На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Управление доступом к каталогам, не разделяемым системой и приложениями

Наличие в системе каталогов, не разделяемых между пользователями, и связанные с этим сложности
При работе ОС семейства Windows (прежде всего, Windows 9x/Me) и приложений существует ряд каталогов, в общем случае не разделяемых системой или приложениями между пользователями. К таким каталогам можно отнести «корзину» (каталог RECYCLED), переменные окружения (каталоги TEMP, TMP), каталог «Мои документы», различные каталоги
приложений для хранения временной информации и др. При этом для
некоторых приложений, предполагающих автосохранение информации, нельзя запретить доступ какому-либо пользователю в данные каталоги. Причем информация в них записывается автоматически приложением.
Таким образом, существуют каталоги, для которых невозможно разгра­ничить доступ пользователям. При этом либо пользователи, которым запрещен доступ к рассматриваемым каталогам, не смогут работать с приложением, либо им не сможет предоставляться необходимый сервис,
например, работа с «Корзиной».
Наличие подобных объектов в системе не позволяет говорить о коррек­тности решения задачи управления доступа в целом. В результате они должны быть реализованы добавочными средствами управления.
Если обозначить группу объектов файловой системы (каталогов), не раз­деляемых системой между пользователями, как Он, то матрица доступа D принимает вид, представленный ниже. В матрице D использовано обозначение «ПД» -- права доступа, на­значаемые в зависимости от реализуемого канала взаимодействия субъектов доступа. Как следует из представленной матрицы, коррект­но реализовать управление доступом (особенно мандатный механизм)
в данном случае невозможно -- все пользователи имеют полный дос­туп к группе каталогов Он.
Технология переадресации запросов
Возможный подход к решению рассматриваемой проблемы заключается в технологии переадресации запросов доступа к объектам файловой сис­темы (каталогам), не разделяемым системой между пользователями. При этом предлагается следующее решение. Для каждого пользователя сред­ствами диспетчера доступа для неразделяемого объекта реализуется со­ответствующий собственный объект. Например, для каталога «Корзина» заводятся каталоги «Корзина 1» для первого пользователя, «Корзина 2» для второго пользователя и т.д.
При записи информации системой или приложением в неразделяемый
каталог (соответственно, чтении из каталога) диспетчер доступа перенап­равляет информацию в (из) соответствующий каталог текущего пользо­вателя. Например, если текущим пользователем является первый пользо­ватель, то при сохранении информации в каталог «Корзина» данная информация будет перенаправлена диспетчером доступа и сохранена в
каталоге «Корзина 1».
При этом механизм перенаправления запросов к неразделяемым систе­мой объектам должен обрабатывать запрос перед механизмом управле­ния доступом. Средствами механизма управления доступом файловой системе разграничиваются права доступа к каталогам, в которые пере­направляется информация. Например, доступ к каталогу «Корзина 1» сле­дует разрешить только первому пользователю, а остальным — запретить.
Таким образом данный механизм позволяет обеспечить отсутствие общих ресурсов файловой системы для пользователей.
В результате непосредственно в исходных неразделяемых системой ка­талогах ТМР, TEMP, «Корзина», «Мои документы» и т.д., запрос досту­па к которым переадресуется, информация сохраняться не будет, т.е. данные каталоги становятся в системе виртуальными и к ним нет необ­ходимости разграничивать доступ.
Матрица доступа D при реализации данной технологии переадресации запросов, примет следующий вид.
В данной матрице введены дополнительные объекты доступа: множество
объектов Юн1,
Онк} — это объекты! (группы объектов), созданные для
субъектов Ck для переадресации в них запросов, осуществляемых
пользователями к неразделяемому системой объекту (группе объектов).
Знак «-» обозначает, что это виртуальный обыект, в котором не произ­водится сохранение данных и к которому не может быть доступа субъекта.
Как видим из данной матрицы (реализована каноническая модель), тех­нология перенаправления запросов к неразделяемым системой объектам позволяет выполнять требования к корректности управления доступом.
0
Практическая реализация
4 приведена схема обработки запроса доступа к неразделяе­мому системой объекту, реализованная автором в КСЗИ «Панцирь».
Работает система следующим образом. Для каждого каталога, создавае­мого ОС или приложениями, доступ к которому не может быть разграничей для пользователей, например, \RECYCLED, создаются соответству­ющие каталоги, к которым осуществляется переадресация запроса дос­тупа, например, каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя и т.д. В результате каталог доступ к которо­му не может быть разграничен для пользователей становится виртуаль­ным (физически в него не может быть записан и, соответственно, из него не может быть считан ни один файл).
В блоке 5 прописываются разграничения доступа для данных каталогов. В частности к каталогу C:\user 1 разрешается доступ только первому пользователю (остальным запрещается), к каталогу C:\user 2 разреша­ется доступ только второму пользователю (остальным запрещается) и т.д.
При обращении приложением (например, программой Word) к файло­вым объектам, приложение выдает на вход 7 запрос доступа, в котором указывается, к какому файловому объекту запрашивается доступ и какую
операцию необходимо выполнить над файловым объектом.
При входе пользователя в систему (со входа 6) блоком 1 осуществляется его авторизация (проверяется имя и пароль). Имя текущего пользовате­ля блоком 1 передается в блок 5, который содержит данные о разграни­чительной политике доступа каждого пользователя к файловым объек­там (логическим дискам, каталогам, файлам) -- к каким файловым
объектам доступ разрешен пользователю и какие права доступа к файло­вому объекту ему разрешены. Кроме того, имя текущего пользователя пе­редается в блок 3, который формирует переадресацию запроса доступа для текущего пользователя.
Блок 2 выявляет, к какому каталогу запрошен доступ, если к каталогу, к которому не производится переадресации, то блок 2 транслирует исход­ный запрос через блок 4 в блок 5. В противном случае — передает зап­рос в блок 3. В блоке 3 для каждого каталога, доступ к которому переад­ресуется, содержится список переадресуемых каталогов — для каждого
пользователя задан переадресуемый каталог, например, для каталога C:\RECYCLED задан следующий список: каталог C:\user 1 для первого пользователя, C:\user 2 для второго пользователя, и т.д.
Блоком 3 в исходный запрос вместо имени запрашиваемого каталога подставляется имя переадресуемого каталога для текущего пользователя
(имя текущего пользователя поступает в блок 3 из блока 1) и сформиро­ванный таким образом запрос через блок 4 поступает в блок 5, который
сравнивает параметры запроса с правами доступа текущего пользовате­ля. Если запрашиваемый приложением доступ текущему пользователю разрешен, запрос выдается на выход 8, в противном случае, на выход 9 блоком 5 формируется отказ приложению в запрашиваемом доступе.
Рассмотренный механизм может использоваться и для разделения объек­тов средствами защиты информации с целью решения различных функ­циональных задач защиты. Например, может быть осуществлено пере­направление к файлу Normal.dot каталога «Шаблоны» для пользователей. В этом файле располагаются макросы Microsoft Office. Перенаправление позволит задавать для каждого пользователя свой набор макросов.
В совокупности с механизмом контроля целостности данных перенаправ­ленных файлов (этот механизм будет рассмотрен ниже) можно, с одной
стороны, противодействовать атакам большой группы вирусов, а с другой стороны — фиксировать эталонный набор макросов не для защищаемого
компьютера в целом, а для каждого пользователя в отдельности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика