Úvod.

Formulácia problému.
Realizácia úlohy.

Koniec procedúry

Koniec Ak;

Funkcia ConductRight (vpravo)

Žiadosť = Nová požiadavka;

Request.Text = "VYBRAŤ

| ValuesAdd Right Value

Ukážka.Ďalej ();

Return Sample.Value;

Return False;

Koniec Ak;

EndFunction

Otvorená procedúra ()

Koniec procedúry

Záver.
Bibliografia.
Aplikácia.




Úvod.

Dnes sú na ruskom trhu automatizácie účtovníctva popredné riešenia vyvinuté na základe platformy vyvinutej ruskou spoločnosťou "1C". Podľa sociologických štúdií zverejnených na internete v Rusku a krajinách SNŠ 90 % organizácií používa tieto systémy na automatizáciu účtovníctva. Tieto systémy tiež nemajú analógy pre úplnú automatizáciu účtovníctva v súlade s RAS. Keďže účtovné a daňové výkazy spracované a uložené v takýchto systémoch predstavujú dôverné informácie akejkoľvek organizácie, tieto informácie musia byť chránené na správnej úrovni. Okrem účtovníctva sa prostredníctvom týchto systémov automatizovali mnohé oblasti účtovníctva (napríklad personálne účtovníctvo a mzdové účtovníctvo, prevádzkové a manažérske účtovníctvo, účtovníctvo vzťahov so zákazníkmi a pod.).

Formulácia problému.

V tejto práci chcem popísať metódy a spôsoby ochrany informácií v databázach vybudovaných na báze 1C Enterprise systémov.

V súčasnosti sa aktívne používajú 3 verzie „1C“, konkrétne verzie 7.7, 8.1 a 8.2. Verzia 7.7 je morálne zastaraná a zastaraná a nevidím žiadny praktický dôvod považovať tento systém za príklad. Keďže sa verzia 8.2 začala oficiálne predávať pomerne nedávno, rozhodol som sa pre verziu „1C Enterprise 8.1“. Ako príklad bol použitý predtým vyvinutý školiaci systém na automatizáciu úloh prevádzky a účtovníctva a miezd.

Pretože systém funguje v lokálnej sieti organizácie, prípadne na lokálnom počítači, potom ochrana tohto systému pred prípadnými vonkajšími útokmi pripadá na správcu siete. V tomto príklade popíšem najmä mechanizmus diferenciácie prístupu k informáciám konkrétnych zamestnancov organizácie.

Tento systém umožňuje nákup tovaru na sklad a jeho predaj, pričom je možné poskytnúť niektoré služby kupujúcemu. Pri realizácii transakcií nákupu a predaja systém automaticky zhromažďuje údaje o účtovníctve a prevádzkovom účtovníctve. Taktiež pre realizáciu účtovných úloh je možné zadávať manuálne operácie, t.j. zadávanie korešpondencie účtov, špecifikovanie požadovaných rozmerov, množstiev a súm na príslušných účtoch. Pre úlohu výpočtu miezd má systém možnosť zadávať časové rozlíšenie miezd, prémie, cestovné časové rozlíšenie a zadávať absencie.

Na prístup k objektom musíte nastaviť nasledujúce práva:

Vytvorte práva správcu pre úplný prístup ku všetkým údajom.

Pre vedúceho organizácie udeľte práva na zostavy a práva na prezeranie všetkých dokumentov.

Pre účtovných zamestnancov udeliť právo na prístup k účtovným dokladom a výkazom.

Zamestnancom back office udeliť práva na vytváranie príjmových a výdavkových dokladov, pričom každý zamestnanec môže vytvárať a prezerať doklady len pre protistranu, ku ktorej je zodpovedný.

Pre zamestnancov HR oddelenia otvorte prístup len k objektom potrebným na mzdy.

Všetkým zamestnancom okrem vedenia zakázať tlač nepoužitých dokumentov.

Pre všetkých používateľov nastavte príslušné práva a zabezpečte autentifikáciu pomocou hesla alebo operačného systému.

Realizácia úlohy.

Riadenie prístupu pomocou rolí.

Mechanizmus rolí vám umožňuje nastaviť práva na čítanie, prezeranie, úpravu, mazanie, vedenie atď. pre každý konfiguračný objekt. Konfiguračné objekty znamenajú adresáre (ukladanie referenčných informácií, napríklad skladový list, protistrany atď.), Dokumenty (navrhnuté tak, aby odrážali obchodné transakcie, ako je faktúra, mzdy atď.) a registre, ktoré zhromažďujú akékoľvek informácie ... Obrázok 1 zobrazuje niektoré z hlavných predmetov, ktoré sa uvažujú v tomto príklade.

Obrázok 1. Hlavné objekty konfigurácie.

V systéme je možné vytvoriť neobmedzený počet rolí, v každej role je možné nastaviť práva pre jeden objekt a pre každého používateľa je možné nastaviť viacero rolí. Pri prideľovaní viacerých rolí jednému používateľovi sú jeho práva stanovené na základe nasledujúceho pravidla: Akcia je dostupná, ak je povolená, aspoň v jednej role a akcia je neprístupná, ak je zakázaná vo všetkých rolách. Rola môže byť udelená iba vizuálne a iba vo fáze konfigurácie konfigurácie. Roly nie je možné meniť za behu.

Obrázok 2 poskytuje príklad nastavenia úplných práv pre správcu systému.

Obrázok 2. Nastavenie všetkých práv pre rolu.

Pre ostatných používateľov je potrebné nastaviť potrebné práva, čo je znázornené na obrázku 3.

Obrázok 3. Príklad zriadenia práv pre konkrétneho používateľa.

Diferenciácia práv na úrovni evidencie.

Mechanizmus vymedzovania práv na úrovni záznamov je potrebný na vymedzenie prístupu k záznamom v tabuľkách infobáz podľa určitých kritérií. Napríklad prístup len k tým záznamom v adresári protistrán, za ktoré je zodpovedný aktuálny používateľ. Napríklad na obrázku 4 je zobrazený text programu, ktorý obmedzuje prístup užívateľa k evidencii zoznamu dokladov príjmovej faktúry.

Obrázok 4. Príklad obmedzenia prístupu na úrovni záznamu.

Používateľ je identifikovaný pomocou parametra relácie „Aktuálny vykonávateľ“ informácie o používateľoch sú uložené v adresári „Zamestnanci“. Parameter relácie „Aktuálny umelec“ sa nastaví pri spustení programu pomocou nasledujúceho textu programu:

Postup spustenia systému ()

SessionParameters.CurrentService = Directories.Employees.FindByCode (UserName ());

Koniec procedúry

Riadenie prístupu programovo.

Okrem mechanizmu rolí môžete nakonfigurovať prístup k údajom v programe napísaním procedúr a funkcií v jazyku zabudovanom do 1C Enterprise. Príkladom je možnosť systému otvoriť formulár (vizuálny prvok, s ktorým používateľ pracuje) len na prezeranie, ak sú splnené určité podmienky, napr.

Ak SessionParameters.CurrentUser =

Directories.Employees.FindByDesign ("Ivanov") Potom

ThisForm.View Only = True;

Koniec Ak;

Zložitejším príkladom je mechanizmus, ktorý umožňuje v režime vykonávania programu vydať používateľovi potrebné práva, napríklad povoliť alebo zakázať tlač nezaúčtovaných dokumentov. Na splnenie tejto úlohy bol vytvorený zoznam, v ktorom je uložený zoznam dodatočných práv, a tabuľka (Informačný register), v ktorej sú uložené hodnoty dodatočných práv. V spoločnom module bol vytvorený nasledujúci postup, ktorý získa hodnotu práva pre aktuálneho používateľa:

Funkcia ConductRight (vpravo)

Žiadosť = Nová požiadavka;

Request.Text = "VYBRAŤ

| ValuesAdd Right Value

| Informácie Register.ValuesAddRight AS ValuesAddRight

| ValuesAdd Right.Employee = & Zamestnanec

| And ValuesAddRight.Right = & Right ";

Request.SetParameter ("Zamestnanec",

Parametre relácie.Aktuálny exekútor);

Request.SetParameter ("Right", Right);

Výsledok = Query.Run ();

Ak nie Výsledok.Prázdne () Potom

Výber = Výsledok.Výber ();

Ukážka.Ďalej ();

Return Sample.Value;

Return False;

Koniec Ak;

EndFunction

Na formulári dokladu Faktúra sa nachádza tlačidlo „Tlačiť“, ktoré je zodpovedné za vytvorenie tlačovej podoby tohto dokladu. Pri otvorení tohto dokumentu pomocou nasledujúceho textu programu nastavíme dostupnosť tohto tlačidla pre používateľa:

Otvorená procedúra ()

Prvky formulára Základné akcie formulára Tlačidlá Tlač

Dostupnosť = ProvDostRight (Vyčíslenie.

DodatočnáPrava.Tlač nezaúčtovaných dokumentov);

Koniec procedúry

Prideľovanie rolí a prostriedkov identifikácie používateľov.

Používatelia, ktorí majú povolené pracovať s programom, sú vytváraní v režime konfigurácie úloh, alebo môže byť používateľ vytvorený programovo. Obrázok 5 zobrazuje príklad vytvorenia používateľa a priradenia zodpovedajúcich práv k nemu.

Obrázok 5. Zoznam používateľov, rolí a prostriedkov identifikácie.

Záver.

V tomto príspevku bol uvažovaný pomerne jednoduchý príklad účtovnej úlohy a jednoduchý príklad nastavenia užívateľských práv v tejto úlohe. Tento príklad vám však umožňuje jasne ilustrovať možnosti systému z hľadiska oddelenia práv, ktoré je v mnohých organizáciách veľmi dôležité, a poskytuje každému zamestnancovi prístup iba k informáciám, ktoré potrebuje.

Príloha obsahuje snímky obrazovky spusteného programu, ktoré ilustrujú vykonané nastavenia.

Bibliografia.

Gabets A.P., Goncharov D.I. 1C: Podnik 8.1. Jednoduché príklady vývoja. - M .: LLC "1C-Publishing"; SPB: Peter, 2008 .-- 383 s .: chor. + CD-ROM.

1C: Podnik 8.2. Príručka pre vývojárov. Časť 1. - M .: CJSC "1C", 2009 - 638 s.: chor.

Radčenko M.G. 1C: Podnik 8.1. Praktická príručka pre vývojárov. Príklady a typické techniky. M.: LLC "1C-Publishing", 2008,874 s.: choré.

P.S. Belousov Metodické materiály školiaceho kurzu "Konfigurácia platformy" 1C: Enterprise 8.1 ". - M .: CJSC "1C", 2007 - 272 s.: choré.

Aplikácia.

Príklad pokusu o neoprávnené prihlásenie.

Príklad riadenia prístupu obmedzením prostredníctvom rolí, ilustrácia ukazuje pokus o otvorenie adresára, pre ktorý používateľ nemá povolenie na čítanie.

Príklad diferenciácie práv na úrovni záznamov.

Príklad softvérovej implementácie neprístupnosti tlačidla „Tlač“ v dokumente „Faktúra“.

Diferenciácia prístupu v informačnom systéme spočíva v rozdelení informácií, ktoré v ňom kolujú, na časti a organizovaní prístupu k nim pre úradníkov v súlade s ich funkčnými povinnosťami a právomocami.

Úloha diferencovaného prístupu: zníženie počtu úradníkov, ktorí s tým nemajú nič spoločné pri výkone svojich funkcií, to znamená chrániť informácie pred narušiteľom spomedzi zamestnancov, ktorí sú doň prijatí.

V tomto prípade môže byť rozdelenie informácií vykonané podľa stupňa dôležitosti, utajenia, podľa funkčného účelu, podľa dokumentov atď.

Vzhľadom na to, že prístup sa vykonáva z rôznych technických prostriedkov, je možné začať diferenciáciu vymedzením prístupu k technickým prostriedkom ich umiestnením v samostatných miestnostiach. Všetky prípravné funkcie údržby zariadenia, opravy, údržby, reštartu softvéru atď. by mali byť technicky a organizačne oddelené od hlavných úloh systému. Informačný systém ako celok, ako aj komplex automatizačných nástrojov a organizácia ich údržby by mali byť postavené takto:

Údržbu komplexu automatizačných zariadení počas prevádzky by mal vykonávať samostatný personál bez prístupu k informáciám, ktoré sa majú chrániť;

Funkcie informačnej bezpečnosti by mala vykonávať špeciálna divízia v organizácii - vlastník komplexu automatizačných zariadení, počítačovej siete, automatizovaného riadiaceho systému alebo informačného systému ako celku;

Organizácia prístupu používateľov k pamäťovým (úložným) zariadeniam informačného systému by mala zabezpečiť možnosť vymedziť prístup k informáciám na nich uloženým s dostatočnou mierou podrobnosti a v súlade so stanovenými úrovňami (zásadami) oprávnenia používateľa;

Oddeliť evidenciu a dokumentáciu technologických a prevádzkových informácií.

Diferenciáciu prístupu používateľov-spotrebiteľov informačného systému je možné vykonať aj podľa nasledujúcich parametrov:

Podľa druhu, povahy, účelu, stupňa dôležitosti a utajenia informácií;

Podmienené číslo terminálu;

Doba spracovania atď.

Zásadnú možnosť diferenciácie podľa zadaných parametrov by mal poskytnúť projekt informačného systému. A špecifické rozlíšenie počas prevádzky systému stanovuje spotrebiteľ a do systému ho vkladá jeho oddelenie zodpovedné za informačnú bezpečnosť.

Na tieto účely sa pri navrhovaní a plánovaní prevádzky základného informačného a výpočtového komplexu s prihliadnutím na komplex automatizačných nástrojov vyrábajú:

Vývoj alebo adaptácia operačného systému so schopnosťou implementovať diferenciáciu prístupu k informáciám uloženým v pamäti výpočtového komplexu;

Izolácia prístupových oblastí;

Rozdelenie databázy do skupín;

Postupy ovládania pre uvedené funkcie.

Pri navrhovaní a prevádzke komplexu automatizačných nástrojov, automatizovaného riadiaceho systému a informačného systému ako celku (siete) sa na ich základe vyrábajú:

Vývoj a implementácia funkčných úloh pre delimitáciu a kontrolu prístupu k zariadeniam a informáciám tak v rámci tohto súboru automatizačných nástrojov, ako aj informačného systému ako celku;

Vývoj hardvéru na identifikáciu a autentifikáciu používateľov;

Vývoj softvérových nástrojov na kontrolu a riadenie kontroly prístupu;

Vypracovanie samostatnej prevádzkovej dokumentácie pre prostriedky identifikácie, autentifikácie, delimitácie a kontroly prístupu.

Použitie kódov hesiel, ktoré sú uložené v pamäti používateľa a komplexu automatizačných nástrojov, je široko používané ako osobné identifikátory na implementáciu diferenciácie. Na pomoc používateľovi v systémoch so zvýšenými požiadavkami sa veľké hodnoty kódov hesiel zaznamenávajú na špeciálne médiá - elektronické kľúče alebo karty.

Rozdelenie výsad na prístup k informáciám spočíva v tom, že spomedzi do nej prijatých úradníkov je pridelená skupina, ktorej je udelený prístup len pri súčasnom predložení právomocí všetkých členov skupiny.

Účelom tejto metódy je výrazne skomplikovať zámerné zachytenie informácií narušiteľom. Príkladom takéhoto prístupu môže byť trezor s niekoľkými kľúčmi, ktorého zámok je možné otvoriť len vtedy, keď sú prítomné všetky kľúče. Podobne môže informačný systém poskytnúť mechanizmus na oddelenie oprávnení pri prístupe k obzvlášť dôležitým údajom pomocou kódov hesiel.

Táto metóda trochu komplikuje postup, ale má vysokú účinnosť ochrany. Na jej princípoch môžete organizovať prístup k údajom so súhlasom nadriadenej osoby na požiadanie alebo bez nej.

Kombinácia dvojitej kryptografickej transformácie informácií a spôsobu oddelenia privilégií poskytuje vysoko efektívnu ochranu informácií pred úmyselným neoprávneným prístupom.

Okrem toho, v prípade nedostatku finančných prostriedkov, ako aj za účelom neustálej kontroly prístupu k cenným informáciám zo strany správy spotrebiteľa informačného systému, je v niektorých prípadoch možné využiť právo na prístup k informáciám tzv. podriadeného vedúceho, len ak existuje jeho identifikátor a identifikátor jeho zástupcu alebo služobného zástupcu.informačná bezpečnosť. V tomto prípade sa informácie zobrazujú iba na displeji vedúceho a na displeji podriadeného iba informácie o skutočnosti jeho volania.

Riadenie prístupu k informáciám v prepravnej sieti a v automatizovanom riadiacom systéme

Kontrola prístupu k informáciám v prepravnej sieti sa vykonáva počas jej prípravy, prevádzky a dokončovania prác.

Pri príprave siete na prenos informácií a automatizovaného riadiaceho systému na prevádzku spočíva kontrola prístupu vo vykonávaní nasledujúcich funkcií:

Objasnenie úloh a rozdelenie funkcií sieťových prvkov a automatizovaného riadiaceho systému a obslužného personálu;

Riadenie vstupu tabuliek adries do prvkov siete;

Zadávanie tabuliek právomocí prvkov siete, používateľov, procesov atď .;

Kontrola fungovania systémov šifrovania a kontroly autorít.

Počas prevádzky kontrola prístupu zahŕňa:

Kontrola dodržiavania právomocí sieťovými prvkami, procesmi, používateľmi atď.; včasné odhalenie a zablokovanie neoprávneného prístupu;

Monitorovanie dodržiavania pravidiel šifrovania údajov a používania šifrovacích kľúčov;

Zhromažďovanie, registrácia a dokumentácia informácií o neoprávnenom prístupe s uvedením miesta, dátumu a času udalosti;

Evidencia, dokumentácia a kontrola všetkých žiadostí o informácie podliehajúce ochrane s uvedením dátumu, času a údajov odosielateľa a príjemcu informácií;

V prípade potreby zmena a zavedenie nových právomocí prvkov siete, procesov, terminálov a používateľov;

Organizačné opatrenia na ochranu informácií v prepravnej sieti a automatizovanom systéme riadenia.

V najjednoduchšom prípade možno použiť riadenie prístupu na určenie, či má používateľ povolený prístup k niektorému prvku siete. Zvýšením selektivity riadenia prístupu je možné zabezpečiť, aby bol prístup k jednotlivým sieťovým prvkom pre jednotlivých používateľov a sieťovým prvkom povolený alebo zakázaný nezávisle od ostatných. Nakoniec, mechanizmy riadenia prístupu môžu byť rozšírené tak, aby zahŕňali objekty v rámci sieťového prvku, ako sú procesy alebo súbory.

Porušenie autority je vyjadrené:

Pri vybavovaní požiadavky alebo vydávaní príkazov odosielateľom, ktoré nie sú uvedené v zozname príjemcov sieťového prvku;

Nesúlad medzi hodnotami prezentovanými a uloženými na objektovom príjemcovi hesiel;

Prijímanie zašifrovaných informácií, ktoré sa nedajú dešifrovať atď.

Vo všetkých týchto prípadoch sa ukončí ďalšie spracovanie a prenos údajov z kódov a do objektu riadenia informačnej bezpečnosti sa automaticky odošle správa o skutočnosti neoprávneného prístupu, jeho povahe, názve objektu odosielateľa, dátume a čase udalosti. . Každý prípad neoprávneného prístupu je evidovaný a dokumentovaný na objekte príjemcu a objekte riadenia prístupu v sieti na prenos informácií a automatizovanom systéme kontroly. Po prijatí správy o neoprávnenom prístupe informačná bezpečnostná služba prešetrí incident a zistí príčinu udalosti. Ak je príčina udalosti náhodná, riešením problému je poverená služba spoľahlivosti, ak je to úmyselné, zodpovedajú sa príslušné pokyny pracovnej náplne vypracované touto organizáciou alebo spoločnosťou, ktorá vlastní sieť na prenos informácií a automatizovaný riadiaci systém. nasledovalo.

Kontrola prístupu môže byť troch typov:

Centralizované riadenie. Zriadenie právomocí vykonáva správa organizácie alebo vlastníka firmy automatizovaného riadiaceho systému, siete alebo informačného systému ako celku. Vstup a kontrolu právomocí vykonáva zástupca služby informačnej bezpečnosti z príslušného riadiaceho objektu;

Hierarchické decentralizované riadenie. Ústredná organizácia zriaďujúca pôsobnosť môže delegovať niektoré zo svojich právomocí na podriadené organizácie, pričom si ponecháva právo zrušiť alebo revidovať rozhodnutia podriadenej organizácie alebo osoby;

Individuálne ovládanie. V tejto situácii neexistuje statická hierarchia v riadení rozdelenia právomocí. Jednotlivcovi môže byť umožnené vytvárať si vlastné informácie a zároveň zabezpečiť, aby boli chránené pred neoprávneným prístupom. Vlastník informácií môže podľa vlastného uváženia otvoriť prístup k informáciám iným používateľom, vrátane prevodu vlastníctva. Všetky tieto typy riadenia je možné aplikovať súčasne, v závislosti od charakteru činností a úloh organizácie-majiteľa automatizovaného riadiaceho systému, siete alebo informačného systému ako celku.

Pri centralizovanom riadení výkonov na termináli je možné zobraziť štruktúru automatizovaného riadiaceho systému, siete alebo informačného systému ako celku. V tomto prípade je každému prvku automatizovaného riadiaceho systému, siete alebo informačného systému pridelený názov alebo číslo, pri zobrazení sa pre každý prvok zadajú tieto znaky jeho stavu: „zavedené – nezaradené do systému“, „obsluhovateľné“. - chybné“ a „žiadny neoprávnený prístup – došlo k neoprávnenému prístupu.“

Moderné zobrazovacie zariadenia umožňujú implementáciu týchto funkcií v rôznych verziách, ktoré sú vhodné pre operátorov.

Funkcie kontroly a riadenia informačnej bezpečnosti v automatizovanom riadiacom systéme (sieti) možno priradiť operátorovi automatizovaného pracoviska informačného bezpečnostného systému komplexu nástrojov automatizácie spracovania informácií, ktorý je riadiacim objektom automatizovaného riadenia. systém (sieť).

V posledných rokoch získavajú na ruskom trhu popularitu podnikové (súkromné) digitálne komunikačné siete, ktoré sa predtým používali najmä na prenos utajovaných informácií v obrannom priemysle. Hlavným účelom takýchto sietí je poskytovať uzavretú komunikáciu pre účastníkov spojených s podnikovými záujmami.

Každý subjekt zaregistrovaný v počítačovom systéme (používateľ alebo proces konajúci v mene používateľa) je spojený s nejakou informáciou, ktorá ho jednoznačne identifikuje. Môže to byť číslo alebo reťazec znakov, ktoré pomenúvajú daný predmet. Táto informácia sa nazýva identifikátor subjektu. Ak má používateľ v sieti zaregistrovaný identifikátor, považuje sa za legálneho (oprávneného) používateľa; zvyšok používateľov sú nelegálni používatelia. Pred prístupom k zdrojom počítačového systému musí používateľ prejsť procesom primárnej interakcie s počítačovým systémom, ktorý zahŕňa identifikáciu a autentifikáciu.

Identifikácia je postup na rozpoznanie používateľa podľa jeho identifikátora (mena). Táto funkcia sa spustí, keď sa používateľ pokúsi prihlásiť do siete. Používateľ na požiadanie oznámi systému svoj identifikátor a systém skontroluje jeho prítomnosť vo svojej databáze.

Autentifikácia je postup na overenie pravosti nárokovaného používateľa, procesu alebo zariadenia. Táto kontrola vám umožňuje spoľahlivo overiť, že používateľ (proces alebo zariadenie) je presne tým, za koho sa vydáva. Overujúca strana sa pri realizácii autentifikácie uisťuje o pravosti overovanej strany, pričom sa overovaná strana aktívne zúčastňuje aj procesu výmeny informácií. Používateľ zvyčajne potvrdzuje svoju identitu zadaním jedinečných informácií o sebe do systému, ktoré nie sú ostatným používateľom známe (napríklad heslo alebo certifikát).

Identifikácia a autentifikácia sú vzájomne prepojené procesy rozpoznávania a autentizácie subjektov (používateľov). Práve na nich závisí následné rozhodnutie systému: či je možné povoliť prístup k zdrojom systému konkrétnemu používateľovi alebo procesu. Po identifikácii a autentifikácii subjektu sa vykoná jeho autorizácia.

Autorizácia je postup, ktorým sa subjektu v tomto systéme udeľujú určité právomoci a prostriedky. Inými slovami, autorizácia určuje jej rozsah a zdroje, ktoré má k dispozícii. Ak systém nedokáže spoľahlivo rozlíšiť oprávnenú osobu od neoprávnenej osoby, môže dôjsť k porušeniu dôvernosti a integrity informácií v tomto systéme. Organizácia musí jasne definovať svoje bezpečnostné požiadavky, aby mohla robiť rozhodnutia o vhodných hraniciach autorizácie.

Administrácia - registrácia akcií užívateľa na sieti, vrátane jeho pokusov o prístup k zdrojom. Aj keď tieto účtovné informácie možno použiť na účely fakturácie, z hľadiska bezpečnosti sú obzvlášť dôležité na zisťovanie, analýzu a reagovanie na bezpečnostné incidenty v sieti. Záznamy Syslog, audity a účtovný softvér možno použiť na to, aby používatelia boli zodpovední, ak sa niečo stane, keď sa prihlásia do siete pomocou svojho ID.

Požadovaná úroveň autentifikácie je určená bezpečnostnými požiadavkami, ktoré sú nastavené v organizácii. Verejné webové servery môžu povoliť anonymný alebo hosťovský prístup k informáciám. Finančné transakcie môžu vyžadovať silné overenie. Príkladom slabej formy autentifikácie je použitie IP adresy na identifikáciu používateľa. Spoofing IP môže ľahko zničiť autentifikačný mechanizmus. Silná autentifikácia je kľúčovým faktorom, ktorý zabezpečí, že ku kontrolovaným informáciám budú mať prístup len oprávnení používatelia.

Pri ochrane kanálov prenosu dát by sa mala vykonávať vzájomná autentifikácia subjektov, teda vzájomné potvrdenie pravosti subjektov komunikujúcich medzi sebou prostredníctvom komunikačných liniek. Procedúra autentifikácie sa zvyčajne vykonáva na začiatku relácie vytvárania pripojenia účastníka. Pojem „spojenie“ označuje logické spojenie (potenciálne obojsmerné) medzi dvoma sieťovými aktérmi. Účelom tohto postupu je zabezpečiť, aby bolo nadviazané spojenie s legitímnym subjektom a všetky informácie sa dostali na miesto určenia.

Heslo je to, čo pozná používateľ a ďalší účastník interakcie. Pre vzájomnú autentifikáciu účastníkov interakcie je možné zorganizovať výmenu hesiel medzi nimi.

Osobné identifikačné číslo (PIN) je osvedčený spôsob overovania držiteľov plastových kariet a čipových kariet. Tajný význam PIN kódu by mal poznať iba držiteľ karty.

Dynamické (jednorazové) heslo je heslo, ktoré sa po jednom použití už nikdy nepoužije. V praxi sa zvyčajne používa pravidelne sa meniaca hodnota, ktorá je založená na konštantnom hesle alebo prístupovej fráze.

Systém žiadosť-odpoveď. Jedna zo strán spustí autentifikáciu odoslaním jedinečnej a nepredvídateľnej hodnoty „požiadavka“ druhej strane a druhá strana odošle odpoveď vypočítanú pomocou „požiadavky“ a tajomstva. Keďže obe strany majú jedno tajomstvo, prvá strana môže skontrolovať správnosť odpovede druhej strany.

Certifikáty a digitálne podpisy. Ak sa na autentifikáciu používajú certifikáty, potom sa na týchto certifikátoch vyžadujú digitálne podpisy. Certifikáty vydáva zodpovedná osoba v organizácii používateľa, certifikačný server alebo externá dôveryhodná organizácia. Cez internet sa objavila komerčná infraštruktúra verejného kľúča (PKI) na distribúciu certifikátov verejného kľúča. Používatelia môžu získať certifikáty rôznych úrovní.

Môžeme teda konštatovať, že pred začatím budovania systému ochrany informácií musíte najskôr určiť zloženie chránených informácií, analyzovať možné hrozby a zvoliť adekvátnu bezpečnostnú politiku.

Každý správca systému sa musel vysporiadať s problémom poskytovania prístupu v tej či onej forme. Toto je časovo najnáročnejšia úloha, už len kvôli veľkému počtu zdrojov a používateľov, ktorí vyžadujú tento druh prístupu. Túto záležitosť ešte zhoršuje heterogénne zloženie zdrojov. Môžu to byť priečinky na súborovom serveri alebo dokonca jednotlivé súbory, sieťové tlačiarne a tlačové fronty, databázy, objekty Active Directory, internetové zdroje atď. Napokon je potrebné, aby rôzne kategórie používateľov mali rôzne úrovne prístupu k zdrojom, napr. napríklad tí istí používatelia majú právo iba na prístup k databáze referenčného a právneho systému („Garantor“, „Consultant-Plus“, „Code“, „Vaše právo“ atď.), zatiaľ čo iní sú oprávnení inštalovať aktualizácie prijaté predplatným.

Každý administrátor riešil tento problém po svojom: buď štandardnými metódami, správaním sa „ako naučený“, alebo vykonaním vlastných zmien štandardných prístupov. Tejto problematike bolo venovaných veľa článkov, napríklad "Efektívna kontrola prístupu v sieťach Windows 2000 a NT" od Randyho Franklina Smitha (). Chcem vám povedať o inom prístupe k riešeniu tohto zložitého problému.

"Ako učili"

Ryža. 1. Štandardný prístup k správe prístupu k zdrojom - AGLP

Štandardný prístup, ktorý Microsoft ponúka vo všetkých kurzoch administrácie, sa označuje skratkou AGLP. Ako viete, táto skratka znamená „Účet – Globálna skupina – Miestna skupina – Povolenia“. Tento prístup je vyjadrený v nasledujúcom (pozri obr. 1).

Každý prostriedok, s výnimkou objektov Active Directory, je umiestnený v počítači. Na reguláciu prístupu k tomuto prostriedku sa na tomto počítači vytvárajú miestne skupiny alebo lokálne skupiny domén v doméne Active Directory. Iba tieto miestne skupiny sa zobrazujú v zoznamoch tolerancií pre objekty, ktoré tvoria zdroj. Počet miestnych skupín zodpovedá počtu úrovní prístupu požadovaných pre daný zdroj. Existujú aspoň dve takéto úrovne: pre správu zdrojov a pre každodenné použitie.

Je možné zahrnúť používateľov, každého jednotlivo, do zoznamov prístupových práv k objektom, ale je to príliš komplikované. Môžete zahrnúť používateľov do príslušných miestnych skupín, všetko bude fungovať, ale táto možnosť má tiež ďaleko od ideálu. Po prvé, stráca sa schopnosť centralizovať všetky akcie. Budete ich musieť urobiť pre každú doménu samostatne, ak sa objekty, ktoré tvoria zdroj, nachádzajú na počítačoch z rôznych domén. Po druhé, keď presuniete prostriedok do inej domény (ak používate lokálne skupiny domény) alebo dokonca do iného počítača (ak používate lokálne skupiny počítačov), budete musieť urobiť príliš veľa krokov, vrátane všetkých používateľov v inej skupine. miestnych skupín.

Ak chcete ušetriť čas, môžete konať inak. Spolu s miestnymi skupinami, aby ste regulovali prístup k zdroju, vytvorte zodpovedajúce globálne skupiny, zahrňte ich do miestnych a urobte z používateľov členov zodpovedajúcich globálnych skupín, aby poskytovali prístup. Keď presuniete prostriedok, všetko úsilie sa zredukuje na udelenie prístupových povolení k objektom novým lokálnym skupinám a začlenenie starých globálnych skupín do nich, ktoré zostanú nezmenené. Výsledkom je reťazec vzťahov: účet – globálna skupina – lokálna skupina – povolenia objektu.

Tento prístup je dobrý, ale je tu jeden problém: na plnenie svojich oficiálnych povinností potrebuje používateľ prístup k mnohým objektom, takže ho musíte zaradiť do niekoľkých globálnych skupín, ktoré regulujú prístup k týmto objektom. Ak sa referenčné podmienky zmenia, štandardný prístup AGLP musí starostlivo prehodnotiť členstvo používateľa v skupine. V praxi sa spravidla všetko scvrkáva na pridanie používateľa do nových skupín, aby mal prístup k ďalším zdrojom.

Výsledkom je, že používatelia získajú prístup k tým zdrojom, ktoré sú potrebné v novom umiestnení, ako aj tým, ktoré už nie sú potrebné. To môže spôsobiť prinajmenšom najrôznejšie nedorozumenia: chybné vymazanie súborov, tlač na tlačiarni na druhom konci budovy atď. Následky môžu byť ešte smutnejšie, až únik dôverných informácií.

Aby sa predišlo takémuto vývoju udalostí, pri zmene rozsahu povinností používateľa sa vyžaduje nielen jeho začlenenie do zodpovedajúcich skupín, ale aj jeho vylúčenie z iných skupín, ktorých členstvo mu dávalo právo na prístup predtým. zdrojov. Úplná revízia členstva v skupine používateľa, keď zmena pracovných povinností nie je jednoduchá a v rámci štandardného prístupu AGLP je ťažké ju automatizovať.

Možné úpravy štandardného obvodu

Referenčné podmienky používateľov určujú súbor zdrojov, ktoré potrebujú s príslušnou úrovňou prístupu k zdrojom a sú zvyčajne opísané v špeciálnom firemnom normatívnom dokumente - popise práce. Pozícia zamestnanca sa mení - mení sa pracovná náplň a nová inštrukcia popisuje nový rozsah úloh, ktoré je potrebné riešiť, čo zodpovedá súboru potrebných zdrojov s požadovanými úrovňami prístupu. Navyše mnohí používatelia môžu zastávať rovnaké pozície, ktoré sa riadia spoločným popisom práce. Ak sú teda v našom informačnom systéme popísané pozície zamestnancov, pre každú z nich bude uvedený súbor zdrojov s požadovanou úrovňou prístupu, potom už zostane len priraďovať používateľov k pozíciám, z ktorých zdedia zodpovedajúce práva a povolenia.

Pre každú pozíciu si môžete vytvoriť používateľský účet a potom vyžadovať, aby sa zamestnanci prihlásili do podnikovej siete pomocou účtu zodpovedajúceho danej pozícii. Vtedy sa rešpektuje tradičný prístup AGLP, ale nerešpektuje sa ďalší základný princíp informačnej bezpečnosti – princíp vymedzovania zodpovednosti. To znamená, že opäť sú možné nedorozumenia: ak dôjde k porušeniam pomocou denníkov systému Windows, nebude možné zistiť, ktorý zo zamestnancov porušil pravidlá.

Navrhuje sa, aby sa schéma AGLP upravila tak, aby zahŕňala popisy úloh a priraďovanie používateľov k úlohám. Na to je potrebné predĺžiť reťazec vzťahov spomenutých vyššie tým, že k nemu pridáte ešte jeden odkaz, jednu ďalšiu doménovú globálnu skupinu.

To znamená, že platí:

• vytvárať globálne skupiny zodpovedajúce pozíciám;
• zahrnúť globálne skupiny úloh do skupín riadenia prístupu k globálnym zdrojom. Súbor týchto skupín je určený popismi práce popísanými v popise práce;
• zahrnúť používateľov do skupín zodpovedajúcich ich pozíciám.

Vytvorí sa reťazec vzťahov: účet - globálna skupina úloh - globálna skupina prístupu k prostriedkom - skupina prístupu k lokálnym prostriedkom - povolenia objektu. Dá sa to zapísať vo forme skratky AGGLP, pozri obr. 2.

Aby bola táto schéma možná, musí byť Active Directory nasadený v podnikovej sieti, a nie v režime kompatibility Windows NT (zmiešaný režim neumožňuje členstvo vo vnorenej skupine, takže popísané kroky jednoducho nie sú možné), ale v systéme Windows 2000 natívny režim alebo režim Windows Server 2003.

Ryža. 2. Správa prístupu k zdrojom podľa schémy AGGLP	Ryža. 3. Správa prístupu k zdrojom podľa schémy AUULP

Ďalšie obmedzenie: ako je opísané vyššie, navrhovaný prístup bude fungovať iba v rámci jednej domény. Ide o to, že do globálnych skupín domény môžu byť zahrnuté iba iné globálne skupiny domény z rovnakej domény a používatelia z rovnakej domény. Táto možnosť nie je vhodná pre sieť s mnohými doménami, ktoré sú súčasťou rovnakej doménovej štruktúry (a ak je Active Directory spustený v režime Windows Server 2003, potom niekoľko doménových štruktúr spojených dôveryhodnosťou), táto možnosť nie je vhodná. Nič vám však nebráni používať univerzálne skupiny namiesto doménových globálnych skupín. Kvôli obmedzeniam povoleného vnoreného členstva (univerzálna skupina môže zahŕňať globálnu doménu, ale nie naopak), musia byť univerzálne skupiny vyžadované na oboch pozíciách – tak pre riadenie prístupu, ako aj pre popisy úloh.

Takto sa získa nasledujúca možnosť regulácie prístupu k zdrojom.

• Pre každý zdroj sa vytvoria lokálne skupiny domén, ktoré zodpovedajú rôznym úrovniam prístupu k prostriedku. Týmto skupinám by mali byť priradené požadované povolenia na objekt. V tomto prípade nie sú potrebné miestne skupiny na počítačoch, pretože povolenia na prístup k prostriedkom môžete udeliť priamo skupine lokálnej domény.
• Pre každý zdroj sú vytvorené univerzálne skupiny na reguláciu prístupu k objektom. Pre každú lokálnu skupinu zodpovedajúcu určitej úrovni prístupu k objektu sa vytvorí zodpovedajúca univerzálna skupina, ktorá je zaradená do tejto lokálnej skupiny.
• Pre každú pozíciu je vytvorená univerzálna skupina. Táto skupina je zahrnutá do zloženia univerzálnych skupín, ktoré regulujú prístup k zdrojom v súlade s náplňou práce.
• Používateľské účty sa pridávajú do univerzálnych skupín podľa zastávanej pozície.

Výsledný reťazec vzťahov možno zapísať nasledovne: účet - univerzálna skupina pozícií - univerzálna prístupová skupina k zdroju - lokálna doménová skupina - oprávnenia na prístup k objektom. Táto reťaz môže byť označená skratkou AUULP, viď obr. 3.

Variant AUULP má aj svoje nevýhody. Informácie o univerzálnej skupine sú distribuované ako súčasť údajov globálneho katalógu, takže pridanie veľkého počtu univerzálnych skupín automaticky zvýši replikačný prenos. Pokiaľ ide o spracovanie týchto údajov doménovými radičmi, potom by z tejto strany nemali byť žiadne problémy - výpočtový výkon počítačov, ktoré sú teraz v predaji s maržou, pokrýva potrebné potreby. Replikačná prevádzka je na druhej strane ďalšou nákladovou položkou pre geograficky distribuovanú organizáciu, ktorej jednotlivé podsiete sú navzájom prepojené cez VPN pomocou verejných kanálov.

Veľké množstvo údajov sa však bude posielať v čase, keď sa zavedie štruktúra skupín podľa pozícií; Následne je návštevnosť generovaná len zmenami údajov: úprava štruktúry univerzálnych skupín spojená so zmenami v personálnej tabuľke a náplni práce a zmenami členstva v skupinách spojených s pohybom zamestnancov a fluktuáciou zamestnancov.

Závažnejší problém je spojený s potrebou diferenciácie práv na správu výslednej štruktúry v prostredí s decentralizovanou správou. Je možné rozlíšiť špeciálnu skupinu administrátorov oprávnených spravovať členstvo v skupinách popisujúcich pozície a požadovať od všetkých administrátorov v teréne, aby týchto autorizovaných administrátorov kontaktovali pri každom prechode z pozície na pozíciu užívateľa v rámci ich oblasti zodpovednosti. , ale potom výsledkom bude podniková sieť s centralizovaným riadením. Všetkým lokálnym administrátorom je možné udeliť oprávnenie na pridávanie/odstraňovanie členov na univerzálnych skupinách s popisom pozícií, aby sami mohli vykonať príslušné zmeny, ale potom môžu z takejto skupiny vylúčiť používateľov „mimo“, teda používateľov, ktorí sú v zónu zodpovednosti iného správcu.

Aby sa predišlo tomu, že administrátori polí budú mať zbytočné oprávnenie, navrhuje sa zaviesť ďalšiu úroveň vnorenia skupín, ktorá riadi členstvo v univerzálnych skupinách popisu práce, ale pre každého správcu poľa samostatne.

Pre každú oblasť zodpovednosti „miestneho“ správcu by ste mali:

• vytvorte globálnu skupinu (oblasť zodpovednosti lokálnych správcov spravidla zahŕňa akúkoľvek jednu doménu alebo objekt - organizačnú jednotku, preto na prácu v takejto zóne postačujú manipulácie s globálnymi doménovými skupinami), zodpovedajúcu univerzálnej skupina popisujúca polohu;
• zahrnúť tieto globálne skupiny do zodpovedajúcich univerzálnych skupín;
• Autorizujte lokálnych správcov, aby spravovali členstvo v týchto globálnych skupinách. Členstvo v takejto skupine však budú môcť spravovať len pre používateľov z oblasti ich zodpovednosti.

Pre siete s decentralizovaným riadením sa teda navrhuje nasledujúca schéma vzťahu: účet – „lokálna“ globálna doménová skupina – univerzálna pozičná skupina – univerzálna prístupová skupina k zdroju – lokálna doménová skupina – oprávnenia na prístup k objektom. Zodpovedajúca skratka je AGUULP, viď ryža. 4 .

Umiestnenie objektov a ďalšie ovládanie

Vynárajú sa ďalšie otázky: kam v štruktúre adresárovej služby umiestniť potrebné objekty – používateľské a skupinové účty, aby navrhované riešenie fungovalo čo najefektívnejšie a aká dodatočná kontrola je možná pre nainštalované nastavenia.

Umiestnite predmety tak, aby sa dali pri správe ľahko nájsť. Na tento účel je vhodné v jednej z domén (keďže sa používajú univerzálne skupiny, môže ísť o akúkoľvek doménu lesa) vytvoriť štruktúru objektov – organizačných jednotiek, ktoré reprodukujú organizačnú štruktúru podniku. V rámci organizačných jednotiek zodpovedajúcich administratívnym jednotkám podniku by mali byť umiestnené univerzálne skupiny zodpovedajúce pozíciám.

V sieťach s centralizovanou správou sa môžete obmedziť na vytvorenie takejto štruktúry. Ak je administratíva decentralizovaná, potom spolu so štruktúrou univerzálnych skupín, ktoré reprodukujú štruktúru divízií, by sa mali pre každú oblasť vytvoriť podobné štruktúry divízií, ktoré reprodukujú administratívnu štruktúru, s globálnymi skupinami v nich zodpovedajúcimi univerzálnym skupinám na pozície. zodpovednosti samostatného správcu alebo skupiny správcov.

V každom prípade sa informácie o organizačných jednotkách a účtoch, ktoré sa v nich nachádzajú, dostanú do globálneho katalógu a sú dostupné pre všetky počítače na všetkých lokalitách v lese, takže toto usporiadanie skupín neovplyvní výkon systému.

Doménové miestne skupiny a im zodpovedajúce univerzálne skupiny, ktoré regulujú prístup k zdrojom, by mali byť umiestnené v doménach tak, aby boli umiestnené blízko zdroja, ku ktorému tieto skupiny regulujú prístup.

Dodatočná kontrola všetkých nastavení nastavených v rámci implementácie prístupu AUULP / AGUULP je možná pomocou skupinových politík. Ak je zdrojom pevná množina priečinkov a/alebo súborov, odporúča sa kontrolovať zoznamy povolení pre tieto priečinky a súbory pomocou Zásady skupiny: časť Nastavenia počítača - Nastavenia zabezpečenia - Systém súborov. Príslušný objekt skupinovej politiky (GPO) sa musí použiť na server, ktorý je hostiteľom zdroja, ale neovplyvní servery, ktorých sa toto nastavenie netýka. Preto je vhodné umiestniť tento GPO do toho objektu - organizačnej jednotky, kde sa tento server priamo nachádza a dodatočne nakonfigurovať zoznam oprávnení na GPO tak, aby nastavenie neovplyvnilo ostatné servery, ktoré sa tu nachádzajú.

Členstvo vo vnorených skupinách je možné regulovať aj prostredníctvom zásad skupiny. Len majte na pamäti, že tieto zásady by sa mali vzťahovať na všetky radiče domény alebo aspoň na ten, ktorý je sprievodcom infraštruktúry. Príslušné nastavenia sa vykonajú v časti Nastavenia počítača - Nastavenia zabezpečenia - Obmedzené skupiny:

• lokálna doménová skupina, ktorá reguluje prístup k zdroju - nastavenie Členovia povoľuje iba zodpovedajúcu univerzálnu skupinu;
• univerzálna skupina, ktorá reguluje prístup k zdroju - nastavenie Člen, povoľuje len príslušnú lokálnu doménovú skupinu;
• univerzálna skupina, ktorá popisuje množinu prístupových práv potrebných na plnenie pracovných povinností – nastavenie Člen, umožňujúce zodpovedajúce univerzálne skupiny, ktoré regulujú prístup k potrebným zdrojom.

Sprievodná krížová validácia krížová validácia členstva v skupinách špecifických pre rolu v skupinách s prístupom k prostriedkom vo forme nastavení členov univerzálnych skupín, ktoré riadia prístup k zdrojom, je ťažké konfigurovať kvôli ich mnohosti. Nič vám však nebráni vyvinúť ďalšie úsilie a nastaviť aj takéto kontroly. Z hľadiska princípu minimalizácie privilégií je efektívnejšie nastavenie atribútu Members, ktorý umožňuje jednoznačne určiť, kto je zaradený do danej skupiny, zatiaľ čo atribút Member of umožňuje iba skontrolovať, či je daný objekt zaradený do uvedenej skupiny a zaradiť ho do uvedených skupín, navyše zloženie týchto skupín nie je limitujúce.

Okrem toho existuje niekoľko vecí, ktoré treba mať na pamäti pri plánovaní návrhu skupinovej politiky, ktorá implementuje dodatočné kontroly súborov a priečinkov ACL a kontroly členstva v skupine. Nastavenia v časti Nastavenia počítača - Nastavenia zabezpečenia - Systém súborov z rôznych objektov GPO sú zhrnuté a pravidlá na riešenie konfliktov počas dedičnosti objektov GPO sa vzťahujú na každý jednotlivý súbor alebo priečinok uvedený v tejto časti. Zodpovedajúce nastavenia je preto možné nakonfigurovať v ľubovoľnom objekte GPO, ktorý ovplyvňuje počítač obsahujúci prostriedok. Výhodne je to GPO, ktorý sa na počítač aplikuje ako posledný.

Zároveň sa úplne prepíše obsah časti Nastavenia počítača - Nastavenia zabezpečenia - Obmedzené skupiny a prejavia sa iba nastavenia zadané v naposledy použitom objekte GPO. Preto je potrebné dodržiavať nasledujúce obmedzenia.

• V nastaveniach skupinovej politiky Nastavenia počítača - Nastavenia zabezpečenia - Obmedzené skupiny by sa mala zobraziť celá zaškrtnutá štruktúra členstva v skupine týkajúca sa skupín tejto domény.
• Je neprijateľné, že výsledné nastavenia v časti Nastavenia počítača - Nastavenia zabezpečenia - Obmedzené skupiny budú pre rôzne radiče domény odlišné. V opačnom prípade synchronizácia údajov medzi doménami pri pokuse o určenie členstva v skupine prinesie nedefinované výsledky.

• Zadajte Nastavenia počítača - Nastavenia zabezpečenia - Obmedzené skupiny v jednom a iba jednom objekte GPO pre každú doménu. Zaregistrujte si parametre členstva vo všetkých skupinách vytvorených v tejto doméne.
• Prepojte tento GPO so všetkými objektmi – organizačnými jednotkami, ktoré obsahujú radiče domény.
• Presuňte tento GPO v zozname väzieb nahor, aby sa použil ako posledný a jeho nastavenia sa prejavia.

Ak zadáte Nastavenia počítača - Nastavenia zabezpečenia - Obmedzené skupiny vo viacerých objektoch GPO, musíte sa uistiť, že obsah nastavení je vždy rovnaký. Akákoľvek prestavba bude zároveň náročná a môže spôsobiť problémy, ak sa nový stav zabudne skopírovať do jedného zo zapojených GPO.

Právo na výber

Navrhovaný prístup k diferenciácii prístupu k sieťovým zdrojom na základe pracovných povinností nevylučuje potrebu vykonávať veľa manuálnych operácií, najmä v počiatočnej fáze alebo pri prestavbe štruktúry zdrojov alebo štruktúry úloh, keď musíte revidovať oprávnenia objektov aj skupinové politiky. , kde je nastavená kontrola viacstupňového členstva.v skupinách. Úľava prichádza neskôr, keď systém začne fungovať a na pridelenie potrebných práv stačí používateľa zaradiť do skupiny zodpovedajúcej jeho pozícii.

Môžu existovať aj iné spôsoby, ktoré implementujú diferenciáciu prístupu na základe pozícií zamestnancov alebo ich organizačných rolí, čo je z funkčného hľadiska to isté. Napríklad Windows Server 2003 obsahuje komponent Authorization Manager, ktorý implementuje podobný prístup, ale len tam sa na poskytnutie potrebnej sady práv a oprávnení používateľovi používajú sady skriptov vo VBScript alebo Jscript, z ktorých sú systémové API Táto implementácia sa nazývala práca so zoznamami povolení a udeľovaním systémových práv ... Ak ho použijete, musíte najskôr vypracovať príslušné scenáre, ale s vhodnou sadou scenárov sa dosiahne zaručený výsledok.

Ak je však pre administrátora z akéhokoľvek dôvodu ťažké použiť skripty v Správcovi autorizácie (napríklad Windows Server 2003 ešte nie je nainštalovaný alebo Active Directory stále beží v natívnom režime Windows 2000), môžete použiť navrhovaný prístup AUULP alebo vymysli niečo vlastné... V každom prípade prajem všetkým správcom veľa úspechov v našej tvrdej práci!

Alexey Sotsky- učiteľ školiaceho strediska, má certifikáty MCSE, MCT. Môžete ho kontaktovať na:

Automatizovaný systém ASOMI poskytuje možnosť flexibilnej diferenciácie prístupových práv užívateľa k uloženým metrologickým informáciám. Tento prístup zabezpečuje ochranu uchovávaných a spracovávaných informácií, a to:

• obmedzenie práv čítať, upravovať alebo ničiť;
• možnosť uchovávania a prenosu informácií medzi objektmi ASOMI vo forme, ktorá výrazne sťažuje ich rozpoznanie pri neoprávnenom prístupe alebo údržbe (najmä pomocou šifrovacích technológií);
• zabezpečenie integrity informácií, ako aj dostupnosti informácií pre riadiace orgány a oprávnených používateľov;
• eliminácia úniku informácií pri spracovaní a prenose medzi objektmi výpočtovej techniky.

Diferenciácia prístupu pre používateľov systému ASOMI je realizovaná v kontexte nasledujúcich skupín subjektov: výkazníctvo a prevádzkové údaje (protokoly), referenčné údaje, protokoly histórie (protokolovanie akcií používateľa a údajov o histórii zmien subjektov), ​​prihlasovacie údaje (SI karty). Pozrime sa podrobne na každú zo skupín.

Prístup k povereniam je definovaný prostredníctvom nasledujúcich koncepčných konceptov:

• Zodpovednou osobou za spracovanie aktuálneho stavu meradla je zamestnanec podniku, ktorý pri aktuálnom stave meradla musí vykonať úkony definované týmto stavom a previesť meradlo do nasledujúceho stavu v rámci pracovného cyklu. jedného z metrologických diel. Určené z parametrov aktuálneho stavu MI. Takouto osobou je napríklad osoba vykonávajúca funkciu dispečera (ďalej len dispečer), ktorá prijala MV na vykonávanie opráv a následne je povinná previesť ho na osobu zastávajúcu úlohu dodávateľa opráv ( ďalej len Vykonávateľ opráv).
• Hmotne zodpovedným za meradlo je zamestnanec podniku, ktorý za meradlo finančne zodpovedá alebo ho prevádzkuje. Určené v karte SI. Takýmto človekom je spravidla majster, ktorý má na starosti tento SI.
• Lídri „prvých dvoch“ osôb sú doslova z definície. Určujú sa z organizačnej štruktúry podniku podľa nasledujúceho princípu: sú to vedúci osôb z prvých dvoch kategórií „Osoba zodpovedná za spracovanie aktuálneho stavu SI“ a „Osoba zodpovedná za SI“; alebo sú vedúcimi vyššieho odboru podniku, ktorý zahŕňa (je mu podriadený) štrukturálny odbor, kde ako výkonní pracovníci pracujú osoby z prvých dvoch kategórií. V rámci ASOMI tento koncepčný princíp vedie k tomu, že informácie o MI sú dostupné tak všetkým vyšším manažérom Metrológa, ako aj všetkým vyšším vedúcim pracovníkom vykonávateľov niektorých MR (napríklad vedúci predajne má prístup k informáciám o MV, za ktoré zodpovedajú jeho predáci).
• Zodpovednou osobou za metrologický dozor a kontrolu je napríklad zamestnanec úseku kalibrácie, opráv alebo metrológ konštrukčného celku, vykonávajúci dozornú a kontrolnú činnosť. V súlade so svojimi povinnosťami má právo na prístup k účtovným informáciám o všetkých ŠÚ, ktoré mu boli pridelené.

Tí zamestnanci podniku, ktorí spadajú do jednej zo štyroch (prípadne viacerých naraz) vyššie uvedených kategórií vo vzťahu ku konkrétnemu MI, tak majú možnosť vidieť na svojom pracovisku informácie o aktuálnom stave každého MI a podľa toho údaje evidenčnej karty MI vrátane údajov o histórii metrologických prác.

Zároveň zamestnanec podniku, ktorý je v danom čase zodpovedný za spracovanie aktuálneho stavu MV, má právo zmeniť informácie o MV spojené s týmto stavom a preniesť MV do následného stavu zodpovedajúceho prebiehajúcemu pracovnému cyklu MR. , ale nemá právo ovplyvňovať históriu prechodov cez stavový diagram SI.

Teraz sa pozrime na Pravidlá a poradie prístupu k referenčným údajom. Funkcie, ako je prezeranie a používanie referenčných údajov na splnenie ich povinností za metrologickú podporu, sú dostupné všetkým používateľom ASOMI.

Zároveň je prístup k dopĺňaniu a úprave referenčných údajov povolený len zamestnancom podniku, ktorí v systéme ASOMI zastávajú úlohu správcu alebo kontrolóra. Sú plne zodpovední za relevantnosť a správnosť informácií obsiahnutých v adresároch. Pri vypĺňaní referenčných kníh týkajúcich sa štruktúry prístupových práv v ASOMI sa využívajú údaje z referenčných kníh zaradených do referenčného bloku "Štruktúra prístupových práv v ASOMI". Pri vypĺňaní špecifických (dodatočných) referenčných kníh sa využívajú údaje z NTD (normatívna a technická dokumentácia) pre SI, údaje zo Štátneho registra SI schváleného na použitie na území Ruskej federácie a ďalšie spoľahlivé zdroje.

Pravidlá a postup pre prístup k výkazom a prevádzkovým údajom (protokolom) sú usporiadané nasledovne. Prístup k štandardnému reportingu implementovanému v ASOMI je organizovaný podľa rolí v systéme. Zároveň je pri každej pozícii uvedený zoznam štandardných reportov (výber zo všeobecného zoznamu všetkých štandardných reportov ASOMI), ktoré si môže zamestnanec zastávajúci túto pozíciu vytvárať zo svojho pracoviska.

V rámci reportingu je možné organizovať prístup k špeciálnym funkciám. Príkladom takejto funkcie môže byť vyhľadávanie a príjem informácií o niektorom z SI evidovaných v sústave SI podľa jeho rôznych parametrov, napríklad master bude môcť vo forme reportu zobraziť zoznam všetkých SI zaregistrovaný v ASOMI, aby napríklad našiel možnosti náhrady svoj vlastný SI za rovnaký SI, ktorý je zakonzervovaný v neďalekej dielni.

Prístup k prevádzkovým údajom (pracovné protokoly používateľov) je povolený iba správcom ASOMI a hlavnému metrológovi podniku.

Pravidlá a postup prideľovania a zmeny prístupu k informačným údajom môže prideľovať alebo meniť iba Správca ASOMI.

Ak máte záujem o tento produkt alebo máte nejaké otázky,
na ktoré sa chcete opýtať, napíšte:

imbasoft 21. apríla 2016 o 00:04

Štandard pre správu prístupových práv k informačným zdrojom podnikových súborov

• Informačná bezpečnosť

Čo môže byť jednoduchšie ako rozlišovať práva na priečinok v systéme NTFS? Táto jednoduchá úloha sa však môže zmeniť na skutočnú nočnú moru, keď takýchto priečinkov existujú stovky, ak nie tisíce, a zmena práv na jeden priečinok „rozbije“ práva ostatným. Efektívna práca v takomto prostredí si vyžaduje určitú dohodu alebo štandard, ktorý by popisoval, ako takéto problémy riešiť. V tomto článku sa budeme zaoberať len jednou z možností takéhoto štandardu.

Rozsah

Štandard pre správu prístupových práv k podnikovým súborovým informačným zdrojom (ďalej len Štandard) upravuje procesy poskytovania prístupu k súborovým informačným zdrojom umiestneným na počítačoch s operačnými systémami rodiny Microsoft Windows. Norma sa vzťahuje na prípady, keď sa NTFS používa ako súborový systém a ako sieťový protokol na zdieľanie súborov SMB / CIFS.

Pojmy a definície

Informačný zdroj- pomenovaná množina údajov, na ktoré sa aplikujú metódy a prostriedky na zaistenie informačnej bezpečnosti (napríklad kontrola prístupu).
Zdroj informácií o súbore- súbor súborov a priečinkov uložených v adresári súborového systému (nazývaný koreňový adresár zdroja informácií o súboroch), ku ktorému je obmedzený prístup.
Zdroj informácií o zloženom súbore Je zdroj informácií o súboroch obsahujúci jeden alebo viacero vnorených zdrojov informácií o súboroch, ktoré sa líšia od tohto zdroja v prístupových právach.
Zdroj informácií o súbore v prílohe Je informačným zdrojom súboru zahrnutým v zloženom informačnom zdroji.
Vstupný bod k zdroju informácií o súbore- adresár systému súborov, do ktorého je poskytovaný sieťový prístup (zdieľaný priečinok) a ktorý sa používa na poskytovanie prístupu k zdroju informácií o súboroch. Tento adresár sa zvyčajne zhoduje s koreňovým adresárom zdroja informácií o súboroch, ale môže byť aj vyšší.
Stredný katalóg- adresár systému súborov umiestnený na ceste od vstupného bodu k zdroju informácií o súboroch do koreňového adresára zdroja informácií o súboroch. Ak je vstupným bodom zdroja informácií o súbore adresár nadradený koreňovému adresáru zdroja informácií o súbore, bude to tiež prechodný adresár.
Používateľská prístupová skupina- lokálna alebo doménová bezpečnostná skupina obsahujúca v konečnom dôsledku používateľské účty vybavené jednou z možností prístupu k zdroju informácií o súboroch.

Základné princípy

1. Prístup je obmedzený iba na úrovni adresára. Prístup k jednotlivým súborom nie je obmedzený.
2. Prístupové práva sa prideľujú na základe bezpečnostných skupín. Prístupové práva nie sú pridelené jednotlivým užívateľským účtom.
3. Explicitne odmietnuté povolenia sa neuplatňujú.
4. Diferenciácia prístupových práv sa vykonáva iba na úrovni súborového systému. Na úrovni sieťových protokolov SMB / CIFS nie sú práva ohraničené (skupina „Všetci“ - „Čítať / zapisovať“ / Všetci - Zmeniť privilégiá).
5. Pri konfigurácii sieťového prístupu k zdroju informácií o súboroch je v nastaveniach SMB / CIFS nastavená možnosť „Enumerácia na základe prístupu“.
6. Vytváranie informačných zdrojov súborov na používateľských pracovných staniciach je neprijateľné.
7. Neodporúča sa umiestňovať zdroje informácií o súboroch na systémové oddiely serverov.
8. Neodporúča sa vytvárať viaceré vstupné body do zdroja informácií o súboroch.
9. Ak je to možné, mali by ste sa vyhnúť vytváraniu vnorených informačných zdrojov súborov av prípadoch, keď názvy súborov alebo adresárov obsahujú dôverné informácie, je to úplne neprijateľné.

Model kontroly prístupu

Používateľský prístup k zdroju informácií o súboroch je zabezpečený tak, že sa im poskytne jedna z možností oprávnenia:

• Prístup len na čítanie ( R ead O len)“.
• Prístup k "Čítať a zapisovať ( R ead & W obrad)“.

Pri prevažujúcom množstve úloh riadenia prístupu budú postačovať takéto možnosti prístupových oprávnení, ale v prípade potreby je možné vytvoriť nové možnosti oprávnení, napríklad „Čítanie a zápis bez odstránenia“. Na implementáciu nových právomocí bude potrebné objasniť bod B.3 tabuľky 1, inak zostane aplikácia štandardu nezmenená.

Pravidlá pre pomenovanie skupín používateľov

Názvy skupín prístupu používateľov sú vytvorené podľa šablóny:

FILE-Názov zdroja informácií o súbore - skratka autority

Názov zdroja informácií o súbore
sa musí zhodovať s názvom UNC zdroja alebo pozostávať z názvu servera a lokálnej cesty (ak nie je poskytnutý sieťový prístup k zdroju). V prípade potreby sú v tomto poli povolené skratky. Znaky "\\" sú vynechané a "\" a ":" sú nahradené "-".

Skratky autority:

• RO – pre možnosť prístupu „Iba na čítanie“.
• RW – pre možnosť prístupu „Čítanie a zápis“.

Príklad 1
Názov prístupovej skupiny pre používateľov, ktorí majú oprávnenia len na čítanie pre zdieľanie súborov UNC s názvom \\ FILESRV \ Report bude:
FILE-FILESRV-Report-RO

Príklad 2
Názov prístupovej skupiny pre používateľov s oprávneniami „Čítať a zapisovať“ pre zdroj informácií o súboroch umiestnený na serveri TERMSRV pod cestou D: \ UsersData bude:
FILE-TERMSRV-D-UsersData-RW

Šablóna prístupu k adresáru zdroja informácií o súbore

stôl 1- Šablóna pre prístupové práva NTFS pre koreňový adresár zdroja informácií o súboroch.

Predmety	práva	Režim dedenia
zdravotne postihnutých
A) Povinné práva
Špeciálny účet: "SYSTÉM"	Úplný prístup
"správcovia"	Úplný prístup	Pre tento priečinok, podpriečinky a súbory
B.1) „Iba na čítanie ( R ead O len)"
Používateľská prístupová skupina: "FILE-Resource Name-RO"	Základné práva: a) čítanie a vykonávanie (čítanie a vykonávanie); b) zoznam obsahu priečinka; c) čítanie (čítanie);	Pre tento priečinok, podpriečinky a súbory
B.2) Právomoci „Čítať a písať ( R ead & W obrad)"
Používateľská prístupová skupina: "FILE-Resource Name-RW"	Základné práva: a) zmeniť (upraviť); b) čítanie a vykonávanie (čítanie a vykonávanie); c) vypísať obsah priečinka; d) čítanie (čítanie); e) písať (písať);	Pre tento priečinok, podpriečinky a súbory
B.3) Iné právomoci, ak existujú
Používateľská prístupová skupina: "FILE-názov zdroja-skratka autority"	Podľa poverení	Pre tento priečinok, podpriečinky a súbory

Tabuľka 2- Šablóna pre prístupové práva NTFS pre prechodné adresáre zdroja informácií o súboroch.

Predmety	práva	Režim dedenia
Dedenie prístupových práv z nadradených adresárov zahrnuté, ale ak je daný adresár nadradený informačným zdrojom súborov a nie je zahrnutý v žiadnom inom informačnom zdroji súborov, potom dedičnosť zdravotne postihnutých
A) Povinné práva
Špeciálny účet: "SYSTÉM"	Úplný prístup	Pre tento priečinok, podpriečinky a súbory
Miestna bezpečnostná skupina: "správcovia"	Úplný prístup	Pre tento priečinok, podpriečinky a súbory
B.1) Oprávnenie „Prejsť cez adresár (TRAVERZOVAŤ)»
Prístup k skupinám používateľov informačných zdrojov, pre ktoré je tento adresár sprostredkovateľom	Ďalšie možnosti zabezpečenia: a) prechádza priečinok / spúšťa súbory; b) obsah priečinka / načítané údaje (zoznam priečinka / načítané údaje); c) atribúty čítania (atribúty čítania); c) čítanie dodatočných atribútov (čítanie rozšírených atribútov); d) povolenia na čítanie (oprávnenia na čítanie);	Iba tento priečinok

Obchodné procesy na riadenie prístupu k informačným zdrojom súborov

A. Vytvorenie zdroja informácií o súboroch
Pri vytváraní zdroja informácií o súboroch sa vykonajú tieto akcie:

1. Vytvoria sa skupiny prístupu používateľov. Ak je server, ktorý je hostiteľom zdroja informácií o súboroch, členom domény, vytvoria sa skupiny domén. Ak nie, skupiny sa vytvoria lokálne na serveri.
2. Prístupové práva sú priradené ku koreňovému adresáru a prechodným adresárom zdroja informácií o súboroch podľa šablón prístupových práv.
3. Používateľské účty sa pridávajú do skupín prístupu používateľov podľa ich oprávnenia.
4. V prípade potreby sa pre zdroj informácií o súbore vytvorí zdieľaný priečinok.

B. Poskytnutie prístupu používateľovi k zdroju informácií o súboroch
Používateľské konto sa umiestni do príslušnej prístupovej skupiny používateľa v závislosti od jeho oprávnenia.

C. Zmena používateľského prístupu k zdroju informácií o súboroch
Používateľské konto sa presunie do inej prístupovej skupiny používateľov na základe zadaných povolení.

D. Blokovanie prístupu používateľov k zdroju informácií o súboroch
Používateľské konto sa odstráni zo skupín prístupu používateľov zdieľania súborov. Ak zamestnanec odíde, členstvo v skupine sa nemení, ale je zablokovaný celý účet.

D1. Vytvorenie zdroja informácií o vnorených súboroch. Rozšírenie prístupu
Táto úloha vzniká, keď je potrebné poskytnúť prístup ďalšej skupine osôb k určitému adresáru informačného zdroja súboru (na rozšírenie prístupu). V tomto prípade sa vykonávajú tieto činnosti:

1. Používateľské prístupové skupiny vnoreného súboru informácií zdroja sa pridajú k prístupovým skupinám používateľov zloženého súborového informačného zdroja vyššej úrovne.

D 2. Vytvorenie zdroja informácií o vnorených súboroch. Zúženie prístupu
Táto úloha vzniká vtedy, keď je potrebné obmedziť prístup k určitému adresáru informačného zdroja súboru a poskytnúť ho len obmedzenému okruhu osôb:

1. Priložený informačný zdroj súboru je zaregistrovaný (podľa procesu A)
2. Používateľské účty vytvoreného informačného zdroja sú umiestnené v skupinách používateľských prístupov tých používateľských účtov, ktorým je potrebné udeliť prístup.

E. Zmena modelu poskytovania prístupu k informačnému zdroju súboru
V prípadoch, keď je potrebné k štandardným povoleniam „Iba na čítanie“ alebo „Čítanie a zápis“ pridať nové typy povolení, napríklad „Čítanie a zápis bez odstránenia“, postupujte takto:

1. Organizačné (alebo technické, ale nesúvisiace so zmenou prístupových práv k adresárom súborového systému) blokujú prístup používateľov k tomuto a všetkým pripojeným informačným zdrojom súborov.
2. Nové prístupové práva sú priradené ku koreňovému adresáru zdroja informácií o súboroch a prístupové práva pre všetky podriadené objekty sú nahradené (aktivuje sa staršie).
3. Prístupové práva sú prekonfigurované pre všetky vložené informačné zdroje.
4. Pre toto sú nakonfigurované prechodné adresáre a vložené informačné zdroje.

Príklady

Uvažujme o aplikácii tohto štandardu na príklade hypotetickej organizácie LLC "InfoCryptoService", kde je server s názvom "FILESRV" pridelený na centralizované ukladanie informačných zdrojov súborov. Server beží na systéme Microsoft Windows Server 2008 R2 a je členom domény Active Directory s FQDN s názvom „domain.ics“ a NetBIOS s názvom „ICS“.

Príprava súborového servera
Na jednotke "D:" servera "FILESRV" vytvorte adresár "D: \ SHARE \". Tento adresár bude jediným vstupným bodom do všetkých informačných zdrojov súborov umiestnených na tomto serveri. Sieťový prístup k tomuto priečinku organizujeme (používame aplet „Správa zdieľania a úložiska“):

Vytvorenie zdroja informácií o súboroch
Formulácia problému.
Nech organizácia InfoCryptoService LLC zahŕňa oddelenie vývoja informačných systémov v zložení: vedúci oddelenia Sergej Leonidovič Ivanov ( [e-mail chránený]), špecialista Markin Lev Borisovič ( [e-mail chránený]) a pre nich musíte zorganizovať zdroj informácií o súboroch na ukladanie údajov oddelenia. Obaja pracovníci vyžadujú prístup k tomuto zdroju na čítanie a zápis.

Riešenie.
V adresári "D: \ SHARE \" servera "FILESRV" vytvorte priečinok "D: \ SHARE \ Oddelenie rozvoja informačných systémov \", ktorý bude koreňovým adresárom zdroja informácií o súboroch. Pre tento zdroj vytvoríme aj skupiny prístupu používateľov (globálne bezpečnostné skupiny domény „ICS“):

• "FILE-FILESRV-SHARE-Dept. res. IS-RO"
• "FILE-FILESRV-SHARE-Dept. res. IS-RW"

Nakonfigurujme prístupové práva pre adresár "D: \ SHARE \ Oddelenie vývoja informačných systémov \":



ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: (OI) (CI) R

Adresár D: \ SHARE \ je vstupným bodom a pracovným adresárom pre tento prostriedok. Pridajme k tomu Traverse pre skupiny: „FILE-FILESRV-SHARE-Dept. res. IS-RO "a" FILE-FILESRV-SHARE-Dept. res. IS-RW"


Vypíšte povolenia NTFS získané príkazom cacls:


ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

Keďže používatelia vyžadujú prístup na čítanie/zápis, pridajte ich účty do sekcie FILE-FILESRV-SHARE-Dept. res. IS-RW"

Udelenie prístupu používateľovi k zdroju informácií o súbore
Formulácia problému.
Predpokladajme, že do vývojového oddelenia bol prijatý ďalší zamestnanec - špecialista Egorov Michail Vladimirovič ( [e-mail chránený]), a rovnako ako ostatní zamestnanci oddelenia potrebuje prístup na čítanie a zápis do informačného zdroja súborov oddelenia.

Riešenie.
Zamestnanecký účet je potrebné pridať do skupiny „SÚBOR-SÚBOR-ZDIEĽANIE-Odd. res. IS-RW"

Vytvorenie vnoreného informačného zdroja. Rozšírenie prístupu
Formulácia problému.
Predpokladajme, že oddelenie rozvoja informačných systémov sa rozhodlo zlepšiť kvalitu interakcie s marketingovým oddelením a poskytnúť vedúcemu marketingového oddelenia Natalyu Evgenievnu Kruglikovú ( [e-mail chránený]) - prístup na čítanie k aktuálnej produktovej dokumentácii uloženej v priečinku Dokumentácia súborového informačného zdroja Útvaru rozvoja informačných systémov.

Riešenie.
Na vyriešenie tohto problému je potrebné vytvoriť podzdroj "\\ FILESRV \ share \ Oddelenie vývoja informačných systémov \ Dokumentácia", ku ktorému by mali mať (zostať) prístup všetci používatelia, ktorí mali prístup k "\\ FILESRV". \ zdieľať \ Oddelenie rozvoja informačných systémov \ a pridať prístup na čítanie pre používateľa Kruglikova Natalya Evgenievna ( [e-mail chránený])

V adresári "D: \ SHARE \ Oddelenie vývoja informačných systémov \" vytvorte priečinok "D: \ SHARE \ Oddelenie vývoja informačných systémov \ Dokumentácia", ktorý bude koreňovým adresárom nového zdroja. Vytvoríme tiež dve prístupové skupiny používateľov:

• "FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RO "
• "FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW "

Nakonfigurujme prístupové práva k priečinku „D: \ SHARE \ Oddelenie vývoja informačných systémov \ Dokumentácia“ nasledovne:


Vypíšte povolenia NTFS získané príkazom cacls:

BUILTIN \ Správcovia: (OI) (CI) F
ICS \ FILE-FILESRV-SHARE-Dept. res. Dokumentácia IS-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. Dokumentácia IS-RW: (OI) (CI) C

Keďže všetci používatelia, ktorí majú prístup k "\\ FILESRV \ zdieľanie \ Oddelenie vývoja informačných systémov \" potrebujú podobný prístup k \\ FILESRV \ share \ Oddelenie vývoja informačných systémov \ Dokumentácia, pridajte skupinu "FILE-FILESRV-SHARE-Dept.. . res. IS-RO "v" FILE-FILESRV-SHARE-Odd. res. IS-Dokumentácia-RO "a" FILE-FILESRV-SHARE-Odd. res. IS-RW "v" FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW „resp. Pridajte účet Natalya Evgenievna Kruglikova ( [e-mail chránený]) do skupiny „SÚBOR-SÚBORY-ZDIEĽANIE-Odd. res. IS-Dokumentácia-RW "

Teraz, ak Kruglikova Natalya Evgenievna ( [e-mail chránený]) bude odkazovať na odkaz "\\ FILESRV \ zdieľanie \ Oddelenie vývoja informačných systémov \ Dokumentácia", potom sa bude môcť dostať do priečinka záujmu, ale nie vždy je vhodné použiť úplnú cestu, preto nakonfigurujeme prechod do tohto balíka zo vstupného bodu "\\ FILESRV \ share \ "(" D: \ SHARE \ "). Ak to chcete urobiť, nastavte prístupové práva k prechodným adresárom "D: \ SHARE \" a "D: \ SHARE \ oddelenie rozvoja informačných systémov \".

Nakonfigurujme "D: \ SHARE \":


Vypíšte povolenia NTFS získané príkazom cacls:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: R


ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

A "D: \ SHARE \ Oddelenie rozvoja informačných systémov":


Vypíšte povolenia NTFS získané príkazom cacls:

ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW: R

ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: (OI) (CI) C
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

Vytvorenie vnoreného informačného zdroja. Zúženie prístupu
Formulácia problému
S cieľom zorganizovať zálohu vývoja oddelenia rozvoja informačných systémov vedúci oddelenia Ivanov Sergej Leonidovič ( [e-mail chránený]), v rámci spisového informačného zdroja katedry bol potrebný sieťový priečinok „Archív“, do ktorého by mal prístup iba on.

Riešenie.
Ak chcete vyriešiť tento problém v informačnom zdroji súboru oddelenia, musíte vytvoriť vnorený zdroj „Archív“ („\\ FILESRV \ zdieľanie \ Oddelenie rozvoja informačných systémov \ Archív“), ku ktorému by mal mať prístup iba vedúci oddelenia.

V adresári "D: \ SHARE \ Oddelenie vývoja informačných systémov \" vytvorte priečinok "D: \ SHARE \ Oddelenie vývoja informačných systémov \ Archív", ktorý bude koreňovým adresárom pre nový zdroj. Vytvoríme tiež dve prístupové skupiny používateľov:

• "FILE-FILESRV-SHARE-Dept. res. IS-Archive-RO "
• "FILE-FILESRV-SHARE-Dept. res. IS-Archive-RW "

Nakonfigurujme prístupové práva k adresárom "D: \ SHARE \ Oddelenie rozvoja informačných systémov \ Archív":


Vypíšte povolenia NTFS získané príkazom cacls:
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RW: (OI) (CI) C

"D: \ SHARE \ Oddelenie rozvoja informačných systémov"


Vypíšte povolenia NTFS získané príkazom cacls:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW: R


ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: (OI) (CI) R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: (OI) (CI) C
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

A "D: \ ZDIEĽAŤ \":


Vypíšte povolenia NTFS získané príkazom cacls:
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-RW: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Dokumentácia-RW: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RO: R
ICS \ FILE-FILESRV-SHARE-Dept. res. IS-Archív-RW: R
ORGÁN NT \ SYSTÉM: (OI) (CI) F
BUILTIN \ Správcovia: (OI) (CI) F

Účet používateľa Ivanov Sergey Leonidovič ( [e-mail chránený]) pridať do FILE-FILESRV-Odd. krát.IS-Archív-RW.