5 семестр / Лаба 4
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего образования
«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
РАЗГРАНИЧЕНИЕ ДОСТУПА К УСТРОЙТВАМ
Отчет по лабораторной работе №4
по дисциплине «Безопасность операционных систем»
Студент гр. 711-2
_______Е.П. Толстолес
__.__.2023
Руководитель
Доцент каф. КИБЭВС
_______ А.Ю. Якимук
__.__.2023
Томск 2023
Введение
Целью работы состоит в практическом изучении принципов разграничения доступа к устройствам на основе программного продукта DeviceLock.
2 ХОД РАБОТЫ
2.1 Настройка DeviceLock Management Console
Сначала необходимо под учётной записью «Администратор». Запустить «DeviceLock Management Console» (рисунок 2.1).
Рисунок 2.1 - DeviceLock Management Console
Затем нужно подключить «DeviceLock Management Console» к компьютеру. Для этого в контекстном меню «Сервис DeviceLock» требуется выбрать «Подключиться…» и дополнительно включить настройку «Подключаться к локальному компьютеру при запуске» для автоматического подключения сервиса (рисунок 2.2).
Рисунок 2.2 - Подключение консоли DeviceLock
Затем нужно добавить учетную запись «Администратор» в качестве администратора DeviceLock (рисунок 2.3).
Рисунок 2.3 - Добавление администратора DeviceLock
2.2 Разграничение доступа к устройствам
Если у пользователя отсутствуют права доступа к данному устройству, будет возвращено сообщение об ошибке – «доступ запрещён». Необходимо запретить доступ учетной записи «user» к приводу DVD/CD-ROM (рисунок 2.4).
Рисунок 2.4 – Разрешения для устройств
На рисунке 2.5 представлен запрет пользователю «user» на использование DVD/CD-ROM.
Рисунок 2.5 – Запрет на пользование для «user»
Далее требуется разрешить пользователю «user» только чтение файлов со съемных носителей (рисунок 2.6).
Рисунок 2.6 - Разрешения для съемных устройств
Нужно проверить работоспособность данного разрешения, поэтому с помощью пользователя «user» нужно попробовать создать файл на съемном носителе. На рисунке 2.7 представлена ошибка при создании на съемном носителе.
Рисунок 2.7 – Ошибка форматирования съемного носителя
Необходимо заново войти под учётной записью «Администратор» и установить пользователю «user» полный доступ к съёмным устройствам в будние дни с 8:00 до 17:00 (рисунок 2.8).
Рисунок 2.8 – Разграничения доступа к устройствам по дням недели и времени суток
2.3 Белый список устройств
Под учётной записью «Администратор» необходимо запретить доступ к USB-порту для учётной записи «user» (рисунок 2.9).
Рисунок 2.9 – Разрешения для USB-порта
Так как разграничению доступа подвергаются все USB-устройства, возникает необходимость делать исключения для USB-устройств, разрешённых к использованию в организации.
Исключения можно указывать двумя способами:
через «Настройки безопасности» (рисунок 2.10);
через «Белый список» на основе идентификации модели или конкретного экземпляра устройства.
Рисунок 2.10 – Настройка безопасности
Перед тем как устройство может быть авторизовано через белый список, оно должно быть добавлено в базу данных. Для это нужно перейти во вкладку «Устройства – Белый список USB» (рисунок 2.11), в контекстном меню выбрать «Управление». В появившемся окне (рисунок 2.12) перейти в «Базу данных USB-устройств».
Рисунок 2.11 – Переход к вкладке «Белый список USB»
Рисунок 2.12 - Белый список USB-устройств
Необходимо добавить в «Базу данных устройств» те USB-устройства, к которым необходимо разрешить доступ, выбрав устройство и нажав кнопку «Добавить» (рисунок 2.13).
Рисунок 2.13 - База данных USB-устройств
Чтобы разрешить пользователю «user» доступ к USB-устройству из базы данных, нужно добавить его учётную запись (рисунок 2.14).
Рисунок 2.14 – Добавление устройства в белый список пользователя
2.4 Аудит использования устройств
Применить аудит для пользователя «user» к съемным устройствам можно в разделе «Устройства – Аудит и теневое клонирование» (рисунок 2.15).
Рисунок 2.15 - Настройка аудита для съёмных устройств
Далее нужно войти под учётной записью «Администратор». Доступ к результатам аудита можно получить во вкладке «Просмотрщик журнала аудита» (рисунок 2.16).
Журналы аудита могут храниться как в стандартных журналах ОС «Windows», так и в журналах DeviceLock. Для этого необходимо перейти во вкладку «Настройка сервиса – Аудит и теневое копирование» (рисунок 2.17).
Рисунок 2.16 – Просмотрщик журнала аудита
Рисунок 2.17 – Вкладка «Настройка сервиса – Аудит и теневое копирование»
2.5 Теневое копирование файлов
Теневое копирование позволяет сохранять копии всех файлов, которые пользователь копирует на съёмные носители или отправляет на печать. Сохранённые файлы могут быть в дальнейшем проанализированы на предмет наличия в них конфиденциальной информации.
Для включения для пользователя «user» теневого копирования файлов на жестких дисках, нужно перейти в раздел DeviceLock «Устройства – Аудит и теневое копирование» (рисунок 2.18).
Рисунок 2.18 – Включение теневого копирования для жестких дисков
Выбор места хранения теневых копий файлов возможен в разделе «Настройки сервиса – Аудит и теневое копирование – Локальная директория» (рисунок 2.20).
Рисунок 2.20 - Каталог хранения для теневого копирования
2.5 Индивидуальное задание
На рисунке 2.21 представлено задание согласно 2 варианту.
Рисунок 2.21 – Индивидуальное задание
На рисунках 2.22 – 2.24 представлены разрешения для съёмных устройств, USB-порта и WI FI согласно рисунку 2.21.
Рисунок 2.22 – Разрешения для съёмных устройств
Рисунок 2.23 – Аудит событий USB-порта
Рисунок 2.24 – Разрешения для WI FI
Заключение
В ходе лабораторной работы были изучены принципы разграничения доступа к устройствам на основе программного продукта DeviceLock и выполнены задания согласно варианту 2. Во время выполнения работы трудности не возникли.
Отчет составлен согласно ОС ТУСУР 2021.