Не получается настроить мандатный механизм контроля доступа в КСЗИ Панцирь

07.03.16 | Раздел публикации: КСЗИ Панцирь

Основополагающие моменты:

1. Мандатное разграничение прав доступа реализуется по записи и чтению на основе меток безопасности (числовых значений).

2. В дополнение к мандатному механизму может использоваться дискреционный, где можно установить права на исполнение и уточнять права по записи и чтению для пользователей с одинаковым мандатным уровнем (значением метки безопасности).

3. Правила доступа для мандатного механизма анализируются перед правилами доступа для дискреционного механизма (до разграничений по дискреционным правилам дойдут только те запросы доступа, которые не будут отклонены мандатным механизмом).

4. КСЗИ реализованы следующие правила обработки числовых значений меток безопасности:
- пользователь имеет полный доступ к объекту (чтение/запись), если числовые значения меток пользователя и объекта совпадают;
- пользователь не имеет доступа к объекту, если числовое значение метки безопасности пользователя больше, чем объекта;
- пользователь имеет доступ к объекту только по чтению, если числовое значение метки безопасности пользователя меньше, чем объекта.

5. Мандатным механизмом разрешается доступ куда-либо только размеченным пользователям (которым установлены метки), в том числи и системным, например, System (если пользователю не установлена метка, то любой его доступ будет блокирован).

6. Мандатным механизмом разрешается какой-либо доступ только к размеченным файловым объектам, в том числе и системным (в обязательном порядке должны быть размечены и папка Windows, и папка Program Files) (если объекту не установлена метка, то любой доступ к нему будет блокирован).

7. В КСЗИ реализовано следующее правило наследования меток безопасности. Установленная на включающий объект (например, диск) метка наследуется всеми включаемыми объектами (каталоги, подкаталоги, файлы), если на них не установлены свои метки. На включаемый объект, на который установлена своя метка, действую правила доступа, определяемые этой меткой. Пример разметки. Пусть требуется на содержимое папки D:\User1\Doc установить метку с числовым значением «3». Установим эту метку для объекта D:\User1\Doc\* (соотнесем содержимое этой папки с 3 уровнем). Тогда в эту папку сможет записывать пользователь с уровнем 3, читать с уровнями 1,2,3).

Чтобы пользователи смогли «добраться» проводником до этой папки, включающему элементу (в данном случае, диску D:) также должен быть сопоставлен уровень. Сопоставим ему уровень 4. При таких настройках все пользователи смогут осуществлять необходимые им обзоры диска, не имея возможности соответствующей записи.

8. Для расширения функциональных возможностей в части решения задач защиты информации, а также с целью снятия возможных противоречий, в КСЗИ реализована метка безопасности «0» уровня с функцией исключения:
- при присвоении уровня «0» субъекту, данный субъект исключается из анализа мандатным контролем доступа (но для него могут быть установлены дискреционные правила доступа). Назначать метку «0» можно, как пользователям, в том числе и системным, так и отдельным процессам, в том числе и системным;
- при присвоении уровня «0» объекту, данный объект исключается из анализа мандатным контролем доступа (но к нему могут быть установлены дискреционные правила доступа). Назначать метку «0» можно, в том числе системным файловым объектам.

9. Основные сложности при настройке механизма. Поскольку мандатная схема, реализованная корректно (реализующая следующее ключевое правило: разрешать доступ только размеченным субъектам и только к размеченным объекта, в противном случае мандатная схема теряет какой-либо смысл) предполагает разметку и системных ресурсов, именно с их разметкой могут возникнуть основные проблемы, а именно с разметкой пользователей System (и Администратор – возникает вопрос, какие его возможности усекать), с разметкой объектов Windows (системный каталог) и Program Files. В качестве некоторой базовой разметки может быть использовано следующее решение по настройке.

Для разметки системных ресурсов введем дополнительную системную метку безопасности, числовое значение которой больше, чем числовые значения меток пользователей, пусть метку «10». С этой меткой сопоставим объекты Windows и Program Files. В результате любой пользователь (числовые значения меток которых меньше) сможет читать эти объекты и не сможет туда записывать (В порядке замечания отметим, что если пользователи имеют различные значения меток, то одновременно им дать возможность записи в одну и ту же папку, например, Program Files, не представляется возможным, т.к. эта папка может иметь только одну метку – могут понадобиться исключения для различных субъектов-процессов, либо объекта – папки, с последующим заданием соответствующих дискреционных разграничений).

Теперь пользователь System. Можно ему назначить ту же метку «10». Но здесь сразу сталкиваемся с рядом проблем. Во-первых, с системными правами работает КСЗИ, антивирусные средства и т.д. Поэтому потребуется исключать все эти процессы из мандатной схемы, назначив им метку «0», либо назначить метку «0» пользователю System. Есть и ряд иных технических проблем, связанных с существенным усложнением настройки механизма. Поэтому для упрощения настройки рекомендуем назначить метку «0» пользователю System.

Кроме того, рекомендуем назначить метку «0» процессам КСЗИ (в противном случае разграничениями может быть усечен функционал средства защиты). По поводу администратора. В зависимости от решаемых администратором задач, ему можно присвоить либо ту же метку, что и системным ресурсам («10»), либо метку «0».

Пример настройки

Пусть в системе обрабатывается секретная и конфиденциальная информация. Должно быть заведено три учетных записи: User1 для обработки секретной информации, User2 для обработки конфиденциальной информации, Администратор (с правами администратора). Пусть секретная информация располагается в каталоге D:\TEST\Doc1, конфиденциальная в каталоге D:\TEST\Doc2.

1. Пользователя System и процессы СЗИ НСД соотносим с меткой «0» (исключение):

2. С учетом того, что объекты доступа определены иерархически (не дисками, а каталогами) - D:\TEST\Doc1 и D:\TEST\Doc2, вводим уровень обзора дисков

3) Соотносим субъекты и объекты с уровнем «Секретно»:

4) Соотносим субъекты и объекты с уровнем «Конфиденциально»:

5) Создаем системный уровень (уровень с меткой «10»). На этот уровень размещаем системные ресурсы и пользователя

«Администратор», чтобы он мог управлять системными ресурсами без отключения КСЗИ.

Замечание. При этом администратор не может получить доступ к конфиденциальной и секретной информации (при работающей КСЗИ), а пользователи User1 и User2 не имеют возможности модифицировать системные ресурсы и приложения

6) После этого необходимо проверить, что заведенным учетным записям не запрещены необходимые им права доступа дискреционным механизом.

Замечание. Используя дискреционный механизм Вы можете устновить необходимые Вам разграничения для учетных записей и процессов, которые будут обрабатываться в дополнение к разграничениям, заданным мандатным механизмом.

7) И не забудьте установить флаг «Включить мандатное разграничение прав доступа»

info В обработку принимаются вопросы только по Корпоративному ПО и компьютерной технике для использования в организациях. Отправить запрос
info Техподдержка для Домашних пользователей (персональные версии программ, компьютер, ноутбук, принтер, сканер, монитор) производится Службами поддержки Производителей