СОПРОВОЖДЕНИЕ И ОБСЛУЖИВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ КОМПЬЮТЕРНЫХ СИСТЕМ. Методические указания по выполнению практических и лабораторных работ по пм. 04

79
Оставьте отмеченным флаг Перезагрузить компьютер и нажмите Готово
23. Дождитесь завершения перезагрузки компьютера и войдите в систему под своей учетной записью
24. Обратите внимание, что после перезагрузки в правом нижнем углу экрана появилось сообщение о необходимости провести полную проверку компьютера на вирусы. О том, как настраивать такие уведомления, пойдет речь в одной из следующих лабораторных работ
Заключение
Эта лабораторная работа заканчивается полной установкой, включающей в себя предва- рительную настройку Антивируса Касперского 6.0. Если в ходе инсталляции Мастер уста-
новки не выводил сообщений об ошибках, она должна быть успешной.
Практическая работа № 4.18. Настройка политики безопасности
Цель работы: ознакомиться с методами ограничения доступа к информации
Теоретический материал
Разграничение доступа является достаточно эффективным средством предупреждения возможного ущерба вследствие нарушения целостности или конфиденциальности информа- ции. В том случае, если доступ к самому компьютеру или к его ресурсам может получить поль- зователь, который имеет злой умысел или недостаточный уровень подготовки, он может слу- чайно или преднамеренно исказить информацию или уничтожить ее полностью или частично.
Это же обстоятельство может привести к раскрытию закрытой информации или несанк- ционированному тиражированию открытой, например, программ, баз данных, разного рода до- кументации, литературных произведений и т. д. в нарушение прав собственников информации, авторских прав…
С точки зрения разграничения доступа, в информационных системах следует различать
субъекты доступа и объекты доступа. В число субъектов доступа могут войти либо персонал информационной системы, либо посторонние лица. Объектами доступа являются аппаратно- программные элементы информационных систем. Чаще всего в качестве объектов доступа рас- сматриваются файлы (в том числе папки и файлы программ). Доступ к объекту может рассмат- риваться либо как чтение (получение информации из него), либо как изменение (запись инфор- мации в него). Тогда виды доступа определяются следующими возможными сочетаниями этих операций:
– ни чтение, ни изменение;
– только чтение;
– только изменение;
– и чтение, и изменение.
Очевидно, что различие функциональных обязанностей субъектов обусловливает необ- ходимость предоставления им соответствующих видов доступа.
Управление доступом пользователей и глобальными параметрами на членах домена осу- ществляется на двух уровнях: локальной системы и домена. На отдельных компьютерах доступ пользователей конфигурируют на уровне локальной системы, а одновременно для нескольких систем или ресурсов, входящих в домен, — на уровне домена.
Права доступа пользователя определяются руководителем организации и прописыва- ются на рабочей станции системным администратором (администратором домена).
Процедура проверки прав доступа включает авторизацию и аутентификацию. Авториза- ция предполагает проверку уровня доступа к объекту, а аутентификация — проверку подлин- ности пользователя. Для аутентификации обычно используются имя пользователя (login) и па- роль (password). Системный администратор осуществляет разграничение прав доступа в соот- ветствии с заданной системной политикой, которая предполагает:
– ограничения на минимальную длину, сложность и срок действия пароля;

80
– требование уникальности паролей;
– блокировку пользователя при неудачной аутентификации;
– ограничение времени и места работы пользователя.
Система разграничения доступа реализована так, что при повседневной работе поль- зователи не должны замечать, что любое обращение к любому объекту проходит проверку на соответствие установленным правам доступа. Списки прав доступа можно задавать на каждый документ отдельно. При создании документа автоматически задается такой доступ на него, чтобы создатель имел все права.
Система разграничения доступа предназначена для реализации определенных адми- нистратором защиты правил на выполнение операций пользователями над объектами храни- лища.
Система ограничения прав доступа не может дать полной гарантии безопасности инфор- мации. Дело в том, что злоумышленник может получить или подобрать пароль легального поль- зователя. Кроме того, опытный специалист может обойти систему разграничения доступа.
Средством обнаружения несанкционированного доступа к ресурсам служат системы аудита, которые автоматически фиксируют доступ к файлам и папкам и системные события.
Модели разграничения доступа
Наиболее распространенные модели разграничения доступа:
– дискреционная (избирательная) модель разграничения доступа;
– полномочная (мандатная) модель разграничения доступа.
Дискреционная модель характеризуется следующими правилами:
– любой объект имеет владельца;
– владелец имеет право произвольно ограничивать доступ субъектов к данному объекту;
– для каждого набора субъект – объект – метод право на доступ определен одно- значно;
– наличие хотя бы одного привилегированного пользователя (например, админи- стратора), который имеет возможность обращаться к любому объекту с помощью любого метода доступа.
В дискреционной модели определение прав доступа хранится в матрице доступа: в стро- ках перечислены субъекты, а в столбцах – объекты. В каждой ячейке матрицы хранятся права доступа данного субъекта к данному объекту.
Полномочная модель характеризуется следующими правилами:
– каждый объект обладает грифом секретности. Гриф секретности имеет числовое значение: чем оно больше, тем выше секретность объекта;
– у каждого субъекта доступа есть уровень допуска. Допуск к объекту в этой мо- дели субъект получает только в случае, когда у субъекта значение уровня допуска не меньше значения грифа секретности объекта.
Преимущество полномочной модели состоит в отсутствии необходимости хранения больших объемов информации о разграничении доступа. Каждым субъектом выполняется хра- нение лишь значения своего уровня доступа, а каждым объектом – значения своего грифа сек- ретности.
Методы разграничения доступа
Виды методов разграничения доступа:
Разграничение доступа по спискам
Суть метода состоит в задании соответствий: для каждого пользователя задается список ресурсов и права доступа к ним или для каждого ресурса определяется список пользо- вателей и права доступа к этим ресурсам. С помощью списков возможно установление прав с точностью до каждого пользователя. Возможен вариант добавления прав или явного запрета доступа. Метод доступа по спискам используется в подсистемах безопасности операционных систем и систем управления базами данных.
Использование матрицы установления полномочий

81
При использовании матрицы установления полномочий применяется матрица доступа
(таблица полномочий). В матрице доступа в строках записываются идентификаторы субъектов, которые имеют доступ в компьютерную систему, а в столбцах – объекты (ресурсы) компьютер- ной системы. В каждой ячейке матрицы может содержаться имя и размер ресурса, право до- ступа (чтение, запись и др.), ссылка на другую информационную структуру, которая уточняет права доступа, ссылка на программу, которая управляет правами доступа и др. Данный метод является достаточно удобным, так как вся информация о полномочиях сохраняется в единой таблице. Недостаток матрицы – ее возможная громоздкость.
Разграничение доступа по уровням секретности и категориям
Разграничение по степени секретности разделяется на несколько уровней. Полномочия каждого пользователя могут быть заданы в соответствии с максимальным уровнем секретно- сти, к которому он допущен. При разграничении по категориям задается и контролируется ранг категории пользователей. Таким образом, все ресурсы компьютерной системы разделены по уровням важности, причем каждому уровню соответствует категория пользователей.
Парольное разграничение доступа
Парольное разграничение использует методы доступа субъектов к объектам с помощью пароля. Постоянное использование паролей приводит к неудобствам для пользователей и вре- менным задержкам. По этой причине методы парольного разграничения используются в ис- ключительных ситуациях.
На практике принято сочетать разные методы разграничений доступа. Например, первые три метода усиливаются парольной защитой. Использование разграничения прав доступа явля- ется обязательным условием защищенной информационной системы.
Ход работы
1. Освоить средства разграничения доступа пользователей к папкам:
– выполнить команду «Общий доступ и безопасность» контекстного меню папки
(если эта команда недоступна, то выключить режим «Использовать простой об- щий доступ к файлам» на вкладке «Вид» окна свойств папки) или команду «Свой- ства»;
– открыть вкладку «Безопасность» и включить в отчет сведения о субъектах, кото- рым разрешен доступ к папке и о разрешенных для них видах доступа;
– с помощью кнопки «Дополнительно» открыть окно дополнительных параметров безопасности папки (вкладка «Разрешения»);
– включить в отчет сведения о полном наборе прав доступа к папке для каждого из имеющихся в списке субъектов;
– открыть вкладку «Владелец», включить в отчет сведения о владельце папки и о возможности его изменения обычным пользователем;
– открыть папку «Аудит», включить в отчет сведения о назначении параметров аудита, устанавливаемых на этой вкладке, и о возможности их установки обыч- ным пользователем;
– закрыть окно дополнительных параметров безопасности.
2. Освоить средства разграничения доступа пользователей к файлам:
– выполнить команду «Свойства» контекстного меню файла;
– повторить все задания п. 1, но применительно не к папке, а к файлу.
3. Освоить средства разграничения доступа к принтерам:
– выполнить команду «Принтеры и факсы» меню «Пуск»;
– выполнить команду «Свойства» контекстного меню установленного в системе принтера;
– повторить все задания п. 1, но применительно не к папке, а к принтеру.
4. Освоить средства разграничения доступа к разделам реестра операционной си-
стемы:

82
– с помощью команды «Выполнить» меню «Пуск» запустить программу редакти- рования системного реестра regedit (regedt32);
– с помощью команды «Разрешения» меню «Правка» редактора реестра опреде- лить сведения о правах доступа пользователей к корневым разделам реестра, их владельцах и параметрах политики аудита;
– включить в отчет сведения о правах доступа пользователей к данной папке и о ее владельце.
Практическая работа № 4.19 Настройка программы-браузера
Цель работы: изучить способы настройки браузера
Теоретический материал
Браузер – это программа для просмотра web-страниц.
Настройка браузера. Все браузеры позволяют выполнить некоторые настройки для оп- тимизации работы пользователей в Интернете. В браузереInternet Explorer основная часть настроек содержится в меню Сервис – Свойства обозревателя.
Вкладка Общие позволяет задать адрес домашней страницы, которая будет автомати- чески загружаться в окно браузера при его запуске, цвета гиперссылок по умолчанию, название шрифта по умолчанию. Здесь же определяется сколько дней будет храниться ссылка посещен- ных страниц в журнале. Кроме того, для ускорения просмотра. Все посещенные страницы по- мещаются в специальную папку, и с помощью кнопки Параметры можно задать разные спо- собы обновления таких страниц.
С помощью вкладки Безопасность можно создать списки надежных узлов и узлов с ограниченными функциями. Зона Интернет будет при этом включать все остальные узлы, не вошедшие в эти две папки. Для каждой из них с помощью кнопки Другой можно изменить параметры безопасности, установленные для них по умолчанию. Здесь можно запретить вы- полнение сценариев, отображение всплывающих окон, загрузку файлов и т.д.
Вкладка Конфиденциальность дает возможность настроить работу с файлами cookie, с помощью которых информация о пользователе автоматически передается на сервер.
Вкладка Содержание позволяет ограничить доступ к некоторой информации (насилие, ненормативная лексика и т.д.).
Вкладка Подключения позволяет установить подключение к Интернету.
На вкладке Дополнительно можно задать некоторые дополнительные параметры ра- боты (отключить загрузку графических изображений, отменить подчеркивание ссылок, запре- тить отладку сценариев и т.д.).
Вкладка Программы позволяет определить программы, которые будут по умолчанию использоваться службами Интернета (почтовые программы,html-редакторы и т.п.).
Ход работы
1. Создайте папку на рабочем столе и переименуйте её.
2. Откройте броузер Internet Explorer.
3. На вкладке Панели инструментов меню Вид уберите все флажки напротив всех панелей инструментов.
4. В меню Вид уберите флажок со вкладки Строка состояния.
5. Нажмите кнопку Print Screen.
6. Откройте графический редактор и вставьте скопированное в рабочую область.
Настройка панелей инструментов Internet Explorer.
7. Вернитесь к обозревателю и при помощи действий Вид Панели инструментов, отоб- разите на экране Ссылки. Скопируйте в Paint данное окно, сравните с предыдущим ри- сунком и вырежьте все части, которые дублируют первый рисунок. Вставьте получив- шееся на фон рабочей области рисунка и подпишите «ссылки».

83
Вернитесь снова к обозревателю и, проделав аналогичные действия, вставьте в тот же рисунок Адресную строку, Обычные кнопки, строку состояния и подпишите их. Скопируйте аналогичным образом Панели обозревателя: Избранное (часто посещаемые веб-страницы),
Журнал (список недавно посещённых веб-страниц), Поиск, Папки.
8. Для просмотра веб-страницами вам нужно научиться изменять размер шрифта, отклю- чить графику для увеличения скорости отображения всех веб-страниц.
Для того, чтобы установить оптимальный для просмотра страницы размер шрифта, нужно сделать следующее ВидРазмер шрифта. Выберите Самый крупный.
9. Чтобы отключить графику для увеличения скорости отображения всех веб-страниц, меню Сервис обозревателя Internet Explorer выберите команду Свойства обозрева-
теля.
10. Выберите вкладку Дополнительно. В группе Мультимедиа снимите один или не- сколько из флажков: Отображать рисунки, Воспроизводить анимацию на веб-стра-
ницах, Воспроизводить видео на веб-страницах и Воспроизводить звуки на веб-
страницах.
11. Чтобы увеличить размер дискового пространства, выделяемого для временного хране- ния веб-страниц, в менюСервис обозревателя Internet Explorer выберите команду Свой-
ства обозревателя.
12. На вкладке Общие нажмите кнопку Параметры.
13. Чтобы увеличить размер дискового пространства, выделяемого для временного хране- ния страниц, переместите движок вправо.
Практическая работа № 4.20 Работа с реестром
Цель работы: изучить структуру ключей реестра, типы параметров ключей, способы редактирования реестра; получить практические навыки работы с редактором реестра RegEdit.
Теоретический материал
Структура и основные принципы работы с реестром
Реестр (Registry) – это системная база данных Windows . Она является хранилищем мно- жества параметров и установок, необходимых для нормального функционирования Windows на данном конкретном компьютере.
Реестр – это не статическая база данных настроек, он работает постоянно и постоянно обновляется. Не существует двух одинаковых реестров.
Файлы системного реестра
База данных системного реестра Windows 95 хранится в двух файлах – System.dat и
User.dat. Это скрытые системные файлы, доступные только для чтения. Данные хранятся в них в двоичном виде и не могут быть просмотрены при помощи обычного текстового редактора.
Для внесения изменения в реестр должен использоваться специальный редактор Regedit.exe, который изображает эти два файла как одну систему.
По умолчанию файлы System.dat и User.dat хранятся в папке \Windows.
В файле System.dat хранятся сведения об аппаратуре, на котором работает система Win- dows, а также об установленном на нем программном обеспечении. Значения, хранящиеся в этом файле, автоматически изменяются при изменении аппаратной конфигурации, а также при установке и удалении приложений.
В файле User.dat хранится информация, относящаяся к пользователю. В частности, это могут быть данные о «чувствительности» мыши, цветовой схеме, курсорах, шрифтах, клавиа- туре и прочем. В этом же файле находятся сведения о конфигурации рабочего стола и сети для разных пользователей – так называемые пользовательские конфигурации.
Аналогичные файлы для хранения базы данных системного реестра существуют и в дру- гих ОС семейства Windows 9х/NT. Отличаться могут количество и, соответственно, названия файлов.

84