Замкнутая программная среда

Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам только теми программами, которые необходимы им для работы.

При использовании этого механизма действуют следующие правила:

1. Пользователь может работать только с теми программами, запуск которых раз­решен в UEL-списке (список разрешенных для запуска программ, User Executa­ble List), Этот список формируется индивидуально для каждого пользователя.

2. Замкнутая программная среда может быть включена выборочно для отдельных пользователей.

3. Замкнутая программная среда может использоваться в одном из двух режимов работы: "мягком" или "жестком".

В "мягком" режиме пользователю разрешается запускать любые программы, а не только входящие в UEL-список. При этом в журнале безопасности регистрируются соответствующие события несанкционированного доступа (НСД).

В "жестком" режиме запуск программы разрешатся, если:

1. информация о программе содержится в UEL-списке;

2. файл программы недоступен текущему пользователю на изменение;

3. файл не находится на сменном носителе;

4. правильно настроена MS-DOS среда для MS-DOS программ;

5. владельцем файла является локальная группа администраторов (это ог­раничение является дополнительным и может не использоваться).

Для настройки механизма замкнутой программной среды пользователь должен не только обладать привилегиями на администрирование системы защиты, но и вхо­дить в группу локальных администраторов.

Порядок настройки

Особенности настройки механизма замкнутой программной среды связаны со сле­дующими обстоятельствами. Чтобы правильно настроить замкнутую среду, следует четко установить индивидуальный перечень исполняемых файлов, необходимых в работе каждому пользователю. Это может быть непростой задачей, тем более, если каждый пользователь работает со своим набором программ.

Для облегчения этой задачи в системе используется следующий подход. Сначала замкнутая среда включается в "мягком" режиме, когда пользователю разрешается за­пускать любые программы, а все действия, связанные с запуском программ, фикси­руются в журнале безопасности в течение определенного периода времени. Затем на основании данных журнала автоматически может быть сформирован список разре­шенных для запуска программ, который может быть откорректирован автоматически или вручную. После этого замкнутая среда переводится в "жесткий" режим работы.

При автоматическом формировании UEL-списка в него сначала добавляются про­граммы из "списка по умолчанию", который формируется при установке системы Secret Net 2000 на компьютер, и включает в себя исполняемые файлы из системно­го каталога и каталога установки системы защиты.

В дальнейшем, в процессе эксплуатации замкнутой программной среды целесооб­разно периодически анализировать записи журнала безопасности и корректировать UEL-список, а также права владения и доступа для файлов, добавляемых в списки.

При необходимости механизм замкнутой программной среды может быть временно отключен сразу для всех пользователей компьютера. При этом все индивидуальные настройки механизма сохраняются без изменений. Затем механизм может быть включен повторно.

Детальный порядок настройки замкнутой программной среды на компьютере:

Включение механизма

1. Включите механизм замкнутой программной среды на компьютере Подготовка к регистрации

2. Настройте для пользователей регистрацию событий, связанных с запуском программ.

3. Настройте журнал безопасности

4. Включите и настройте "мягкий" режим работы замкнутой программной среды для пользователей компьютера.

Регистрация и сбор данных

5. Продолжительность периода сбора данных должна быть достаточной, чтобы каждый из пользователей поработал со всем необходимым ему программным обеспечением.

Формирование списков программ

6. На основании данных журнала безопасности сформируйте автоматически или вручную для каждого пользователя список разрешенных для запуска программ.

7. Ознакомьте каждого из пользователей со списком разрешенных для запуска программ.

Включение жесткого режима

8. Включите для пользователей "жесткий" режим замкнутой программной.

Для включения режима замкнутой среды на компьютере:

1. Откройте окно управления общими параметрами и перейдите к диалогу "Допол­нительно" (см. Рис. 37).

2. Установите отметку в поле выключателя "Замкнутая среда" и нажмите кнопку "ОК" или "Применить".

Для того чтобы установленные параметры вступили в силу, необходимо перезагру­зить компьютер.

Для настройки перечня регистрируемых событий:

1. В программе "Проводник" выберите пользователя, вызовите на экран окно на­стройки свойств и перейдите к диалогу "Регистрация".

2. Отметьте события Secret Net 2000, которые необходимо регистрировать для на­стройки замкнутой среды:

• В группе "События расширенной регистрации": "Запуск программы";

• В группе "События НСД": "Запрет запуска программы".

3. Нажмите кнопку "ОК" или "Применить".

Рис. 56. Диалог "Дополнительно".

Для включения дополнительных механизмов контроля:

1. Вызовите на экран окно настройки общих параметров работы компьютера и пе­рейдите к диалогу "Компьютер":

Рис. 57. Диалог "Компьютер".

2. Откройте группу параметров "Замкнутая среда" и отметьте необходимые из них:

"Контролировать загрузку только NE-файлов"

В текущей реализации системы Secret Net 2000 не используется. "Контролировать владельца файла на санкционированность".

При запуске программы из UEL-списка проверяется корректность владельца файла программы. Корректным владельцем считается локальная группа администраторов.

Корректность владельца файлов программ не проверяется.

3. Нажмите кнопку "ОК" или "Применить".

Для настройки режима работы замкнутой среды для пользователя:

1. В программе "Проводник" выберите пользователя, вызовите на экран окно на­стройки свойств и перейдите к диалогу "Режимы":

Рис. 58. Диалог "Режимы".

2. Включите замкнутую программную среду и установите режим работы:

- Установите отметку в поле "Замкнутая программная среда", чтобы включить этот механизм для выбранного пользователя.

При первом включении для пользователя замкнутой программной среды автоматически соз­дается UEL-файл пользователя, в который добавляется список программ по умолчанию. При последующих выключениях и включениях замкнутой среды UEL-файл сохраняется не­изменным. Удаляется UEL-файл только после удаления пользователя.

- Установите отметку в поле "Мягкий режим для списка программ", если необ­ходимо включить "мягкий" режим замкнутой программной среды. Если необ­ходим "жесткий" режим работы, удалите отметку из этого поля.

3. Нажмите кнопку "ОК" или "Применить".

Формирование списка разрешенных для запуска программ

Список разрешенных для запуска программ формируется индивидуально для каж­дого пользователя. Существуют два способа формирования этих списков:

- автоматическое формирование списка на основании информации о запуске программ, содержащейся в журнале безопасности;

- редактирование вручную списка программ с использованием текстового ре­дактора SnEdit.

Для автоматического формирования UEL-списка пользователя:

1. В программе "Проводник" выберите пользователя, вызовите на экран окно на­стройки свойств и перейдите к диалогу "Режимы" (Рис. 58).

2. Нажмите кнопку "Программы".

UEL-список выбранного пользователя будет открыт в окне программы SnEdit.

Рис. 59. Просмотр UEL-файла в окне редактора SnEdit.

3. Выберите "Список программ | Построить по журнал/ в меню основного окна про­граммы SnEdit для вызова на экран диалога для указания параметров анализа:

Для того чтобы пользователь мог в "жестком" режиме замкнутой среды запускать DOS-приложение с помощью ярлыка, размещенного на рабочем столе, в UEL-список кроме самого файла программы должен быть добавлен его pif-файл.

4. Укажите необходимые значения параметров:

Таблица15 - Значения параметров.

Параметры	Назначение
1	2
Интервал	Эта группа полей используется для указания периода времени, за который должен быть проведен анализ событий, зарегистриро­ванных в журнале
1	2
События всех пользователей	Установите отметку, чтобы при построении UEL-списка учитывались события, связанные с работой всех пользователей компьютера
События НСД	Установите отметку, чтобы вместе с событиями запуска программ анализировались и события НСД - "запрет запуска программ"
Только события НСД	Установите отметку, чтобы анализировались только события НСД - "запрет запуска программ"

5. Нажмите кнопку "ОК".

Будет проведен анализ записей журнала безопасности. В секцию [Auto] будет добавлен сформированный по журналу список программ.

6. Просмотрите список программ, измените при необходимости его содержание.

При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и на- I жать клавишу <Del>) и вставлять в первую позицию строки префикс"!" (запрет запуска конкрет­ной программы). Все другие действия запрещены.

При работе с файлом, длина полного имени которого близка к максимально допустимой (около 250 символов), в журнале безопасности может быть зарегистрировано событие, содержащее неполный путь к файлу, путь будет "обрезан" от начала строки. Неполный путь попадет в формируемый UEL-список, что приведет к запрету запуска этой программы. В таких случаях администратору необходимо откорректировать UEL-список вручную, указав для файла полный путь, длина которого в UEL-списке не ограничена.

Сохраните список и закройте окно редактора SnEdit.

7. Нажмите кнопку "ОК" или "Применить" в окне настройки свойств пользователя.

Для ручной корректировки списка программ:

1. В программе "Проводник" выберите пользователя, вызовите на экран окно на­стройки свойств и перейдите к диалогу "Режимы" (Рис. 81).

2. Нажмите кнопку "Программы".

UEL-файл, относящийся к выбранному пользователю, будет открыт в окне ре­дактора SnEdit (Рис. 82).

3. Добавьте в секцию [Manual] нужные строки, разрешающие или запрещающие пользователю запуск тех или иных программ.

4. Сохраните изменения и закройте окно редактора.

5. Нажмите кнопку "ОК" или "Применить" в окне настройки свойств пользователя.

Для автоматической корректировки параметров:

1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Режимы" (Рис. 81).

2. Нажмите кнопку "Программы".

UEL-список выбранного пользователя будет открыт в окне программы SnEdit.

4. Выберите "Список программ | Настроить" в меню основного окна программы SnEdit. На экране появится диалог для коррекции параметров замкнутой среды:

Рис. 60. Настройка и корректировка параметров замкнутой среды.

4. Укажите необходимые значения параметров:

5. Нажмите кнопку "Начать".

•- Если система обнаружит в UEL-файле ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк ис­пользуются следующие цветовые индикаторы:

Цвета используется для выделения ошибочных элементов:

Красный - Пути к каталогам и файлам (заданным без использования масок), которые не обнаружены на локальном диске компьютера или являются некорректными строками (т.е. строками с некор­ректным описанием ресурсов или секций)

Таблица 16 - Значения параметров.

Установите отметку в поле	Для того чтобы
Права доступа к ресурсам	Корректировать права доступа и владения для перечня ресурсов, заданных в UEL-файле
Автоматически настроить для всех ресурсов	Автоматически выполнить корректировку прав доступа и владения, не выполняя предварительно проверку кор­ректности прав и не запрашивая разрешение перед вы­полнением операции. При включении этого режима корректировка выполняется быстрее, т.к. не проводится проверка прав доступа, которая требует значительного времени
Зависимости от других модулей	Добавить в список другие файлы, необходимые для работы файлов, уже указанных в списке
Повторяющиеся строки	Удалить из UEL-файла повторяющиеся строки
Обрабатывать катапот	Выполнить корректировку файлов из каталогов, указанных в UEL-файле. Иначе такие строки будут игнорироваться
Обрабатывать ресурсы, заданные при помощи масок	Выполнить корректировку файлов, заданных при помощи маски. Иначе такие строки будут игнорироваться
Запрашивать подтверждение перед выполнением операций	Потребовать выводить запрос перед выполнением указанных в диалоге операций по настройке и корректиров­ке параметров замкнутой среды

Темно-красный - Пути к файлам (заданным без использования масок), атрибуты доступа к которым не соответствуют требованиям замкнутой среды

Синий - Пути к каталогам и файлам, совпадающие с описаниями в других секциях данного файла

- В некоторых случаях система сама может разрешить противоречия в соот­ветствии с правилами, изложенными в приложении.

- Если автоматический режим настройки не используется, а перед выполне­нием операции запрашивается подтверждение, то на экране будет появ­ляться диалог:

Таблица 17 - Диалог.

Кнопки	Используются
1	2
Исправить, Исправить все	Для запуска процедуры автоматического исправления текущей или текущей и всех последующих аналогичных проблемных строк
Пропустить, Пропустить все	Для пропуска текущей или текущей и всех последующих аналогичных проблемных строк
1	2
Удалить, Удалить все	Для удаления текущей или текущей и всех последующих аналогичных проблемных строк
Отмена	Для прекращения процедуры корректировки и закрытия данного диалогового окна

- При автоматическом режиме настройки подтверждение не запрашивается, а после успешного завершения корректировки указанных параметров на экра­не появится сообщение об этом.

В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.

6. Сохраните изменения и закройте окно редактора.

7. Нажмите кнопку "ОК" или "Применить" в окне настройки свойств пользователя.

Для изменения прав владения и доступа вручную:

1. Откройте журнал безопасности.

2. Просмотрите в колонке "Событие" все записи, содержащие значение "Запрет запуска программы" (причина запрета запуска в окне дополнительной информа­ции или во всплывающей подсказке к колонке "Событие").

Проверьте права доступа и владения для всех файлов программ, полные пути к которым содержатся в колонке "Объект". Выясните причину запрета запуска про­грамм и выявите файлы с некорректными правами владения и доступа. Со­ставьте список таких файлов.

3. Закройте журнал безопасности.

4. Присвойте корректные права доступа и владения файлам программ из состав­ленных списков, руководствуясь следующими правилами:

- владельцем файла должна быть группа локальных администраторов;

- файл должен быть недоступен на изменение (запись) для пользователя компьютера, для которого включена замкнутая программная среда.