Фрустрация

      Для работы с программой необходимо произвести инсталляцию на каждой рабочей станции. К сожалению, в этой программе  не предусмотрено сохранение настроек в файл. Для организации системы  защиты оператор должен иметь физический доступ к рабочей станции, которую он хочет защитить. Изменения в реестре должны быть внесены на каждой рабочей станции отдельно.

      В реализации этого программного продукта разработчики допустили ошибку - все  настройки, произведенные данной программой, хранятся непосредственно в реестре  на локальной станции, и следовательно, они могут быть изменены с помощью редактора реестра и изменение будут оставаться в системе до тех пор, пока администратор ЛВС заново не восстановит параметры защиты системы и не произведет перезагрузку системы. То есть, любой пользователь может сам изменять настройки системы, что нельзя допускать. 

      К удачным разработкам можно также  отнести программу PC Deadbolt 1.0. Этот программный  продукт представляет из себя закрытую систему не подлежащую модифицированию  или расширению без перекомпиляции основного кода с использованием специальных библиотек разработчика.

      Данный  программный продукт  был разработан с помощью языка высокого уровня Delphi, что дает этой программе прекрасный интерфейс и не высокую скорость работы. Ещё раз хочется отметить что программа не моет быть хоть как-то расширенной или дополненной. Так же, надо заметить, что скорость вступления в силу, некоторых изменений требует достаточно продолжительного времени (до 5 минут на машине Intel Pentium 166 RAM 32). Что неприемлемо для использования в учебном процессе.

      Данный  программный продукт не требует  установки на каждой рабочей станции, но сохранение созданной политики защиты ОС Windows 95 не предусмотрено, и как следствие этого для организации системы защиты оператор должен иметь физический доступ к рабочей станции, которую он хочет защитить. Изменения в реестре должны быть внесены на каждой рабочей станции отдельно. Администратор системной политики защиты должен иметь физический доступ на  каждую рабочую станцию, что не всегда может быть приемлемом для использования на производстве или большой корпоративной компании. 

      Нельзя  не отметить ещё одну программу regedit версия 1.01. Эта программа входит в стандартную поставку ОС Windows. Эта программа объединяет возможности всех вышеперечисленных программ, но унаследовав все преимущества  выше описанных программ, данная разработка унаследовала и некоторые недостатки этих программ приобрела новые. На ряду с тем, что в реализации данной программы можно «сохранять» фалы созданных конфигураций. Эти файлы представляют текстовый файл ни чем не защищённый от редактирования любым текстовым редактором. Для внесения изменений в реестр необходимо каждый раз вызывать файл редактор реестра regedit. Расширяемость этого программного продукта реализована путем возможности  написания интерпретируемых командных файлов. Это негативно сказывается на быстродействии программного продукта. Так, скажем, для внесения изменения в определённую ветвь реестра ОС Windows 95. Необходимо вызвать программу с ключом, частью которого является название ветви реестра. Это очень неудобно, так как название ветви реестра представляет довольно длинную строку, которую совсем не легко запомнить. Но это ещё не гарантирует что изменения внесены в реестр, так как если такого ключа не оказалось по каким-либо причина, то программа вернет сообщение об ошибке и не произведёт никаких изменений. Хочется ещё отметить, что мало понятный интерфейс программы делает работу оператора, ответственного за систему защиты, очень трудной и утомительной. Контроль введённых значений идентификаторов уровня доступа к объектам, практически исключен в данной версии программы. То есть оператор не может просмотреть значение идентификатора доступа к объекту, он может только изменить его. Это, безусловно, приведет к множеству ошибок при попытке внести изменения в уже существующую систему защиты. Необходимо отметить, что в процессе отладки программы  оператору будет необходимо пользоваться интерфейсом командной строки, что неизбежно приведёт к резкому увеличению времени написания командного файла и неизбежному появлению ошибок в уже готовом файле сценария. И главный недостаток этого программного продукта его медлительность. Для того чтобы внести изменения в реестр необходимо произвести следующие  действия:

• Проверить наличие ветви реестра
• Проверить наличие переменной реестра
• Произвести изменения переменной реестра

      Как видно для внесения любого изменения  в реестр необходимо произвести три  действия, поскольку мы не можем  контролировать состояние реестра. Поскольку командный фал является интерпретируемым, то данные действия, выполняющиеся и без того медленно, могут  привести систему к зависанию на несколько минут.

      К недостатку который делает невозможным  использование этой системы можно  отнести, то что данный программный продукт не имеет никакой поддержки многопользовательского режима.

      Эти существенные недостатки показываю  нам, что мы не можем использовать данную программу в учебных или  промышленных целях. Это продиктовано тем условием, что пользователи ответственные за разработку защиты ОС Windows 95 за частую мало квалифицированны и обучение пользования командной строкой может занять очень много времени, а по истечению некоторого времени, ели оператор долго не работал с этим программным продуктом, навык быстро теряется. 

       

2.3 Описание алгоритма 

      При регистрации пользователя в контролере домена система ОС Windows 95 производит поиск файла конфигурации config.pol в каталоге определенным администратором домена как общедоступный для всех пользователей домена. При нахождение фала модификации реестра происходит его загрузка в оперативную память машины - клиента. В памяти происходит дешифрация шифрованного файла и затем система интерпретирует  расшифрованный файл и производит модификацию реестра. Всё вышесказанное можно пояснить следующей иллюстрацией:

      Как видно из иллюстрации на входе  мы имеем рабочую станцию ОС Windwos 95 с полным доступом к программам и файлам настройки ОС, а на выходе мы имеем ОС Windwos 95 с модифицированным реестром, где и говориться какие к объекты ОС Windwos 95 необходимо разрешить или запретить доступ пользователю. 

2.4 ОрганизациЯ данных  и диалога

2.4.1. ОрганизациЯ данных 

     Входные данные:

1. Файл шаблона:

 

2. данные, вводимые пользователем с клавиатуры, при  помощи мыши следующим образом:
• Открыть меню «Правка»
• Открыть меню «Добавить пользователя»
• Ввести имя Natasha или выбрать с меню «Обзор»
• Нажать кнопку «ОК»
• Выбрать появившегося пользователя двойным щелчком мыши
• В появившемся окне необходимо щелкнуть мышью на кресте возле соответствующего объекта который мы хотим защитить от изменения («Система» например)
• В появившемся списке выбрать дочерний объект («Орграничения»)
• Ввести идентификатор доступа

 

  Возможные состояния идентификатора доступа:

• Пустой (белый) – говорит об отрицательном ответе на утверждение слева
• Полный (галочка) – говорит об утверждение предложения слева
• Серый – говорит о том, что данный объект не будет обрабатываться, то есть остается значение реестра на рабочей станции не меняется.

 
 

3. данные  о системе защиты объектов  хранящиеся в зашифрованных файлах с расширением  pol. Подробное описание алгоритма шифрования файла и структуру данного файла можно  найти на сайте разработчика http://www.microsoft.com.

 

      Выходные  данные: бинарный файл настроек ОС Windows 95 config.pol. Структура файла зашифрована в соответствие с требованиями защиты данных по категории «С» (стандартное требование защиты данных для рабочих станция работающих по управлением ОС Windows NT). Подробное описание алгоритма шифрования файла и структуру данного файла можно  найти на сайте разработчика http://www.microsoft.com.  

2.4.2. ОрганизациЯ диалога 

      Диалог  программы организован при помощи пользовательского интерфейса poledit.exe, который включает в себя: ввод с клавиатуры, поля для текстового ввода строк, списки, переключатели, статические текстовые надписи. Работа с этим интерфейсом соответствует работе пользователя с GUI Windows 95.

      Перемещение по полям программы можно осуществлять как с помощью мыши так и  с помощью клавиатуры.

      При управление мышью различаются следующие  действия:

• Одинарный щелчок мыши – производиться выбора объекта того или иного меню
• Двойной щелчок мыши производиться для выбора файла в проводнике
• Перемещение курсора  по экрану производиться путем перемещения манипулятора типа «Мышь» по плоской поверхности.

 

При управление с клавиатуры перемещение  по меню производиться следующим  образом:

• Открытие верхнего ниспадающего меню - клавиша «ALT»
• Перемещение по открытому меню – клавиши управления курсором
• Перемещение по объектам внутри оболочки производиться – клавиши управления курсором
• Открытие свойств пользователя или рабочей станции – клавиша «Enter»
• Перемещение по списку свойств выбранного объекта – клавиши управления курсором «Вверх», «Вниз»
• Открытие списка свойств выбранного объекта – клавиши управления курсором «Вправо», «Влево»
• Отметить «чек бокс» - клавиша «пробел»
• Удалить «чек бокс» - клавиша «пробел»
• Перемещение между окон интерфейса – клавиша «Tab»
• «Быстрое» нажатие на кнопку «ОК» – клавиша «Enter»

 

      Для внесения изменений пользователю Demon13, нужно внести изменения в учётную запись пользователя Demon13. Для внесения изменений в существующую политику защиты оператору необходимо  производит следующие действия:

• Открыть меню «Правка»
• Открыть меню «Добавить пользователя»
• Ввести имя Natasha или выбрать из меню «Обзор»
• Нажать кнопку «ОК»
• Выбрать появившегося пользователя двойным щелчком мыши
• В появившемся окне необходимо щелкнуть мышью на кресте возле соответствующего объекта который мы хотим защитить от изменения («Система» например)
• В появившемся списке выбрать дочерний объект («Ограничения»)
• Ввести идентификатор доступа

      Возможные состояния идентификатора доступа:

• Пустой (белый) – говорит об отрицательном ответе на утверждение слева
• Полный (галочка) – говорит об утверждение предложения слева
• Серый – говорит о том, что данный объект не будет обрабатываться, то есть остается значение реестра на рабочей станции не меняется.

 

     При работе с объектами имеющими множество  дочерних объектов оператор может управлять  отдельными дочерними объектами, а  не только всем объектом ОС Window 95. При этом состояние дочернего объекта может быть следующим:

• Ниспадающее меню – дает оператору выбрать только те условия которые перечислены в списке
• Строковое поле –даёт оператору возможность ввести строковую константу. Обычно это какое-то сообщение выводимое пользователю при произведение определённых действий. Длинна строки не может превышать 255 символов.
• Числовое поле – даёт оператору возможность ввести числовое значение или выбрать его при помощи стрелок прокрутки:
• Стрелка вверх – означает увеличение числа стоящего в поле на единицу
• Стрелка вниз  – означает уменьшение числа стоящего в поле на единицу
• Список  - дает оператору управлять появившемся списком кнопками которые появившимися справа:
• «ОК» – подтвердить изменения
• «Отмена» – отменить изменения и вернуться к предыдущему меню
• «Добавить» – добавть элемент списка
• «Удалить» – удалить элемент списка

2.5 СОСТАВ ТЕХНИЧЕСКИХ  И ПРОГРАММНЫХ  СРЕДСТВ

2.5.1. ТЕХНИЧЕСКИЕ СРЕДСТВА

      Для функционирования программы необходимо:

      Серверная часть:

      ПК, работающий контролер домена (ов) под управлением ОС Windows NT Sever, Unix или Novell NetWare 4.x

      Клиентская  часть:

      ПК, работающий под управлением ОС Windows 95. На клиентской часть должна быть установлена и функционировать сетевая плата и протокол TCP/IP или один из перечисленных: IPX, NetBUEI. Рабочая станция должна быть настроена на регистрацию в домене. 

2.5.2 аппаратные средства

      Серверная часть: 

      При работе сервера на ОС Windows NT 3.5

• CPU – Intel 486DX66 (или выше)
• RAM – 16Мб (или больше)
• HDD – 250Мб (или больше)
• SVGA 256Kb (или выше)
• Стандартная мышь для COM порта
• Стандартная IBM PC/XT клавиатура
• Монитор 12` черно-белый (или лучше)