- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие положения
- •Средства управления
- •Консоль системы защиты
- •Элементы интерфейса, используемые для вызова средств управления
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Шаблоны настроек
- •Настройка общих параметров по шаблону
- •Настройка свойств пользователя по шаблону
- •Удаление дополнительных шаблонов настроек
- •Переименование дополнительных шаблонов настроек
- •Экспорт и импорт шаблонов настроек
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий локальной группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Создание локального пользователя
- •Переименование локального пользователя
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Учетные записи и пароли
- •Параметры блокировки учетной записи
- •Управление состоянием учетных записей
- •Управление режимами использования пароля
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Отключение устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Настройка персонального перечня регистрируемых событий
- •Дополнительный аудит
- •Контроль целостности
- •Просмотр заданий контроля и их параметров
- •Настройка заданий контроля
- •Управление заданиями
- •Корректировка настроек механизма контроля целостности
- •Корректировка эталонных значений
- •Анализ нарушений и восстановление ресурсов
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Управление уровнем допуска пользователя
- •Управление категорией конфиденциальности ресурса
- •Правила работы с конфиденциальными документами
- •Настройка шаблонов грифа конфиденциальности
- •Печать конфиденциального документа из Microsoft Word
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Формирование списка разрешенных для запуска программ
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала
- •Интерфейс программы просмотра журналов
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра событий
- •Сортировка записей
- •Изменение состава и порядка отображения характеристик
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net 2000. Автономный вариант. Руководство по администрированию
Параметр группы "Другие"
Блокировка при |
Предотвращает потерю информации о зарегистрированных событиях в |
переполнении |
журнале безопасности в случае его переполнения. Переполнение жур- |
системного |
нала приводит к аварийному завершению работы компьютера |
журнала |
|
3. Нажмите кнопку "OK" или "Применить".
Внимание! Включение параметра "Аудит основных объектов" может привести к быстрому переполнению журнала безопасности.
Контроль целостности
Контроль целостности предназначен для слежения за неизменностью содержимого ресурсов компьютера и прав доступа к ним. К таким ресурсам относятся файлы, каталоги, ключи и значения системного реестра Windows 2000.
Действие механизма контроля целостности основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма контроля целостности. В процессе контроля при обнаружении несоответствия текущих и эталонных значений система оповещает о нарушении целостности ресурсов. В этом случае администратору следует выявить причины несоответствия и принять меры по их устранению.
В перечень задач, решаемых администратором, входят: определение совокупности контролируемых ресурсов, выбор способов и методов контроля, настройка реакции системы на нарушение целостности ресурсов, текущее управление заданиями контроля, анализ и устранение причин нарушения целостности.
Дополнительные сведения о механизме контроля целостности содержатся в документе "Secret Net 2000. Автономный вариант. Принципы построения".
Просмотр заданий контроля и их параметров
Кроме заданий контроля, сформированных администратором, на компьютере выполняются задания, сформированные при установке системы автоматически.
Для просмотра заданий и их параметров:
1. Вызовите окно настройки общих параметров и перейдите к диалогу "Контроль целостности" (см. Рис. 30).
2.Выберите в поле, расположенном в верхней части диалога, нужный список ресурсов.
Ресурсы, входящие в выбранный список, отобразятся в первом столбце таблицы диалога. Рядом с наименованием ресурса отображается пиктограмма, соответствующая типу ресурса. Перечень всех типов ресурсов приведен в приложении (см. стр.133). Элементы списка ресурсов расположены с различным отступом по отношению друг к другу, что позволяет представить иерархию их вложенности.
Второй и последующие столбцы таблицы соответствуют заданиям контроля, сформированным для данного списка ресурсов. В общем случае, в соответствии с выработанной схемой контроля целостности, для списка может быть сформировано любое необходимое количество заданий. Каждое задание будет отображено в таблице отдельным столбцом.
70
Глава 6. Настройка механизмов контроля и регистрации
Выберите нужный список ресурсов
Чтобы узнать название задания, совместите курсор с кнопкой-заголовком – название появится во всплывающем окне
Ресурсы выбранного списка
Отметка в ячейке означает, что задание для данного ресурса включено
Затененная ячейка означает, что для данного ресурса и указанного в задании типа контролируемых данных проверка не предусмотрена
Нажмите на эту кнопку, в открывшемся меню выберите нужное задание и перейдите к его редактированию
Рис. 30. Диалог "Контроль целостности"
Заголовки столбцов одновременно являются и кнопками. Пиктограммы кнопокзаголовков соответствуют типам контролируемых данных:
– содержание объекта, |
– атрибуты объекта, |
– список доступа, |
– существование объекта. |
Совет. Чтобы узнать название задания, совместите курсор с кнопкой-заголовком соответствующей колонки таблицы – название задания отобразится во всплывающей подсказке.
Отметка в ячейке таблицы означает, что задание для данного ресурса включено (о выключении и включении заданий см. на стр. 77). Затененная ячейка означает, что для данного ресурса и указанного в задании типа контролируемых данных проверка не предусмотрена.
3.Для просмотра параметров задания установите курсор на его кнопку-заголовок, вызовите контекстное меню и выберите в нем пункт "Свойства". Эту операцию можно выполнить и другим способом: нажмите кнопку "Задание", выберите в раскрывающемся меню наименование задания и затем – пункт "Свойства".
Появится окно "Контроль целостности", отображающее параметры выбранного задания и состоящее из двух диалогов. Описание параметров приведено в разделе "Настройка заданий контроля" на стр. 74.
4.Завершив просмотр списка ресурсов и связанных с ним заданий, перейдите к следующему, выбрав его название в верхнем поле диалога.
5.Завершив просмотр списков контроля целостности, нажмите кнопку "Отмена" в окне настройки общих параметров.
Настройка заданий контроля
Перед использованием механизма контроля целостности необходимо тщательно продумать и наметить общую схему защиты ресурсов.
71
Списки
ресурсов
Secret Net 2000. Автономный вариант. Руководство по администрированию
Чтобы правильно составить схему защиты ресурсов, следует внимательно рассмотреть и проанализировать комплекс взаимосвязанных вопросов:
•Какие ресурсы должны контролироваться, какие атрибуты (параметры) они имеют и насколько важна степень защиты каждого из них;
•Какие способы контроля (алгоритмы) предусмотрены в системе Secret Net и как они могут быть применены к тем или иным типам ресурсов;
•Как составить оптимальное расписание проведения проверки в зависимости от назначения ресурсов и их типов;
•Какой должна быть реакция системы на результат контроля в зависимости от того, насколько важны ресурсы для обеспечения работоспособности операционной системы и прикладных программ;
•Какие последствия могут иметь нарушения целостности ресурсов и как эти нарушения могут отразиться на работе пользователей;
•Какие средства имеются для анализа нарушений, и какие настройки необходимо выполнить, чтобы наиболее эффективно их использовать.
Тщательное рассмотрение этих вопросов позволит правильно настроить задания контроля и тем самым обеспечит надежную работу компьютера.
Настройка заданий контроля выполняется в следующей последовательности:
|
Шаг |
Процедура |
Описание |
|
|
|
|
||||
|
1. |
Сформируйте списки контролируемых ресурсов. |
см. ниже |
|
|
|
2. |
Сформируйте задание для каждого списка ресурсов. |
стр. 74 |
|
|
|
3. |
Составьте список регистрируемых событий. |
стр. 77 |
|
|
|
4. |
Проверьте настройку журнала безопасности. |
стр. 77 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Для удобства контролируемые ресурсы группируются в списки по любым устанавливаемым признакам. Такими признаками могут быть:
•степень важности защиты ресурса (например, с точки зрения защиты компьютера системные библиотеки Windows имеют более высокий приоритет по сравнению с файлами прикладных программ);
•функциональное назначение ресурса;
•тип ресурса (файл, каталог, ключ реестра и т.д.);
•тип контролируемых данных и алгоритм проверки;
•любой другой признак.
Для того чтобы ресурс подлежал проверке, он должен быть включен в один из имеющихся списков. Если подходящего списка нет, его необходимо сформировать.
При формировании нового списка ресурсов сначала вводится его название, а затем добавляются ресурсы. В дальнейшем содержание списков можно изменять.
Перед началом формирования списков рекомендуется продумать порядок группировки ресурсов и, исходя из возможностей системы, выработать общую схему контроля их целостности. При этом возможны ситуации, когда в задании у отдельных ресурсов проверка контролируемых параметров выполняться не будет. Так, например, если в список ресурсов включить файл и каталог, а в качестве задания указать контроль содержимого ресурса, то проверка будет выполняться только для файла. Поэтому рекомендуется предварительно ознакомиться в приложении с содержанием Табл. 19, в которойуказывается– длякакихтиповресурсовпроверкавыполняется, адлякаких– нет.
72
Глава 6. Настройка механизмов контроля и регистрации
Для формирования списка ресурсов:
1. Вызовите окно настройки общих параметров и перейдите к диалогу "Контроль целостности".
2.Нажмите кнопку "Создать список ресурсов". На экране появится диалог:
3.Введите название создаваемого списка ресурсов и нажмите кнопку "Сохранить".
Диалог закроется, а название нового списка появится в поле верхней части диалога "Контроль целостности".
4.Нажмите кнопку "Ресурс" и в появившемся меню выберите пункт "Добавить ресурс" (или выберите эту же команду из контекстного меню таблицы ресурсов).
На экране появится диалог:
Имя ресурса, содержащее полный путь, можно ввести вручную или …
… выполнить поиск ресурсов в диалоговом режиме, используя для вызова диалога кнопку "Обзор".
Диалоги обзора различны для разных типов ресурсов
5.Укажите необходимые значения параметров:
•В раскрывающемся списке "Тип ресурса" выберите нужное значение. Описание типов ресурсов приведено в приложении (см. Табл. 18 на стр. 133).
•Если необходимо включить в список все входящие в ресурс объекты, поставьте отметку в поле "Загрузить вместе с подобъектами".
•В поле "Имя ресурса" укажите имя ресурса и полный путь к нему. Введите имя вручную или укажите его в диалоговом режиме, вызвав диалог кнопкой "Обзор".
Нажмите кнопку "OK". Добавленный ресурс появится в списке ресурсов.
6.Длядобавления в список следующего ресурса, повторите процедуру, начиная с п.4.
Для удаления ресурса из списка: выберите ресурс в списке и вызовите команду "Удалить" (из контекстного меню кнопки "Ресурс", из контекстного меню таблицы ресурсов, или нажав клавишу <Delete>), авпоявившемсязапросенаудалениенажмитенакнопку"Да".
7.Завершив формирование списка, нажмите кнопку "ОК" в окне настройки общих параметров.
При нажатии кнопок "OK" или "Применить" запускается процедура перерасчета контролируемых параметров, в результате чего текущее состояние параметров ресурсов фиксируется в БД контроля целостности и принимается за эталон.
73
Secret Net 2000. Автономный вариант. Руководство по администрированию
|
Для удаления списка ресурсов: |
||||
|
1. В диалоге "Контроль целостности" выберите список, который необходимо уда- |
||||
|
лить, и нажмите кнопку"Удалить список ресурсов". |
||||
|
Появится предупреждающее сообщение. |
||||
|
2. Нажмите кнопку "Да" для подтверждения удаления. |
||||
|
Выбранный список ресурсов будет удален. |
||||
Задания |
Для контроля целостности ресурсов списка составляется задание – подробная схе- |
||||
|
ма контроля данных. В задании указывается тип контролируемой информации, алго- |
||||
|
ритм проведения контроля, реакция системы на результаты проверки и расписание |
||||
|
выполнения. Алгоритм проведения контроля и реакция на результаты проверки зави- |
||||
|
сят от типа контролируемой информации. |
||||
|
Для списка ресурсов можно составить несколько заданий и в дальнейшем управ- |
||||
|
лять ими (включать и выключать, изменять параметры). |
||||
|
Для настройки задания и составления расписания: |
||||
|
1. В диалоге "Контроль целостности" (см. Рис. 30 на стр. 71) выберите список ресур- |
||||
|
сов, нажмите кнопку "Задание" и выберите в меню команду "Добавить. задание". |
||||
|
|
|
|
Введите название задания |
|
|
|
|
|
|
|
|
|
|
|
Введите комментарий к |
|
|
|
|
|
заданию |
|
|
|
|
|
|
|
|
|
|
|
Выберите тип |
|
|
|
|
|
контролируемых данных |
|
|
|
|
|
Для типа данных |
|
|
|
|
|
"Содержимое объекта" |
|
|
|
|
|
выберите алгоритм из |
|
|
|
|
|
списка |
|
|
|
|
|
Для пересчета эталонных |
|
|
|
|
|
значений поставьте |
|
|
|
|
|
отметку |
Рис. 31. Параметры задания
2.Настройте параметры задания в диалоге "Общие":
•Введите название задания и комментарий к нему. В названии задания рекомендуется отразить его краткое содержание, чтобы в дальнейшем задания можно было различать по названию.
•Выберите тип контролируемых данных, т.е. контролируемые параметры (характеристики) ресурсов. При этом значение в поле "Алгоритм проверки" устанавливается автоматически в зависимости от выбранного типа контролируемых данных. Исключение составляет тип данных "содержимое объекта", для которого алгоритм проверки выбирается из списка.
74
Глава 6. Настройка механизмов контроля и регистрации
Тип контролируемых данных |
Что проверяется |
Содержимое объекта |
Целостность содержимого ресурсов |
Атрибуты объекта |
Стандартные атрибуты, установленные для ре- |
|
сурсов |
Список доступа |
Атрибуты доступа Windows 2000 (дескриптор |
|
безопасности), установленные для ресурсов |
Существование объектов |
Существования ресурсов |
При выборе типа контролируемых данных необходимо иметь в виду, что проверка будет выполняться только для определенных типов ресурсов. Сведения о применимости алгоритмов проверки для каждого из типов ресурсов в зависимости от выбранного типа контролируемых данных приведены в Табл. 19 на стр. 133.
•Отметьте с помощью переключателей желаемую реакцию системы защиты на результат выполнения контроля в случае успеха и в случае неудачи (отказа).
Регистрировать |
Результаты выполнения задания регистрируются в жур- |
завершение задания |
нале безопасности |
Регистрировать |
Результаты контроля каждого элемента задания (ресурса) |
результат проверки |
регистрируются в журнале безопасности |
элементов |
|
Запросить |
При нарушении целостности компьютер будет заблокиро- |
блокировку |
ван, если в настройках свойств пользователя задан пара- |
компьютера |
метр "Запрет работы при нарушении целостности". |
Восстановить |
При нарушении целостности текущие значения контроли- |
значение объекта |
руемых параметров устанавливаются равными эталон- |
|
ным значениям. Используется при контроле следующих |
|
параметров: атрибуты объекта, список доступа, содержи- |
|
мое объекта при выполнении сравнения содержимого. |
Принять значение |
При нарушении целостности контролируемых ресурсов |
объекта как образец |
новые значения контролируемых параметров, полученные |
|
в ходе проверки, становятся эталонными. |
Пересчитать задание |
Однократно выполняется пересчет задания. Полученные |
|
новые значения контролируемых параметров становятся |
|
эталонными. |
Для того чтобы в журнале безопасности можно было анализировать события, связанные с нарушением целостности ресурсов, поставьте отметки в колонке "Отказ" для действий "Регистрировать завершение задания" и "Регистрировать результат проверки элементов".
3.Перейдите к диалогу "Расписание" и составьте расписание контроля:
•Переключатели в верхней части диалога позволяют указать, на каком этапе своей работы система защиты должна контролировать целостность ресурсов.
Срочный контроль проводится немедленно сразу после того, как в диалоге настройки общих параметров будет нажата кнопка "OK" или "Применить" (т.е. после сохранения общих параметров).
•Таблица средней части диалога позволяет сформировать календарный план проведения контроля.
Работа с календарем. Если нужно отметить одну ячейку, установите на нее курсор и нажмите левую кнопку мыши – ячейка изменит свой цвет на зеленый. Если нужно отметить прямоугольную группу ячеек, сначала выделите ее. Для этого нажмите угловую ячейку группы и, удерживая нажатой левую кнопку мыши, перетащите курсор к противоположному углу группы. Выделенная группа изменит свой цвет на синий цвет. Затем нажмите на клавишу пробел, и синий цвет сменится на зеленый. Для того чтобы снять отметки нужно повторить те же действия еще раз.
75
Secret Net 2000. Автономный вариант. Руководство по администрированию
Укажите
периодичность контроля в течение суток. Отсчет начинается с нулевого часа. Можно задать период, а можно и непосредственно ввести конкретные значения
С помощью переключателей верхней части диалога укажите, когда система защиты должна контролировать целостность ресурсов. Срочный контроль проводится немедленно после того, как в диалоге настройки общих параметров будет нажата кнопка "OК" или "Применить"
Таблица средней части диалога позволяет сформировать календарный план проведения контроля
Интервал – это периодичность проведения контроля в течение часа. Если значение не указано, контроль выполняется в начале часа
Рис. 32. Расписание контроля
•В нижней части диалога в группе полей "Учет временных параметров" можно указать периодичность контроля в течение суток.
Часы контроля. Введите или выберите из раскрывающегося списка значение периодичности контроля в течение суток. Следует иметь в виду, что отсчет начинается с нулевого часа. Поэтому, если вы установите значение 4, что означает – "проводить контроль каждый четвертый час", контроль будет проводиться в 0, 3, 7, 11, и т.д. Часы контроля можно задать, не только указав периодичность, но и непосредственно введя конкретные значения. Например, если вы введете следующую строку: 2, 7-9, 16-18, 21, то контроль будет проведен в 2, 7, 8, 9, 16, 17, 18 и 21 час.
Интервал. Укажите периодичность контроля в течение часа контроля. Если значение не указано, контроль выполняется в начале часа один раз. Так, например, если контроль должен проводиться в 7 часов, а в поле "Интервал" указано значение 10, то процесс контроля первый раз начнется в 7 часов 00 минут, а затем будет повторяться каждые 10 минут в течение этого часа.
4.Нажмите кнопку "OK".
Программа вернется к диалогу "Контроль целостности" (см. Рис. 30 на стр. 71). В списке ресурсов диалога появится новый столбец, соответствующий сформированному заданию.
По умолчанию задание имеет статус "включено", т.е. контролю подлежит целостность всех ресурсов, входящих в список. Об этом свидетельствуют отметки в ячейках столбца задания.
Если необходимо, сформируйте другие задания для данного списка ресурсов.
5.Нажмите кнопку "OK" или "Применить" в окне настройки общих параметров.
При сохранении сформированных заданий выполняется пересчет контролируемых параметров и обновление их эталонных значений для всех новых заданий списка ресурсов.
76