Разграничение доступа пользователей к устройствам выполняется на основании списков устройств, формируемых и поддерживаемых в актуальном состоянии механизмом контроля подключения и изменения устройств.
Система Secret Net предоставляет следующие возможности для разграничения доступа пользователей к устройствам:
- установка стандартных разрешений и запретов на выполнение операций с устройствами;
- назначение устройствам категорий конфиденциальности или допустимых уровней конфиденциальности сессий пользователей для разграничения доступа с использованием механизма полномочного управления доступом.
Возможности по разграничению доступа зависят от типов устройств. Разграничение доступа пользователей не осуществляется полностью или частично для устройств, имеющих особую специфику использования или необходимых для функционирования компьютера.
Например, не ограничивается доступ к процессору и оперативной памяти, отсутствуют некоторые возможности разграничения доступа для портов ввода/вывода. Для устройств с отключенным режимом контроля или запрещенных для подключения не действует разграничение доступа по установленным разрешениям и запретам на выполнение операций. Права доступа пользователей к таким устройствам не контролируются.
При установке клиентского ПО системы Secret Net устанавливаются права доступа (разрешения и запреты на выполнение операций) для всех обнаруженных устройств, поддерживающих такое разграничение доступа. По умолчанию предоставляется полный доступ трем стандартным группам пользователей: "Система", "Администраторы" и "Все" — то есть всем пользователям разрешен доступ без ограничений ко всем устройствам, обнаруженным на компьютере при установке системы Secret Net. Далее администратор безопасности разграничивает доступ пользователей к устройствам, выполняя настройку прав доступа непосредственно для устройств или для классов и групп, к которым относятся устройства.
Настройка прав доступа для классов и групп позволяет подготовить систему защиты к возможным подключениям новых устройств. Если в системе появляется новое устройство, оно включается в соответствующую группу, класс и модель (если есть). Доступ пользователей к этому устройству будет разграничен автоматически, в соответствии с правилами, действующими для группы, класса или модели устройств. Разграничение доступа пользователей к устройствам с назначенными категориями конфиденциальности или уровнями конфиденциальности сессий осуществляется механизмом полномочного управления доступом.