Расширенные возможности управления доступом к устройствам компьютера на основе контроля питания (Валерий Егоров, OSDAY-2025) — различия между версиями
Материал из 0x1.tv
StasFomin (обсуждение | вклад) |
StasFomin (обсуждение | вклад) |
||
На физическом уровне реализация подобной политики безопасности потребует управление режимами питания устройств со стороны менеджера безопасности. Если пользователю запрещен доступ к фронтальным USB разъёмам, достаточно перевести нужные разъёмы в режим D3hot. Кроме того, данным способом можно запрещать использование USB разветвителей, включать и выключать поддержку зарядки мобильных устройств, а также скорость их зарядки.
Подобное расширение перечня механизмов контроля доступа может быть введено в состав политики безопасности в информационных системах, основанных на отечественных ОС. Внедрение такого механизма расширит возможности по администрированию информационных систем.
</blockquote>
{{VideoSection}}
{{vimeoembed|1096505356|800|450}}
<!-- {{youtubelink|}} -->
== Thesis == | |||
Версия 08:24, 26 июня 2025
- Докладчик
- Валерий Егоров
В настоящее время в современных операционных системах (ОС) осуществляется контроль доступа к логическим объектам, таким как файлы, объекты синхронизации, процессы (нити), а также к физическим объектам, таким как устройства ввода-вывода, сканеры, принтеры и т.д. на основе политики безопасности, принятой на уровне компьютера или домена. Над этими объектами осуществляется дискреционный или мандатный контроль доступа. Указанный перечень может быть расширен с использованием контроля доступа к устройствам на основе управления политикой питания. К шинам, которые поддерживают управление политикой питания, относятся, в том числе, шины PCI Express и USB.
Например, рассмотрим работу контроллеров USB в составе автоматизированного рабочего места (АРМ). Сегодня имеются решения, которые позволяют администратору безопасности управлять доступом пользователя к накопителям, подключенным к шине USB. Однако, администратор не имеет возможности определять перечень разъёмов, к которым возможно подключение того или иного устройства.
Возможность управления и контроля доступа к разъёмам USB может предоставить контроль доступа на основе управления политикой питания. Для этого необходимо расширить политику безопасности не только на перечень устройств, в отношении которых осуществляется разделение прав доступа, но также и на перечень разъёмов, к которым данные устройства могут быть подключены. При таком подходе возможности администрирования политики безопасности существенным образом расширяются. Например, в разъёмы на передней панели компьютера можно подключать только накопители MassStorage, в то время как к тыловым разъёмам возможно подключение каких-либо токенов и оргтехники. При этом настройки прав доступа меняются в зависимости от того, какой именно пользователь осуществил вход в систему. Кроме того, возможна реализация запрета на подключение к компьютеру устройств до входа пользователя в систему.
На физическом уровне реализация подобной политики безопасности потребует управление режимами питания устройств со стороны менеджера безопасности. Если пользователю запрещен доступ к фронтальным USB разъёмам, достаточно перевести нужные разъёмы в режим D3hot. Кроме того, данным способом можно запрещать использование USB разветвителей, включать и выключать поддержку зарядки мобильных устройств, а также скорость их зарядки.
Подобное расширение перечня механизмов контроля доступа может быть введено в состав политики безопасности в информационных системах, основанных на отечественных ОС. Внедрение такого механизма расширит возможности по администрированию информационных систем.
Содержание
Видео
Thesis
Презентация
!.jpg)
Примечания и ссылки