В windows разграничения прав пользователей называется - Windowsa.top

Статья о разграничении прав доступа в операционных системах Windows: дискретном и мандатном. В статье рассматриваются разграничения прав доступа к папкам и файлам на уровне операционной системы Windows и с помощью Secret Net.

Содержание:

Разграничение прав доступа на уровне операционной системы (дискретное разграничение в Windows)
Разграничение прав доступа с помощью Secret Net

Дискретное разграничение прав доступа

Для того, что бы настроить правила безопасности для папок нужно воспользоваться вкладкой «Безопасность». В Windows XP эта вкладка отключена по умолчанию. Для ее активации нужно зайти в свойства папки (Меню «Сервис» -> «Свойства папки» -> «Вид») и снять флажок «Использовать простой общий доступ к файлам».

Основные права доступа к папкам

В файловой системе NTFS в Windows XP существует шесть стандартных разрешений:

Полный доступ;
Изменить;
Чтение и выполнение;
Список содержимого папки;
Чтение;
Запись.

В Windows 10 нет стандартного разрешения «Список содержимого папки».

Эти разрешения могут предоставляться пользователю (или группе пользователей) для доступа к папкам и файлам. При этом право «Полный доступ» включат в себя все перечисленные права, и позволяет ими управлять.

Права доступа назначаются пользователю для каждого объекта (папки и файла). Для назначения прав нужно открыть меню «Свойства» и выбрать вкладку «Безопасность». После этого выбрать необходимо пользователя, которому будут назначаться разрешения.

Создайте папки по названиям разрешений, всего у вас будет 6 папок для Windows XP и для Windows 10. Я рассмотрю на примере Windows XP, на «десятке» вам будет проще. Скачайте папки по ссылке и скопируйте в них содержимое (не сами папки, а то, что в них находится).

Отройте вкладку «Безопасность» в свойствах папки «Список содержимого папки». У меня есть пользователь user, вы можете добавить своего. Для того, что бы изменить право на объект нужно выбрать пользователя и указать ему разрешение, в данном случае «Список содержимого папки». Затем нажмите «Применить» и «ОК».

Выбор пользователя

Список содержимого

По аналогии установите права для соответствующих папок.

После установки прав доступа проверьте их. Для этого войдите в операционную систему под пользователем, для которого устанавливали права, в моем случае это user.

«Список содержимого папки» — предоставляет возможность просмотра файлов и папок в текущем каталоге. То есть вы можете посмотреть, что есть в папке, но запустить и открыть ничего не получиться.

«Чтение» — предоставляет возможность открывать в папке все файлы, кроме исполняемых файлов (например, с расширением .exe).

«Чтение и выполнение» — предоставляет возможность открывать в данном каталоге все файлы.

«Запись» — предоставляет возможность добавления файлов в папку без права на доступ к вложенным в него объектам, в том числе на просмотр содержимого каталога.

«Изменить» — предоставляет возможность открывать и создавать (изменять) файлы в папке.

«Полный доступ» — предоставляет все возможности для работы с папкой и вложенными файлами, включая изменение разрешений.

Откройте каждую папку и проверьте, что разрешения выполняются.

Содержимое папки «Список содержимого»

Ошибка запуска исполняемого файла

Ошибка текстового файла

Элементы разрешений на доступ

Каждое разрешение состоит из нескольких элементов, которые позволяют более гибко настраивать систему безопасности. Войдите в операционную систему под учетной записью администратора.

Просмотреть элементы разрешений на доступ можно, нажав на кнопку «Дополнительно» во вкладке «Безопасность» и выбрав любой элемент разрешений.

Поэкспериментируйте с элементами и проверьте, как они работаю.

Элементы разрешений на доступ для записи

Владелец файла

В файловой системе NTFS у каждого файла есть свой владелец. Владельцем файла является пользователь операционной системы. Он может управлять разрешениями на доступ к объекту независимо от установленных разрешений.

Узнать, какой пользователь является владельцем файла или папки можно на закладке «Владелец» в дополнительных параметрах безопасности.

Наследование прав доступа

В файловой системе NTFS поддерживается наследование разрешений. Если вы устанавливаете разрешение на папку, то оно наследуется для всех вложенных файлов и папок.

При любых изменениях разрешений на родительскую папку они меняются в дочерних (вложенных) файлах и каталогах.

Для изменения унаследованных разрешений нужно открыть вкладку «Разрешения» в дополнительных параметрах безопасности. Там же можно отключить наследование разрешений.

Запреты

Кроме установки разрешений в файловых системах можно устанавливать запреты. Например, вы можете разрешить чтение и выполнение, но запретить запись. Таким образом, пользователь для которого установлен запрет и разрешения сможет запустить исполняемый файл или прочитать текстовый, но не сможет отредактировать и сохранить текстовый файл.

Запреты на объекты в файловой системе NTFS

В дополнительных параметрах безопасности можно посмотреть действующие разрешения и для конкретного пользователя.

Разграничение прав доступа с помощью Secret Net (на примере версии 5.1)

При использовании Secret Net доступ к файлам осуществляется, в случае если пользователю присваивается соответствующий уровень допуска. В примере я использую Windows XP с установленным программным продуктом Secret Net 5.1.

Первым делом нужно запустить локальные параметры безопасности от имени Администратора: «Пуск –> Программы –> Secret Net 5 –> Локальная политика безопасности».

Далее необходимо перейти в «Параметры Secret Net» –> «Настройка подсистем» –> «Полномочное управление доступом: название уровней конфиденциальности».

Полномочное управление доступом: название уровней конфиденциальности

Введите названия уровней. У меня это:

Низший – Общедоступно.
Средний – Конфиденциально.
Высший – Секретно.

Настройка субъектов

Настройка субъектов в Secret Net производится в группе «Локальные пользователи и группы». Зайдите в меню «Пуск» –> «Программы» –> «Secret Net 5» –> «Управление компьютером» –> «Локальные пользователи и группы» –> «Пользователи».

Что бы настроить права администратора нужно выбрать учетную запись «Администратор» и перейти на вкладку Secret Net 5. Установим уровень доступа «секретно».

Далее установите все флажки.

Управление категориями конфиденциальности означает, что пользователь имеет право изменять категории конфиденциальности папок и файлов, а так же может управлять режимом наследования категорий конфиденциальности папок.
Печать конфиденциальных документов означает, что пользователь может распечатывать конфиденциальные документы. Данная возможность появляется, если включен контроль печати конфиденциальных документов.
Вывод конфиденциальной информации означает, что пользователь может копировать конфиденциальную информацию на внешние носители.

После установки всех флажков нажмите «Применить» и «ОК».

Создадим нового пользователя. Для этого нужно перейти «Локальные пользователи и Группы» –> «Пользователи». Создайте новых пользователей, я назову их «Конфиденциальный» и «Секретный». По аналогии с пользователем Администратор установите для новых пользователей аналогичные уровни доступа и настройки как на рисунках ниже.

Настройка объектов

Та или иная категория конфиденциальности является атрибутом папки или файла. Изменения этих атрибутов производятся уполномоченными пользователями (в данном случае Администратором). Категория конфиденциальности может присваиваться новым файлам или папкам автоматически или по запросу.

Автоматическое присваивание категории конфиденциальности можно включить или отключить в окне настройки свойств папки. Этот параметр может редактировать только пользователь, у которого есть права на «Редактирование категорий конфиденциальности».

При этом стоит учесть, что категории конфиденциальности могут назначаться только папка и файлам в файловой системе NTFS. В случае если у пользователя нет такой привилегии, он может только повысить категорию конфиденциальности и только не выше своего уровня.

Попробуйте создать в паке новый файл или каталог, а после чего изменить ее уровень (повысить) и установить флажок «Автоматически присваивать новым файлам». У вас появиться окно «Изменение категорий конфиденциальности».

Выберите пункт «Присвоение категорий конфиденциальности всем файлам в каталоге» и нажмите «ОК» для присвоения категории конфиденциальности всем файлам кроме скрытых и системных файлов.

В случае если категория допуска пользователя выше чем категория конфиденциальности объект, то пользователь имеет право на чтение документа, но не имеет права изменять и сохранять документ.

Если пользователь с категорией «Общедоступно» попробует прочитать или удалить документ, то он получит соответствующие ошибки.

То есть пользователь не может работать с документами, у которых уровень конфиденциальности выше, чем у него.

Если вы зайдете под пользователем «Секретный» то вы сможете повысить уровень конфиденциальности файлов и работать с ними.

Не стоит забывать, что конфиденциальные файлы нельзя копировать в общедоступные папки, чтобы не допустить их утечки.

Контроль потоков данных

Контроль потоков данных используется для того, что бы запретить пользователям возможность понижения уровня конфиденциальности файлов.

Для этого нужно запустить «Локальные параметры безопасности»: «Пуск» – «Программы» –> «Secret Net 5» –> «Локальная политика безопасности», затем перейти в группу «Параметры Secret Net» –> «Настройки подсистем» и выбрать параметр «Полномочное управление доступом: Режим работы» и включить контроль потоков. Изменения вступят в силу после перезагрузки компьютера.

Полномочное управление доступом: Режим работы

Если зайти (после перезагрузки) под пользователем «Секретный» появиться выбор уровня конфиденциальности для текущего сеанса. Выберите секретный уровень.

Если вы откроете файл с уровнем «Конфиденциально», отредактируете его и попробуете сохранить под другим именем и в другую папку, то вы получите ошибку, так как уровень сеанса (секретный) выше, чем уровень файла (конфиденциальный) и включен контроль потоков данных.

На этом все, если у вас остались вопросы задавайте их в комментариях.

Источник

Информационные технологии в профессиональной деятельности ГТЭП (ответы на тест)

₽ 500

Информационные технологии в профессиональной деятельности ГТЭП (ответы на тест)

Описание

Описание

Информационные технологии в профессиональной деятельности ГТЭП (ответы на тест)

Какой кнопки нет в операционной системе Windows
1. command
2. win
3. f1
4. ctrl

Что не относится к специальным программам?
1. Экспертные системы
2. Табличные процессоры
3. нет правильного ответа
4. Авторские системы

Операционная система Windows является:
1. командной
2. смешанной
3. графической
4. нет правильного ответа

Самая лучшая операционная система?
1. Mac Os
2. нет правильного ответа программы
3. Различные операционные системы имеют свои плюсы и минусы и выбрать наилучшую достаточно тяжело
4. Windows

Специальное программное обеспечение —
1. это часть разрабатываемого при создании конкретной АСУ программного обеспечения, включающая программы реализации управляющих, информационных и вспомогательных функций
2. программы реализации управляющих, коммерческих, информационных и вспомогательных функций
3. нет правильного ответа
4. программы реализации управляющих, коммерческих и вспомогательных функций

К специальному (специализированному) ПО не относятся:
1. 1С-бухгатерия
2. Консультант+
3. 3D-max
4. MS Word

Что не относится к специальным программам?
1. нет правильного ответа
2. Мультимедийные программы
3. Графические редакторы
4. Гипертекстовые системы

Последняя версия операционной системы Windows
1. Mojave
2. XP
3. 10
4. 7

К программам специального назначения не относятся:
1. бухгалтерские программы
2. экспертные системы системы автоматизированного проектирования
3. текстовые редакторы
4. нет правильного ответа

Bios это
1. базовая система запуска
2. базовая система ввода и вывода
3. подсистема Windows
4. интегрированная оболочка

Предоставляют пользователю стандартный интерфейс для выполнения работ в некоторой предметной области:
1. Мультимедийные
программы
2. Экспертные системы
3. Гипертекстовые системы
4. Авторские системы

Программы, предназначенные для эксплуатации и технического обслуживания ЭВМ:
1. прикладные
2. нет правильного ответа
3. системные
4. системы программирования

Объединяют графику, видео, анимацию и звук. Используются в обучающих программах, рекламе и играх:
a. Авторские системы
b. Экспертные системы
c. Мультимедийные
программы
d. Гипертекстовые системы

В Windows разграничения прав пользователей называется
1. Администрирование
2. APS
3. «Права»
4. Гибернация

Сколько пользователь может использовать операционную систему Windows
1. Три
2. Один
3. Количество пользователей задаётся
4. Два

Главный элемент операционной системы Windows
1. нет правильного ответа
программы
2. Курсор мыши
3. Многоэкранный режим
4. Ярлык и окно

Что не является операционной системой?
1. нет правильного ответа
2. MS Word
3. Mac OS
4. Windows

Программное обеспечение – это:
1. совокупность программ, позволяющих организовать решение задачи на ЭВМ
2. нет правильного ответа
3. операционная система
4. универсальное устройство для передачи информации

Решают задачи, требующие экспертных знаний. Отличительная их черта: адаптивность и самообучение:
1. Гипертекстовые системы
2. Мультимедийные
3. Авторские системы
4. Экспертные системы

Windows в переводе с английского
1. Ярлык
2. Программа
3. Окно
4. Окна

Источник

Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (1/11)

Общие сведения о комплексе

Здравствуйте!

В данной лекции мы поговорим о разграничении доступа пользователей в операционной системе Windows с использованием программно-аппаратного комплекса защиты информации от НСД «Аккорд-Win64» производства компании ОКБ САПР. Мы рассмотрим его назначение, состав, технические требования и организационные меры, необходимые для применения комплекса, а также поговорим об особенностях защитных функций данного комплекса.

Итак, программно-аппаратный комплекс СЗИ от НСД «Аккорд-Win64» (далее для краткости будем его называть комплекс «Аккорд») предназначен для применения на СВТ, функционирующих под управлением 64-х битных ОС Windows с целью обеспечения защиты от несанкционированного доступа к СВТ и АС на их основе при многопользовательском режиме эксплуатации. Поддерживаются все на данный момент существующие 64-х битные операционные системы, их перечень приведен на слайде. По мере выхода новых ОС добавляется также их поддержка. Обращу внимание, что для 32-х битных ОС есть аналогичный комплекс СЗИ от НСД «Аккорд-Win32», он поддерживает все существующие в настоящее время 32-х битные операционные системы. И все рассмотренное далее распространяется также и на него.

Комплекс «Аккорд-Win64» включает в себя аппаратные и программные средства:

программно-аппаратный комплекс СЗИ НСД «Аккорд-АМДЗ», который мы подробно рассматривали на прошлых трех лекциях. Кратко повторю, что в него входит:
- одноплатный контроллер, устанавливаемый в свободный слот материнской платы СВТ;
- съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
- персональные идентификаторы пользователя;
- программные средства – встраиваемое программное обеспечение;
- служебные (сервисные) программы комплекса.
также в комплекс входит специальное программное обеспечение разграничения доступа в среде операционных систем Windows — СПО «Аккорд-Win64». Это программное обеспечение состоит из:
- ядра защиты – то есть программ, реализующих защитные функции комплекса;
- программ управления защитными функциями комплекса, то есть программ настройки комплекса в соответствии с ПРД;

Для установки комплекса «Аккорд» требуется следующий минимальный состав технических и программных средств:

установленная на СВТ 64-х битная операционная система из перечня поддерживаемых ОС;
наличие CD ROM для установки СПО разграничения доступа;
наличие USB-разъема. Он необходим в случае использования в качестве идентификатора устройства с USB-интерфейсом или устройств, использующих USB-интерфейс для подключения их считывателей.
наличие считывателя смарт-карт. Он необходим в случае использования смарт-карт в качестве идентификатора;
объем дискового пространства для установки СПО разграничения доступа должен быть не менее 11 Мб;
необходимо наличие соответствующего свободного слота на материнской плате СВТ для установки контроллера комплекса «Аккорд-АМДЗ».

Теперь рассмотрим организационные меры, необходимые для применения комплекса.

Для эффективного применения средств защиты комплекса и для того чтобы поддерживать необходимый уровень защищенности СВТ и информационных ресурсов автоматизированной системы (АС) необходимы:

наличие администратора безопасности информации (супервизора). Это привилегированный пользователь, имеющий особый статус и абсолютные полномочия. Администратор БИ планирует защиту информации на предприятии, определяет права доступа пользователям в соответствии с утвержденным Планом защиты, организует установку комплекса в СВТ, эксплуатацию и контроль за правильным использованием СВТ с внедренным комплексом «Аккорд», в том числе, ведет учет выданных Идентификаторов. Также он осуществляет периодическое тестирование средств защиты комплекса. Более подробно обязанности администратора БИ по применению комплекса можно прочитать в методических материалах к лекции – «Руководстве администратора» на комплекс.
также необходимы разработка и ведение учетной и объектовой документации (инструкция администратора, инструкции пользователей, журнал учета идентификаторов и отчуждаемых носителей пользователей и др.). Все разработанные учетные и объектовые документы должны быть согласованы, утверждены у руководства и доведены до сотрудников (пользователей). Это необходимо для того, чтобы План защиты организации (предприятия, фирмы и т.д.) и действия Администратора БИ получили юридическую основу;
помимо этого требуется физическая охрана СВТ и его средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса;
следующая организационная мера — использование в СВТ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в государственной системе защиты информации (ГСЗИ);
и последняя мера — запрет на использование в СВТ любых сторонних служб и протоколов, позволяющих осуществить удаленный доступ к подконтрольным объектам (Telnet, SSH, TeamView и т.д.).

Теперь давайте поговорим об особенностях защитных функций комплекса.

Защитные функции комплекса реализуются при помощи следующего:

защиты от НСД СВТ, которая включает:
- идентификацию пользователя по уникальному Идентификатору;
- аутентификацию с учетом необходимой длины пароля и времени его жизни;
- аппаратный (до загрузки ОС) контроль целостности технических средств СВТ, программ и данных на жестком диске (в том числе системных областей диска и модулей программной части комплекса);
- ограничение времени доступа субъекта к СВТ в соответствии с установленным режимом работы пользователей;
- блокировку несанкционированной загрузки СВТ с отчуждаемых носителей (FDD, CD-ROM, ZIP-drive, USB-disk и др.).
следующая защитная функция — это блокирование экрана и клавиатуры по команде пользователя или по истечению установленного интервала «неактивности» пользователя;
следующая возможность — разграничение доступа к локальным и сетевым ресурсам СВТ в соответствии с установленными ПРД и определяемыми атрибутами доступа, которые устанавливаются администратором БИ. Комплекс позволяет администратору использовать как дискреционный, так и мандатный методы контроля;
далее — это управление процедурами ввода/вывода на отчуждаемые носители информации. Дополнительно для каждого пользователя контролируется список разрешённых USB-устройств и SD карт в соответствии с их уникальными идентификационными номерами;
следующее — это контроль доступа к любому устройству, или классу устройств, доступных в «Диспетчере устройств» Windows, в том числе последовательных и параллельных портов, устройств PCMCI, IEEE 1394, WiFi, Bluetooth и так далее;
помимо контроля доступа к устройствам – есть еще возможность гарантированной очистки оперативной памяти и остаточной информации на жестких дисках и внешних носителях;
следующая возможность – это контроль вывода на печать документов из любых программ и программных пакетов и автоматическая маркировка печатных листов специальными пометками, грифами и т.д. Процесс печати протоколируется в отдельном журнале (создаётся учетная карточка документа);
помимо этого возможно осуществление регистрации контролируемых событий, в том числе несанкционированных действий пользователей, в системном журнале, доступ к которому предоставляется только Администратору БИ;
также есть возможность защиты от НСД систем терминального доступа, функционирующих на базе терминальных служб сетевых операционных систем Windows и программного обеспечения компании Citrix Systems для терминальных серверов;
следующая возможность — контроль целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций). Кроме процедур, выполняемых контроллером комплекса, в программной части комплекса возможна проверка целостности программ и данных по индивидуальному списку для отдельного пользователя, или группы пользователей — статический и динамический контроль целостности.
имеется возможность функционального замыкания информационных систем, т.е. создания изолированной программной среды за счет использования защитных механизмов комплекса;
так же есть возможность встраивания или совместного использования других средств защиты информации, в том числе криптографических;
и последнее — защитные функции комплекса реализуются при помощи других механизмов защиты в соответствии с требованиями нормативных документов по безопасности информации;

В комплексе «Аккорд» используются и некоторые дополнительные механизмы защиты от НСД к СВТ. Так, в частности, для пользователя администратор БИ может установить, время жизни пароля и его минимальную длину, временные ограничения использования СВТ; параметры управления экраном – гашение экрана через заранее определенный интервал времени, подачу соответствующих звуковых и визуальных сигналов при попытках несанкционированного доступа к СВТ и к их ресурсам.

Итак, в данной лекции мы поговорили о назначении, составе комплекса разграничения доступа «Аккорд-Win64», рассмотрели технические требования и организационные меры, необходимые для применения этого комплекса и особенности его защитных функций. На следующей лекции мы поговорим о том, как строится система защиты информации на основе рассмотренного комплекса.

Спасибо за внимание, до встречи на следующей лекции!

Источник

Разграничение
прав пользователей в ОС Windows

Ограничение
их прав на использование функций
отдельных компонент системы (оснастка
Редактор объектов групповой политики,
gpedit.msc).
Назначение
им прав на использование возможностей
системы в целом, напрямую связанных с
безопасностью (оснастка Локальная
политика безопасности, secpol.msc).

Ограничение прав
на уровне отдельного пользователя

запрет использования
средств редактирования реестра;
запрет использования
Панели управления или ее отдельных
функций;
удаление
команд «Выполнить» и «Поиск» из меню
Пуск;
запрет на выполнение
программ в сеансе командной строки;
запрет блокирования
компьютера и завершения работы с
операционной системой (в том числе ее
перезагрузки);
возможность
запуска только разрешенных приложений
из отдельного списка;
запрет на отображение
структуры локальной сети;
скрытие дисков в
папке «Мой компьютер» и в окне Проводника;
удаление меню
«Файл» из Проводника и др.

Ограничение прав
на уровне компьютера

установка
дополнительных программ или документов,
которые Windows
будет автоматически запускать или
открывать при входе пользователя в
систему;
задание обязательного
применения дисковых квот и запрещение
пользователям изменять этот параметр;
возможность
Windows
использовать доступ к Интернету для
выполнения задач, требующих обращения
к ресурсам Интернета и др.

Информация об
ограничении прав

Для
локальных учетных записей − в локальных
профилях пользователей (разделах реестра
HKEY_CURRENT_USER
\ Software
\ Policies
(HKEY_CURRENT_USER
\ Software
\ Microsoft
\ Windows
\ CurrentVersion
\ Policies)
и HKEY_LOCAL_MACHINE
\ Software
\ Policies
(HKEY_LOCAL_MACHINE
\ Software
\ Microsoft
\ Windows
\ CurrentVersion
\ Policies)).
Поэтому обязательным является запрет
на использование редактора реестра и
редактора объектов групповой политики
непривилегированными пользователями.

Для
глобальных учетных записей – в
перемещаемых профилях пользователей
в Active
Directory.
В этом случае после входа пользователя
КС в домен с любого компьютера информация
об установленных для него ограничениях
из перемещаемого профиля на сервере
заместит соответствующие разделы
реестра на использованном для входа в
систему компьютере.

Назначение прав
пользователям и группам

Архивирование и
восстановление файлов и папок.
Изменение системного
времени.
Доступ к компьютеру
из сети.
Овладение файлами
или иными объектами.
Управление аудитом
и журналом безопасности.
Отладка программ
и др.

Права пользователей
и групп

Представляют
собой права субъектов на выполнение
действий, относящихся к системе в целом,
а не к отдельным ее объектам. Каждому
праву соответствует уникальный локальный
идентификатор LUID
(locally
unique
identifier),
определяемый строкой символов (например,
SE_SYSTEMTIME_NAME). С каждым правом также
связывается текстовая строка (например,
«Изменение системного времени» или
«Change
the
system
time»).
Внутреннее представление информации
о праве зависит от конкретной реализации
и не документировано.

Информация
о правах, назначенных пользователям и
группам, содержится в их учетных записях
в файле SAM.

Общий недостаток
механизма разграничения прав пользователей

Отсутствие
возможности разграничения доступа
пользователей к объектам компьютерной
системы (отдельным файлам, папкам,
разделам реестра, устройствам), т.е.
определения правил на применение
субъектами различных видов доступа
(чтение, запись, выполнение, печать и
т.д.) к объектам.

Соседние файлы в предмете Защита информации

Источник