Защита в Windows 95/98/Me

Если Windows NT изначально проектировалась с учетом требований информационной безопасности в соответствии с требованиями Программы Оценки Доверяемых Продуктов (Trusted Product Evaluation Program - TPEP) Национального Центра Компьютерной Безопасности (National Computer Security Center - NCSA) США, то ничего подобного, к сожалению, нельзя сказать об операционных системах Windows 95/98/ME. До последнего момента не существовало никаких средств ограничения доступа пользователей в них. Системы в одинаковой степени были открыты как для любого зарегистрированного пользователя, так и допускали вход при отсутствии какой-либо регистрации, в принципе. Всем известно, что достаточно нажать кнопку “Esc” вместо ввода имени пользователя и пароля, и вы спокойно попадете в систему. Практически то же самое касается и сетевого доступа. Два типа доступа (полный и чтение) и возможность доступа по паролю не давали в целом никаких ограничений для конкретных пользователей.

Правда, наконец, фортуна повернулась лицом и к пользователям Windows 95/98/ME. Начали появляться достаточно неплохие утилиты, дающие возможность на практике обеспечить безопасность работы, как на локальном компьютере, так и в случае доступа по сети. Одной из наиболее интересных утилит можно назвать появившуюся на компьютерном рынке совсем недавно (в 2000 году) утилиту DeviceLock Me. Размер архива - 726 кбайт, для работы требует не меньше 8Мбайт оперативной памяти. Без регистрации работает 30 дней.

Это мощное средство контроля доступа к дискам в системах, работающих под управлением Windows 95/98/ME. DeviceLock Me имеет всю функциональность другого широко известного продукта компании SmartLine - DeviceLock, но в отличии от него, предназначен для защиты рабочих станций, работающих под Windows 95/98/ME. Можно контролировать дисководы, жесткие диски, CD-ROMы и ZIPы, устанавливая различные уровни доступа для отдельных пользователей. Данная утилита позволяет назначать права доступа в зависимости от времени суток и дня недели. DeviceLock Me имеет систему удаленного управления, и администратор сети может управлять всеми функциями, не покидая своего рабочего места.

DeviceLock Me реализует модель безопасности, при которой владелец объекта полностью управляет доступом к объекту. Это значит, что любому пользователю доступ к объекту может быть запрещен или ограничен. Пользователь, забывший свой пароль, уже не может получить доступ к своим ресурсам. Система сравнивает регистрационную информацию пользователя с хранящейся в базе данных, и в случае несовпадения информации закрывает доступ.

Перечислю основные принципы защиты, которых следует придерживаться.

  1. Владелец компьютера должен иметь возможность управлять доступом к компьютеру (нужно не забывать о необходимости установки полного доступа для самого себя).

  2. Каждый пользователь должен идентифицировать себя в системе. Для этого он вводит уникальное имя и пароль, в противном случае ему будет отказано в доступе. Иными словами, доступ к системе при нажатии клавиши “Esc” вместо ввода пароля при регистрации будет автоматически приводить к завершению работы системы.

  3. Копирование файлов и каталогов происходит с сохранением прав доступа (permissions).

По умолчанию в исходной конфигурации утилита устанавливает полный доступ для всех пользователей. А именно, для всех дисков и для единственного пользователя Everyone (это означает “всех пользователей системы”) устанавливается полный контроль. Иными словами, для пользователя Everyone флажками будут выделены все возможные права. Таким образом, вариант “по умолчанию” не обеспечивает никакой защиты от несанкционированного доступа к компьютеру. Вместе с тем, DeviceLock Me позволяет установить довольно высокий уровень защиты информации, но требует для этого дополнительных усилий по установке приемлемой в конкретном случае конфигурации.

Внимание! Если при добавлении пользователей и разграничении доступа для них вы забыли удалить коллективного пользователя Everyone с полным доступом, то вся ваша работа была проведена практически зря. Любой пользователь сможет войти в систему, не зарегистрировавшись (по “Esc”) и будет иметь полный доступ.

Для файлов и каталогов можно определить следующие права доступа.

Право доступа

Комментарий

List Directory

разрешает просмотр списка файлов и папок и перемещение по папкам

Create Directory

разрешает создание папки с фиксированным именем “Новая папка”

Read

разрешает чтение файлов

Write

разрешает изменение, запись и копирование файлов, а также копирование папок

Execute

разрешает запуск файлов; невозможна установка данного права при отсутствии права “Read”

Rename

разрешает переименование и перемещение файлов и папок

Delete

разрешает удаление файлов и папок

Format/Scan Disk

разрешает форматирование и сканирование диска


Можно выделить два направления защиты: локальную - для одного компьютера и групповую - для нескольких компьютеров сети.

Локальная защита (Set Permissions)обеспечивает ограничение доступа для пользователей локального компьютера. В принципе, возможен, например, такой вариант разграничения доступа, когда вы разрешаете полный доступ только администратору (владельцу компьютера), а для всех прочих пользователей доступ немного ограничиваете, запрещая им, например, выполнять наиболее опасные операции “Delete” и “Format/Scan Disk” (см. пример).

Рис.1

Возможность установки групповой защиты (Batch Permissions)существенно облегчает работу администратора. Она обеспечивает функционирование системы удаленного управления, с помощью которой администратор сети может установить любые права для любых пользователей сети на их локальных компьютерах со своего рабочего места.

Запустив программу DeviceLock Me на сервере, администратор увидит примерно такую картину, как на следующем рисунке. При этом компьютеры COMPUTER3 и COMPUTER4, помеченные крестиком, окажутся недоступными, а для остальных можно будет установить любые ограничения. Недоступными же будут те компьютеры, на которые перед этим не была проведена установка DeviceLock Me (т.е. программа должна быть инсталлирована на всех компьютерах сети).

Рис.2 

Естественно, что вначале вам потребуется создать группу компьютеров, а затем ввести пользователей, и установить для каждого из них свой вариант доступа. Количество пользователей может быть больше числа компьютеров, ведь на каждом компьютере может работать не один человек.

Например, для гр.Бендера вы выбираете крайне ограниченный вариант доступа, предоставив ему возможность только перемещения по каталогам и запуска и чтения файлов на жестких дисках. При этом ограничиваете его во временном отношении, запрещая тому работать по воскресеньям (временные промежутки устанавливаются путем манипулирования правой-запрет и левой-разрешение кнопками мыши).

Рис.3

А для гр.Воробьянинова запрещаете только самые опасные операции удаления и форматирования на жестких дисках.

Рис.4

Недостатки системы DeviceLock Me:

  • В случае случайного неверного ввода имени пользователя или пароля выдается сообщение Explorer “Программа выполнила недопустимую ошибку и будет закрыта” и происходит зависание компьютера. В результате приходиться нажимать комбинацию клавиш “Ctrl+Alt+Del” и завершать работу системы.
  • Периодически возникают аналогичные ситуации зависания компьютера при завершении сеанса работы одним пользователем и регистрации другого пользователя. Поэтому надежнее проводить перезагрузку компьютера.
  • В случае входа в систему конкретного пользователя, для которого установлены ограничения по времени, в запрещенное время наблюдается та же самая ситуация зависания компьютера.
  • После определения доступа для новых пользователей системы происходит исчезновение практически всех ярлыков с рабочего стола для уже существовавших ранее пользователей. Кроме того, автоматически устанавливаются крупные значки в главном меню, а система забывает список последних открывавшихся документов.
  • В случае регистрации в системе не администратора (владельца компьютера), а другого пользователя возможен запуск программы DeviceLock Me и исправление в ней установленных прав. Плохо то, что программа при открытии не спрашивает пароля.

Сделаем вывод. Несмотря на то, что программа DeviceLock Me не лишена недостатков (которые, вероятно, будут исправлены в следующей ее версии), она, несомненно, представляет немалый интерес с точки зрения разграничения прав пользователей в системах, работающих под управлением Windows 95/98/ME. DeviceLock Me обеспечивает достаточно надежную защиту от несанкционированного доступа не слишком подготовленных пользователей. Более того, она гарантирует полную невозможность попадания в систему незарегистрированных пользователей.



Яндекс цитирования

Рассылки Subscribe.Ru
Генеалогическое древо семьи