Глава 7. Настройка механизмов управления доступом и защиты ресурсов
•отступив на один пробел от слова "DOCPROPERTY", введите в текстовое поле в двойных кавычках название поля, добавленного на шаге 2;
•нажмите кнопку "ОК".
В тексте документа появится затененное поле, формальное значение которого было указано на шаге 2.
Совет. Для вставки стандартного поля в шаблон грифа выполните последовательно пункты 3 и 4 предыдущей процедуры. При вводе имени поля укажите соответственно "User", "UserInfo"
или"Category".
5. Сохраните файл шаблонов и закройте редактор Microsoft Word.
Печать конфиденциального документа из Microsoft Word
Если установлен режим контроля печати (см. стр. 82), то печать конфиденциальных документов выполняется только в MS Word. При этом в выводимый на печать документ добавляется гриф конфиденциальности.
Процедура печати подробно описана в документе "Secret Net 2000. Автономный вариант. Руководство пользователя".
Замкнутая программная среда
Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам только теми программами, которые необходимы им для работы.
При использовании этого механизма действуют следующие правила:
•Пользователь может работать только с теми программами, запуск которых разрешен в UEL-списке (список разрешенных для запуска программ, User Executable List), Этот список формируется индивидуально для каждого пользователя.
•Замкнутая программная среда может быть включена выборочно для отдельных пользователей.
•Замкнутая программная среда может использоваться в одном из двух режимов работы: "мягком" или "жестком".
В"мягком" режиме пользователю разрешается запускать любые программы, а не только входящие в UEL-список. При этом в журнале безопасности регистрируются соответствующие события несанкционированного доступа (НСД).
В"жестком" режиме запуск программы разрешатся, если:
•информация о программе содержится в UEL-списке;
•файл программы недоступен текущему пользователю на изменение;
•файл не находится на сменном носителе;
•правильно настроена MS-DOS среда для MS-DOS программ;
•владельцем файла является локальная группа администраторов (это ограничение является дополнительным и может не использоваться).
Порядок настройки
Особенности настройки механизма замкнутой программной среды связаны со следующими обстоятельствами. Чтобы правильно настроить замкнутую среду, следует четко установить индивидуальный перечень исполняемых файлов, необходимых в работе каждому пользователю. Это может быть непростой задачей, тем более, если каждый пользователь работает со своим набором программ.
Для облегчения этой задачи в системе используется следующий подход. Сначала замкнутая среда включается в "мягком" режиме, когда пользователю разрешается за-
89
Secret Net 2000. Автономный вариант. Руководство по администрированию
пускать любые программы, а все действия, связанные с запуском программ, фиксируются в журнале безопасности в течение определенного периода времени. Затем на основании данных журнала автоматически может быть сформирован список разрешенных для запуска программ, который может быть откорректирован автоматически или вручную. После этого замкнутая среда переводится в "жесткий" режим работы.
При автоматическом формировании UEL-списка в него сначала добавляются программы из "списка по умолчанию", который формируется при установке системы Secret Net 2000 на компьютер, и включает в себя исполняемые файлы из системного каталога и каталога установки системы защиты.
В дальнейшем, в процессе эксплуатации замкнутой программной среды целесообразно периодически анализировать записи журнала безопасности и корректировать UEL-список, а также права владения и доступа для файлов, добавляемых в списки.
При необходимости механизм замкнутой программной среды может быть временно отключен сразу для всех пользователей компьютера. При этом все индивидуальные настройки механизма сохраняются без изменений. Затем механизм может быть включен повторно.
Детальный порядок настройки замкнутой программной среды на компьютере:
|
Этап Шаг |
Процедура |
Описание |
|
|||
|
|
||||||
|
Включение механизма |
|
|
|
|
|
|
|
1. |
Включите механизм замкнутой программной среды на компьютере. |
|
стр. 90 |
|
||
|
Подготовка к регистрации |
|
|
|
|
|
|
|
2. |
Настройте для пользователей регистрацию событий, связанных с |
|
стр. 91 |
|
||
|
|
запуском программ. |
|
|
|
|
|
|
3. |
Настройте журнал безопасности. |
|
стр. 93 |
|
||
|
4. |
Включите и настройте "мягкий" режим работы замкнутой программной |
|
стр. 93 |
|
||
|
|
среды для пользователей компьютера. |
|
|
|
|
|
|
Регистрация и сбор данных |
|
|
|
|
|
|
|
5. |
Продолжительность периода сбора данных должна быть достаточной, |
|
|
|
|
|
|
|
чтобы каждый из пользователей поработал со всем необходимым ему |
|
|
|
|
|
|
|
программным обеспечением. |
|
|
|
|
|
|
Формирование списков программ |
|
|
|
|
|
|
|
6. |
На основании данных журнала безопасности сформируйте |
|
стр. 94 |
|
||
|
|
автоматически или вручную для каждого пользователя список |
|
|
|
|
|
|
|
разрешенных для запуска программ. |
|
|
|
|
|
|
7. |
Ознакомьте каждого из пользователей со списком разрешенных для |
|
|
|
|
|
|
|
запуска программ. |
|
|
|
|
|
|
Включение жесткого режима |
|
|
|
|
|
|
|
8. |
Включите для пользователей "жесткий" режим замкнутой программной |
стр. 93 |
|
|||
|
|
среды. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Включение механизма замкнутой программной среды на компьютере
Прежде чем приступить к настройке замкнутой программной среды, необходимо включить этот механизм на компьютере, чтобы стали доступными для редактирования его параметры.
Для включения режима замкнутой среды на компьютере:
1. Откройте окно управления общими параметрами и перейдите к диалогу "Дополнительно" (см. Рис. 37).
90
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
2.Установите отметку в поле выключателя "Замкнутая среда" и нажмите кнопку "OK" или "Применить".
Для того чтобы установленные параметры вступили в силу, необходимо перезагрузить компьютер.
Временное отключение. Для отключения замкнутой программной среды одновременно для всех пользователей компьютера достаточно убрать отметку из поля "Замкнутая среда". При этом все индивидуальные настройки механизма останутся без изменений. Для повторного включения механизма достаточно установить отметку в этом поле. После включения или отключения механизма необходимо перезагрузить компьютер.
Установите отметку в этом поле, чтобы включить механизм замкнутой программной среды на компьютере
Рис. 37. Диалог "Дополнительно"
Настройка регистрации событий
Персональный Перед тем как использовать автоматическую процедуру формирования списка раз- перечень решенных для запуска программ, необходимо указать перечень регистрируемых событий для пользователей, которым предстоит работать в замкнутой программной среде. Также необходимо установить достаточный срок хранения записей в журнале.
Для настройки перечня регистрируемых событий:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Регистрация".
2.Отметьте события Secret Net 2000, которые необходимо регистрировать для настройки замкнутой среды:
•В группе "События расширенной регистрации": "Запуск программы";
•В группе "События НСД": "Запрет запуска программы".
3.Нажмите кнопку "OK" или "Применить".
91
Secret Net 2000. Автономный вариант. Руководство по администрированию
Установите регистрацию необходимых событий в группах "События расширенной регистрации" и "События НСД"
Дополнительные механизмы контроля
Рис. 38. Диалог "Регистрация"
В системе Secret Net 2000 имеется возможность усилить контроль за работой замкнутой программной среды включением дополнительных механизмов контроля. В частности, это может потребоваться для контроля за правильностью прав владения.
Для включения дополнительных механизмов контроля:
1. Вызовите на экран окно настройки общих параметров работы компьютера и перейдите к диалогу "Компьютер":
Откройте группу параметров "Замкнутая среда" и отметьте необходимые из них
Рис. 39. Диалог "Компьютер"
92