Secret Net 2000. Автономный вариант. Руководство по администрированию
Привилегии пользователя
Привилегии на работу в системе
Табл. 3. Группа привилегий "Вход в систему"
Привилегии |
Пояснения |
Вход в систему локально |
Разрешается доступ к компьютеру локально (интерактивный вход). |
Доступ к этому компьютеру по сети |
Разрешается доступ к компьютеру по сети (вход по сети). |
Вход в систему как сервис |
Разрешается запускать сервисы под именем пользователя. |
Вход в систему как пакетный файл |
Разрешается доступ к компьютеру с помощью специального пакетного |
|
файла. В Windows 2000 не используется. |
Табл. 4. Группа "Ограничения на вход в систему"
Привилегии |
Пояснения |
Отклонить локальный вход |
Запрещается локальный вход в систему. |
Отказ в доступе к компьютеру из сети |
Запрещается доступ к компьютеру по сети. |
Отказ во входе в качестве пакетного задания |
Запрещается вход в систему в качестве пакетного задания. |
Отказать во входе в качестве службы |
Запрещается вход в систему в качестве службы. |
Примечание. Каждая из привилегий данной группы имеет более высокий приоритет по сравнению с соответствующей привилегией группы "Вход в систему" (табл. 4). Если пользователь включен в состав группы, для которой установлены привилегии "Вход в систему", чтобы отменить любую из них только у этого пользователя, не затрагивая общих настроек для группы, можно использовать привилегии "Ограничения на вход в систему". Для этого необходимо в настройках свойств пользователя в диалоге "Привилегии" открыть группу "Ограничения на вход в систему" и установить соответствующую отметку (или отметки).
Табл. 5. Группа привилегий "Отмена ограничений"
Привилегии |
Пояснения |
Без атрибутов на |
Разрешается доступ к файлам и вложенным каталогам, невзирая на права досту- |
вышестоящих каталогах |
па, присвоенные вышестоящим каталогам. |
Без атрибутов на дисках |
Разрешается доступ к логическим дискам, невзирая на ограничения, установлен- |
|
ные при помощи атрибутов доступа системы Secret Net. Привилегия применима |
|
только для пользователей. |
Без ограничений по |
Разрешается работа без ограничений, задаваемых следующими параметрами: |
настройкам |
• Доступ к файловым серверам только из списка3; |
|
• Запрет работы при изъятии аппаратной поддержки и изменении конфигурации; |
|
• Запрет работы при нарушении целостности; |
|
• Ограничения, установленные в Policy (ограничения Windows 2000). |
|
Привилегия может быть предоставлена только пользователям, но не группам |
|
пользователей. |
Архивирование файлов |
Разрешается архивировать файлы на диске, несмотря на то, что их владельцем |
и каталогов |
является другой пользователь. |
Восстановление файлов |
Разрешается восстанавливать файлы и каталоги, а также любые корректные SID |
и каталогов |
пользователя и группы пользователей. Эта привилегия имеет приоритет над пра- |
|
вами доступа, установленными для файлов, каталогов и других объектов. |
Синхронизация данных |
Разрешается синхронизация данных службы каталогов. В данной версии системы |
службы каталогов |
Secret Net 2000 не используется. |
3 Вданнойверсиинереализовано.
124
Приложение
Табл. 6. Группа привилегий "Настройки системы" |
||
|
|
|
|
Привилегии |
Пояснения |
|
Загрузка и выгрузка драйверов устройств |
Разрешается загружать и выгружать драйверы устройств. |
|
Профилирование загруженности системы |
Разрешается получать информацию о загруженности системы. |
|
Профилирование одного процесса |
Разрешается получать информацию о процессе. |
|
Увеличение приоритета диспетчеризации |
Разрешается управлять приоритетом процесса. |
|
Изменение параметров среды |
Разрешается модифицировать содержимое переменных сис- |
|
оборудования |
темного окружения. |
Табл. 7. Группа привилегий "Специальные возможности"
Привилегии |
Пояснения |
Создание маркерного объекта |
Программам, запущенным пользователем, разрешается создавать мар- |
|
керы доступа. |
Замена маркера уровня процесса |
Программам, запущенным пользователем, разрешается модифициро- |
|
вать маркеры доступа процессов. |
Закрепление страниц в памяти |
Программам, запущенным пользователем, разрешается закреплять |
|
страницы памяти так, чтобы они не вытеснялись в файл подкачки стра- |
|
ниц (PAGEFILE.SYS). |
Увеличение квот |
Зарезервирована для использования в следующих версиях Windows. |
Работа в режиме операционной |
Позволяет функционировать программе, запущенной пользователем, как |
системы |
части операционной системы. |
Создание страничного файла |
Зарезервирована для использования в следующих версиях Windows. |
Создание постоянных объектов |
Разрешается создавать специальные постоянные объекты, такие как |
совместного использования |
\\Device, применяемые Windows 2000. |
Отладка программ |
Разрешается низкоуровневая отладка программ, например, отладка та- |
|
ких объектов, как потоки (threads). |
Генерация событий аудита |
Программам, запущенным пользователем, разрешается добавлять запи- |
|
си в журнал безопасности Windows 2000. |
Разрешение доверия к учетным |
Разрешено доверие к учетным записям при делегировании. |
записям при делегировании |
|
Табл. 8. Группа привилегий "Управление системой"
Привилегии |
Пояснения |
Управление аудитом и журналом |
Идентифицирует пользователя как Security Operator. Позволяет получить |
безопасности |
доступ к журналу безопасности и разрешает настраивать параметры ау- |
|
дита для файлов, каталогов и других объектов. |
Овладение файлами и иными |
Разрешается вступать во владение файлами, каталогами, принтерами и |
объектами |
другими объектами на компьютере. |
Изменение системного времени |
Разрешается изменять параметры часов компьютера. Отображается так- |
|
же в диалоге "Запреты". |
Завершение работы системы |
Разрешается локально завершать работу ОС Windows 2000 на компьюте- |
|
ре. |
Удаленное завершение работы |
Разрешается завершать работу Windows 2000 с удаленного компьютера. |
системы |
|
Добавление рабочих станций |
Разрешается добавлять рабочие станции к домену. |
Извлечение компьютера из |
Разрешено извлекать компьютер из стыковочного узла. |
стыковочного узла |
|
125
Secret Net 2000. Автономный вариант. Руководство по администрированию
Привилегии на администрирование системы
Табл. 9. Группа привилегий "Параметры компьютера"
Привилегии |
Пояснения |
Нет доступа |
Запрещается вызывать диалог "Настройки Secret Net" |
Только просмотр |
Разрешается вызывать диалог "Настройки Secret Net" и просматривать все парамет- |
|
ры компьютера |
Просмотр и изменение |
Разрешается вызывать диалог "Настройки Secret Net" и просматривать все настрой- |
(уровень 1) |
ки компьютера. Разрешается изменять следующие настройки: |
|
• Отображение имени предыдущего пользователя при входе в систему; |
|
• Количество попыток неправильного ввода имени (пароля); |
|
• Максимальный срок действия пароля; |
|
• Минимальный срок действия пароля; |
|
• Минимальное количество символов в пароле; |
|
• Количество хранимых старых паролей; |
|
• Необходимость входа в систему для смены пароля; |
|
• Параметры журнала безопасности; |
|
• Количество повторов при затирании данных; |
|
• Дополнительная информация о компьютере. |
Просмотр и изменение |
Разрешается вызывать окно "Настройки Secret Net", просматривать и изменять лю- |
(уровень 2) |
бые параметры компьютера, доступные для локального управления. |
Табл. 10. Группа привилегий "Параметры своей работы"
Привилегии |
Пояснения |
Нет доступа |
Запрещается вызывать окно "Свойства пользователя" для просмотра параметров |
|
своей работы. |
Только просмотр |
Разрешается вызывать окно "Свойства пользователя" только для просмотра пара- |
|
метров своей работы. Запрещено вносить любые изменения. |
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все на- |
(уровень 1) |
стройки пользователя. Разрешается изменять: |
|
• Код комбинации клавиш для вызова хранителя экрана; |
|
• Интервал паузы неактивности. |
Просмотр и изменение |
Разрешается вызывать окно "Свойства пользователя" и просматривать все пара- |
(уровень 2) |
метры своей работы. Разрешается изменять дополнительно к уровню 1 имя и описа- |
|
ние данного пользователя. |
Просмотр и изменение |
Разрешается просматривать и изменять любые параметры своей работы, доступные |
(уровень 3) |
для локального управления. |
Табл. 11. Группа привилегий "Параметры работы других пользователей"
Привилегии |
Пояснения |
Нет доступа |
В списке пользователей компьютера не отображаются ярлыки с именами других |
|
пользователей. Вызов диалога "Свойства пользователя" для всех (кроме текущего) |
|
пользователей компьютера, запрещен. |
Только просмотр |
Разрешается вызывать диалог "Свойства пользователя" для просмотра параметров |
|
работы любого другого (кроме текущего) пользователя компьютера. |
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все |
(уровень 1) |
настройки пользователя. Разрешается изменять следующие настройки: |
|
• Код комбинации клавиш для вызова хранителя экрана; |
|
• Интервал паузы неактивности. |
Просмотр и изменение |
Разрешается вызывать окно "Свойства пользователя" для просмотра параметров |
(уровень 2) |
работы любого другого (кроме текущего) пользователя компьютера. Разрешается |
|
изменять дополнительно к уровню 1 имя и описание пользователя. |
Просмотр и изменение |
Разрешаетсявызыватьокно"Свойствапользователя", просматриватьиизменятьлюбые |
(уровень 3) |
параметрыработыдругихпользователей, доступныедлялокальногоуправления. |
126
|
|
Приложение |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
Табл. 12. Группа привилегий "Категории конфиденциальности ресурсов" |
||||||||
|
|
|
|
|
|
|
|
|
|
|
Привилегии |
|
|
|
|
|
|
Пояснения |
|
|
Нет доступа |
|
Запрещается просматривать категории конфиденциальности файлов и каталогов. |
|
|||||
|
Просмотр |
|
Разрешается просматривать категории конфиденциальности файлов и каталогов. |
|
|||||
|
Просмотр и |
|
Разрешается просматривать и изменять категории конфиденциальности файлов (только в |
|
|||||
|
засекречивание |
|
сторону повышения уровня). |
|
|||||
|
Полный доступ |
|
Разрешается выполнять все операции: просматривать, устанавливать, изменять и снимать |
|
|||||
|
|
|
|
категории конфиденциальности файлов и каталогов. |
|
||||
|
Табл. 13. Группа привилегий "Журнал безопасности" |
||||||||
|
|
|
|
|
|
|
|
||
|
Привилегии |
|
|
|
|
Пояснения |
|
||
|
Нет доступа |
|
|
Запрещается просматривать содержание журнала безопасности. |
|
||||
|
Только просмотр |
|
|
Разрешается только просматривать содержание журнала безопасности. |
|
||||
|
Просмотр, печать, |
Разрешается просматривать содержание, выводить на печать и преобразовывать в |
|
||||||
|
экспорт |
|
|
файл содержание журнала безопасности. |
|
||||
|
Полный доступ |
|
|
Разрешаются все операции с журналом безопасности: просмотр, внесение изменений, |
|
||||
|
|
|
удаление содержимого журнала, печать и экспорт. |
|
|||||
|
|
|
|
|
|
|
|||
|
Табл. 14. Группа привилегий "Пользователи и группы пользователей" |
||||||||
|
|
|
|
|
|||||
|
Привилегии |
|
Пояснения |
|
|||||
|
Создание пользователей / групп |
Разрешается создавать пользователей или группы пользователей. |
|
||||||
|
|
|
|
|
|||||
|
Удаление пользователей / групп |
Разрешается удалять пользователей или группы пользователей. |
|
||||||
|
|
|
|
|
|||||
|
Изменение групп пользователей |
Разрешается изменять название и дополнительную информацию о группе |
|
||||||
|
|
|
|
|
|
|
|
пользователей, управлять составом группы пользователей. |
|
|
Табл. 15. Группа привилегий "Система защиты" |
||||||||
|
|
|
|
||||||
|
Привилегии |
|
Пояснения |
|
|||||
|
Переустановка системы |
Разрешается выполнять переустановку системы Secret Net 2000 на компьютере. |
|
||||||
|
Удаление системы |
|
|
|
Разрешается выполнять полное удаление системы Secret Net 2000 с компьютера. |
|
|||
127