###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Вычислительные сети, теория и практика. Кому назначаются права доступа

    21.04.2019 Мониторы

    При установке Kaspersky Security Center 10 автоматически формируются группы пользователей KLAdmins и KLOperators, которым предоставляются права на подключение к Серверу администрирования и на работу с его объектами.

    KLAdmins и KLOperators создаются:

    • В домене, в который входит Сервер администрирования, и на Сервере администрирования, если Kaspersky Security Center 10 устанавливается под учетной записью пользователя, входящего в домен.
    • На Сервере администрирования, если Kaspersky Security Center 10 устанавливается под учетной записью системы.

    Для просмотра групп KLAdmins и KLOperators и изменения прав пользователей групп KLAdmins и KLOperators используйте стандартные средства администрирования операционной системы.

    Группе KLAdmins предоставлены все права. Набор прав для KLAdmins недоступен для изменения. Пользователи из группы KLAdmins - администраторы Kaspersky Security Center.

    Группе KLOperators предоставлены права на чтение и выполнение. Пользователи из группы KLOperators - операторы Kaspersky Security Center.

    Права администратора Kaspersky Security Center предоставляются локальным администраторам устройств, на которых установлен Сервер администрирования.

    После установки программы администратор Kaspersky Security Centerможет:

    • Изменять права для групп KLOperators.
    • Определять права доступа к функциям программы Kaspersky Security Center другим группам пользователей и отдельным пользователям, которые зарегистрированы на рабочем месте администратора.
    • Определять права доступа пользователей к работе в каждой группе администрирования.

    Как предоставить права доступа

    1. Откройте свойства группы администрирования или объекта Сервера администрирования и перейдите в раздел Безопасность .
    2. Снимите флажок Наследовать параметры Сервера администрирования или группы верхнего уровня .
    3. Выберите пользователя или группу пользователей.
    4. Перейдите на вкладку Права . Установите флажки напротив функций, к которым необходимо предоставить права доступа.

    Чтобы отследить действия пользователя:

    1. Откройте Kaspersky Security Center 10.
    2. Перейдите в Сервер администрирования События .
    3. Выберите События аудита .
      Записи о действияx пользователя начинаются со слова Аудит .

    Набор прав доступа в Kaspersky Security Center 10

    В Kaspersky Security Center 10 для большинства функций поддерживается стандартный набор прав доступа:

    • Чтение. Разрешается просматривать параметры объектов. Запрещается выполнять операции, создавать новые и изменять существующие объекты. Для подключения к Серверу администрования пользователь должен иметь разрешение на чтение.
    • Изменение. Разрешается изменять параметры, создавать новые объекты. Запрещается выполнять операции над объектами.
    • Выполнение. Разрешается выполнять операции над объектами. Запрещается создавать новые и изменять существующие объекты.
    • Выполнение операций для выборок устройств. Разрешается создавать, изменять параметры и выполнять операции с выборками устройств. Для объектов:
      • Задачи для выборок устройств.
      • Отчеты с выборками устройств.
      • Правила перемещения устройств в группы администрирования.
      • Правила автоматического назначения тегов устройствам.

    Наиболее распространённый способ доступа пользователей к данным - доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.

    Права доступа к файловой системе NTFS позволяют определять уровень доступа пользователей к размещённым в сети, или локально на вашем компьютере Windows 7 файлам.

    Права доступа - разрешение на выполнение операций с определённым объектом, например файлом. Права могут быть предоставлены владельцем или другим имеющим на это право пользователем. Как правило, это администраторы в системе. Если вы являетесь владельцем объекта, то можете предоставить права доступа к этому объекту любому пользователю или группе пользователей.

    К каждому контейнеру и объекту в сети прилагается набор информации о контроле доступа к нему. Эта информация называемая дескриптором безопасности управляет типом доступа пользователям и группам. Права доступа, которые определены в дескрипторе безопасности объекта, связаны или назначаются конкретным пользователям и группам.

    Права доступа к файлам и папкам определяют тип доступа, который предоставляется пользователю, группе или конкретному компьютеру на файл или папку. Например, можно позволить одному пользователю читать содержимое файла, другому вносить в него изменения, а всем остальным пользователям запретить доступ к файлу. Так же можно устанавливать права доступа к папкам.

    Существует два уровня прав доступа:

    • Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
    • Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

    Существует два типа доступа по NTFS:

    • Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
    • Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

    Права на наследование.

    Существует два типа прав доступа:

    • Прямые права доступа: если объект создаётся действием пользователя, доступ, установлен по умолчанию на не дочерние объекты.
    • Унаследованный доступ: доступ распространяется на объект от родительского объекта. Наследованный доступ облегчает управление разрешениями и обеспечивает единообразие доступа для всех, находящихся в данном контейнере, объектов.

    Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.

    Также, не изменяя оригинального назначения доступом, можно установить разрешения на папки и файлы ниже начального пункта наследования. Это сделано для того, чтобы иметь возможность предоставить определённому пользователю или группе пользователей другой доступ к файлу, отличающийся от основного унаследованного доступа.

    Существует три способа изменения унаследованного доступа:

    • Внести изменения в родительской папке, а затем файлы или папки, унаследуют эти права доступа.
    • Изменить доступ на противоположный (разрешить или запретить), чтобы отменить унаследованный доступ.
    • Выбрать "не наследовать права доступа от родительского объекта", а затем внести изменения в права или удалить группу или пользователя из списка прав доступа к файлу или папке.

    В большинстве случаев, если папка наследует конфликтующие параметры от разных родителей, команда "Запретить" переопределяет команду "Разрешить". В этом случае, ближайший к объекту в поддереве наследуемый от родительского элемента параметр, будет иметь приоритет.

    Дочерними объектами наследуются только наследуемые права доступа. Когда установлены права доступа к родительскому объекту, в дополнительных настройках безопасности вам нужно установить, могут ли папки или подпапки их наследовать.

    Примечание: Если объект имеет прямое право - "Разрешить", запрет на унаследованное право доступа не препятствует доступу к объекту. Прямые права доступа имеют приоритет над унаследованными правами, даже над унаследованным запретом.

    Блокировка наследуемых прав доступа.

    После установки прав доступа на родительскую папку, созданные в ней новые файлы и папки, наследуют эти права. Для ограничения доступа к этим файлам и папкам наследование прав доступа может быть заблокировано. Например, все пользователи бухгалтерии могут иметь права на папку УЧЕТА "Изменить". На подпапке ЗАРАБОТНАЯ ПЛАТА, наследуемые права доступа могут быть заблокированы, и предоставлены только некоторым определённым пользователям.

    Примечание: Когда наследованные права доступа заблокированы, есть возможность скопировать существующие права, либо создать новые. Копирование существующих прав доступа упрощает процесс настройки ограничений для определённой группы или пользователя.

    Назначение прав доступа к объектам базы данных для учетных записей, хранящихся в файле рабочей группы, выполняется в Access с помощью диалогового окна Разрешения (User and Group Permissions).

    Чтобы открыть диалоговое окно для назначения прав доступа к объектам базы данных:

    1. Откройте защищенную базу данных, подключив необходимый файл рабочей группы.
    2. Зарегистрируйтесь с именем пользователя, обладающего административными правами.
    3. Выберите команду Сервис, Защита, Разрешения (Tools, Security, User and Group Permissions). Появится диалоговое окно Разрешения (User and Group Permissions) (рис. 20.6).

    В диалоговом окне Разрешения есть две вкладки: Разрешения (Permissions) и Смена владельца (Change Owner). Рассмотрим вкладку Разрешения. (О функциях второй вкладки рассказывается в разд. "Предоставление права на владение объектами базы данных" этой главы.) С помощью данной вкладки можно определить права доступа к конкретным объектам базы данных для конкретных пользователей и групп. В поле Пользователь (Current User) отображается имя пользователя, которое было применено для регистрации в момент открытия базы данных. В зависимости от того, обладает ли текущий пользователь административными правами или нет, ему будут позволены или запрещены просмотр и изменение прав доступа к объектам базы данных.

    Рис. 20.6. Диалоговое окно Разрешения

    Чтобы назначить права доступа к объектам базы данных конкретной группе:

    1. На вкладке Разрешения выберите переключатель группы (Groups).
    2. В списке Пользователи и группы (User/Group Name) отобразится список всех групп в рабочей группе. Выделите в этом списке группу, права доступа которой нужно изменить.
    3. ОК.

    Чтобы назначить права доступа к объектам базы данных конкретному пользователю:

    1. На вкладке Разрешения выберите переключатель пользователи (Users).
    2. В списке Пользователи и группы (User/Group Name) отобразится список всех пользователей в рабочей группе. Выделите в этом списке пользователя, права доступа которого нужно изменить.
    3. Измените права доступа к объектам базы данных и нажмите кнопку ОК.

    Чтобы назначить выбранному пользователю или группе права доступа к объекту базы данных:

    1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (Таблица (Table), Запрос (Query), Форма (Form), Отчет (Report) или Макрос (Macro)).

    Замечание

    В списке имен объектов не будут отображаться скрытые объекты, если в диалоговом окне Параметры (Options) на вкладке Вид (View) не установлен флажок скрытые объекты (Hidden Objects), позволяющий отображать скрытые объекты.

    1. В списке Имя объекта (Object Name) выделите имя объекта, права доступа к которому требуется изменить.
    2. Чтобы предоставить определенный вид доступа, установите соответствующий флажок в группе Разрешения (Permissions). Чтобы запретить определенный вид доступа, сбросьте соответствующий флажок в этой группе.
    3. Нажмите кнопку Применить (Apply) иначе при выборе другого пользователя, группы или другого объекта появится диалоговое окно, требующее подтверждения сделанных изменений. Чтобы подтвердить изменения, нажмите кнопку ОК.

    Чтобы назначить пользователю или группе права доступа к базе данных:

    1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите элемент База данных (Database).
    2. В списке Имя объекта. (Object Name) отобразится элемент <Текущая база дан-ных> ().
    3. Применить (Apply).

    Чтобы назначить права доступа к создаваемым объектам базы данных, предоставляемые пользователю или группе:

    1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (например, Форма (Form)).
    2. В списке Имя объекта (Object Name) выделите элемент, обозначающий новые объекты заданного типа, права доступа к которым требуется изменить (например, <Новые формы> ()).
    3. Установите необходимые разрешения и нажмите кнопку Применить (Apply).

    Замечание

    Установка или сброс флажков некоторых разрешений влечет установку или сброс других флажков разрешений, поскольку предоставление или отмена определенного вида доступа может привести к предоставлению или отмене другого вида доступа, связанного с измененным. Например, предоставление доступа к таблице вида Чтение данных (Read Data) влечет предоставление доступа Чтение макета (Read Design), а отмена доступа Обновление данных (Update Data) влечет отмену доступа Изменение макета (Modify Design).

    Представим работу разных прав доступа применительно к базовым объектам безопасности системы:

    ДЕЙСТВИЯ \ ПРАВА

    Нет доступа

    Чтение / Проведение

    Просмотр объекта

    Запрещен

    Разрешен

    Разрешен

    Разрешен

    Редактирование объекта

    Запрещен

    Запрещен

    Запрещен

    ДЕЙСТВИЯ \ ПРАВА

    Нет доступа

    Чтение / Проведение

    1. Работа с документами

    Права доступа к документам и действиям над ними определяются правами пользователей на значения их реквизитов. То есть далее описаны права доступа на действия с документами в случаях, когда их реквизиты содержат базовые элементы с тем или иным правом (доступ к значениям самих реквизитов описан отдельно в пунктах 2 и 3)

    Если среди реквизитов есть недоступные элементы, то документ невидим в журнале (соответственно, нельзя открыть форму документа).

    Если нет недоступных реквизитов, но есть с правом Чтение , то проведение, отмена проведения из формы документа запрещены. Если документ проведен, то форма открывается на чтение. Если он не проведен, то форма открывается на редактирование, т.е. можно изменять значения его реквизитов (учитывая пункты 2 и 3) и сохранять его (без проведения).

    Если ко всем реквизитам документа право доступа не ниже, чем Чтение/Проведение , то с ним доступны любые действия (учитывая пункты 2 и 3).

    Для документов типа Проформа также учитываются права на Вид проформы :

    Проформы данного вида не отображаются в журнале и с ними нельзя выполнять никакие действия.

    Проформы данного вида видны в журнале, но документ открывается только для просмотра. Редактирование, сохранение, ввод нового, пометка удаления, проведение и отмена проведения недоступны.

    Дает право проводить проформы данного вида, отменять проведение, изменять значения их реквизитов (учитывая пункты 2 и 3), устанавливать пометку на удаление на документы. При этом менять настройки вида проформы нельзя.

    Полный доступ (учитывая пункты 2 и 3).

    1.2. ДокументыБюджетная операция и Реестр

    В целом права те же, что и для Проформ (логично, что права на Виды проформ не учитываются). Для Бюджетных операций по реквизитам Сценарий и ЦФО работает также ограничение на видимость в журнале

    Примечание1 : Права на все реквизиты (в том числе и на Вид проформы ) объединяются. То есть, если на один реквизит (или на Вид проформы ) право Чтение , а на другой реквизит право Нет доступа , то открыть документ нельзя.

    Примечание2: В документах Регламентный документ безопасность отключена, кроме той, что описана в пунктах 2 и 3.

    Примечание3: Форму документов Реестр можно открыть даже без прав доступа к отдельным его реквизитам в настройках реестра, но только в режиме просмотра. При этом будут показаны лишь доступные для пользователя документы. Нет возможности использовать настройку, доступную только для чтения.

    1.3. Документы Сессия и Задача

    Для документов Сессия и Задача используются другие правила доступа, которые описаны в статьях про журналы сессий и задач соответственно. Из общих правил для них действую только те, что описаны в пунктах 2 и 3. Настройка безопасности для документов Сессия и Задача описаны в статье Настройка безопасности для бизнес-процессов .

    2. Просмотр и редактирование реквизитов

    Применительно к производным объектам действует безопасность по реквизитам, ссылающимся на базовые объекты. В таком случае доступ к значению реквизита определяется уровнем доступа к соответствующему базовому элементу:

    Вместо значения реквизита отображаются системное сообщение "Объект не найден" и уникальный идентификатор этого объекта. При этом можно изменить значение реквизита на какое-либо из разрешенных (учитывая пункты 3 и 4).

    Значение реквизита отображается и его можно изменить (учитывая пункты 3 и 4). При этом доступ к самому объекту, используемому в качестве значения реквизита, остается на уровне чтения.

    Все права (учитывая пункты 3 и 4).

    3. Выбор значений реквизитов в документах, регламентных процедурах и проводках

    Далее описаны возможности выбора значений реквизитов (ссылающихся на базовые объекты) применительно к документам, проводкам, а также регламентным процедурам, которые формируют регламентные документы. Обособленность этих объектов от остальных обусловлена тем, что они, в отличие от других производных объектов, при записи изменяют учетные данные системы.

    Значения нельзя выбрать (они просто не отображаются на форме выбора)

    Значения можно выбирать

    4. Выбор значений для прочих производных объектов

    Запрещенные значения нельзя выбрать (они просто не отображаются на форме выбора)

    Значения можно выбирать

    5. Просмотр и редактирование проводок по документам в Редакторе проводок

    Если в проводке или документе-регистраторе присутствует хотя бы одно запрещенное для пользователя значение, то она будет недоступна для просмотра.

    Если в проводке есть хотя бы одно запрещенное значение, то она открывается только на чтение.

    Если в проводке у всех значений право доступа не ниже, чем Чтение/Проведение , то с ней возможны любые действия (учитывая пункты 2 и 3).

    6. Просмотр отчетов

    6.1 Если в сформированных отчетах Оборотно-сальдовая ведомость по счету , Оборотно-сальдовая ведомость , Карточка счета , Операционный отчет по счету или Управленческом отчете присутствуют значения субконто, ссылающиеся на базовые объекты с настроенными правами, то они будут отображаться следующим образом (в зависимости от прав базовых объектов):

    Вместо значения отобразятся системное сообщение "Объект не найден" и уникальный идентификатор этого объекта.

    Отобразится значение.

    6.2 Во всех отчетах суммы по запрещенным пользователю измерениям не отображаются и становятся полностью "вырезанными" из отчета.

    6.3 В отчетах нельзя выбрать счет или показатель, содержащий вид субконто, доступ к которому запрещен (имеется в виду не к отдельным значениям субконто, а к субконто в целом).

    6.4 В отчетах нельзя производить фильтрацию по запрещенным значениям.

    Если для пользователя указано право на папку Нет доступа , а на элемент в этой папке доступ разрешён (права Чтение и проведение или Чтение и запись ), то доступ к элементу всё равно будет запрещён.

    При попытке открыть объект системы, доступный только Администратору , обычному пользователю будет выдано сообщение о нарушении прав доступа.

    ЗАМЕЧАНИЕ О РАБОТЕ БЕЗОПАСНОСТИ ПРИ РАСЧЕТЕ ФОРМУЛ В ДОКУМЕНТАХ.

    Если в реквизите документа настроен расчет значения по формуле «через точку», а у пользователя нет права доступа ко всем базовым объектам, используемым в формуле, то для него значение реквизита отобразится пустым.

    Например , в документе есть два реквизита: А и Б . Реквизит А ссылается на справочник с доп. свойством Х , а Б рассчитывается как А.Х (то есть, должен автоматически заполняться значением доп. свойства выбранного в реквизите А элемента). Тогда, если у пользователя нет доступа к справочнику, на который ссылается А , и/или справочнику, на который ссылается Х , то в документе для него значение реквизита Б не отобразится.

    В журналах документов ИНТАЛЕВ присутствует кнопка Проверка прав (работает, когда в системе включена безопасность). Нажав ее, простой пользователь может увидеть свои права на действия с выбранным документом.

    См. также:

    С объектом разграничения доступа связывается дескриптор безопасности SD (security descriptor), содержащий следующую информацию:

    o идентификатор безопасности (SID) владельца объекта;

    o идентификатор безопасности первичной группы владельца;

    o дискреционный список контроля доступа (discretionary access control list, DACL);

    o системный список контроля доступа (system access control list, SACL).

    Списки управления доступом

    o Список SACL управляется администратором системы и предназначен для аудита безопасности.

    o Список DACL управляется владельцем объекта и предназначен для идентификации пользователей и групп, которым предоставлен или запрещен определенный тип доступа к объекту.

    Элементы списков управления доступом

    Каждый элемент списка DACL (access control entry, ACE) определяет права доступа к объекту одному пользователю или группе. Каждый ACE содержит следующую информацию:

    o идентификатор безопасности SID субъекта, для которого определяются права доступа;

    o маска доступа (access mask, AM), которая специфицирует контролируемые данным ACE права доступа;

    o признак наследования прав доступа к объекту, определенных для родительского объекта.

    Элементы списка DACL могут быть двух типов – элементы, запрещающие определенные в них права доступа (Access-allowed ACE), и элементы, запрещающие определенные в них права доступа (Access-denied ACE). Элементы для запрещения субъектам использования определенных прав доступа должны размещаться в «голове» списка, до первого из элементов, разрешающих использование субъектом тех или иных прав доступа.

    Права доступа (разрешения)

    o В операционной системе Windows различаются специальные, стандартные и общие (родовые, generic) права доступа к объектам. Специальные права доступа определяют возможность обращения к объекту по свойственному только данной категории объектов методу – чтение данных из объекта, запись данных в объект, чтение атрибутов объекта, выполнение программного файла и т.д.

    o Стандартные права доступа определяют возможность доступа к объекту по методу, применимому к любому объекту, – изменение владельца объекта, изменение списка DACL объекта, удаление объекта и т.д.

    Права доступа (разрешения)

    Каждое из общих прав доступа представляет собой комбинацию специальных и стандартных прав и предоставляет возможность обращения к объекту с помощью некоторого набора методов доступа. Примеры общих прав доступа:

    o чтение , включающее в себя чтение DACL объекта, чтение данных из объекта, чтение его атрибутов и расширенных атрибутов, использование объекта для синхронизации;


    o запись , включающая в себя чтение DACL объекта, запись и добавление данных в объект, запись его атрибутов и расширенных атрибутов, использование объекта для синхронизации;

    o выполнение , включающее в себя чтение DACL объекта, чтение его атрибутов, выполнение программного файла и использование объекта для синхронизации.

    Разграничение доступа к объектам

    Маркер доступа субъекта, обращающегося к некоторому объекту, поступает в локальную службу безопасности LSA. От LSA маркер доступа поступает к монитору безопасных ссылок (security reference monitor, SRM), который просматривает DACL из дескриптора безопасности SD соответствующего объекта и принимает решение R о предоставлении доступа субъекту или отказе в доступе. Получив от SRM результат R, LSA передает его субъекту, запросившему доступ к объекту.

    Алгоритм проверки прав доступа к объекту

    1. Если SID из маркера доступа субъекта AT не совпадает с SID, содержащемся в элементе ACE списка контроля доступа к объекту, то осуществляется переход к следующему ACE, иначе переход к п. 2.

    2. Если в элементе ACE запрещается доступ к объекту для субъекта с данным SID, но этот субъект является владельцем объекта и запрашиваемая маска доступа содержит только попытку доступа к объекту по методу «чтение (или) изменение дискреционного списка контроля доступа к объекту» (чтение или смена разрешений, запись DAC), то доступ субъекта к объекту разрешается, иначе осуществляется переход к п.3.

    3. Если в элементе ACE запрещается доступ к объекту для субъекта с данным SID, то сравниваются запрашиваемая маска доступа и маска доступа, определенная в ACE. Если при сравнении находится хотя бы один общий метод доступа, то попытка доступа субъекта к объекту отклоняется, иначе происходит переход к следующему ACE.

    4. Если в элементе ACE разрешается доступ к объекту для субъекта с данным SID, то также сравниваются запрашиваемая маска доступа и маска доступа, определенная в ACE. Если при этом маски доступа полностью совпадают, то доступ субъекта к объекту разрешается, иначе происходит переход к следующему ACE.

    5. Если достигнут конец списка DACL из дескриптора безопасности объекта, то попытка доступа субъекта к объекту отклоняется.

    Следствия из рассмотренного алгоритма

    o Если DACL объекта пуст, то любой доступ к нему запрещен всем субъектам, за исключением владельца объекта, которому разрешены чтение и (или) изменение списка контроля доступа к объекту.

    o Если у объекта нет дескриптора безопасности (например, у папок и файлов, размещенных на дисках под управлением файловой системы FAT), то любые пользователи и группы могут получить любые права доступа к данному объекту.