На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Разграничение доступа к реестру ОС семейства Windows

Все сказанное выше по поводу разграничения доступа к системному диску относится и к настроечному реестру ОС. При этом объектами доступа здесь являются ветви и ключи реестра (по аналогии с файло­выми объектами). В данных объектах находятся настройки как собствен­но ОС, так и установленных на защищаемом компьютере приложений. Соответственно, доступ «на запись» пользователям к реестру ОС дол­жен быть запрещен.
Запрещать пользователям доступ «на запись» к реестру ОС следует не толь­ко с целью предотвращения возможной модификации ими настроек ОС и приложений, но и с целью предотвращения несанкционированной инстал­ляции пользователем программных средств (как правило, при инсталля­ции ПО осуществляется запись необходимой для программы настроечной
информации в реестр ОС).
Однако как сама ОС, так и приложения в процессе функционирования
могут обращаться к реестру не только «на чтение», но и «на запись». По­этому, при организации доступа к реестру так же как и к системному диску, следует разграничивать доступ для процессов и для пользователей. Права доступа процессов должны рассматриваться как эксклюзивно, так и со­вместно с правами пользователя.
При этом могут выделяться привилегированные процессы, которым не­обходимо разрешить права доступа к реестру «на запись» эксклюзивно. К таким процессам могут быть отнесены системные процессы ОС и при­ложений, а также процессы системы защиты информации.
Заметим, что ОС Windows, реализующие технологию NT, содержат встро­енный механизм разграничения доступа к реестру для пользователей. Однако он не обладает возможностями разграничивать доступ к реестру ОС для процессов, то есть не обеспечивает корректного решения задачи управления доступом.
Таким образом, диспетчер доступа к реестру ОС должен обеспечивать управление доступом к реестру ОС субъектам «ПОЛЬЗОВАТЕЛЬ» и
«ПРОЦЕСС». Причем права доступа субъекта «ПРОЦЕСС» могут уста­навливаться эксклюзивно. Эксклюзивные права доступа «на запись» сле­дует устанавливать привилегированным процессам, доступ же пользова­телям к реестру ОС должен разрешаться только «на чтение».
Отметим, что ключ реестра гипотетически может служить и для передачи информации между пользователями (если пользователь туда может записы­вать информацию). Поэтому реестр ОС следует рассматривать в качестве объекта, доступ к которому должен быть разграничен при реализации в си­стеме мандатного механизма управления доступом. При этом назначать ка­кие-либо метки безопасности элементам реестра ОС (ветвям и ключам) не
имеет никакого смысла. Однако необходимо учитывать реестр ОС как по­тенциально возможный объект, через который может передаваться инфор­мация между пользователями с различающимися метками безопасности.
Поэтому будем говорить, что реестр ОС это объект мандатного раз­граничения доступа (обязательно должен учитываться в схеме мандатно­го управления), которому при мандатном управлении доступом назначе­на метка МО. Напомним, что метка МО — признак исключения из схемы мандатного управления, то есть разграничения осуществляются дискре­ционным механизмом.
Дискреционным механизмом должны устанавливаться эксклюзивные права доступа «на запись» привилегированным процессам. Доступ же пользователям к реестру ОС должен разрешаться только «на чтение».
Ввод новых данных в систему при мандатном управлении доступом
Использование субъекта доступа «ПРОЦЕСС», а также возможности ис­ключения его из схемы управления доступом, позволяют корректно ре­шить задачу санкционированного ввода новых данных в систему.
Для мандатного механизма управления доступом выдвигается следующее формализованное требование [1]: система защиты при вводе новых дан­ных в систему должна запрашивать и получать от санкционированного пользователя классификационные уровни (метки безопасности) этих данных.
Подобное требование предполагает, что в систему могут вводиться но­вые данные, в частности, с внешних устройств ввода, например, с дис­ковода. Кроме того, предполагается, что в системе имеется санкциони­рованный (следовательно, авторизуемый) пользователь, который может
назначать метки безопасности вновь вводимым данным — относить вво­димые объекты к соответствующему классификационному уровню. При этом отметим, что текущий пользователь может ввести данные только определенного классификационного уровня (в соответствии с его допуском к информации). Поэтому в общем случае существует некоторое от-ветсвенное лицо, которое должно иметь возможность в соответсвии со своими правами вводить новые данные в компьютер. Причем это лицо может и не являться пользователем.
Благодаря возможности разграничивать доступ эксклюзивно для процес­сов , задачу санкционированного ввода данных можно решить следующим образом:
1. В системе устанавливается программа-проводник (например, про­грамма Far, Windows Commander и т.д.), предназначенная исключи­тельно для решения рассматриваемой задачи ввода новых данных.
2. Данной программе-проводнику назначается метка МО, т.е. про­грамма получает доступ к ресурсам вне мандатных разграничений.
3. Дискреционным механизмом управления доступом для данной про­граммы (соответствующего ей процесса) устанавливаются права
доступа к тем файловым объектам, куда могут быть внесены но­вые данные, и к тем устройствам, с которых могут быть внесены новые данные.
4. Чтобы разрешить ввод новых данных в систему под любым теку­щим пользователем (без перезагрузки компьютера), необходимо,
чтобы все пользователи имели право на запуск данной программы. При этом для данной программы-проводника реализуется режим
запуска с авторизацией ответственного лица (санкционированного
пользователя). При этом задается имя и пароль ответственного лица, которые могут не совпадать с учетными данными ни одного зареги­стрированного в системе пользователя. Причем запуск программы-проводника возможен только после авторизации ответственного лица под любым текущим пользователем.
Только ответственное лицо (санкционированный пользователь) под лю­бым текущим пользователем может запустить программу-проводник. При этом программе-проводнику назначена метка безопасности МО, т.е. для нее не разграничиваются права доступа мандатным механизмом управ­ления доступом. Соответственно, запустив данную программу, санкцио­нированный пользователь (под текущим пользователем — без перезагрузки компьютера) может ввести с внешнего устройства новые данные и раз­местить их в любом файловом объекте, т.е. отнести вводимые объекты к соответствующему классификационному уровню.
Механизмы принудительного использования оригинальных приложений
Принудительное использование оригинальных приложений при доступе к ресурсам
Включение в схему управления доступом субъекта «ПРОЦЕСС» предос­тавляет широкие возможности по принудительному применению на за­щищаемом объекте оригинальных приложений. Важность этого обуслов­лена тем, что большинство существующих приложений, применяемых на защищаемом компьютере, ориентированы на максимальную универсаль­ность, а не на максимальную защищенность. Кроме того, для решения некоторых функциональных задач обеспечения информационной безо­пасности может потребоваться применение оригинальных приложений, при условии, что пользователю будет дана возможность использовать именно эти приложения для доступа к ресурсам.
Принудительное использование оригинальных приложений состоит в том,
что доступ к ресурсу разрешается только определенному приложению и не разрешается стандартным приложениям.
Например, в качестве приложения-проводника может использоваться
специальная программа, дополнительно обеспечивающая обязательное шифрование файлового объекта при его сохранении (копировании) в общей папке (разделяемый сетевой ресурс на сервере). При этом дан­ные шифруются, как при передаче по каналу связи, так и при хранении на файл-сервере, при его вводе/выводе с/на дискету (например, диск А:, как файловый объект). Благодаря этому данные не могут быть перенесе­ны с использованием отчуждаемого физического носителя на незащищен­ный компьютер. Аналогично может быть реализована работа пользова­теля при доступе во внешнюю сеть.
Заметим, что данные задачи могут решаться и посредством разработки соответствующих драйверов, осуществляющих необходимые преобразова­ния автоматически («прозрачно» для пользователя). Данный же подход позволяет решать рассматриваемые задачи на уровне приложений.
Реализация активного симплексного канала  взаимодействия  субъектов доступа
Общие положения
Ранее отмечалось, что необходимым условием корректности используе­мого механизма управления доступом является реализация активного симплексного канала взаимодействия субъектов доступа, основанного на использовании операции «добавление» (что позволяет реализовать вир-
каналы взаимодействия субъектов доступа). Операция «добав­ление» -- это запись с предотвращением модификации существующих
файловых объектов. То есть запрещается копировать каталог или файл,
если в объекте, куда записываются данные, уже существует каталог или файл с таким именем.
Однако, как отмечалось ранее, для ОС семейства UNIX данная возможность не поддерживается, а для ОС Windows вообще не приходится говорить о корректности реализации дискреционной модели управления доступом.
Рассмотрим, как реализовать данную возможность механизмом добавоч­ной защиты на прикладном уровне.
Пусть добавочная система защиты содержит прикладную программу-про­водник, которая обладает следующими возможностями:
» может идентифицировать текущего пользователя в системе;
* имеет функцию «Обзор». Отличительной особенностью реализации данной функции является то, что в обзоре копируемых объектов должны отображаться только те файловые объекты, к которым теку­щий пользователь имеет доступ «на запись», а в обзоре объектов, куда осуществляется копирование, только те объекты, к которым текущий пользователь имеет доступ «на добавление»;
« выполнять функцию «копирование» («запись» без возможности сти­рания и модификации существующих файловых объектов).
Можно отметить, что практически всеми подобными возможностями обладает проводник Far. Однако при попытке скопировать файл, приво­дящей к модификации существующего файла, Far осуществляет запрос у пользователя на модификацию существующего файла. Рассматриваемый
нами проводник в подобной ситуации должен просто запрещать проце­дуру копирования, сообщая пользователю, что копирование файла с та­ким именем невозможно.
Установим разграничение доступа для процессов. При этом программе-
проводнику, обеспечивающей выполнение операции «добавление», сред­ствами диспетчера доступа разрешим доступ «на запись» в каталоги, в
которые пользователям необходимо добавлять информацию (таким об­разом организуем виртуальный канал взаимодействия субъектов досту­па). Остальным программам-проводникам (не поддерживающим выпол­нение операции «добавление») доступ к данным каталогам запретим.
Таким образом, оригинальная позволяет реализо вать виртуальный канал взаимодействия субъектов доступа с реализаци­ей атрибута доступа «добавление».
При реализации мандатного механизма управления доступом функцио­нальная сложность оригинальной программы-проводника несколько воз­растает. Это обусловливается тем, что операция «добавление» должна
быть реализована по-разному для различных файловых объектов — для каталогов (логических дисков или томов) и файлов.
Так если метки безопасности установлены не на файлы, а на включаю­щие объекты — каталоги, то при «добавлении» в каталог более высокого уровня (меньшее значение метки безопасности) должна выполняться операция копирования в данный каталог без возможности стирания и модификации существующих в каталоге файловых объектов.
Если метки безопасности устанавливаются на файлы, то операция «до­бавление» состоит не в переносе (копировании) файла, а в изменении
метки безопасности данного файла. При этом физически файл не пере­носится — не копируется.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика