- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие положения
- •Средства управления
- •Консоль системы защиты
- •Элементы интерфейса, используемые для вызова средств управления
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Шаблоны настроек
- •Настройка общих параметров по шаблону
- •Настройка свойств пользователя по шаблону
- •Удаление дополнительных шаблонов настроек
- •Переименование дополнительных шаблонов настроек
- •Экспорт и импорт шаблонов настроек
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий локальной группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Создание локального пользователя
- •Переименование локального пользователя
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Учетные записи и пароли
- •Параметры блокировки учетной записи
- •Управление состоянием учетных записей
- •Управление режимами использования пароля
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Отключение устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Настройка персонального перечня регистрируемых событий
- •Дополнительный аудит
- •Контроль целостности
- •Просмотр заданий контроля и их параметров
- •Настройка заданий контроля
- •Управление заданиями
- •Корректировка настроек механизма контроля целостности
- •Корректировка эталонных значений
- •Анализ нарушений и восстановление ресурсов
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Управление уровнем допуска пользователя
- •Управление категорией конфиденциальности ресурса
- •Правила работы с конфиденциальными документами
- •Настройка шаблонов грифа конфиденциальности
- •Печать конфиденциального документа из Microsoft Word
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Формирование списка разрешенных для запуска программ
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала
- •Интерфейс программы просмотра журналов
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра событий
- •Сортировка записей
- •Изменение состава и порядка отображения характеристик
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
•отступив на один пробел от слова "DOCPROPERTY", введите в текстовое поле в двойных кавычках название поля, добавленного на шаге 2;
•нажмите кнопку "ОК".
В тексте документа появится затененное поле, формальное значение которого было указано на шаге 2.
Совет. Для вставки стандартного поля в шаблон грифа выполните последовательно пункты 3 и 4 предыдущей процедуры. При вводе имени поля укажите соответственно "User", "UserInfo"
или"Category".
5. Сохраните файл шаблонов и закройте редактор Microsoft Word.
Печать конфиденциального документа из Microsoft Word
Если установлен режим контроля печати (см. стр. 82), то печать конфиденциальных документов выполняется только в MS Word. При этом в выводимый на печать документ добавляется гриф конфиденциальности.
Процедура печати подробно описана в документе "Secret Net 2000. Автономный вариант. Руководство пользователя".
Замкнутая программная среда
Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам только теми программами, которые необходимы им для работы.
При использовании этого механизма действуют следующие правила:
•Пользователь может работать только с теми программами, запуск которых разрешен в UEL-списке (список разрешенных для запуска программ, User Executable List), Этот список формируется индивидуально для каждого пользователя.
•Замкнутая программная среда может быть включена выборочно для отдельных пользователей.
•Замкнутая программная среда может использоваться в одном из двух режимов работы: "мягком" или "жестком".
В"мягком" режиме пользователю разрешается запускать любые программы, а не только входящие в UEL-список. При этом в журнале безопасности регистрируются соответствующие события несанкционированного доступа (НСД).
В"жестком" режиме запуск программы разрешатся, если:
•информация о программе содержится в UEL-списке;
•файл программы недоступен текущему пользователю на изменение;
•файл не находится на сменном носителе;
•правильно настроена MS-DOS среда для MS-DOS программ;
•владельцем файла является локальная группа администраторов (это ограничение является дополнительным и может не использоваться).
Порядок настройки
Особенности настройки механизма замкнутой программной среды связаны со следующими обстоятельствами. Чтобы правильно настроить замкнутую среду, следует четко установить индивидуальный перечень исполняемых файлов, необходимых в работе каждому пользователю. Это может быть непростой задачей, тем более, если каждый пользователь работает со своим набором программ.
Для облегчения этой задачи в системе используется следующий подход. Сначала замкнутая среда включается в "мягком" режиме, когда пользователю разрешается за-
89
Secret Net 2000. Автономный вариант. Руководство по администрированию
пускать любые программы, а все действия, связанные с запуском программ, фиксируются в журнале безопасности в течение определенного периода времени. Затем на основании данных журнала автоматически может быть сформирован список разрешенных для запуска программ, который может быть откорректирован автоматически или вручную. После этого замкнутая среда переводится в "жесткий" режим работы.
При автоматическом формировании UEL-списка в него сначала добавляются программы из "списка по умолчанию", который формируется при установке системы Secret Net 2000 на компьютер, и включает в себя исполняемые файлы из системного каталога и каталога установки системы защиты.
В дальнейшем, в процессе эксплуатации замкнутой программной среды целесообразно периодически анализировать записи журнала безопасности и корректировать UEL-список, а также права владения и доступа для файлов, добавляемых в списки.
При необходимости механизм замкнутой программной среды может быть временно отключен сразу для всех пользователей компьютера. При этом все индивидуальные настройки механизма сохраняются без изменений. Затем механизм может быть включен повторно.
Детальный порядок настройки замкнутой программной среды на компьютере:
|
Этап Шаг |
Процедура |
Описание |
|
|||
|
|
||||||
|
Включение механизма |
|
|
|
|
|
|
|
1. |
Включите механизм замкнутой программной среды на компьютере. |
|
стр. 90 |
|
||
|
Подготовка к регистрации |
|
|
|
|
|
|
|
2. |
Настройте для пользователей регистрацию событий, связанных с |
|
стр. 91 |
|
||
|
|
запуском программ. |
|
|
|
|
|
|
3. |
Настройте журнал безопасности. |
|
стр. 93 |
|
||
|
4. |
Включите и настройте "мягкий" режим работы замкнутой программной |
|
стр. 93 |
|
||
|
|
среды для пользователей компьютера. |
|
|
|
|
|
|
Регистрация и сбор данных |
|
|
|
|
|
|
|
5. |
Продолжительность периода сбора данных должна быть достаточной, |
|
|
|
|
|
|
|
чтобы каждый из пользователей поработал со всем необходимым ему |
|
|
|
|
|
|
|
программным обеспечением. |
|
|
|
|
|
|
Формирование списков программ |
|
|
|
|
|
|
|
6. |
На основании данных журнала безопасности сформируйте |
|
стр. 94 |
|
||
|
|
автоматически или вручную для каждого пользователя список |
|
|
|
|
|
|
|
разрешенных для запуска программ. |
|
|
|
|
|
|
7. |
Ознакомьте каждого из пользователей со списком разрешенных для |
|
|
|
|
|
|
|
запуска программ. |
|
|
|
|
|
|
Включение жесткого режима |
|
|
|
|
|
|
|
8. |
Включите для пользователей "жесткий" режим замкнутой программной |
стр. 93 |
|
|||
|
|
среды. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Включение механизма замкнутой программной среды на компьютере
Прежде чем приступить к настройке замкнутой программной среды, необходимо включить этот механизм на компьютере, чтобы стали доступными для редактирования его параметры.
Для включения режима замкнутой среды на компьютере:
1. Откройте окно управления общими параметрами и перейдите к диалогу "Дополнительно" (см. Рис. 37).
90
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
2.Установите отметку в поле выключателя "Замкнутая среда" и нажмите кнопку "OK" или "Применить".
Для того чтобы установленные параметры вступили в силу, необходимо перезагрузить компьютер.
Временное отключение. Для отключения замкнутой программной среды одновременно для всех пользователей компьютера достаточно убрать отметку из поля "Замкнутая среда". При этом все индивидуальные настройки механизма останутся без изменений. Для повторного включения механизма достаточно установить отметку в этом поле. После включения или отключения механизма необходимо перезагрузить компьютер.
Установите отметку в этом поле, чтобы включить механизм замкнутой программной среды на компьютере
Рис. 37. Диалог "Дополнительно"
Настройка регистрации событий
Персональный Перед тем как использовать автоматическую процедуру формирования списка раз- перечень решенных для запуска программ, необходимо указать перечень регистрируемых событий для пользователей, которым предстоит работать в замкнутой программной среде. Также необходимо установить достаточный срок хранения записей в журнале.
Для настройки перечня регистрируемых событий:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Регистрация".
2.Отметьте события Secret Net 2000, которые необходимо регистрировать для настройки замкнутой среды:
•В группе "События расширенной регистрации": "Запуск программы";
•В группе "События НСД": "Запрет запуска программы".
3.Нажмите кнопку "OK" или "Применить".
91
Secret Net 2000. Автономный вариант. Руководство по администрированию
Установите регистрацию необходимых событий в группах "События расширенной регистрации" и "События НСД"
Дополнительные механизмы контроля
Рис. 38. Диалог "Регистрация"
В системе Secret Net 2000 имеется возможность усилить контроль за работой замкнутой программной среды включением дополнительных механизмов контроля. В частности, это может потребоваться для контроля за правильностью прав владения.
Для включения дополнительных механизмов контроля:
1. Вызовите на экран окно настройки общих параметров работы компьютера и перейдите к диалогу "Компьютер":
Откройте группу параметров "Замкнутая среда" и отметьте необходимые из них
Рис. 39. Диалог "Компьютер"
92