Разграничение доступа к внешним носителям

Полноценная работа пользователя не возможна без использования внешних носителей информации. В то же время использование носителей информации повышает риск появления несанкционированного ПО.
ОС Astra Linux предоставляет возможность использования пользователем конкретного экземпляра USB-накопителя для хранения файлов.
USB-накопитель, с которым пользователь может работать в системе, подготавливает и выдает администратор безопасности, проведя соответствующую процедуру регистрации данного USB-накопителя в системе.
Для USB-накопителя администратором безопасности устанавливаются следующие параметры: владелец и основная группа пользователя.
Описанные ниже действия выполняются как для доменных пользователей, так и для администраторов безопасности, являющихся локальными пользователями. При этом подготовка накопителей осуществляется однотипно, но в разных вкладках программы управления политикой безопасности: во вкладке домена и во вкладке «Локальная политика».
USB-накопители, предназначенные для администратора безопасности, регистрируются во вкладке «Локальная политика». При этом владельцем должен являться администратор безопасности. Основная группа пользователя при этом – «astra-admin».
USB-накопители, используемые пользователем, регистрируются в доменной вкладке. Владельцем назначается один из пользователей (операторов) ЭВМ.
Для регистрации внешних устройств в базе учета устройств ALD необходимо предварительно зарегистрироваться на ЭВМ администратора выполнить следующие действия:
запустить программу управления политикой безопасности, воспользовавшись соответствующим ярлыком «Пуск/Настройки/Управление политикой безопасности»;
в главном окне программы управления политикой безопасности перейти на доменную вкладку;
пройти аутентификацию с учетной записью администратора домена «admin/admin» и с соответствующим паролем;
в дереве домена выбрать пункт «Доступ к устройствам/Устройства»;
на панели инструментов нажать кнопку «Создать». Дождаться появления графического окна (рисунок 1);
Рисунок 1
подключить USB-накопитель к USB-порту компьютера. В результате появится перечень устройств (рисунок 6.18);
Рисунок 6.18
перейти на вкладку «Свойства» (рисунок 6.19). В свойствах устройства должна присутствовать строка следующего вида «ID_SERIAL Значение». В большинстве случаев достаточно использовать серийный номер ID_SERIAL. В случае, когда использование для идентификации устройства его серийного номера невозможно, необходимо выбрать один или несколько других атрибутов, обеспечивающих идентификацию устройства (например, ID_FS_UUID, ID_MODEL, ID_SERIAL_SHORT и т.п.). Следует поставить курсор на требуемую строку;
Рисунок 6.19
добавить устройство в список разрешенных, нажав на панели инструментов окна «Подключите и укажите добавляемое устройство» кнопку «Выбрать»

. В результате в правой части окна «Управление политикой безопасности» будет открыта для редактирования рабочая панель «Свойства» добавляемого USB-накопителя (рисунок 6.20);
Рисунок 6.20
в поле «Наименование» указать обозначение устройства (рекомендуется связать с именем владельца накопителя);
далее, воспользовавшись соответствующими кнопками выбора , в поле «Владелец» выбрать пользователя, которому предназначается накопитель. В поле «Группа» выбрать идентификатор группы для пользователей (операторов). Поля «Режим доступа», «Категории», «Атрибуты» не изменять. Проверить, что установлен флаг «Статус – включено»;
назначить параметры регистрации событий, связанных с устройством, для этого нажать на кнопку выбора напротив полей «Аудит успехов» и «Аудит отказов» и в появившемся окне «Определение аудита» (рисунок 6.21) выбрать успешные и неуспешные события, подлежащие регистрации. Для более быстрой работы с накопителем рекомендуется не назначать успешные события «create» и «modify». Затем нажать кнопку «Да»;
Рисунок 6.21
применить изменения, нажав кнопку «Применить» (см. рисунок 6.20). В результате в дереве домена появится элемент, соответствующий добавленному USB-накопителю.
После того как регистрация USB-накопителя завершена, администратору безопасности необходимо настроить дискреционные права доступа к устройству. Для этого администратору безопасности следует выполнить следующие действия:
запустить программу файлового менеджера, выполнив в консоли команду:
sudo fly-fm
в правой части окна программы файлового менеджера выбрать в дереве пункт «Компьютер/Накопители/Съемный носитель». Нажать правую кнопку мыши и в контекстном меню выбрать пункт «Примонтировать». В результате будет осуществлено монтирование USB-накопителя;
снова нажать правую кнопку мыши и в контекстном меню выбрать пункт «Свойства». В появившемся окне «Свойства» во вкладке «Общие» запомнить содержание поля «Точка монтирования». Закрыть окно;
в правой части окна программы файлового менеджера выбрать в дереве пункт «Компьютер/Файловая система/точка монтирования». Нажать правую кнопку мыши и в контекстном меню выбрать пункт «Свойства». В появившемся окне «Свойства» перейти на вкладку «Дискреционные атрибуты» (рисунок 6.22);
Рисунок 6.22
в поле «Пользователь» выбрать пользователя, который был назначен владельцем USB-накопителя при его регистрации;
установить дискреционные права доступа в соответствии с рисунком 6.22. Пользователь-владелец носителя и группа пользователя должны иметь все права. Для субъектов «Остальные» устанавливать права не требуется, так как они все равно не имеют прав на монтирование данного USB-накопителя