Secret net запрет доступа к файлу

Обновлено: 08.07.2024

Дискреционная модель разграничения доступа к файлам и каталогам реализуется в СЗИ «Secret Net 5.0-C» стандартным способом посредством списков доступа ОС Windows 2000/XP/2003.

В тоже время списки NTFS-разрешений дополнены средствами разграничения доступа к дискам и портам. СЗИ позволяет управлять доступом к сменным накопителям (дисковод, привод CD-ROM), логическим дискам и портам ввода/вывода (COM-, LPT-, USB-портам). Режим управления доступа к дискам и портам по умолчанию работает в мягком режиме (режиме накопления информации в журнале). Чтобы перевести его в жесткий режим, необходимо установить параметр «Разграничение доступа к устройствам: Режим работы» (в оснастке «Локальные политики безопасности» ⇒ «Настройки подсистем») в значение «жесткий» .

После включения указанного режима необходимо указать возможность доступа к дискам и портам, изменяя свойства этих устройств в оснастке «Локальные политики безопасности» ⇒ «Устройства».

4. Реализация мандатной модели разграничения доступа

Мандатная модель разграничения доступа в СЗИ «Secret Net 5.0-C» реализована посредством назначения защищаемым ресурсам и каждому пользователю автоматизированной системы специальных меток конфиденциальности и сравнения их при запросах на доступ. В СЗИ «Secret Net 5.0-C» мандатная модель разграничения доступа именуется «Полномочное управление доступом».

Мандатное управление доступом по умолчанию включено. Однако для предотвращения утечки информации из конфиденциальных документов (см. требование 7 к защите компьютерной системы), необходимо установить параметр «Полномочное управление доступом: Режим работы» в активное состояние: «Контроль потоков включен». Данная настройка находится в стандартной оснастке ОС Windows «Локальные политики безопасности» («Пуск» ⇒ «Программы» ⇒ «Secret Net 5»), в ней выбрать «Параметры безопасности» ⇒ «Параметры Secret Net» ⇒ «Настройки подсистем»

При назначении пользователем метки конфиденциальности уже существующему каталогу по желанию пользователя в окне, которое автоматически генерируется системой, можно присвоить такой же уровень доступа ко всем вложенным каталогам и файлам Привилегией засекречивания (повышения метки конфиденциальности) ресурсов обладает любой пользователь в пределах уровня конфиденциальности сессии. Для понижения уровня конфиденциальности ресурсов требуется наличие привилегии «Управление категориями конфиденциальности», которой целесообразно наделять только для администратора системы.

Возможность доступа пользователя к конфиденциальному документу определяется установкой уровня допуска для каждого из пользователей на странице «Доступ» вкладки «Secret Net 5.0-C» окна свойств пользователя. По умолчанию для всех пользователей системы установлен уровень допуска «Неконфиденциально». Правами установки уровня допуска обладает только администратор СЗИ, который в свою очередь может разрешить пользователям управление категориями конфиденциальности создаваемых ими объектов.

После назначения меток конфиденциальности работа с конфиденциальными файлами организуется в соответствии с рядом, предназначенных для защиты информации от утечки (при включенном контроле потоков):

1. Доступ пользователя к файлу разрешается, если уровень конфиденциальности текущего сеанса пользователя не ниже категории конфиденциальности файла.

2. Пользователь, не имеющий доступ к файлу, может просмотреть содержимое конфиденциального каталога, в котором находится файл, но не может открыть файл.

3. Конфиденциальные файлы размещаются в каталогах, имеющих категорию конфиденциальности не ниже категории конфиденциальности файла.

4. Приложению присваивается уровень конфиденциальности соответствующий уровню конфиденциальности текущего сеанса пользователя. Открывать разрешается только файлы, имеющие уровень конфиденциальности не выше уровня конфиденциальности текущего сеанса. При сохранении отредактированного содержимого файла с более низким уровнем конфиденциальности его «метка» повышается до уровня конфиденциальности сеанса.

5. Пользователь, не обладающий привилегией «Управление категориями конфиденциальности», может повысить категорию конфиденциальности файлов не выше уровня конфиденциальности текущего сеанса.

Управление полномочным доступом возможно только при наличии соответствующих разрешений доступа на уровне дискреционной модели, которые могут быть назначены администратором системы, например, с помощью стандартных механизмов ОС MS Windows 2000/XP/2003.

Следует отметить, что в СЗИ съемным носителям нельзя присвоить метку конфиденциальности, поэтому наличие даже полного доступа к накопителям не предоставляет пользователю возможности копирования на них конфиденциальных файлов или их фрагментов. Если принятая в организации технология обработки конфиденциальных документов допускает хранение их на съемных носителях, то пользователю дополнительно должно быть установлена привилегия «Вывод конфиденциальной информации».Хотя такое действие сопровождается выводом окна предупреждения и регистрацией данного действия в журнале, оно приводит к неконтролируемым возможностям по копированию конфиденциальных файлов и, следовательно, может быть применено лишь в исключительных случаях.

Настройка параметров механизмов защиты и средств управления Secret Net 7

В системе Secret Net информационная безопасность компьютеров обеспечивается механизмами защиты. Механизм защиты — совокупность настраиваемых программных средств, разграничивающих доступ к информационным ресурсам, а также осуществляющих контроль действий пользователей и регистрацию событий, связанных с информационной безопасностью.

Функции администратора безопасности

Функциональные возможности Secret Net позволяют администратору безопасности решать следующие задачи:

• усилить защиту от несанкционированного входа в систему;
• разграничить доступ пользователей к информационным ресурсам на основе принципов избирательного и полномочного управления доступом и замкнутой программной среды;
• контролировать и предотвращать несанкционированное изменение целостности ресурсов;
• контролировать вывод документов на печать;
• контролировать аппаратную конфигурацию защищаемых компьютеров и предотвращать попытки ее несанкционированного изменения;
• загружать системные журналы для просмотра сведений о событиях, произошедших на защищаемых компьютерах;
• не допускать восстановление информации, содержавшейся в удаленных файлах;
• управлять доступом пользователей к сетевым интерфейсам компьютеров.

Для решения перечисленных и других задач администратор безопасности использует средства системы Secret Net и операционной системы (ОС) Windows.

Основными функциями администратора безопасности являются:

• настройка механизмов защиты, гарантирующая требуемый уровень безопасности ресурсов компьютеров;
• контроль выполняемых пользователями действий с целью предотвращения нарушений информационной безопасности.

Параметры механизмов защиты и средства управления

Параметры механизмов защиты Secret Net в зависимости от места их хранения в системе и способа доступа к ним можно разделить на следующие группы:

• параметры объектов групповой политики;
• параметры пользователей;
• атрибуты ресурсов;
• параметры механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).

Описание параметров объектов групповой политики

К общим параметрам безопасности ОС Windows добавляются параметры Secret Net. Эти параметры применяются на компьютере средствами групповых политик и действуют в рамках локальной политики безопасности. В системе Secret Net предусмотрены возможности настройки параметров групповых политик в стандартных оснастках ОС Windows и в программе оперативного управления.

Для просмотра и изменения параметров в стандартных оснастках ОС Windows:

Управление режимами работы механизмов полномочного управления доступом и контроля печати.

Настройка параметров хранения локального журнала Secret Net.

Управление механизмом затирания удаляемой информации.

Управление механизмом теневого копирования.

Управление перенаправлением локальных устройств и ресурсов

для терминальных подключений.

Управление привилегиями пользователей в системе Secret Net:

• для работы с локальным журналом Secret Net;

• для работы в условиях замкнутой программной среды;

Для настройки параметров объектов политик безопасности:

На экране появится диалог настройки параметра.

Настройте параметры безопасности согласно приведенной таблице:

Для настройки событий, регистрируемых в журнале:

В правой части окна появится список регистрируемых событий.

При штатном функционировании системы Secret Net вход любого пользователя компьютера, включая администратора, должен выполняться по одинаковым правилам, установленным соответствующими механизмами защиты. Во время загрузки компьютера перед входом пользователя система защиты проводит инициализацию компонентов и их функциональный контроль. После успешного проведения всех проверок вход в систему разрешается.

В тех случаях, когда необходимо получить доступ к компьютеру в обход действующих механизмов или прервать выполнение инициализации компонентов, администратор может активировать специальный административный режим входа. Применение административного режима входа может потребоваться, при повторяющихся ошибках функционального контроля, приводящих к длительному ожиданию инициализации компонентов.

Примечание.

Административный режим входа следует использовать только в крайних случаях для восстановления нормального функционирования системы. Выполнив вход в административном режиме, устраните возникшую проблему и перезагрузите компьютер.

Для входа в систему в административном режиме:

Описание и настройка параметров пользователей

Параметры пользователей используются механизмами защиты входа и полномочного управления доступом. Параметры применяются при входе пользователя в систему после выполнения процедуры идентификации и аутентификации. Параметры доменных и локальных пользователей хранятся в локальной базе данных компьютера.

Примечание.

Для просмотра и изменения параметров в стандартных оснастках ОС Windows:

В правой части окна появится список пользователей.

В левой части диалога расположена панель выбора групп параметров. Средства для настройки представлены в правой части диалога. Для перехода к нужной группе параметров выберите на панели соответствующую пиктограмму:

Атрибуты ресурсов

Параметры настроек атрибутов ресурсов достаточны и не требуют дополнительных процедур настройки.

Описание механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).

Механизм контроля целостности (КЦ) предназначен для слежения за неизменностью содержимого ресурсов компьютера. Действие этого механизма основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма. В процессе контроля при обнаружении несоответствия текущих и эталонных значений система оповещает администратора о нарушении целостности ресурсов и выполняет заданное при настройке действие, например, блокирует компьютер, на котором нарушение обнаружено.

Механизм замкнутой программной среды (ЗПС) предназначен для ограничения использования ПО на компьютере. Доступ разрешается только к тем программам, которые необходимы пользователям для работы. Для каждого пользователя определяется перечень ресурсов, в который входят разрешенные для запуска программы, библиотеки и сценарии. Попытки запуска других ресурсов блокируются, и в журнале безопасности регистрируются события несанкционированного доступа (НСД).

Настройка механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).

Для работы с программой управления КЦ-ЗПС пользователь должен входить в локальную группу администраторов компьютера.

В общем случае порядок настройки сводиться к выполнению следующих этапов:

Во время установки клиентского ПО системы Secret Net автоматически формируется локальная модель данных, в которую добавляются следующие задания:

Более детально порядок и правила администрирования и управления средством защиты информации Secret Net представлены в документации, входящей в состав комплекта поставки

Secret Net проблемы - Форум по вопросам информационной безопасности

Здравствуйте!
Возникла следующая проблема с SecretNet 6.0.
При попытке запустить утилиту Монитор (инструмент SecretNet), при попытке достучаться на один конкретный сервер, вылетает ошибка:

Соединения прошло с ошибкой 0X00000486
Служба не запущена.

Оракл XE запущен, листенер тоже, все службы секретнета тоже работают и перезапускаются нормально. К другим серверам монитор цепляется нормально.
Кто-нибудь, можете подсказать, куда копать?

Сам поставил тему, сам закрываю).
Если вдруг кому-то пригодится - опишу, что было. Как выяснилось, Монитор и Сетевые Журналы используют для коннекта к оракловой БД собственную учетную запись snadmin, и пароль на эту учетку у них вшит. А я через БД недели три назад поменял пароль на эту учетку через оракл, для каких-то своих целей. Ошибка та же, что и при выключенном экземпляре БД - 426-я. Узнал у сервисдеска пароль к учетке, поменял обратно, и все взлетело! Подскажите пожалуйста, как узнать вшитый пароль на учетку snadmin? DenOS, воспользуйтесь утилитой DBPasswordChange, которая находится на дистрибутиве в папке Tools - Infosec - DBPasswordChange Сергей, подскажите пожалуйста, если знаете, утилита DBPasswordChange пароль для какого пользователя меняет? DenOS, по-моему, DBPasswordChange меняет пароль для пользователя snadmin. Это учетная запись, под которой Secret Net получает доступ к Oracle (точно уже не помню, уже давненько с этой проблемой разбирался)

Сергей, с помощью утилиты DBPasswordChange не получилось сменить пароль :( нашли другой способ сменить пароль. Для начала надо посмотреть в группах есть ли группа ORA-DBA и кто в ней прописан, если есть SYSTEM, то можно приконектиться к базе SQL следующим способом:
sqlplus "SYSTEM/ as SYSDBA"
попросит ввести пароль, оставить пустым, нажать Enter. (У меня присоединение к базе прошло успешно)
ну а затем работают следующие команды.

Если пользователь заблокирован, разблокировать его:
alter user <account_name> account unlock;

Сменить пароль пользователю:
alter user SYSTEM identified by password;
тут вместо SYSTEM любой другой пользователь БД и пароль не должен начинаться с цифр, такая политика Oracle.
Вроде всё, всем спасибо и удачи.

На российском рынке информационной безопасности существует целый класс продуктов, разработанных для выполнения требований регуляторов (ФСТЭК, ФСБ, Роскомнадзор и прочие). Эти продукты называются «СЗИ от НСД», что означает — средства защиты информации от несанкционированного доступа. Основные функции таких продуктов — реализация независимо от операционной системы аутентификации пользователей, правил разграничения доступа к файлам и директориям (дискреционно — как в операционных системах, и мандатно — для гостайны, где есть разные уровни информации), контроль целостности, управление подключением устройств и всякие другие функции. Про подобные продукты на Хабре есть короткая статья, правда ей уже больше пяти лет, но в целом мало что изменилось. Все эти продукты, по большей части, нужны для комплаинса в чистом виде, но, тем не менее, с помощью этих средств реализуется большинство политик безопасности в госорганах, госкомпаниях, оборонке и т.д.

Логично предположить, что эти продукты безопасны и правильно выполняют свои функции, но я выяснил, что это совсем не так. В данной статье будем рассматривать исключительно СЗИ от НСД под операционную систему Windows, так как не смотря на тренд импортозамещения, большинство госкомпьтеров всё равно работает под ней. В Windows есть множество особенностей и тонкостей, которые могут сыграть злую шутку с разработчиками средств защиты. Не будем сейчас говорить обо всех нюансах, разберем только один, который позволяет обойти политики разграничения доступа к файлам.

Не секрет, что основная файловая система, используемая в Windows, это NTFS. В NTFS есть такая штука, как атрибуты, доступ к которым можно получить путем добавления двойного двоеточия после имени файла. Атрибутов у файлов много, но нас интересует один — $DATA, он содержит содержимое файла. Обращение к file.txt и file.txt::$DATA тождественно, но механизм работы внутри операционной системы разный. Я решил посмотреть, знают ли об этой особенности разработчики СЗИ. Практическая часть проста — создавался файл test.txt с содержанием «Hello, world!», в интерфейсе СЗИ выставлялись права доступа, запрещающие чтение файла для всех пользователей, затем проверялось чтение файла по имени и по атрибуту $DATA, под непривилегированным пользователем.

Я хотел посмотреть на максимально возможном числе СЗИ, но оказалось, что свободно получить демо-версию можно только для двух продуктов — Dallas Lock и Secret Net. В открытом доступе есть еще Aura, но она не обновлялась с 2011 года и вряд ли ей кто-то еще пользуется. Все остальные (Страж, Блокхост, Diamond) получить в демо не удалось — в открытом доступе их нет, на запросы производитель либо не отвечает, либо требует гарантийные письма, либо вместо демо-версии предлагают прослушать вебинар.

Dallas Lock

И вот оно — любой пользователь может прочитать содержимое любого файла, полностью игнорируя все настроенные правила разграничения доступа.

Secret Net

В Secret Net данный фокус не работает, похоже, их разработчики разбираются в NTFS (хотя и не очень понимают в безопасности драйверов).

Проверял на этой версии, возможно, более ранние всё-таки уязвимы:

Я буду рад если вы протестируете доступные вам СЗИ и опубликуете результат в комментариях. И будьте осторожны с «сертифицированными средствами защиты», не стоит слепо доверять сертификатам и лицензиям.

Читайте также:

  
• Как установить chrome всем пользователям
  
• Xbox 360 controller устройство usb не опознано
  
• Super i o на материнской плате что это
  
• Как войти в сбербанк онлайн по qr коду
  
• Как в вертикальном видео сделать размытые края movavi video