратор» и установить пользователю «user» полный доступ к съёмным устройствам в будние дни с 8:00 до 17:00 (рисунок 2.8).

Рисунок 2.8 – Разграничения доступа к устройствам по дням недели и времени суток

2.3 Белый список устройств

Под учётной записью «Администратор» необходимо запретить доступ к USB-порту для учётной записи «user» (рисунок 2.9).

Рисунок 2.9 – Разрешения для USB-порта

Так как разграничению доступа подвергаются все USB-устройства, возникает необходимость делать исключения для USB-устройств, разрешённых к использованию в организации.

Исключения можно указывать двумя способами:

• через «Настройки безопасности» (рисунок 2.10);

• через «Белый список» на основе идентификации модели или конкретного экземпляра устройства.

Рисунок 2.10 – Настройка безопасности

Перед тем как устройство может быть авторизовано через белый список, оно должно быть добавлено в базу данных. Для это нужно перейти во вкладку «Устройства – Белый список USB» (рисунок 2.11), в контекстном меню выбрать «Управление». В появившемся окне (рисунок 2.12) перейти в «Базу данных USB-устройств».

Рисунок 2.11 – Переход к вкладке «Белый список USB»

Рисунок 2.12 - Белый список USB-устройств

Необходимо добавить в «Базу данных устройств» те USB-устройства, к которым необходимо разрешить доступ, выбрав устройство и нажав кнопку «Добавить» (рисунок 2.13).

Рисунок 2.13 - База данных USB-устройств

Чтобы разрешить пользователю «user» доступ к USB-устройству из базы данных, нужно добавить его учётную запись (рисунок 2.14).

Рисунок 2.14 – Добавление устройства в белый список пользователя

2.4 Аудит использования устройств

Применить аудит для пользователя «user» к съемным устройствам можно в разделе «Устройства – Аудит и теневое клонирование» (рисунок 2.15).

Рисунок 2.15 - Настройка аудита для съёмных устройств

Далее нужно войти под учётной записью «Администратор». Доступ к результатам аудита можно получить во вкладке «Просмотрщик журнала аудита» (рисунок 2.16).

Журналы аудита могут храниться как в стандартных журналах ОС «Windows», так и в журналах DeviceLock. Для этого необходимо перейти во вкладку «Настройка сервиса – Аудит и теневое копирование» (рисунок 2.17).

Рисунок 2.16 – Просмотрщик журнала аудита

Рисунок 2.17 – Вкладка «Настройка сервиса – Аудит и теневое копирование»

2.5 Теневое копирование файлов

Теневое копирование позволяет сохранять копии всех файлов, которые пользователь копирует на съёмные носители или отправляет на печать. Сохранённые файлы могут быть в дальнейшем проанализированы на предмет наличия в них конфиденциальной информации.

Для включения для пользователя «user» теневого копирования файлов на жестких дисках, нужно перейти в раздел DeviceLock «Устройства – Аудит и теневое копирование» (рисунок 2.18).

Рисунок 2.18 – Включение теневого копирования для жестких дисков

Выбор места хранения теневых копий файлов возможен в разделе «Настройки сервиса – Аудит и теневое копирование – Локальная директория» (рисунок 2.20).

Рисунок 2.20 - Каталог хранения для теневого копирования

 

2.5 Индивидуальное задание

На рисунке 2.21 представлено задание согласно 2 варианту.

Рисунок 2.21 – Индивидуальное задание

На рисунках 2.22 – 2.24 представлены разрешения для съёмных устройств, USB-порта и WI FI согласно рисунку 2.21.

Рисунок 2.22 – Разрешения для съёмных устройств

Рисунок 2.23 – Аудит событий USB-порта

Рисунок 2.24 – Разрешения для WI FI

Заключение

В ходе лабораторной работы были изучены принципы разграничения доступа к устройствам на основе программного продукта DeviceLock и выполнены задания согласно варианту 2. Во время выполнения работы трудности не возникли.

Отчет составлен согласно ОС ТУСУР 2021.