Фрустрация

 

      При работе сервера на Novell NetWare 2.2

• CPU – Intel 486DX40 (или выше)
• RAM – 12Мб (или больше)
• HDD – 100Мб (или больше)
• SVGA 256Kb (или выше)
• Стандартная IBM PC/XT клавиатура
• Монитор 12` черно-белый (или лучше)

 

      При работе сервера на Unix (RedHat 6.21)

• CPU – Intel 486SX33 (или выше)
• RAM – 8Мб (или больше)
• HDD – 60Мб (или больше)
• CGA (или выше)

 

Клиентская  часть:

• CPU – Intel 486SX40 (или выше)
• RAM – 8Мб (или больше)
• HDD – 110Мб (или больше)
• SVGA – 256Kb (или выше)
• Стандартная мышь для COM порта
• Стандартная IBM PC/XT клавиатура
• Монитор 12` черно-белый (или лучше)

 
 

2.5.3 Программные средства

      Рабочая станция должна функционировать  под управлением ОС Windows 95, она должна быть правильно сконфигурирована для работы в сети. На рабочей станции должен быть установлен соответствующее клиентское программное обеспечение. Если серверная часть функционирует под управлением ОС Window NT или Unix, клиентская часть – «Клиент для сетей Microsoft», если серверная часть работает под управлением ОС Novell NetWare, клиентская часть – «Клиент для сетей Novell NetWare». На рабочей станции должны быть активизированы профили пользователей. Рабочая станция должна быть настроена на вход в домен и регистрацию в нем. На клиентской и серверной части должен функционировать один или несколько перечисленных протоколов: TCP/IP, IPX, NetBUEN. Для нормальной работы необходимо, чтобы, по меньшей мере,  хотя бы один совпадал на сервере и рабочей станции.

      Сервер  должен быть контролером домена (ов). В соответствующей директории:

• Если сервер работает под управлением ОС Windows NT – c:winntsystem32 eplexport
• Если сервер работает под управлением ОС NetWare – SYS:PUBLIC
• Если сервер работает под управлением ОС UNIX – /home

должен быть бинарный фал настроек config.pol. Все пользователи домена должны иметь доступ на чтение к этой папке и файлу. Доступ на запись к папке, где храниться файл config.pol должен быть только у администратора или человека ответственного за политику безопасности.  
 

2.6 технология разработки  программного изделия

2.6.1. ВЫБОР ПРОГРАММНОЙ  СРЕДЫ

      Средства  poledit быстро решают поставленную задачу. К имеющимся настройкам с помощью шаблона можно быстро и легко добавить или удалить новый идентификатор доступа или объект  к которому мы хотим ограничить разрешить, запретить или ограничить доступ пользователя.

      Для редактирования реестра можно использовать множество методов. Перечислим некоторые  из них.

      К примеру, можно привести стандартный  подход реализованный в ОС Windows. Это создание файла определенного формата с расширением *.reg. Эти файлы представляют текстовый файл ни чем не защищённый от редактирования любым текстовым редактором. Для выполнения таких файлов сценария необходим пакетный файл regedit.exe. Для внесения изменений в реестр необходимо каждый раз вызывать файл редактор реестра regedit. Размер этих файлов сценария далёк от компактного. Негативно сказывается на быстродействии программного продукта. Так, скажем, для внесения изменения в определённую ветвь реестра ОС Windows 95. Необходимо вызвать программу с ключом, частью которого является название ветви реестра. Это очень неудобно, так как название ветви реестра представляет довольно длинную строку, которую совсем не легко запомнить. Но это ещё не гарантирует что изменения внесены в реестр, так как если такого ключа не оказалось по каким-либо причина, то программа вернет сообщение об ошибке и не произведёт никаких изменений. Хочется ещё отметить, что мало понятный интерфейс программы делает работу оператора, ответственного за систему защиты, очень трудной и утомительной. Контроль введённых значений идентификаторов уровня доступа к объектам, практически исключен в данной версии программы. То есть оператор не может просмотреть значение идентификатора доступа к объекту, он может только изменить его. Это, безусловно, приведет к множеству ошибок при попытке внести изменения в уже существующую систему защиты. Необходимо отметить, что в процессе отладки программы  оператору будет необходимо пользоваться интерфейсом командной строки, что неизбежно приведёт к резкому увеличению времени написания командного файла и неизбежному появлению ошибок в уже готовом файле сценария. И главный недостаток этого программного продукта его медлительность. Для того чтобы внести изменения в реестр необходимо произвести следующие  действия:

• Проверить наличие ветви реестра
• Проверить наличие переменной реестра
• Произвести изменения переменной реестра

      Как видно для внесения любого изменения  в реестр необходимо произвести три  действия, поскольку мы не можем  контролировать состояние реестра. Поскольку командный фал является интерпретируемым, то данные действия, выполняющиеся и без того медленно, могут  привести систему к зависанию на несколько минут.

      Редактирование  реестра можно также проводить  программным путем – программой написано на языке высокого уровня, например VB. Такой подход даёт увеличение скорости, по сравнению с первым методом, но не даёт достаточной гибкости в настройке прогрммы, так, как каждый раз необходимо перекомпилировать программу. Используя данный способ настройки созданные на одной машине никак нельзя перенести на другую рабочую станцию. На каждой рабочей станции необходимо проводить полную конфигурацию системы, что при большом количестве рабочих станций, может оказаться очень утомительным занятием. При использование в качестве расширений файлы с дополнительными ключами реестра, мы очень сильно рискуем безопасностью ОС Windows 95, так как в этом случае изменить их не составит труда для злоумышленника, поскольку ему не надо будет вычислять название ключей реестра.

      Только  средства poledit дают компактный и быстро исполняемый код для автоматической настройки OC Windows 95. Необходимо отметить, что идентификаторы и объекты хранятся в зашифрованном виде, что повышает устойчивость ОС к взлому. При помощи компилятора poledit оператор получает удобный ГДИ сходный с GUI ОС Windows 95. Надо отметить, что нет необходимости проводить обучение оператора производящего защиту ОС Window 95 пользованию ГДИ, если оператор знаком с GUI ОС Windows 9x. 

2.6.2. ТЕХНОЛОГИЧЕСКИЙ  ПРОЦЕСС разработки  программы 

      Перед написанием программы были исследовано - каких объектов ОС Windows 95 нуждаться в защите. Были исследованы разнообразные способы функционирования программы. Была разработана общая концепция защиты ОС Windows 95, от несанкционированного вторжения пользователя в настройки или конфигурационные файлы ОС Windows 95. Была разработана стратегия разрешённых приложения  ОС Windows 95.

      Данная  программа реализована в виде исполняемого ОС Windows 95 бинарного файла. 

2.6.3 Разработка технологического  процесса отладки

      Для данного программного продукта не существует технологического процесса отладки. По этой причине в данной работе рассматривается  разработка технологического процесса.

      Отладка программы представляет из себя две  стадии:

• Нахождение ошибки
• Исправление найденной ошибки

 

     Для нахождения ошибки работы программы  необходимо воспользоваться программой стороннего производителя или программой regedit, входящей в стандартную поставку ОС семейства Windows. В данном примере будет рассматриваться работа с программой regedit.

      Для нахождения неверной работы программы  необходимо просмотреть ключи реестра  изменяемые программой защиты объектов операционной системы WINDOWS95 работающей в многопользовательском режиме под управлением сервера Novell NetWare (Windows NT, Unix), при нахождение несоответствий необходимо произвести поиск ошибки при вводе ключей идентификатора доступа, повторить компиляцию программы и полученный файл config.pol поместить на сервер и произвести повторную регистрацию клиента в контролере домена. 

2.6.4 фрагмент отладки  программы

      После регистрации в контролере домена клиентской машины, пользователя  имеющего право редактировать реестр, пользователь проверяет соответствие названий  и значение ключей реестра с наименованиями и значениями ключей реестра, которые должны соответствовать защите того или иного объекта ОС Windows 95. В случае нахождения таких несоответствий пользователь должен произвести изменения в коде программы повторить компиляцию программы и полученный файл config.pol поместить на сервер и произвести повторную регистрацию клиента в контролере домена.

      Фрагментом  отладки можно проиллюстрировать  следующим образом  Программист  хочет защитить от просмотра следующие  диски A:, B:, C:. При повторной регистрации в контролере домена пользователь по-прежнему видит диски A:, B: и C:. Человек ответственный за политику защиты ОС Windows 95. Регистрируется в сервере контролера домена и производит поиск соответствующего ключа реестра для защиты объектов типа "диски". Вычисляет значение ключа. Сравнивает значение рестра с полученным и находит расхождение. После этого человек ответственный за политику безопасности ОС Windows 95 запускает программу защиты объектов операционной системы WINDOWS95 работающей в многопользовательском режиме под управлением сервера Novell NetWare (Windows NT, Unix) и сравнивает в графическом интерфейсе значение идентификатора доступа на против поля "Убрать диски: A:, B: и С:". Значение идентификатора должно быть заполненным (отмечено галочкой). Далее человек ответственный за политику защиты ОС Windows 95 повторяет компиляцию программы, полученный файл config.pol поместить на сервер и произвести повторную регистрацию клиента в контролере домена. В случае если после этого пользователь по-прежнему продолжает видеть диски "A:, B: и С:", необходимо вмешательство в код программы. Это происходит следующим образом. Человек ответственный за политику защиты ОС Windows 95, открывает файл кода программы ADMIN.ADM любым текстовым редактором находит раздел где описывается доступ к объекту типа "Диски" и исправляет ошибку в тексте программы - вводит правильное значение идентификатора доступа. 

2.6.5 формальное описание  ПОЯ языка

      Язык  ПОЯ предназначен для написания  шаблонов для "редактора системной  политики" или "Microsoft PolEdit". Синтаксис языка ПОЯ схож с синтаксисом для описания переменных и записей языка C++.

      Синтаксис языка ПОЯ следующий:  

CLASS Имя_Класса  ;Возможные значения MACHINE - изменения касающиеся локальной машины и  USER - изменения касающиеся локального пользователя. В тексте программы можно использовать оба класса. 

CATEGORY "Имя категории  в кавычках. Может быть заменено  строковой переменной"

KEYNAME "Имя   ключа реестра в котором будет  производиться изменения

Policy "Имя подкатегории1. Может быть заменено строковой  переменной"

      VALUENAME "Имя создаваемой или изменяемой  переменной реестра"

      VALUEON NUMERIC 4 ;Значение переменной

End Policy ;конец подкатегории1

Policy "Имя подкатегории2. Может быть заменено строковой  переменной"

      VALUENAME " Имя создаваемой или изменяемой  переменной реестра"

      VALUEON NUMERIC 7 ; Значение переменной End Policy

End Policy ; конец подкатегории 2

End Category  ;Конец категории 

      В языке ПОЯ можно пользоваться комментариями. Комментарий пишется  после точки с запятой (;). Комментарий всегда однострочный.

      В языке ПОЯ предусмотрена возможность  определения строковых переменных. Строковые переменные описываются  в конце программы после ключевого  слова в квадратных скобках [strings] Формт записи:

Имя_Переменной="Значение переменной"

      В тексте программы строковая переменная вызывается следующим образом:

!!Имя_Переменной 
 

2.7 РЕЗУЛЬТАТЫ РАБОТЫ  ПРОГРАММЫ И ИХ  ОЦЕНКИ 

      Результатом работы программы является рабочая  станция ОС Windows 95 защищённая от несанкционированного доступа пользователя к файлам конфигурации системы и настройкам ОС Window 95. Программа ограничивает полномочия на доступ к объектам на уровне пользователя.

      Время, затрачиваемое на загрузку программы  с сервера в основном определяются пропускной способностью ЛВС и её загрузкой, а также скоростью обмена данными между используемым магнитным носителем и оперативной памятью. При увеличении количества исходных данных время работы программы увеличивается пропорционально количеству защищаемых объектов.