- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие положения
- •Средства управления
- •Консоль системы защиты
- •Элементы интерфейса, используемые для вызова средств управления
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Шаблоны настроек
- •Настройка общих параметров по шаблону
- •Настройка свойств пользователя по шаблону
- •Удаление дополнительных шаблонов настроек
- •Переименование дополнительных шаблонов настроек
- •Экспорт и импорт шаблонов настроек
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий локальной группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Создание локального пользователя
- •Переименование локального пользователя
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Учетные записи и пароли
- •Параметры блокировки учетной записи
- •Управление состоянием учетных записей
- •Управление режимами использования пароля
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Отключение устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Настройка персонального перечня регистрируемых событий
- •Дополнительный аудит
- •Контроль целостности
- •Просмотр заданий контроля и их параметров
- •Настройка заданий контроля
- •Управление заданиями
- •Корректировка настроек механизма контроля целостности
- •Корректировка эталонных значений
- •Анализ нарушений и восстановление ресурсов
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Управление уровнем допуска пользователя
- •Управление категорией конфиденциальности ресурса
- •Правила работы с конфиденциальными документами
- •Настройка шаблонов грифа конфиденциальности
- •Печать конфиденциального документа из Microsoft Word
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Формирование списка разрешенных для запуска программ
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала
- •Интерфейс программы просмотра журналов
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра событий
- •Сортировка записей
- •Изменение состава и порядка отображения характеристик
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net 2000. Автономный вариант. Руководство по администрированию
Механизмы разграничения доступа
Для организации эффективной совместной работы пользователей и обеспечения надежной защиты ресурсов компьютера от несанкционированного доступа (НСД) в системе Secret Net 2000 используются механизмы управления доступом:
•Механизм избирательного управления доступом.
•Механизм полномочного управления доступом.
•Механизм замкнутой программной среды.
В Secret Net 2000 защищаемыми ресурсами являются:
•Ресурсы файловой системы: локальные логические диски и размещающиеся на них каталоги и файлы.
•Аппаратные ресурсы: локальные принтеры, коммуникационные порты, физические диски, дисководы, приводы CD-ROM.
•Ресурсы операционной системы: системные файлы, ключи системного реестра, системное время, диалоги настройки параметров системы.
Механизм избирательного управления доступом
Система защиты Secret Net 2000 использует для избирательного (дискреционного) управления доступом стандартный механизм Windows 2000, дополненный средствами разграничения доступа к дискам и портам. Подробные сведения о настройке механизма избирательного управления доступом содержатся в документации, входящей в комплект поставки ОС Windows 2000.
Механизм полномочного управления доступом
Механизм полномочного управления доступом предназначен для разграничения доступа пользователей к ресурсам компьютера на основании полномочного (мандатного) принципа разграничения доступа, а также для контроля потоков конфиденциальной информации в системе.
Механизм замкнутой программной среды
Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам списком тех программ, которые действительно необходимы им для выполнения своих служебных обязанностей.
Полномочное управление доступом
При организации полномочного управления доступом для каждого пользователя компьютера устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам и файлам, находящимся на дисках компьютера с файловой системой NTFS, присваивается категория конфиденциальности.
При попытке доступа пользователя (программы, запущенной пользователем) к конфиденциальному ресурсу сопоставляется категория конфиденциальности ресурса и уровень допуска пользователя к конфиденциальной информации. Если пользователь не превышает свой уровень допуска, доступ к конфиденциальному ресурсу разрешается, иначе доступ блокируется.
Управление режимом работы
Описываемая ниже процедура позволяет включить на компьютере механизм полномочного доступа и настроить его параметры.
82
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
Для выбора режима полномочного управления доступом:
1. Откройтеокнонастройкиобщихпараметровиперейдитекдиалогу"Дополнительно":
Установите отметку в этом поле, чтобы включить режим полномочного
управления доступом
Укажите параметры работы механизма полномочного управления доступом
Рис. 33. Диалог "Дополнительно"
2.Установите отметку в поле выключателя "Полномочное управление доступом" для включения этого механизма. После этого другие поля, относящиеся к полномочному управлению, будут доступны для редактирования. Укажите параметры работы механизма полномочного управления доступом:
•Контроль потоков данных. Установите отметку в этом поле, если необходимо включить режим контроля потоков конфиденциальной информации.
Пояснение. Любым приложениям запрещается копировать (сохранять) файлы в каталоги более низкой категории конфиденциальности, чем у исходного файла. Сохраняемому файлу автоматически присваивается категория конфиденциальности файла-источника.
•Контроль буфера обмена. Установите отметку в этом поле, если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое. Поле доступно, если включен контроль потоков данных.
Пояснение. Неконфиденциальному файлу, в который копируется конфиденциальная информация через буфер обмена, автоматически присваивается категория конфиденциальности этой информации. Этот файл нельзя сохранить в каталоге более низкой категории.
•Запрет доступа при невозможности получить уровень допуска пользо-
вателя. Отметьте это поле, если требуется контролировать доступ удаленных пользователей к компьютеру.
Пояснение. Пользователю, зарегистрированному в БД Secret Net NT, разрешается подключаться к компьютеру по сети и работать с ресурсами компьютера. Незарегистрированному пользователю запрещается удаленный доступ к ресурсам компьютера.
•Контроль печати. Если установить отметку в этом поле, то для печати конфиденциальных документов будет разрешено использовать только редактор MS Word (версии 8.0 и выше). И только в этом случае при печати конфиден-
83
Secret Net 2000. Автономный вариант. Руководство по администрированию
циальных документов из MS Word в документ будет добавляться гриф конфиденциальности, а факт печати будет регистрироваться системой защиты.
3. Завершив настройку, нажмите кнопку "OK" или "Применить".
Временное отключение. Для отключения полномочного управления достаточно убрать отметку из поля "Полномочное управление доступом". При этом все остальные настройки механизма останутся без изменений. Для повторного включения механизма достаточно вновь установить отметку в этом поле. После включения или отключения механизма требуется перезагрузить компьютер.
Управление уровнем допуска пользователя
Уровень допуска к конфиденциальной информации устанавливается для каждого пользователя индивидуально. Перед тем как приступить к настройке убедитесь, что на компьютере включен механизм полномочного управления доступом.
Для управления уровнем допуска пользователя:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Доступ":
Выберите уровень допуска пользователя к конфиденциальной информации
Установите отметку в этом поле, чтобы разрешить вывод конфиденциальной информации на дискеты
Рис. 34. Диалог "Доступ"
2.Установите необходимые значения параметров:
•В поле "Уровень допуска" выберите уровень допуска пользователя к конфиденциальным данным, который может принимать следующие значения:
Уровень допуска: |
Права доступа: |
Отсутствует |
Нет доступа к конфиденциальной информации |
Конфиденциальный |
Имеется доступ к файлам с категорией "конфиденциальные" |
Строго |
Имеется доступ к файлам с категорией "конфиденциальные" |
конфиденциальный |
и "строго конфиденциальные" |
•Установите отметку в поле "Вывод конфиденциальной информации на дискеты", если необходимо разрешить пользователю сохранять конфиденциальные документы на сменных носителях.
84
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
Пояснение. При предоставлении этой возможности пользователь также сможет сохранять конфиденциальные документы в неконфиденциальные каталоги, даже если включен режим контроля потоков данных (см. стр. 82). Однако при выполнении таких операций в журнале безопасностивсегдарегистрируетсясобытие"Выводконфиденциальнойинформации".
3. Нажмите кнопку "OK".
Управление категорией конфиденциальности ресурса
Для изменения уровня конфиденциальности ресурса необходимо, чтобы:
•был включен механизм полномочного управления доступом (см. стр. 82);
•ресурс находился на диске с файловой системой NTFS;
•текущий пользователь имел права на доступ к ресурсу и на изменения прав доступа, а также обладал привилегией на управление категориями конфиденциальности (см. Табл. 12 на стр. 127). Предоставление привилегий описано выше на стр. 47.
Управление категориями конфиденциальности ресурса осуществляется с использованием программы "Проводник". Если заранее продумать схему хранения файлов, создав необходимую структуру каталогов для документов разной категории конфиденциальности, и разместить в них соответствующие файлы, то, присваивая категории конфиденциальности каталогам, можно автоматически присвоить эту же категорию и входящим в каталог файлам. Присвоить категорию конфиденциальности также можно и отдельным файлам или сразу группе файлов. После того как каталогам и файлам присвоены категории конфиденциальности, начинают действовать ограничения на сохранение и копирование конфиденциальной информации (см. стр.86).
Для указания категории конфиденциальности ресурса:
1. В окне программы "Проводник" выберите интересующий вас ресурс (диск, каталог, файл), вызовите окно редактирования свойств иперейдите к диалогу "Secret Net".
Совет. Для выбора нескольких файлов используйте совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).
В этом поле отображается имя текущего пользователя
В этом поле отображается уровень допуска пользователя к конфиденциальной информации
В этом поле отображается категория конфиденциальности ресурса.
Выберите нужное значение
Рис. 35. Диалог "Secret Net"
85