Лабораторная работа №3 по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи наименование работы: Методы разграничения доступа в сетевых операционных системах.

Смоленский колледж телекоммуникаций
(филиал) федерального государственного
бюджетного образовательного учреждения высшего образования
«Санкт-Петербургский государственный университет телекоммуникаций
им. проф. М.А. Бонч-Бруевича»
















Лабораторная работа №3

по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи
наименование работы: Методы разграничения доступа в сетевых операционных системах.
по специальности:11.02.11
работа рассчитана на 2 часа
составлена преподавателем: Скряго О.С.











Смоленск, 2016

1.Цель работы: овладеть навыками разграничения прав доступа.
2.Информационные ресурсы:
Гришина, Н.В. Комплексная система защиты информации на предприятии: учебное пособие/ Н.В. Гришина.- М.:ФОРУМ, 2011 – 240 с.: ил. – ISBN 978-5-91134-369-9
Мельников, В.П. Информационная безопасность: учебное пособие для СПО/ В.П. Мельников - М.: Академия, 2013-336 с.: ил.- ISBN 978-5-7695-9954-5
3.Вопросы домашней подготовки:
Что означает правила разграничения доступа?
Опишите мандатное управление доступом к объектам компьютерной системы.
Опишите дискретное управление доступом к объектам компьютерной системы.

4.Основное оборудование:
4.1. ПЭВМ;
4.2. ПО:
4.2.1. Microsoft Windows 7;
4.2.2. Microsoft Office 2007 Plus;
4.2.3 Microsoft Windows Server 2003.
5.Задание:
5.1. Вы являетесь системным администратором компании. В вашей компании имеется три группы сотрудников: персонал, бухгалтерия и администрация. В данную компанию поступила три сотрудника в разные отделы (персонал, бухгалтерия и администрация). Вам необходимо предоставить доступ к сети этим сотрудником, при этом разграничить права доступа в соответствии группой сотрудников.
5.2. Создать общую папку для обмена документами для каждой группы отдельно, что бы пользователи групп не имели доступ к папкам не своей группы.
5.3. Вам необходимо одному из пользователей добавить право делать резервное копирование.
5.4 Необходимо создать гостевую рабочую группу в Active Directory. Участники данной рабочей группы имеют права на чтение и выполнение программ. Создайте и включите в эту группу пользователей Гость и Гость1.


Порядок выполнения работы:
Повторить требования по соблюдению техники безопасности.
Включение ПК должно производиться в следующей последовательности:
Включить принтер (если он нужен);
Включить монитор;
включить системный блок.
Перед выключением компьютера завершите все работающие программы и подождите 1-2 сек. (это необходимо, если на вашем ПК предусмотрено кэширование дисков). Далее необходимо:
выключить системный блок;
выключить принтер (если он был включен);
выключить монитор.
. Ознакомиться с пунктами практической работы;
. Оформите свой отчет согласно седьмому пункту данной лабораторной работы;
6.3. Выполните задания 5.1-5.2 ; 6.4 Сделайте вывод о проделанной работе.
Содержание отчета:
Название, цель работы, задание данной лабораторной работы.
Номер варианта, условие задания своего варианта и описание хода выполнения.
Перечень контрольных вопросов.
Вывод о проделанной работе.
Контрольные вопросы:
8.1. Как добавить пользователя в определенную группу?
8.2. Опишите процесс создания новой группы.
8.3. Опишите процесс изменений свойств группы.
. Опишите процесс создание общей папки.
8.5. Опишите процесс просмотра общей папки.

Составлено преподавателем _______________ Скряго О.С.

Приложение
Правила разграничения доступа
Компьютерная система может быть смоделирована как набор субъектов (процессы, пользователи) и объектов. Под объектами мы понимаем как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и программные ресурсы (файлы, программы, семафоры), то есть все то, доступ к чему контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции.
Операции зависят от объектов. Например, процессор может только выполнять команды, сегменты памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а файлы данных могут быть записаны, прочитаны, переименованы и т. д.
Желательно добиться того, чтобы процесс осуществлял авторизованный доступ только к тем ресурсам, которые ему нужны для выполнения его задачи. Это требование минимума привилегий, полезно с точки зрения ограничения количества повреждений, которые процесс может нанести системе. Например, когда процесс P вызывает процедуру А, ей должен быть разрешен доступ только к переменным и формальным параметрам, переданным ей, она не должна иметь возможность влиять на другие переменные процесса. Аналогично компилятор не должен оказывать влияния на произвольные файлы, а только на их хорошо определенное подмножество (исходные файлы, листинги и др.), имеющее отношение к компиляции. С другой стороны, компилятор может иметь личные файлы, используемые для оптимизационных целей, к которым процесс Р не имеет доступа.
Различают дискреционный (избирательный) способ управления доступом и полномочный (мандатный).
Мандатное управление доступом к объектам компьютерной системы
Данный подход заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда это называют моделью многоуровневой безопасности, которая должна обеспечивать выполнение следующих правил.
·         Простое свойство секретности. Субъект может читать информацию только из объекта, уровень секретности которого не выше уровня секретности субъекта. (например, генерал читает документы лейтенанта, но не наоборот).
·         *–свойство. Субъект может записывать информацию в объекты только своего уровня или более высоких уровней секретности. (например, генерал не может случайно разгласить нижним чинам секретную информацию)
Некоторые авторы утверждают, что последнее требование называют *–свойством, потому что в оригинальном докладе не смогли придумать для него подходящего названия. В итоге во все последующие документы и монографии оно вошло как *–свойство.
Отметим, что данная модель разработана для хранения секретов, но не гарантирует целостности данных. (например, здесь лейтенант имеет право писать в файлы генерала.)
Дискретное управление доступом к объектам компьютерной системы
При дискреционном доступе, определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. С концептуальной точки зрения текущее состояние прав доступа при дискреционном управлении описывается матрицей, в строках которой перечислены субъекты, в столбцах – объекты, а в ячейках – операции, которые субъект может выполнить над объектом.
Чтобы рассмотреть схему дискреционного доступа более детально, введем концепцию домена безопасности (protection domain). Каждый домен определяет набор объектов и типов операций, которые могут производиться над каждым объектом. Возможность выполнять операции над объектом есть права доступа, каждое из которых есть упорядоченная пара . Домен, таким образом, есть набор прав доступа. Например, если домен D имеет права доступа , это означает, что процесс, выполняемый в домене D, может читать или писать в файл F, но не может выполнять других операций над этим объектом.
[ Cкачайте файл, чтобы посмотреть картинку ]
Связь конкретных субъектов, функционирующих в операционных системах, может быть организована следующим образом.
·         Каждый пользователь может быть доменом. В этом случае набор объектов, к которым может быть организован доступ, зависит от идентификации пользователя.
·         Каждый процесс может быть доменом. В этом случае набор доступных объектов определяется идентификацией процесса.
·         Каждая процедура может быть доменом. В этом случае набор доступных объектов соответствует локальным переменным, определенным внутри процедуры. Заметим, что когда процедура выполнена, происходит смена домена.
Рассмотрим стандартную двухрежимную модель выполнения ОС. Когда процесс выполняется в режиме системы (kernel mode), он может выполнять привилегированные инструкции и иметь полный контроль над компьютерной системой. С другой стороны, если процесс выполняется в пользовательском режиме, он может вызывать только непривилегированные инструкции. Следовательно, он может выполняться только внутри предопределенного пространства памяти. Наличие этих двух режимов позволяет защитить ОС (kernel domain) от пользовательских процессов (выполняющихся в user domain). В мультипрограммных системах двух доменов недостаточно, так как появляется необходимость защиты пользователей друг от друга. Поэтому требуется более тщательно разработанная схема.
Большинство операционных систем реализуют именно дискреционное управление доступом. Главное его достоинство – гибкость, основные недостатки – рассредоточенность управления и сложность централизованного контроля.
Включение пользователя в группу
Для включения пользователя в группу совсем необязательно открывать окно свойств пользователя.
В правом окне консоли управления Active Directory - пользователи и компьютеры щелкните пользователя правой кнопки мыши и выберите Добавить участников в группу. В появившемся окне укажите группу, в которую должен быть добавлен пользователь.[ Cкачайте файл, чтобы посмотреть ссылку ]
  Управление группами
Группы предназначены для упрощения администрирования домена. Можно назначать права доступа группам, а все пользователи, входящие в состав группы, автоматически их унаследуют.
 Группы делятся на два основных типа: локальные (для пользователей компьютера) и локальные в домене (для пользователей домена).
Локальная группа - Определяет права входящих в нее пользователей на конкретном компьютере. Не имеет отношения к домену и компьютерам сети. Создается на конкретном компьютере для разных пользователей данного компьютера. Может содержать учетные записи и другие локальные группы.
Локальная в домене группа - Определяет права входящих в нее пользователей на сетевые ресурсы домена. Создается на сервере в Active Directory. Может содержать учетные записи и другие группы. Если сеть содержит несколько доменов, то надо рассматривать и глобальные группы.
 Все операции, связанные с группами пользователей выполняются в консоли управления Active Directory - Пользователи и компьютеры
 Создание группы
Группы создают в контейнере Пользователи (Users).
Чтобы создать новую группу, в окне консоли управления Active Directory - пользователи и компьютеры щелкните объект Пользователи правой кнопкой мыши и выберите Создать -> Группа.
 
В появившемся окне введите имя группы.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
Кроме того, вы должны указать тип и область действия группы, установив переключатели в соответствующие положения.
 
Изменение свойств группы
Чтобы просмотреть и изменить свойства группы, в окне консоли управления Active Directory - пользователи и компьютеры выделите Пользователи. В правом окне щелкните нужную группу правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете изменить основные параметры группы.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
В поле Описание укажите произвольное описание, характеризующее цели, для которых создавалась группа. В поле Заметки введите произвольные комментарии относительно группы.
Если область действия группы определена как глобальная, то это подойдет и для сети с одним доменом.
 
На вкладке Члены группы вы определяете состав группы с помощью кнопки Добавить.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
                                                                                                                            
Двойным щелчком по объекту группы просмотреть свойства этого объекта.
На вкладке Член групп вы можете изменить список групп, в которые будет входить создаваемая вами группа.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
Включить новых пользователей в группу можно и таким способом. Щелкните правой кнопкой мыши по имени группы и выберите Включить в группу.
Включение пользователя в группу
Для включения пользователя в группу совсем необязательно открывать окно свойств пользователя.
В правом окне консоли управления Active Directory - пользователи и компьютеры щелкните пользователя правой кнопки мыши и выберите Добавить участников в группу. В появившемся окне укажите группу, в которую должен быть добавлен пользователь.[ Cкачайте файл, чтобы посмотреть ссылку ]
Управление группами
Группы предназначены для упрощения администрирования домена. Можно назначать права доступа группам, а все пользователи, входящие в состав группы, автоматически их унаследуют.
 
Группы делятся на два основных типа: локальные (для пользователей компьютера) и локальные в домене (для пользователей домена).
Локальная группа - Определяет права входящих в нее пользователей на конкретном компьютере. Не имеет отношения к домену и компьютерам сети. Создается на конкретном компьютере для разных пользователей данного компьютера. Может содержать учетные записи и другие локальные группы.
Локальная в домене группа - Определяет права входящих в нее пользователей на сетевые ресурсы домена. Создается на сервере в Active Directory. Может содержать учетные записи и другие группы. Если сеть содержит несколько доменов, то надо рассматривать и глобальные группы. [ Cкачайте файл, чтобы посмотреть ссылку ]
 Все операции, связанные с группами пользователей выполняются в консоли управления Active Directory - Пользователи и компьютеры
 Создание группы
Группы создают в контейнере Пользователи (Users).
Чтобы создать новую группу, в окне консоли управления Active Directory - пользователи и компьютеры щелкните объект Пользователи правой кнопкой мыши и выберите Создать -> Группа.
 В появившемся окне введите имя группы.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
Кроме того, вы должны указать тип и область действия группы, установив переключатели в соответствующие положения.
 Изменение свойств группы
Чтобы просмотреть и изменить свойства группы, в окне консоли управления Active Directory - пользователи и компьютеры выделите Пользователи. В правом окне щелкните нужную группу правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете изменить основные параметры группы.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
В поле Описание укажите произвольное описание, характеризующее цели, для которых создавалась группа. В поле Заметки введите произвольные комментарии относительно группы.
Если область действия группы определена как глобальная, то это подойдет и для сети с одним доменом.
 На вкладке Члены группы вы определяете состав группы с помощью кнопки Добавить.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
                                                                                                                            
Двойным щелчком по объекту группы просмотреть свойства этого объекта.
На вкладке Член групп вы можете изменить список групп, в которые будет входить создаваемая вами группа.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
Включить новых пользователей в группу можно и таким способом. Щелкните правой кнопкой мыши по имени группы и выберите Включить в группу.
Управление общими папками
Из соображений безопасности и упрощения администрирования, рекомендуется создавать общие папки только на сервере. Если общая папка создана на рабочей станции и поставлена на учет в Active Directory, то любой пользователь в сетевом окружении видит эту папку как отдельный объект. Если же папка не зарегистрирована в Active Directory, то ее придется искать по сетевому окружению заходя на каждый компьютер.
 Создание общей папки
Чтобы зарегистрировать новую общую папку в Active Directory , в окне консоли управления Active Directory - пользователи и компьютеры выберите правой кнопкой мыши первый компьютер сети и в контекстном меню выберите Создать -> Общая папка.
 В появившемся окне введите имя папки, под которым она будет записана в каталоге Active Directory, а также полный сетевой путь к общей папке.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
Здесь нет кнопки Обзор, поэтому придется вводить полное сетевое имя ресурса вручную.
Поэтому удобно общие папки хранить только на сервере. Сетевой путь будет отличаться только именем папки.
 Изменение свойств общей папки.
Чтобы просмотреть и изменить свойства общей папки, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект общей папки правой кнопкой мыши и в контекстном меню выберите Свойства. Эти свойства не описывают права доступа к общей папке.
 На вкладке Общие вы можете изменить основные сведения об общей папке.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
UNC-имя можно изменить полный путь, например, если папка была перемещена с одного компьютера на другой.
Описание вы можете ввести дополнительное описание данных общей папки.
Ключевые слова щелкнув кнопку, вы можете создать или изменить список ключевых слов, связанных с общей папкой. Благодаря этому можно осуществлять поиск общих папок не только по имени, но и по ключевым словам.
 
[ Cкачайте файл, чтобы посмотреть картинку ]
 
На вкладке Управляется указывается пользователь, управляющий общей папкой.
 
Просмотр содержимого общей папки.
Чтобы просмотреть содержимое общей папки в окне консоли управления Active Directory - пользователи и компьютеры щелкните объект общей папки правой кнопкой мыши и в контекстном меню выберите Открыть или Проводник. Откроется окно Проводника, в котором будет показано содержимое общей папки.
 
На пользовательском компьютере общие папки будут видны в сетевом окружении. Раскрывая их двойным щелчком левой кнопки мыши, пользователь выбирает нужные файлы.
 









HYPER13PAGE HYPER15


HYPER13PAGE HYPER142HYPER15




ђ Заголовок 1 Заголовок 2HYPER15Основной шрифт абзаца

Приложенные файлы

  • doc 142
    Скряго
    Размер файла: 363 kB Загрузок: 4

Добавить комментарий