- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие положения
- •Средства управления
- •Консоль системы защиты
- •Элементы интерфейса, используемые для вызова средств управления
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Шаблоны настроек
- •Настройка общих параметров по шаблону
- •Настройка свойств пользователя по шаблону
- •Удаление дополнительных шаблонов настроек
- •Переименование дополнительных шаблонов настроек
- •Экспорт и импорт шаблонов настроек
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий локальной группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Создание локального пользователя
- •Переименование локального пользователя
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Учетные записи и пароли
- •Параметры блокировки учетной записи
- •Управление состоянием учетных записей
- •Управление режимами использования пароля
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Отключение устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Настройка персонального перечня регистрируемых событий
- •Дополнительный аудит
- •Контроль целостности
- •Просмотр заданий контроля и их параметров
- •Настройка заданий контроля
- •Управление заданиями
- •Корректировка настроек механизма контроля целостности
- •Корректировка эталонных значений
- •Анализ нарушений и восстановление ресурсов
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Управление уровнем допуска пользователя
- •Управление категорией конфиденциальности ресурса
- •Правила работы с конфиденциальными документами
- •Настройка шаблонов грифа конфиденциальности
- •Печать конфиденциального документа из Microsoft Word
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Формирование списка разрешенных для запуска программ
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала
- •Интерфейс программы просмотра журналов
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра событий
- •Сортировка записей
- •Изменение состава и порядка отображения характеристик
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net 2000. Автономный вариант. Руководство по администрированию
Привилегии пользователя
Привилегии на работу в системе
Табл. 3. Группа привилегий "Вход в систему"
Привилегии |
Пояснения |
Вход в систему локально |
Разрешается доступ к компьютеру локально (интерактивный вход). |
Доступ к этому компьютеру по сети |
Разрешается доступ к компьютеру по сети (вход по сети). |
Вход в систему как сервис |
Разрешается запускать сервисы под именем пользователя. |
Вход в систему как пакетный файл |
Разрешается доступ к компьютеру с помощью специального пакетного |
|
файла. В Windows 2000 не используется. |
Табл. 4. Группа "Ограничения на вход в систему"
Привилегии |
Пояснения |
Отклонить локальный вход |
Запрещается локальный вход в систему. |
Отказ в доступе к компьютеру из сети |
Запрещается доступ к компьютеру по сети. |
Отказ во входе в качестве пакетного задания |
Запрещается вход в систему в качестве пакетного задания. |
Отказать во входе в качестве службы |
Запрещается вход в систему в качестве службы. |
Примечание. Каждая из привилегий данной группы имеет более высокий приоритет по сравнению с соответствующей привилегией группы "Вход в систему" (табл. 4). Если пользователь включен в состав группы, для которой установлены привилегии "Вход в систему", чтобы отменить любую из них только у этого пользователя, не затрагивая общих настроек для группы, можно использовать привилегии "Ограничения на вход в систему". Для этого необходимо в настройках свойств пользователя в диалоге "Привилегии" открыть группу "Ограничения на вход в систему" и установить соответствующую отметку (или отметки).
Табл. 5. Группа привилегий "Отмена ограничений"
Привилегии |
Пояснения |
Без атрибутов на |
Разрешается доступ к файлам и вложенным каталогам, невзирая на права досту- |
вышестоящих каталогах |
па, присвоенные вышестоящим каталогам. |
Без атрибутов на дисках |
Разрешается доступ к логическим дискам, невзирая на ограничения, установлен- |
|
ные при помощи атрибутов доступа системы Secret Net. Привилегия применима |
|
только для пользователей. |
Без ограничений по |
Разрешается работа без ограничений, задаваемых следующими параметрами: |
настройкам |
• Доступ к файловым серверам только из списка3; |
|
• Запрет работы при изъятии аппаратной поддержки и изменении конфигурации; |
|
• Запрет работы при нарушении целостности; |
|
• Ограничения, установленные в Policy (ограничения Windows 2000). |
|
Привилегия может быть предоставлена только пользователям, но не группам |
|
пользователей. |
Архивирование файлов |
Разрешается архивировать файлы на диске, несмотря на то, что их владельцем |
и каталогов |
является другой пользователь. |
Восстановление файлов |
Разрешается восстанавливать файлы и каталоги, а также любые корректные SID |
и каталогов |
пользователя и группы пользователей. Эта привилегия имеет приоритет над пра- |
|
вами доступа, установленными для файлов, каталогов и других объектов. |
Синхронизация данных |
Разрешается синхронизация данных службы каталогов. В данной версии системы |
службы каталогов |
Secret Net 2000 не используется. |
3 Вданнойверсиинереализовано.
124
Приложение
Табл. 6. Группа привилегий "Настройки системы" |
||
|
|
|
|
Привилегии |
Пояснения |
|
Загрузка и выгрузка драйверов устройств |
Разрешается загружать и выгружать драйверы устройств. |
|
Профилирование загруженности системы |
Разрешается получать информацию о загруженности системы. |
|
Профилирование одного процесса |
Разрешается получать информацию о процессе. |
|
Увеличение приоритета диспетчеризации |
Разрешается управлять приоритетом процесса. |
|
Изменение параметров среды |
Разрешается модифицировать содержимое переменных сис- |
|
оборудования |
темного окружения. |
Табл. 7. Группа привилегий "Специальные возможности"
Привилегии |
Пояснения |
Создание маркерного объекта |
Программам, запущенным пользователем, разрешается создавать мар- |
|
керы доступа. |
Замена маркера уровня процесса |
Программам, запущенным пользователем, разрешается модифициро- |
|
вать маркеры доступа процессов. |
Закрепление страниц в памяти |
Программам, запущенным пользователем, разрешается закреплять |
|
страницы памяти так, чтобы они не вытеснялись в файл подкачки стра- |
|
ниц (PAGEFILE.SYS). |
Увеличение квот |
Зарезервирована для использования в следующих версиях Windows. |
Работа в режиме операционной |
Позволяет функционировать программе, запущенной пользователем, как |
системы |
части операционной системы. |
Создание страничного файла |
Зарезервирована для использования в следующих версиях Windows. |
Создание постоянных объектов |
Разрешается создавать специальные постоянные объекты, такие как |
совместного использования |
\\Device, применяемые Windows 2000. |
Отладка программ |
Разрешается низкоуровневая отладка программ, например, отладка та- |
|
ких объектов, как потоки (threads). |
Генерация событий аудита |
Программам, запущенным пользователем, разрешается добавлять запи- |
|
си в журнал безопасности Windows 2000. |
Разрешение доверия к учетным |
Разрешено доверие к учетным записям при делегировании. |
записям при делегировании |
|
Табл. 8. Группа привилегий "Управление системой"
Привилегии |
Пояснения |
Управление аудитом и журналом |
Идентифицирует пользователя как Security Operator. Позволяет получить |
безопасности |
доступ к журналу безопасности и разрешает настраивать параметры ау- |
|
дита для файлов, каталогов и других объектов. |
Овладение файлами и иными |
Разрешается вступать во владение файлами, каталогами, принтерами и |
объектами |
другими объектами на компьютере. |
Изменение системного времени |
Разрешается изменять параметры часов компьютера. Отображается так- |
|
же в диалоге "Запреты". |
Завершение работы системы |
Разрешается локально завершать работу ОС Windows 2000 на компьюте- |
|
ре. |
Удаленное завершение работы |
Разрешается завершать работу Windows 2000 с удаленного компьютера. |
системы |
|
Добавление рабочих станций |
Разрешается добавлять рабочие станции к домену. |
Извлечение компьютера из |
Разрешено извлекать компьютер из стыковочного узла. |
стыковочного узла |
|
125
Secret Net 2000. Автономный вариант. Руководство по администрированию
Привилегии на администрирование системы
Табл. 9. Группа привилегий "Параметры компьютера"
Привилегии |
Пояснения |
Нет доступа |
Запрещается вызывать диалог "Настройки Secret Net" |
Только просмотр |
Разрешается вызывать диалог "Настройки Secret Net" и просматривать все парамет- |
|
ры компьютера |
Просмотр и изменение |
Разрешается вызывать диалог "Настройки Secret Net" и просматривать все настрой- |
(уровень 1) |
ки компьютера. Разрешается изменять следующие настройки: |
|
• Отображение имени предыдущего пользователя при входе в систему; |
|
• Количество попыток неправильного ввода имени (пароля); |
|
• Максимальный срок действия пароля; |
|
• Минимальный срок действия пароля; |
|
• Минимальное количество символов в пароле; |
|
• Количество хранимых старых паролей; |
|
• Необходимость входа в систему для смены пароля; |
|
• Параметры журнала безопасности; |
|
• Количество повторов при затирании данных; |
|
• Дополнительная информация о компьютере. |
Просмотр и изменение |
Разрешается вызывать окно "Настройки Secret Net", просматривать и изменять лю- |
(уровень 2) |
бые параметры компьютера, доступные для локального управления. |
Табл. 10. Группа привилегий "Параметры своей работы"
Привилегии |
Пояснения |
Нет доступа |
Запрещается вызывать окно "Свойства пользователя" для просмотра параметров |
|
своей работы. |
Только просмотр |
Разрешается вызывать окно "Свойства пользователя" только для просмотра пара- |
|
метров своей работы. Запрещено вносить любые изменения. |
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все на- |
(уровень 1) |
стройки пользователя. Разрешается изменять: |
|
• Код комбинации клавиш для вызова хранителя экрана; |
|
• Интервал паузы неактивности. |
Просмотр и изменение |
Разрешается вызывать окно "Свойства пользователя" и просматривать все пара- |
(уровень 2) |
метры своей работы. Разрешается изменять дополнительно к уровню 1 имя и описа- |
|
ние данного пользователя. |
Просмотр и изменение |
Разрешается просматривать и изменять любые параметры своей работы, доступные |
(уровень 3) |
для локального управления. |
Табл. 11. Группа привилегий "Параметры работы других пользователей"
Привилегии |
Пояснения |
Нет доступа |
В списке пользователей компьютера не отображаются ярлыки с именами других |
|
пользователей. Вызов диалога "Свойства пользователя" для всех (кроме текущего) |
|
пользователей компьютера, запрещен. |
Только просмотр |
Разрешается вызывать диалог "Свойства пользователя" для просмотра параметров |
|
работы любого другого (кроме текущего) пользователя компьютера. |
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все |
(уровень 1) |
настройки пользователя. Разрешается изменять следующие настройки: |
|
• Код комбинации клавиш для вызова хранителя экрана; |
|
• Интервал паузы неактивности. |
Просмотр и изменение |
Разрешается вызывать окно "Свойства пользователя" для просмотра параметров |
(уровень 2) |
работы любого другого (кроме текущего) пользователя компьютера. Разрешается |
|
изменять дополнительно к уровню 1 имя и описание пользователя. |
Просмотр и изменение |
Разрешаетсявызыватьокно"Свойствапользователя", просматриватьиизменятьлюбые |
(уровень 3) |
параметрыработыдругихпользователей, доступныедлялокальногоуправления. |
126
|
|
Приложение |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
Табл. 12. Группа привилегий "Категории конфиденциальности ресурсов" |
||||||||
|
|
|
|
|
|
|
|
|
|
|
Привилегии |
|
|
|
|
|
|
Пояснения |
|
|
Нет доступа |
|
Запрещается просматривать категории конфиденциальности файлов и каталогов. |
|
|||||
|
Просмотр |
|
Разрешается просматривать категории конфиденциальности файлов и каталогов. |
|
|||||
|
Просмотр и |
|
Разрешается просматривать и изменять категории конфиденциальности файлов (только в |
|
|||||
|
засекречивание |
|
сторону повышения уровня). |
|
|||||
|
Полный доступ |
|
Разрешается выполнять все операции: просматривать, устанавливать, изменять и снимать |
|
|||||
|
|
|
|
категории конфиденциальности файлов и каталогов. |
|
||||
|
Табл. 13. Группа привилегий "Журнал безопасности" |
||||||||
|
|
|
|
|
|
|
|
||
|
Привилегии |
|
|
|
|
Пояснения |
|
||
|
Нет доступа |
|
|
Запрещается просматривать содержание журнала безопасности. |
|
||||
|
Только просмотр |
|
|
Разрешается только просматривать содержание журнала безопасности. |
|
||||
|
Просмотр, печать, |
Разрешается просматривать содержание, выводить на печать и преобразовывать в |
|
||||||
|
экспорт |
|
|
файл содержание журнала безопасности. |
|
||||
|
Полный доступ |
|
|
Разрешаются все операции с журналом безопасности: просмотр, внесение изменений, |
|
||||
|
|
|
удаление содержимого журнала, печать и экспорт. |
|
|||||
|
|
|
|
|
|
|
|||
|
Табл. 14. Группа привилегий "Пользователи и группы пользователей" |
||||||||
|
|
|
|
|
|||||
|
Привилегии |
|
Пояснения |
|
|||||
|
Создание пользователей / групп |
Разрешается создавать пользователей или группы пользователей. |
|
||||||
|
|
|
|
|
|||||
|
Удаление пользователей / групп |
Разрешается удалять пользователей или группы пользователей. |
|
||||||
|
|
|
|
|
|||||
|
Изменение групп пользователей |
Разрешается изменять название и дополнительную информацию о группе |
|
||||||
|
|
|
|
|
|
|
|
пользователей, управлять составом группы пользователей. |
|
|
Табл. 15. Группа привилегий "Система защиты" |
||||||||
|
|
|
|
||||||
|
Привилегии |
|
Пояснения |
|
|||||
|
Переустановка системы |
Разрешается выполнять переустановку системы Secret Net 2000 на компьютере. |
|
||||||
|
Удаление системы |
|
|
|
Разрешается выполнять полное удаление системы Secret Net 2000 с компьютера. |
|
127