- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие положения
- •Средства управления
- •Консоль системы защиты
- •Элементы интерфейса, используемые для вызова средств управления
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Шаблоны настроек
- •Настройка общих параметров по шаблону
- •Настройка свойств пользователя по шаблону
- •Удаление дополнительных шаблонов настроек
- •Переименование дополнительных шаблонов настроек
- •Экспорт и импорт шаблонов настроек
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий локальной группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Создание локального пользователя
- •Переименование локального пользователя
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Учетные записи и пароли
- •Параметры блокировки учетной записи
- •Управление состоянием учетных записей
- •Управление режимами использования пароля
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Отключение устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Настройка персонального перечня регистрируемых событий
- •Дополнительный аудит
- •Контроль целостности
- •Просмотр заданий контроля и их параметров
- •Настройка заданий контроля
- •Управление заданиями
- •Корректировка настроек механизма контроля целостности
- •Корректировка эталонных значений
- •Анализ нарушений и восстановление ресурсов
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Управление уровнем допуска пользователя
- •Управление категорией конфиденциальности ресурса
- •Правила работы с конфиденциальными документами
- •Настройка шаблонов грифа конфиденциальности
- •Печать конфиденциального документа из Microsoft Word
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Формирование списка разрешенных для запуска программ
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала
- •Интерфейс программы просмотра журналов
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра событий
- •Сортировка записей
- •Изменение состава и порядка отображения характеристик
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net 2000. Автономный вариант. Руководство по администрированию
Регистрация событий
Все события, происходящие на компьютере с установленной системой Secret Net 2000 и имеющие отношение к безопасности, регистрируются в журнале безопасно-
сти Windows 2000.
В состав Secret Net 2000 входит специальная программа, предназначенная для работы с журналом безопасности (см. стр. 110). Каждое зарегистрированное событие отображается в этой программе в виде отдельной записи и содержит подробную информацию, необходимую для анализа события.
Для настройки механизма регистрации событий необходимо:
•настроить параметры журнала безопасности;
•составить общий перечень событий, регистрируемых в системе до идентификации пользователя (этот перечень действует для всех пользователей компьютера);
•составить персональный перечень регистрируемых событий для каждого пользователя.
Настройка параметров журнала безопасности
Параметрами журнала безопасности являются его максимально допустимый размер в килобайтах и порядок (срок) хранения информации.
Для настройки параметров журнала безопасности:
1. Вызовите окно настройки общих параметров и перейдите к диалогу "Журнал":
Укажите максимально допустимый размер для файла журнала
Выберите способ очистки журнала в случае его переполнения: автоматический или ручной
Рис. 26. Настройка параметров журнала безопасности
2.Установите значение максимального размера журнала и укажите механизм очистки журнала при его переполнении (при превышении максимального значения).
По мере |
При переполнении журнала система автоматически удаляет из жур- |
необходимости |
нала необходимое количество самых старых записей |
66
Глава 6. Настройка механизмов контроля и регистрации
По истечении При переполнении журнала система автоматически удаляет записи,
(N) дней время хранения которых превысило заданный период. Новые записи не будут добавляться, если журнал достиг максимального размера, и в нем нет записей старше заданного периода. Длительность периода хранения записей указывается в поле справа в диапазоне значений от 1 до 365 дней
Ручная очистка После достижения максимального размера записи хранятся в журна- журнала ле. Новые события в журнале не регистрируются. Журнал можно очи-
стить только “вручную” с помощью программы просмотра журналов SnLView. Эта операция должна выполняется периодически по мере накопления записей, чтобы не допустить переполнение журнала, т.к. при выключенном режиме автоматической очистки переполнение журнала может привести к нарушениям в работе системы и вызвать блокировку компьютера.
Обратитевнимание! Дляусилениязащищенностижурналабезопасностиможетбытьвключенпараметр "Блокировка при переполнении системного журнала", что позволяет предотвратить потерю информацииособытияхприпереполнениижурнала(см. стр. 69). Однакоеслииспользуетсяручная очисткажурнала, можетпроизойтиегопереполнениеиаварийноезавершениеработыкомпьютера. Поэтому, выбираяручнойспособочисткижурнала, позаботьтесьоконтролепереполнения.
3. Нажмите кнопку "OK" или "Применить".
Настройка общего перечня регистрируемых событий
Общий перечень регистрируемых событий – это общий для всех пользователей перечень событий, которые регистрируются при входе любого из пользователей в систему до завершения его идентификации. Эти же события будут регистрироваться и для пользователей, подключенных к компьютеру по сети. После идентификации пользователя регистрируются события, указанные в его индивидуальном перечне.
Для настройки перечня регистрируемых событий:
1. В окне настройки общих параметров выберите диалог "Регистрация событий":
В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события
Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от названия регистрируемого события
Рис. 27. Диалог "Регистрация событий"
67
Secret Net 2000. Автономный вариант. Руководство по администрированию
2.Отметьте категории событий Windows 2000 и события Secret Net 2000, которые должны регистрироваться в журнала безопасности.
ДлярегистрациисобытийWindows, относящихсяккатегории"Доступкфайламиобъектам", недостаточно установить отметку в одноименном поле данного диалога. Для использования этого режимарегистрациинеобходимонастроитьполитикуаудитакаждогоресурса(файла, папкиидр.).
Чтобынастроитьполитикуаудитаресурса:
•Вызовите окно настройки свойств ресурса, перейдите к диалогу "Безопасность" и нажмите кнопку "Дополнительно". В появившемся окне перейдите к диалогу "Аудит".
•Сформируйте политику аудита ресурса. Для этого добавьте в таблицу "Элементы аудита" группы пользователей или отдельных пользователей и укажите, какие попытки доступа пользователей к ресурсу следует регистрировать. Так, например, чтобы включить регистрацию всех попыток несанкционированного доступа к ресурсу необходимо добавить в таблицу группу "Все" и включить для всех типов доступа регистрацию отказа в доступе.
Следует учитывать, что регистрация событий категории "Доступ к файлам и объектам" примениматолькокресурсам, размещающимсянадискахсфайловойсистемойNTFS.
Подробное описание событий Windows и порядка настройки политики аудита ресурсов содержатсявдокументациикОСWindows 2000, MSDN, атакженаInternet сайтекомпанииMicrosoft.
3. Нажмите кнопку "OK" или "Применить".
Настройка персонального перечня регистрируемых событий
Для каждого пользователя компьютера может быть установлен персональный перечень событий, которые будут автоматически регистрироваться в журнала безопасности после идентификации пользователя.
Для настройки персонального перечня регистрируемых событий:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Регистрация событий":
В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события
Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от названия регистрируемого события
Рис. 28. Диалог "Регистрация событий"
68
Глава 6. Настройка механизмов контроля и регистрации
2.Отметьте категории событий Windows 2000 и события Secret Net 2000, которые необходимо регистрировать в журнале безопасности.
Для регистрации событий Windows категории "Доступ к файлам и объектам" необходимо настроитьполитикуаудитакаждогоресурса, подлежащегоконтролю(см. примечаниевыше).
3.Нажмите кнопку "OK" или "Применить".
Дополнительный аудит
Дополнительный аудит используется для усиления контроля за состоянием журнала безопасности и для регистрации событий, связанных с использованием привилегий и попытками доступа к основным объектам системы.
Для включения дополнительных параметров регистрации:
1. Вызовите окно настройки общих параметров и выберите диалог "Компьютер":
Откройте группу параметров "Дополнительный аудит" и установите отметки рядом с теми из них, которые нужны для расширения аудита
В группу "Другие" входит параметр "Блокировка при переполнении системного журнала"
Рис. 29. Диалог "Компьютер"
2.Установите отметки рядом с нужными параметрами, которые относятся к дополнительному аудиту и контролю переполнения журнала безопасности.
Параметры группы "Дополнительный аудит"
Полный аудит |
Регистрируются события, связанные с использованием привилегий "Ар- |
привилегий |
хивирование файлов и каталогов" и "Восстановление файлов и катало- |
|
гов" |
Аудит основных |
Регистрируются события, связанные с обращением к основным объек- |
объектов |
там ОС Windows 2000 (например, секциям, портам или семафорам) |
Ограничение |
Просмотр журнала безопасности разрешен только пользователям, обла- |
доступа к |
дающим привилегиями Windows 2000 "Управление аудитом и журналом |
системному |
безопасности". Пользователям с правами гостя или не прошедшим ау- |
журналу |
тентификацию запрещается просматривать журнал |
69