Дискреционное и мандатное разграничение доступа в СЗИ от НСД Secret Net 6.5

Определенное время назад для подготовки к экзамену по программно-аппаратной защите информации была составлена методичка в картинках, решающая один из вопросов, а именно:
Создать систему разграничения доступа к папкам и файлами на основе мандатного и дискреционного механизмов при помощи СЗИ от НСД Secret Net 6.5 и Windows XP Professional.

Задание

С использованием мандатного механизма разграничить доступ пользователей:

• Ivan (уровень доступа — секретно);
• Petr (уровень допуска — совершенно секретно) 

к трем созданным папкам со следующими метками конфиденциальности:

• общедоступно;
• секретно;
• совершенно секретно.

С использованием дискреционного механизма разграничить доступ пользователей Ivan и Petr к
данным папкам следующим образом:

• К общедоступной папке: пользователь Petr имеет полный доступ, Ivan — полный доступ, кроме возможности удаления самой папки.
• К секретной папке: оба пользователя имеют доступ только на чтение и выполнение.
• К совершенно секретной папке: у пользователя Ivan доступа нет, а пользователь Petr имеет полный доступ, кроме возможности удаления самой папки и запуска программ в ней.

Группа SYSTEM и Администраторы имеют полные права на данные папки. Все другие пользователи — не имеют никаких прав доступа.

Исходные данные

• Версия СЗИ: Secret Net 6.5.333.0 (автономная, демонстрационная, без ПАК «Соболь»).
• Версия ОС: MS Windows XP Professional Service Pack 3 (чистая).
• На диске C файловая система NTFS (обязательно).
• Действия проводятся в виртуальной машине VMWare.
• VMWare Tools установлены.

Методичка

Методичка в PDF для загрузки: Дискреционное и мандатное разграничение доступа в СЗИ от НСД Secret Net [PDF]

Подготавливали методичку Басенко А.О., наш преподаватель, и мну.

PS

Демонстрационную версию Secret Net можно попросить у самих разработчиков. Высылают в течении пары часов. http://www.securitycode.ru/products/demo/

О невозможности контролировать флешки, подключаемые через USBIP системой контроля устройств Secret Net

В WTWare встроена замечательная возможность: перенаправлять USB-порты терминалок (share_usb) таким образом, что все устройства, подключаемые к терминалкам по данным портам, получаются как бы "физически" подключенными к серверу.

Реализовано это дело с помощью USBIP и службы от создателя WTWare, поставляемую вместе с этим продуктом.

Втыкаем в терминалку USB-принтер и в ту же секунду на сервере появляется "новое устройство".
Втыкаем в терминал флешку и она обнаруживается как съемный диск (не удаленный, а именно съемный!) — копируй, удаляй, форматируй.

Но, реализовать контроль таких флешек по идентификатору средствами Secret Net не удалось. В логах выдает ошибку Ошибка при сопоставлении логического диска L с устройством. Доступ к этому диску будет запрещен.

Кроме того, даже если бы и получилось бы, то мне кажется, что у секретнета в ТУ указано, что осуществляется контроль только локальных устройств...

Гарантированное уничтожение не испытывал.

Тесты проводились на:

• Windows 2003 Server SP2 (не R2);
• WTWare 4.9.27;
• preview-версии драйвера USBIP для винды;
• Secret Net 6.5.333.17 (автономная).

Т.к. у в нашей ИСПДн К1 терминальных клиентов мало (5 шт), было решено закупить USB-Extender-ы, выделить каждому пользователю (учетке) по личной флешке и разграничить доступ к ним средствами контроля устройств Secret Net.