- •Общие сведения
- •Сигнатурный анализ
- •Эвристический анализ
- •Поиск вирусов, похожих на известные
- •Поиск вирусов, выполняющих подозрительные действия
- •Дополнительные средства
- •Модуль обновления
- •Модуль планирования
- •Модуль управления
- •Карантин
- •Методика тестирования
- •Подготовка к работе
- •Выполнение работы Антивирус Касперского
- •Контрольные вопросы
- •1.Цель работы
- •2.Краткие теоретические сведения
- •2.1.Назначение и принцип работы"Аккорд- nt/2000" V. 2.0
- •3.Порядок работы на защищенной пэвм (рс)
- •3.1.Выполнение контрольных процедур:
- •3.1.1.Процедура идентификации
- •3.1.2.Процедура аутентификации
- •3.2.Проверка целостности аппаратуры пэвм (рс), системных областей, системных файлов, программ и данных
- •3.2.1.Смена пароля
- •3.2.2.Работа с хранителем экрана
- •3.2.3.Возобновление работы.
- •3.3.Завершение работы и выход из системы
- •4.Сообщения программых средств комплекса и порядок действий пользователя по ним.
- •5.Принятые термины и сокращения
- •6.Описание редактора параметров (атрибутов)доступа пользователей ,используемых в комплексе сзи нсд "Аккорд-nt/2000" V.2.0.
- •6.1 Назначение программы
- •6.2.Запуск редактора прав доступа внимание!
- •6.2.1.Порядок запуска программы aced32
- •6.2.2.Сообщения, выдаваемые программой при ее запуске, и порядок действий по ним:
- •6.3.Выход из программы
- •6.3.1.Сообщения, выдаваемые программой при выходе из нее, и порядок действий по ним:
- •6.4.Информация о программе
- •6.5.Регистрация новой группы пользователей.
- •6.6.Редактирование параметров пользователей (прав доступа)
- •6.6.1.Регистрация нового пользователя
- •6.6.2.Сообщения, выдаваемые при регистрации пользователей, и порядок действий по ним:
- •6.6.3.Архивация параметров пользователя
- •6.6.4.Удаление пользователя из списка зарегистрированных
- •Внимание!
- •6.6.5.Переименование пользователя в списке
- •6.6.6.Сообщения, выдаваемые программой при регистрации пользователей, и порядок действий по ним:
- •6.6.7.Поиск пользователя по тм-идетнификатору
- •6.6.8.Сообщения, выдаваемые программной при поиске тм-идентификаторов пользователей, и порядок действий по ним:
- •6.6.9.Синхронизация параметров пользователя
- •6.6.10.Сообщения, выдаваемые программой при синхронизации парметров пользователей, и порядок действий по ним:
- •6.7.Администрирование подсистемы разграничения доступом
- •6.7.1.Задание имени пользователя
- •6.7.2.Регистрация тм пользователя
- •6.7.3.Возможны три варианта работы с ключами пользователей:
- •1). "Уже записан в тм"
- •2). "Сгенерировать"
- •3). "Потерян"
- •6 .7.4.Сообщения, выдаваемые программой при регистрации тм пользователей, и порядок действий по ним:
- •6.7.5.Задание пароля пользователя
- •6.7.6.Сообщения, выдаваемые программой при вводе пароля пользователя, и порядок действий по ним:
- •6.8.Установка параметров пароля в главном окне
- •6.9.Установка детальности протокола работы пользователей
- •6.9.1.Сообщения, выдаваемые программой при установке режима гашения экрана, и порядок действий по ним:
- •6.10.Установка временных ограничений для сеанса работы пользователя
- •6.11.Установка правил разграничения доступа (прд) к объектам доступа
- •6.12.Установка доступа к объектам с использованием дискреционного метода прд.
- •Внимание!
- •Операции с файлами:
- •Операции с каталогом:
- •Прочее:
- •Регистрация:
- •6.13.Сообщения, выдаваемые программой при установке дискреционных прд, и порядок действий по ним:
- •6.14.Установка доступа к объектам с использованием мандатного метода контроля прд.
- •6.15.Контроль целостности файлов.
- •6.15.1"Статический" контроль целостности файлов
- •6.15.2."Динамический" контроль целостности файлов
- •«Контроль целостности файлов для (указывается имя_пользователя)».
- •7.Установка опций настройки
- •8.Порядок выполнения лабораторной работы №1
- •8.1. Задание к лабораторной работе
- •8.2. Аппаратное и программное обеспечение, необходимое для проведения работы
- •8.3 Ход работы
- •9. Содержание отчета
- •10 Контрольные вопросы
- •1.Цель работы
- •2. Краткие теоретические сведения
- •2.1. Назначение и основные возможности Secret Net 5
- •2.2.Контроль аппаратной конфигурации
- •2.2.1.Изменение политики контроля устройств
- •2.2.2.Изменение перечня регистрируемых событий
- •2.2.3.Изменение режима работы
- •2.2.4.Утверждение конфигурации
- •2.2.5.Настройка избирательного разграничения доступа.
- •2.2.6.Назначение прав доступа пользователей к устройствам
- •2.2.7.Настройка аудита успехов и отказов
- •2.2.8.Настройка режима работы механизма
- •2.3.Механизм полномочного разграничения доступа
- •2.3.1.Порядок настройки
- •2.3.1.1.Назначение уровня допуска и привилегий пользователям
- •2.3.1.2.Присвоение категорий конфиденциальности ресурсам
- •2.4.Разработка модели данных для кц
- •2.5.Формирование заданий и включение в них задач
- •4. Содержание отчета
- •5. Контрольные вопросы
6.13.Сообщения, выдаваемые программой при установке дискреционных прд, и порядок действий по ним:
Сообщение |
Причина |
Порядок действий |
«Сохранить изменения для объекта (указывается имя_объекта доступа)?» |
После изменения ПРД выделенного объекта не сохранены измене-ния |
«Да» - сохранить изменения «Нет» - не сохранять изменения. |
6.14.Установка доступа к объектам с использованием мандатного метода контроля прд.
Если в файле accord.ini установлен параметр MandatoryAccess=Yes то включается мандатный механизм задания и контроля ПРД. В главном окне программы (Рис. 2) нажмите мышкой кнопку в строке "Разграничение доступа", и на экран выводится окно с правами доступа пользователя к ресурсам ПЭВМ (Рис.19).
Рис. 19. Права доступа с использованием мандатного механизма ПРД.
К роме дискреционных меток доступа к объекту, у каждого объекта появляется дополнительный атрибут – метка доступа. В главном окне программы (Рис. 2) становится доступной кнопка "Уровень доступа" на панели инструментов и пункт меню "Уровень доступа" в меню "Команды". С помощью этой команды можно установить уровень доступа пользователя (Рис. 20).
Рис. 20. Установка уровня доступа пользователя.
Мандатный механизм доступа реализуется по следующему правилу: если уровень доступа пользователя (субъекта) выше или равен метке доступа каталога, файла, сетевого ресурса (объекта) то доступ к объекту предоставляется данному субъекту. Если при этом установлены дискреционные ПРД, то операции, которые пользователь может выполнять с разрешенным объектом, определяются этими ПРД.
Д ля присвоения объектам меток доступа нажмите кнопку на панели инструментов с изображением дерева каталогов, или выберите пункт «Мандатный доступ» в меню "Команды". Выводится окно со списком объектов (Рис. 21).
Рис. 21. Атрибуты доступа к объекту при использовании мандатного контроля ПРД.
По умолчанию всем объектам присваивается самый низкий уровень – общедоступно. Для изменения метки доступа установите курсор на нужную строку и нажмите Enter, или мышью кнопку «Редактировать». Откроется окно, в котором для объекта доступны только два параметра – уровень доступа и наследование прав доступа. Уровень доступа можно изменить, нажав мышью на кнопку в строке «Уровень доступа» и выбрать значения из списка.
Если необходимый Вам объект отсутствует в списке (Рис. 21), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится расширенное окно «Атрибуты доступа к объектам» (Рис. 22.). Справа в этом окне отображен список всех объектов. Введите в поле «Имя объекта» имя объекта и установите для него необходимые атрибуты. С помощью мыши также можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» - его тип (каталог, файл, реестр). В правом нижнем секторе окна доступна функция установке меток доступа объекта. Установите указатель мыши на стрелку в правой части строки "Уровень доступа" и нажмите левую кнопку мыши. Появится список, из которого можно выбрать значение метки доступа выбранного объекта. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>.
Рис. 22. Определение нового объекта и установка его метки доступа.
В мандатном механизме доступа СЗИ "Аккорд-NT/2000" v.2.0 реализована весьма важная с точки зрения безопасности и создания ИПС (изолированной программной среды) функция – это мандатный доступ к объектам со стороны такого субъекта, как процесс (задача), который загружен в оперативную память ПЭВМ. В окне прав доступа пользователя к ресурсам ПЭВМ (Рис.19) кроме закладки "Объекты", доступна закладка "Процессы". Если щелкнуть по ней левой кнопкой мыши, то на экран выводится список процессов (Рис. 23).
Рис. 23. Установка атрибутов мандатного доступа для процессов в оперативной памяти.
При первом запуске программы ACED32.EXE с включенной дисциплиной мандатного доступа в список процессов заносятся все процессы, которые в данный момент находятся в оперативной памяти ПЭВМ и им устанавливается по умолчанию уровень доступа "Общедоступный", т.е. самый низкий. Если необходимый Вам объект отсутствует в списке (Рис. 23), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится окно установки уровня доступа (Рис. 24). Имя процесса вводится без указания пути, т.к. это процесс в памяти, но с расширением. Уровень доступа выбирается из списка. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «ОК». Для изменения уровня доступа процесса в разделе «Процессы» выберите строку с нужным именем и нажмите кнопку «Редактировать» или клавишу <Enter>.
Список процессов с установленными уровнями доступа в наиболее простом и наглядном виде отражает концепцию изолированной программной среды, т.к. при выполнении мандатной дисциплины доступа запускаться на исполнение будут процессы только из этого списка.
Рис. 24. Установка уровня доступа процесса.
В системе атрибутов СЗИ "Аккорд-NT/2000" v.2.0 исполняемый файл может выступать и как объект, и как субъект. Файл на жестком диске – это объект, которому установлена метка доступа и запустить такой файл на исполнение может пользователь с соответствующим уровнем доступа. После загрузки исполняемого файла в оперативную память, он уже как субъект имеет установленный уровень доступа к объектам. В такой системе атрибутов возможна реализация такой политики безопасности, что обработка объектов с определенной меткой доступа возможна только с помощью процессов соответствующего уровня доступа.
Если для всех зарегистрированных пользователей, входящих в определенную группу, должна выполняться единая политика безопасности с использованием мандатного механизма разграничения доступа, то достаточно вначале установить правила доступа для группы. В файле Accord.ini параметру OnlyGroupMandatory присвоить значение Yes. В этом случае для каждого пользователя из этой группы будут действовать мандатные ПРД группы.