- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие положения
- •Средства управления
- •Консоль системы защиты
- •Элементы интерфейса, используемые для вызова средств управления
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Шаблоны настроек
- •Настройка общих параметров по шаблону
- •Настройка свойств пользователя по шаблону
- •Удаление дополнительных шаблонов настроек
- •Переименование дополнительных шаблонов настроек
- •Экспорт и импорт шаблонов настроек
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий локальной группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Создание локального пользователя
- •Переименование локального пользователя
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Учетные записи и пароли
- •Параметры блокировки учетной записи
- •Управление состоянием учетных записей
- •Управление режимами использования пароля
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Отключение устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Настройка персонального перечня регистрируемых событий
- •Дополнительный аудит
- •Контроль целостности
- •Просмотр заданий контроля и их параметров
- •Настройка заданий контроля
- •Управление заданиями
- •Корректировка настроек механизма контроля целостности
- •Корректировка эталонных значений
- •Анализ нарушений и восстановление ресурсов
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Управление уровнем допуска пользователя
- •Управление категорией конфиденциальности ресурса
- •Правила работы с конфиденциальными документами
- •Настройка шаблонов грифа конфиденциальности
- •Печать конфиденциального документа из Microsoft Word
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Формирование списка разрешенных для запуска программ
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала
- •Интерфейс программы просмотра журналов
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра событий
- •Сортировка записей
- •Изменение состава и порядка отображения характеристик
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
2. Откройте группу параметров "Замкнутая среда" и отметьте необходимые из них:
"Контролировать загрузку только NE-файлов"
В текущей реализации системы Secret Net 2000 не используется.
"Контролировать владельца файла на санкционированность"
При запускепрограммы из UEL-спискапроверяетсякорректностьвладельца файла программы. Корректным владельцем считаетсялокальнаягруппаадминистраторов.
Корректность владельца файлов программ не проверяется.
|
|
|
3. Нажмите кнопку "OK" или "Применить". |
Настройка |
Перед тем как использовать автоматическую процедуру формирования списка раз- |
||
журнала |
решенных для запуска программ, необходимо установить достаточный срок хране- |
||
безопасности |
ния записей в журнале безопасности (см. стр. 66). Обычно для накопления сведений |
||
|
|
|
о запускаемых пользователем программах достаточно 5 рабочих дней. |
|
|
|
|
|
|
|
Чтобы предотвратить переполнение журнала за время сбора информации, сохраните накопившую- |
|
|
|
ся в нем к этому времени информацию в файл, а сам журнал очистите. Это позволит увеличить |
|
|
|
полезный объем журнала и хранить в журнале только данные за период сбора информации. |
|
|
|
Включение и настройка режима работы замкнутой среды для пользователя
Механизм замкнутой программной среды может быть включен для каждого из пользователей или избирательно для некоторых из них. На этапе настройки замкнутая среда у этих пользователей должна быть включена в "мягком" режиме.
Обратите внимание! Для пользователей, входящих в группу локальных администраторов (непосредственно или через доменную группу), включить замкнутую среду в жестком режиме нельзя. При включениизамкнутойсредыутакихпользователейавтоматическиустанавливаетсямягкийрежим.
Для настройки режима работы замкнутой среды для пользователя:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Режимы":
Установите отметку в этом поле, чтобы для пользователя включить механизм замкнутой программной среды
Установите отметку в этом поле, чтобы включить мягкий режим работы замкнутой программной среды
Рис. 40. Диалог "Режимы"
93
Secret Net 2000. Автономный вариант. Руководство по администрированию
2.Включите замкнутую программную среду и установите режим работы:
•Установите отметку в поле "Замкнутая программная среда", чтобы включить этот механизм для выбранного пользователя.
При первом включении для пользователя замкнутой программной среды автоматически создается UEL-файл пользователя, в который добавляется список программ по умолчанию. При последующих выключениях и включениях замкнутой среды UEL-файл сохраняется неизменным. УдаляетсяUEL-файлтолькопослеудаленияпользователя.
•Установите отметку в поле "Мягкий режим для списка программ", если необходимо включить "мягкий" режим замкнутой программной среды. Если необходим "жесткий" режим работы, удалите отметку из этого поля.
3.Нажмите кнопку "OK" или "Применить".
Формирование списка разрешенных для запуска программ
Автоматическое
формирование
списка
Список разрешенных для запуска программ формируется индивидуально для каждого пользователя. Существуют два способа формирования этих списков:
•автоматическое формирование списка на основании информации о запуске программ, содержащейся в журнале безопасности;
•редактирование вручную списка программ с использованием текстового редактора SnEdit.
Автоматическое формирование UEL-списка должно проводится после того, как в журнале безопасности будет накоплено достаточное количество записей, связанных с запуском программ. Автоматический способ облегчает процедуру формирования UEL-списка. Далее список может быть уточнен путем повторного использования автоматической процедуры и ручной корректировкой.
Для автоматического формирования UEL-списка пользователя:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Режимы" (Рис. 40).
2.Нажмите кнопку "Программы".
UEL-список выбранного пользователя будетоткрытв окне программы SnEdit.
Содержимое "списка по умолчанию"
добавляется в начало секции [Manual] UEL-файла пользователя
Рис. 41. Просмотр UEL-файла в окне редактора SnEdit
Описание формата UEL-файла содержится в приложении (стр. 131).
94
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
3.Выберите "Список программ | Построить по журналу" в меню основного окна программы SnEdit для вызова на экран диалога для указания параметров анализа:
Интервал времени, за который анализируются записи журнала безопасности
Параметры, которые необходимо учитывать при проведении автоматического анализа записей журнала
Ручная корректировка списка
4. Укажите необходимые значения параметров:
Параметры: |
Назначение: |
Интервал |
Эта группа полей используется для указания периода времени, за |
|
который должен быть проведен анализ событий, зарегистриро- |
|
ванных в журнале |
События всех поль- |
Установите отметку, чтобы при построении UEL-списка учитыва- |
зователей |
лись события, связанные с работой всех пользователей компью- |
|
тера |
События НСД |
Установите отметку, чтобы вместе с событиями запуска программ |
|
анализировались и события НСД – "запрет запуска программ" |
Только события НСД |
Установите отметку, чтобы анализировались только события НСД |
|
– "запрет запуска программ" |
5.Нажмите кнопку "OK".
Будет проведен анализ записей журнала безопасности. В секцию [Auto] будет добавлен сформированный по журналу список программ.
6.Просмотрите список программ, измените при необходимости его содержание, а затем сохраните. Закройте окно редактора SnEdit.
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкретнойпрограммы). Вседругиедействиязапрещены.
7.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Перед выполнением ручной корректировки UEL-списка проанализируйте записи журнала безопасности, относящиеся к работе пользователей, для которых включена замкнутая программная среда. Составьте для каждого пользователя список программ, попытки запуска которых регистрируются как событие НСД "Запрет запуска программы". В списке можно использовать имя файла, содержащие полный путь к нему, указывать каталоги или файлы по маске (см. описание формата UEL-файла в приложении, стр. 131).
Для ручной корректировки списка программ:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Режимы" (Рис. 40).
2.Нажмите кнопку "Программы".
UEL-файл, относящийся к выбранному пользователю, будет открыт в окне ре-
дактора SnEdit (Рис. 41).
3.Добавьте в секцию [Manual] нужные строки, разрешающие или запрещающие пользователю запуск тех или иных программ.
95
Secret Net 2000. Автономный вариант. Руководство по администрированию
Добавление файлов в диалоговом режиме. Выберите в меню главного окна программы SnEdit "Список программ| Добавить". На экране появится стандартный диалог Windows "Добавить файл". Спомощьюэтогодиалоганайдитеиукажитенужныйфайл.
Сортировка списка. Для сортировки UEL-списка в алфавитном порядке выберите в меню главногоокнапрограммыSnEdit "Списокпрограмм| Сортировать".
4.Сохраните изменения и закройте окно редактора.
5.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Корректировка параметров замкнутой среды
Как уже было сказано ранее (см. стр. 89), запуск программы из UEL-списка разрешается, если для файла установлены необходимые права доступа и владения. Однако при формировании UEL-списка система не выполняет автоматическую корректировку этих прав для файлов, добавленных в UEL-список. Поэтому может возникнуть ситуация, когда программа содержится в списке, но не может быть запущена пользователем. Если такая ситуация возникает, необходимо проанализировать записи журнала безопасности, определить файлы программ, права владения и доступа которых требуют корректировки, и выполнить ее.
Автоматическая Для автоматической корректировки параметров:
корректировка параметров 1. В программе "Проводник" выберите пользователя, вызовите на экран окно на-
стройки свойств и перейдите к диалогу "Режимы" (Рис. 40).
2.Нажмите кнопку "Программы".
UEL-список выбранного пользователя будетоткрытв окне программы SnEdit.
3.Выберите "Список программ | Настроить" в меню основного окна программы SnEdit. На экране появится диалог для коррекции параметров замкнутой среды:
Укажите расширения исполняемых файлов, которые должны учитываться при просмотре указанных в UEL-файле каталогов
Нажмите эту кнопку для восстановления списка расширений, заданных по умолчанию
Рис. 42. Настройка и корректировка параметров замкнутой среды
4. Укажите необходимые значения параметров:
Установите отметку в поле: |
Для того чтобы … |
Права доступа к ресурсам |
Корректировать права доступа и владения для перечня |
|
ресурсов, заданных в UEL-файле |
Автоматически настроить для |
Автоматически выполнить корректировку прав доступа и |
всех ресурсов |
владения, не выполняя предварительно проверку кор- |
|
ректности прав и не запрашивая разрешение перед вы- |
|
полнением операции. При включении этого режима |
|
корректировка выполняется быстрее, т.к. не проводится |
|
проверка прав доступа, которая требует значительного |
|
времени |
96
Глава 7. Настройка механизмов управления доступом и защиты ресурсов
Установите отметку в поле: |
Для того чтобы … |
Зависимости от других |
Добавить в список другие файлы, необходимые для ра- |
модулей |
боты файлов, уже указанных в списке |
Повторяющиеся строки |
Удалить из UEL-файла повторяющиеся строки |
Обрабатывать каталоги |
Выполнить корректировку файлов из каталогов, указан- |
|
ных в UEL-файле. Иначе такие строки будут игнориро- |
|
ваться |
Обрабатывать ресурсы, |
Выполнить корректировку файлов, заданных при помо- |
заданные при помощи масок |
щи маски. Иначе такие строки будут игнорироваться |
Запрашивать подтверждение |
Потребовать выводить запрос перед выполнением ука- |
перед выполнением операций |
занных в диалоге операций по настройке и корректиров- |
|
ке параметров замкнутой среды |
5.Нажмите кнопку "Начать".
•Если система обнаружит в UEL-файле ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк используются следующие цветовые индикаторы:
Цвета |
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования ма- |
|
сок), которые не обнаружены на локальном диске компьютера |
|
или являются некорректными строками (т.е. строками с некор- |
|
ректным описанием ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), атрибуты |
|
доступа к которым не соответствуют требованиям замкнутой |
|
среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в дру- |
|
гих секциях данного файла |
•В некоторых случаях система сама может разрешить противоречия в соответствии с правилами, изложенными в приложении (см. стр. 132).
•Если автоматический режим настройки не используется, а перед выполнением операции запрашивается подтверждение, то на экране будет появляться диалог:
Информация о проблеме
|
|
|
Кнопки для выбора |
|
|
|
способа устранения |
|
|
|
проблемы |
Кнопки: |
Используются … |
||
Исправить, |
Для запуска процедуры автоматического исправления |
||
Исправить все |
текущей или текущей и всех последующих аналогичных |
||
|
проблемных строк |
||
Пропустить, |
Для пропуска текущей или текущей и всех последующих |
||
Пропустить все |
аналогичных проблемных строк |
||
Удалить, |
Для удаления текущей или текущей и всех последующих |
||
Удалить все |
аналогичных проблемных строк |
||
Отмена |
Для прекращения процедуры корректировки и закрытия |
||
|
данного диалогового окна |
•При автоматическом режиме настройки подтверждение не запрашивается, а после успешного завершения корректировки указанных параметров на экране появится сообщение об этом.
97
Secret Net 2000. Автономный вариант. Руководство по администрированию
Ручная корректировка прав владения и доступа
В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.
6.Сохраните изменения и закройте окно редактора.
7.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Для изменения прав владения и доступа вручную:
1. Откройте журнал безопасности.
2.Просмотрите в колонке "Событие" все записи, содержащие значение "Запрет запуска программы" (причина запрета запуска в окне дополнительной информации или во всплывающей подсказке к колонке "Событие").
Проверьте права доступа и владения для всех файлов программ, полные пути к которым содержатся в колонке "Объект". Выясните причину запрета запуска программ и выявите файлы с некорректными правами владения и доступа. Составьте список таких файлов.
3.Закройте журнал безопасности.
4.Присвойте корректные права доступа и владения файлам программ из составленных списков, руководствуясь следующими правилами:
•владельцем файла должна быть группа локальных администраторов;
•файл должен быть недоступен на изменение (запись) для пользователя компьютера, для которого включена замкнутая программная среда.
Примечание. Управление правами доступа и владения осуществляется стандартными средствами управления, входящими в состав ОС Windows 2000. Подробное описание процедур содержитсявруководствахпоадминистрированиюОСWindows 2000.
98