Глав: 9 | Статей: 80
Оглавление
В настоящем справочном пособии представлены материалы о промышленных образцах специальной техники отечественного и зарубежною производства, предназначенной для защиты информации.

В доступной форме приведены сведения о методах завиты и контроля информации при помощи технических средств.

Приведены более 100 принципиальных схем устройств защиты информации и объектов, описана логика и принципы действия этих устройств, даны рекомендации по монтажу и настройке. Рассмотрены методы и средства защиты информации пользователей персональных компьютеров от несанкционированного доступа. Даны краткие описания и рекомендации по использованию программных продуктов и систем ограниченного доступа.

Книга предназначена для широкого круга читателей, подготовленных радиолюбителей, желающих применить свои знания в области защиты объектов и информации, специалистов, занимающихся вопросами обеспечения защиты информации.

Представляет интерес для ознакомления руководителей государственных и других организаций, заинтересованных в защите коммерческой информации.

5. Утилита DISKREET

5. Утилита DISKREET

DISKREET обеспечивает секретность работ, проводимых на ПК, путем шифрования хранимой на дисках информации и санкционирования доступа к ней только по паролю.

С использованием утилиты можно:

— шифровать файлы;

— создавать и обслуживать "секретные" логические диски, называемые NDisk'aми, или скрытыми дисками. N'Disk технически представляет собой скрытый файл, вся информация в котором зашифрована

Доступ к таким дискам осуществляется посредством драйвера DISKREET.SYS, создающего логические приводы и имитирующего доступ через них к NDisk'ам. Вследствие этого использование NDisk'a ничем не отличаются от работы с обычным диском. На NDisk'е можно размещать файловую структуру и обслуживать ее обычными средствами. Однако прежде чем использовать такой диск, его необходимо открыть. Открыть же NDisk можно только зная пароль, установленный при создании диска. В любой момент времени каждый открытый NDisk можно закрыть, исключив тем самым всякую возможность доступа к его содержимому.

Чтобы работать с NDisk'aми, необходимо сначала подключить драйвер DISKREET SYS, для чего следует указать его в команде "DEVICE=" файла CONFIG.SYS и перезагрузить DOS. В процессе перезагрузки вы увидите, что будет создан, по крайней мере, один дополнительный логический привод (необходимое их число устанавливается в подменю Options утилиты). Однако доступ к таким приводам окажется невозможным. Если верхняя память доступа, то драйвер DISKREET.SYS размещается именно в ней, в противном случае в стандартной памяти.

Для размещения менеджера NDisk'oв в стандартной памяти в случае доступности верхней следует использовать переключатели /NOHМА и /SKIPUMB, поместив в файл CONFIG.SYS строку вида

DEVICE=C: NORTON DISKREET. SYS/ NOHMA/SKIPTUMB

Переключатель /NOHMA запрещает использование НМА-памяти, — /SKIPUMB — UMB-памяти.

Подчеркнем, что DISKREET не способна предотвратить обновление, копирование и удаление информации на физических дисках (в том числе зашифрованных файлов и NDisk'oв). Она предохраняет лишь данные и программы от просмотра и выполнения.

Режим командной строки

Утилита запускается командной строкой вида

DISKREET I/ON OFF CLOSE)

или

DISKREET HIDE: d, SHOW:d

или

DISKREET /ENCRYPT: pattern [/PASSWORD: пароль]

или

DISKREET, DECRYPT: file [/PASSWORD: пароль)

Если задан хотя бы один переключатель, то выполняются лишь предписанные в командной строке действия в недиалоговом или полуавтоматическом режиме. Иначе DISKREET входит в диалоговый режим. При обработке файлов этот режим принципиально необходим только для установки опций, остальные же действия могут быть специфицированы переключателями в командной строке. Однако в случае работы с NDisk'ами без диалогового режима не обойтись. Только в нем могут быть выполнены все необходимые подготовительные операции, а также некоторые действия по открытию и закрытию NDisk'oв.


Рис. П5.1. Главное окно утилиты DISKREET

Недиалоговый же режим играет роль вспомогательного, обеспечивая выполнение ряда действий:

/CLOSE — закрыть все NDisk'и;

/ON — разблокировать драйвер DISKREET.SYS:

/OFF — заблокировать драйвер DISKREET.SYS;

/SHOW: d — показать NDisk в скрытом приводе d;

/ HIDE: d — скрыть NDisk в скрытом приводе d (установить у эмулирующего его файла атрибут Н);

/ENCRYPT: pattern — зашифровать файлы, сопоставимые с шаблоном pattern и записать их в единый файл (имя целевого файла запрашивается);

/DECRYPT:<fiIe> — расшифровать файл <file> (восстановить все содержащиеся в нем файлы);

/PASSWORD: пароль — использовать при шифровании или расшифровке указанный пароль (если переключатель не задан, то пароль будет запрошен).

Диалоговый режим

Главное меню утилиты содержит следующие пункты-

File — для обработки файлов и установки необходимых опций;

NDisks — для работы с NDisk'ами;

Options — для конфигурирования утилиты по работе с N'Disk'aми;

Quit — для выхода из утилиты.

Так как обработка файлов и работа с NDisk'ами независимы, рассмотрим эти режимы раздельно.

Обработка файлов

При выборе пункта Options главного меню открывается подменю, одним из пунктов которого является "File…", открывающий диалог "File Encryption options", который служит для выбора метода шифрования, способа обработки исходных файлов после их шифрования, а также задания атрибутов результирующего (целевого) файла с зашифрованными данными. Диалоговое окно показано на рис. П5.2.

В качестве метода шифрования можно специфицировать один из следующих:


Рис. П5.2. Диалоговое окно File Encryption Options

Fast proprietary method — быстрый собственный метод (разработанный создателем утилиты), за скорость которого приходится расплачиваться увеличением вероятности расшифровки информации посторонними лицами;

DES — более медленный, но обеспечивающий высокую степень секретности метод (он является стандартом правительства США).

Дополнительно к этому предоставляется возможность включить следующие опции:

Delete Original Files After Encryption — после шифрования исходные файлы удаляются и занимаемое ими дисковое пространство заполняется нулями, исключая восстановление данных в незашифрованном виде;

Ask Whether to Delete Original Files — выдать запрос перед удалением файла;

Mule Encrypted File — установить для зашифрованного файла атрибут H (скрытый);

Make Encrypted File Read-Only — установить для зашифрованного файла атрибут R (только чтение);

Use Same Password for Entire Session — использовать для всего текущего сеанса работы по шифрованию и расшифровке файлов одни и тог же пароль (исключает запросы пароля перед каждой операцией, пароль запрашивается только однажды за весь сеанс).

В любом случае исходные файлы после шифрования их содержимого будут удалены. Для сохранения в файле NORTON.INI установленной конфигурация утилиты по обработке файлов с целью ее использования как в текущем, так и в последующих сеансах работы следует выдать подкоманду Save, а для использования только в текущем сеансе работы без сохранения на будущее подкоманду ОК. С целью отмены только что сделанных установок нужно выдать подкоманду Cancel или просто нажать клавишу <Esc>. В любом случае будет произведен возврат в подменю "File".

При выборе пункта "File" главного меню раскрывается подменю, содержащее команды Encrypt и Decrypt.

Команда Encrypt

Команда Encrypt (оперативный вариант <Alt>+<E> на главном экране) обеспечивает шифрование заданного файла или заданной шаблоном группы файлов. После ее выдачи открывается стандартное диалоговое окно, в котором можно задать спецификацию шаблона исходных файлов явно или выбрать файл в области File, возможно, прибегая к смене привода и каталога в областях Drive и Directories соответственно.


Рис. П5.3. Диалоговое окно выбора файла для шифрования

Вслед за этим открывается диалоговое окно, в котором будет предложено задать идентификатор целевого файла. Он не должен совпадать ни с одним из идентификаторов исходных файлов (на том же месте шифровать файлы нельзя). По умолчанию в окне показывается имя одного из исходных файлов, но с расширением. SEC. Можно согласиться с этим, выдав подкоманду ОК, или изменить спецификацию.

Шифруемая группа файлов будет объединяться в один файл с возможностью их последующего восстановления с исходными именами.

В следующем диалоговом поле пользователю следует ввести пароль (password), содержащий не менее шести произвольных символов (рис. П5.4).


Рис. П5.4. Диалоговое окно введения пароля

При наборе пароля в целях безопасности отображаются на экране звездочками. Чтобы исключить возможность ошибки, пользователь должен ввести пароль повторно (Re-Enter password). В случае его совпадения с первоначально заданным, исходный файл (файлы) шифруются, о чем выдаются сообщения, соответствующие заданным опциям (рис. П5.5).


Рис. П5.5. Сообщение об окончании шифрования

Команда Decrypt

Команда Decrypt служит для расшифровки файла. Этот процесс, обратный шифрованию, реализуется аналогично. Пользователю в последовательно открывающихся диалоговых окнах следует:

1) специфицировать или выбрать исходный файл (скрытый файл можно задать только явно);

2) ввести правильный пароль (тот, который был указан при шифровании);

3) дождаться окончания расшифровки файлов, которые получат свои первоначальные имена.

Исходный (зашифрованный) файл при атом уничтожается. Особая ситуация возникает в случае, когда расшифрованный файл уже существует (конечно, исходя из его идентификатора, а не содержимого).

При ее возникновении в открывшемся диалоговом окне выдается сообщение "File <file> already exists" ("Файл <file> уже существует") и предлагается выбрать один из двух вариантов продолжения работы:

Overwrite — перезапись файла;

Skip — пропустить файл.

Если будет выбран вариант Skip, то откроется следующее диалоговое окно, в котором предлагается указать:

Re-Encrypt — зашифровать файл заново (т. е. вернуть данный файл в исходное зашифрованное состояние) и продолжить расшифровку остальных файлов;

Delete — удалить расшифровываемый файл (его содержимое будет, возможно, безвозвратно потеряно, а существующий целевой обновлен не будет).

На рис. П5.6. представлены результаты шифрования файла igor.txt: вверху в исходном виде, внизу — после шифрования.



Рис. П5.6. Результаты шифрования файла igor.txt

Работа со скрытыми дисками

Для обслуживания NDisk'oe используются команды меню "NDisks" и "Options".

При запуске утилиты DISKREET производится автоматический поиск всех созданных на винчестере NDisk'oв (поиск на дискетах осуществляется только по специальному указанию, о чем речь пойдет ниже).

В случае, когда ни один из скрытых дисков не найден, появляется сообщение "No NDisks Found" (см. рис. П5.1). Впоследствии пользователь сможет создать любое количество "секретных" дисков.

Если хотя бы один NDisk найден, то на экране монитора появляется соответствующая информация, которая описывает скрытый диск и имеет следующие поля:

File Name — имя файла на обычном логическом диске, в котором находится содержимое : Disk'a (расширением этого файла всегда будет.@# 1, а сам файл всегда является скрытым);

Size — размер NDisk a; Parent Drive — имя родительского, или базового, привода, т. е. логического дисковода, в котором находится содержащий NDisk логический диск.

Auto Drive — логический привод (созданный драйвером DISKREET.SYS), на котором может быть или уже "установлен" Ndisk;

Audit Info — информация о попытке доступа к Ndisk'у.

Read-Only — информация о назначении Ndisk'у атрибута R.

Description — метка тома, назначенная NDisk'y при его создании. Именно эта метка, а не имя файла, будет идентифицировать "секретный" диск в ходе диалога с утилитой, а также при его открытии вне утилиты;

Encryption — метод шифрования.

Открытые NDisk'а отмечаются на панели, что означает, что "секретный" диск "установлен" в привод и доступен для чтения, а также, возможно, и для записи. Для закрытых NDisk'oв список логических дисководов информирует лишь о том, куда, скорее всего, будет установлен NDisk при его открытии из утилиты или куда он однозначно будет установлен при его открытии вне утилиты. Закрытые NDisk'и считаются неустановленными. N'Disk'oв может быть больше, чем специально предназначенных для их приводов. Однако одновременно открыть можно только то количество NDisk'oв, которое определяется числом логических приводов для них. Установление соответствия NDisk'a приводу производится при открытии NDISK'a.

В таблице NDisk'oв имеется маркер, который можно перемещать по строкам. Команды меню "NDisks" будут примениться только к промаркированному NDisk'y.

Опишем назначение и порядок выполнения команд подменю NDisks и "Options". При открытии пункта главного меню "Ndisks" становятся доступными опции, представленные на рис. П5.7.


Рис. П5.7. Команды подменю NDisks

Create

Команда Create служит для создания нового NDisk'a. После ее выдачи вам будет предложено выбрать базовый привод. Затем откроется диалоговое окно, которое служит для задания логических характеристик создаваемого NDisk'a. В этом окне, как минимум, необходимо специфицировать имя файла (Kile Name), которым будет эмулироваться "секретный" диск. Однако лучше указать и метку (Description). Если же последняя окажется незаданной, то вместо нее в диалогах будет использоваться имя файла.

В других областях можно задать различные опции, которые затем можно изменить с помощью команды Edit.

Если вы включите опцию в области "Audit", то при открытии NDisk'a будет выдаваться справка о попытках доступа к нему за вес время его существования.

Область "Encryption" служит для выбора одного их двух методов шифрования содержимого NDisk'a, как и для файлов.

В области "Password" специализируется способ открытия NDisk'a и запроса пароля. Так, введение пароля можно осуществлять либо в ответ на соответствующее приглашение системы, либо на звуковой сигнал, либо автоматически.

После выдачи подкоманды ОК открывается диалоговое окно, в котором требуется установить размер создаваемого NDisk'a. В области "Parent Drive <d:> Summary" отображается справочная информация о распределении памяти на диске в базовом приводе:

Total — общий объем;

Used — размер используемой области;

Free — объем свободной области.

В непоименованной области вам следует выбрать один из трех вариантов:

All available space — все доступное пространство на диске в базовом приводе;

Half of available space — половину свободной области на диске в базовом приводе;

Size — определенный размер, в Кбайт.

Выдав подкоманду OK, вы продолжите работу.

Утилита предложит вам дважды ввести пароль, который будет использоваться при открытии NDisk'a изменении его размера или смене пароля. Специфицированный пароль необходимо непременно хорошо запомнить, так как иначе никакими средствами нельзя будет осуществить доступ к созданному "секретному" диску, вы будете предупреждены об этом в окне Caution. В завершение создания NDisk'a откроется окно, в которое следует выбрать логический привод для его "установки". В результате описанных действий будет создан новый Ndisk с заданными в ходе диалога логическими и физическими характеристиками, и этот NDisk окажется открытым.

NDisk создается только в случае, когда для его монтирования и открытия имеется свободный привод. Поэтому вам, возможно, предварительно придется закрыть какой-нибудь Ndisk.

Edit

Команда Edit предназначена для редактирования параметров промаркированного на панели предварительно закрытого Ndisk'a. Диалоговое окно команды похоже на диалоговое окно команды Create.

Перед редактированием утилита запросит у вас пароль. Вы можете изменить следующие параметры Ndisk'oв:

Name — имя из 8 символов без пробела

Location — дисковод или жесткий диск;

Description — описание Ndisk'a;

Size — желаемый размер Ndisk'a в Кбайт;

Encryption Method — выбор одного из двух методов шифрования, как и для файлов;

Show Audit Infon — информация об удачных (и неудачных) доступах к диску;

Promt, Promt At — способ введения пароля.

Auto Drive — автоматическое "открытие" Ndisk'a после включения ПК. При это отпадает необходимость запуска программы DISKREET в интерактивном режиме. В этом случае доступ к диску осуществляется введением пароля.

Password

Команда Password предназначена для замены пароля у промаркированного на панели предварительно закрытого NDisk'a. Вслед за ее выбором будет открыто окно с описанием назначения пароля. Выдайте подкоманду Proceed и затем введите правильный текущий пароль (Current Password). Откроется еще одно предупреждающее окно, в котором нужно выбрать Change. Вслед за этим вам будет предложено аменить метку (Description) NDisk'a, после чего следует дважды ввести пароль (New Password). Наконец, откроется диалоговое окно с предложением выбрать один из двух методов смены пароля:

Quick — быстрый метод (производится лишь замена пароля);

Secure — полный метод (производится как замена пароля, так и повторное шифрование содержимого NDisk'a).

Отметим, что описанная операция не изменяет пароли зашифрованных файлов, пароли других NDisk'ов и главный пароль.

Delete

Для удаления Ndisk'a выберите его в главном окне и выполните команду Delete.

Search

Команда Search floppies (оперативный вариант — <Alt> + <S>) предназначена для явного указания дисковода, где утилита должна осуществить поиск на дискете NDisk'ов (напомним, что на жестком диске они отыскиваются автоматически). Эта команда выдается тогда, когда пользователь хочет получить доступ, в частности, с целью открытия, к "секретному" диску, созданному на дискете. В открывшемся диалоговом окне нужно будет выбрать привод из предложенного списка.

Оpen

Команда Open обеспечивает открытие промаркированного на панели NDisk'a. После ее выдачи пользователю будет предложено выбрать логический привод (из списка), на который требуется "установить" этот "секретный" диск. Затем, после указания правильного пароля, NDisk будет открыт. В этом случае на экране может отобразиться справка о попытках доступа к нему, содержащая такую информацию:

Last opened — дата и время последнего открытия;

Last open attempt — дата и время последней попытки открытия;

Failes since last open — число отвергнутых попыток доступа с момента последнего открытия;

Total failed attempts — общее число отвергнутых попыток доступа;

Total open attempts — общее число попыток открытия;

Last password change — дата и время последней смены пароля.

Отметим, что, зная пароль, можно открыть любой NDisk.

Close

Команда Close служит для закрытия NDisk'a, промаркированного на панели. Пароль для этого не нужен. После закрытия NDisk окажется недоступным ни по чтению, ни тем более по записи.

Close All

Команда Close All (оперативный вариант — <Alt>+<C>) обеспечивает закрытие всех открытых на данный момент NDisk'oв. Однако если вы зарегистрировались на каком-либо NDisk'е перед выдачей этой команды, он может остаться открытым.

* * *

Диалог "Driver…" из меню "Options" (см. рис. П5.2) служит, в основном, для установки режимов открытия и закрытия 'NDisk 'ов при работе на ПК вне среды утилиты DISKREET. Он содержит следующие команды: Drive Letters to Reserve, Auto-Close Timeout, Hot Key, Quick-Close All и Keyboard/Screen Lock.

Drive Letters to Reserve

Данная команда определяет логические диски для установки NDisk'oв.

Если вы хотите иметь одновременно несколько открытых NDisk'ов, то следует каждый из них обозначить своей буквой (например, D, Е, F и т. д.).

Auto-Close Time out

Команда Auto-Close Time out предназначена для того, чтобы установить или отменить режим автоматического закрытия каждого NDisk'a вне утилиты по истечении заданного интервала времени с момента последнего обращения к нему. Задание такого режима полезно, когда пользователю в силу специфики своей работы приходится покидать компьютер на некоторое время, оставляя его включенным. После выдачи команды открывается диалоговое окно, в котором можно включить опцию "Enable auto close after N minutes" ("Разрешить автоматическое закрытие через N минут") и задать число N.

* * *

Следующая группа команд подменю "Driver…" обеспечивает защиту всей системы от чтения информации с экрана монитора, а также осуществляет блокировку клавиатуры.

Hot Key

Команда Hoi Key определяет комбинацию клавиш для защиты системы. Возможные комбинации клавиш для закрытия Ndisk'oв и/ или блокировки монитора и клавиатуры перечислены в диалоговом окне.

Quick-Close All

Команда Quick-Close All разрешает быстрое закрытие Ndisk'ов при нажатии комбинации клавиш (условия открытия "секретных" дисков устанавливаются при их создании).

Keyboard/Screen Lock

Команда Keyboard/Screen Lock обеспечивает в случае необходимости установку режима, при котором доступ к клавиатуре и экрану, блокируется.

Установка опции обеспечивает защиту всего ПК от несанкционированного доступа. Тем не менее, при перезагрузке такая защита снимается.

Global

Режим обработки дискового пространства, освободившегося и результате удаления или усечения Ndisk'a, задается пунктом "Global…" меню "Options" (см. рис. П5.2). В открывшемся диалоговом окне предлагается выбрать один из предложенных вариантов:

None — удалить быстро (данные реально остаются на диске в зашифрованном виде);

Overwrite — расписать освободившуюся область определенным кодом;

Government Wipe — многократно расписать освободившуюся область определенным кодом в соответствии с требованиями министерства обороны США.

Последний режим является наиболее надежным, но и самым медленным.

Master Password

Диало! "Master Password" (см. рис. П5.2) служит для установки или изменения главного пароля утилиты, который (дополнительно к тому, что уже отмечалось) требуется при установке опции по команде Auio-Close Time out, запрещении блокировки экрана и клавиатуры по команде Keyboard/Screen Lock, а также при изменении его самого.

После выдачи команды вслед за информационным окном, описывающим назначение главного пароля, вам будет предложено набрать действующий, а затем два раза ввести новый главный пароль. Если текущий главный пароль в данном сеансе работы был уже однажды введен пользователем, то повторно он запрашиваться не будет. Главный пароль не оказывает никакого влияния на возможность доступа к NDisk'aм и к содержимому зашифрованных файлов.

Все сделанные в подменю "Options" установки автоматически сохраняются в файле DISKREET.INI для последующего использования в случае выдачи подкоманды ОК в соответствующих подменю.

Посте выхода из утилиты все открытые в ней NDisk'и остаются открытыми, а закрытые закрытыми. Путем диалога с утилитой можно закрыть любой NDisk, а открыть только тот, параль доступа к которому нам известен. Порядок открытия NDisk'oв вне утилиты устанавливается при их создании. Возможности закрытия NDisk'ов вне утилиты определяется опциями, установленными по командам AutoClose Time out и Keyboaid/Screen Lock. Конечно, закрыть "секретные" диски можно всегда из утилты или переключателем / CLOSE в командной строке.

Оглавление книги


Генерация: 0.107. Запросов К БД/Cache: 0 / 0