Реализация дискреционного метода контроля доступа

Субъекты доступа в общем случае (что, как отмечали ранее, является одним из важнейших требований к реализации дискреционного контроля доступа в современных условиях) назначаются тремя сущностями: исходное имя (SID) пользователя, эффективное имя пользователя, имя процесса - полнопутевоеимя исполняемого файла процесса, из интерфейса, представленного на рис.26 [11]. При задании субъекта доступа могут использоваться маски и переменные среды окружения. Например, маска «*» (все или любой) позволяет не учитывать отдельные сущности субъекта доступа в разграничительной политике (например, если маску «*» указать в имени процесса субъектов доступа, то разграничительная политика будет применяться только в отношении пользователей). Например, маской «Е:Рго§гатРПе8*» можно задать все исполняемые файлы (процессы), запускаемые из этой папки, маской «*.ехе» — все исполняемые файлы с расширением «ехе»и т.д.

адание и отображение в интерфейсе субъектов доступа

Рисунок 26.3адание и отображение в интерфейсе субъектов доступа

Основной принцип контроля доступа к создаваемым файлам, как отмечали, состоит в исключении сущности «объект доступа» из разграничительной политики как таковой (ввиду ее отсутствия на момент задания администратором правил доступа субъектов к объектам). Разграничение (контроль доступа) реализуется непосредственно между субъектами доступа к создаваемым ими файлам.

Реализуется контроль доступа следующим образом [11]. При создании субъектом нового файла средством контроля доступа (диспетчером доступа) создаваемый файл автоматически размечается -файлом наследуется учетная информация субъекта доступа (определяемая соответствующими тремя сущностями), создавшего этот файл. Данная информация размещается диспетчером доступа в атрибутах созданного файла. При запросе же доступа к любому файлу диспетчер доступа анализирует наличие, а при наличии- содержимое унаследованной файлом учетной информации создавшего его субъекта доступа. Это осуществляется посредством считывания и анализа атрибутов файла, к которому запрошен доступ.

В соответствии с заданными администратором правилами разграничения доступа, которые назначаются исключительно между субъектами доступа из интерфейса, см. рис.27, диспетчер доступа предоставляет запрошенный субъектом доступ либо отказывает в нем, признавая тем самым запрос доступа несанкционированным.

адание и отображение в интерфейсе правил доступа к создаваемым

Рисунок 27.3адание и отображение в интерфейсе правил доступа к создаваемым

файлам

В двух словах скажем о назначении правил доступа. В правом столбце интерфейса «Выберите субъектов создателей», см. рис.27, задаются те субъекты (из заведенных администратором ранее из интерфейса, представленного на рис.26), последующий доступ к файлам, создаваемым которыми, будет контролироваться (разграничиваться). Для каждого заданного в правом столбце интерфейса субъекта, в левом столбце интерфейса - «Выберите субъектов, осуществляющих доступ», задаются субъекты, которым разрешается доступ к файлам, создаваемым заданным субъектом- создателем, и назначаются права доступа к этим файлам (чтение, запись, переименование, удаление), а так же режимы аудита.

Замечания.

  • 1) По умолчанию всем пользователям запрещено исполнение создаваемых контролируемым субъектом файлов (субъектом, определенным как субъектом создателем, см. рис.27), поэтому соответствующее правило доступа не выносится в интерфейс настройки разграничительной политики доступа.
  • 2) По умолчанию разрешен полный доступ (чтение, запись, удаление, переименование) субъектов к создаваемым ими же файлам (этим реализуется каноническая матрица доступа, расширяемая заданием последующих правил). Поэтому при выборе одноименных субъекта- создателя и субъекта, осуществляющего доступ, см. рис.27, откроется интерфейс с усеченными возможностями настройки, предоставляющий возможность установить только режим аудита доступа.

Администратор с использованием соответствующей утилиты в данном случае также может посмотреть произведенную в процессе работы системы разметку файлов, созданных контролируемыми субъектами, — учетную информацию (имя пользователя с учетом возможного олицетворения и имя процесса, создавшего файл), см. рис.28.

тображение разметки созданных контролируемыми пользователями файлов при дискреционном контроле доступа

Рисунок 28.0тображение разметки созданных контролируемыми пользователями файлов при дискреционном контроле доступа

Для использования данного механизма защиты с целью реализации контроля доступа к статичным (системным) файлам предусмотрена возможность ручной разметки статичных файлов администратором. Эта задача администрирования решается при помощи специальной утилиты, интерфейс которой представлен на рис.29.

Для осуществления разметки администратору требуется выбрать в интерфейсе размечаемый им файловый объект (диск, каталог или файл). Как ранее говорили, имеет смысл размечать каталоги Vindows и Рго?гатРПе8, и задать учетную информацию субъекта (имя пользователя при необходимости и имя процесса - имя его исполняемого файла), которая будет унаследована размечаемыми администратором файлами (соответственно, всеми файлами, располагаемыми в выбранном каталоге либо на выбранном диске). В качестве имени пользователя, используемого при разметке статичных (системных) файлов, как отмечали, имеет смысл использовать имя учетной записи администратора (ведь именно им создаются на компьютере системные файлы), в качестве имени процесса при этом можно использовать маску «*» (любой).

Настройкой разграничительной политики доступа из интерфейса, см. рис.27, следует предоставить возможность только чтения и исполнения всеми интерактивными пользователями файлов, созданных администратором. Администратор, имеющий при этом полный доступ к системным объектам, сможет их модифицировать. При создании же администратором новых системных объектов (например, при установке новых приложений), их файлами будет наследоваться учетная информация администратора, создавшего эти файлы.

Интерфейс утилиты ручной разметки статичных файлов

Рисунок 29.Интерфейс утилиты ручной разметки статичных файлов

В журнале аудита в зависимости от заданных правил аудита (фиксируются все события либо только отказы запрашиваемого доступа) запоминаются и отображаются соответствующие события. Пример журнала для мандатного контроля доступа с отображением в нем попыток несанкционированного доступа к файлам приведен на рис.30.

ЗО.Оз обряжение попыток несанкционированною доступа

Рисунок ЗО.Оз обряжение попыток несанкционированною доступа

в журнале аудита

При необходимости, используя интерфейс настройки механизма защиты, представленный на рис.31, можно исключить из разметки требуемые файловые объекты (каталоги или файлы), при записи в них автоматической разметки файлов производиться не будет. Например, это могут быть системные каталоги, см. рис.31.

Интерфейс задания файловых объектов, исключаемых из схемы контроля доступа к создаваемым файлам

Рисунок 31. Интерфейс задания файловых объектов, исключаемых из схемы контроля доступа к создаваемым файлам
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >