Secret Net 2000. Автономный вариант. Руководство по администрированию
Запреты и ограничения
Табл. 16. Параметры диалога "Компьютер"
|
Параметр |
|
Эффект включения параметра |
|
|
Вход пользователя в систему |
|
Дополнительные меры защиты на этапе входа пользователя в систему. |
|
Запрет кэширования информации |
Запрещает хранить в кэшированном виде информацию об именах и паролях |
|||
о пользователе |
последних десяти пользователей, входивших в систему. Хранение этой ин- |
|||
|
|
|
формации обеспечивает возможность входа в систему данных пользовате- |
|
|
|
|
лей при отсутствии основного и резервных контроллеров домена. |
|
Выключение компьютера только |
Запрещает использовать для выключения компьютера кнопку "Выключить…" |
|||
вошедшим пользователем |
в диалоге "Вход в систему". В этих условиях выключить компьютер с помо- |
|||
|
|
|
щью стандартной процедуры сможет только пользователь, осуществивший |
|
|
|
|
вход в систему. |
|
Не выдавать имя последнего вхо- |
Запрещает отображать в диалоге "Вход в систему" имя последнего рабо- |
|||
дящего пользователя |
тавшего на компьютере пользователя. Отображение этого имени упрощает |
|||
|
|
|
процедуру регистрации, при условии, что на компьютере, как правило, рабо- |
|
|
|
|
тает один и тот же пользователь. |
|
|
Уровень аутентификации |
|
Увеличение строгости аутентификации доступа к основному (резервному) |
|
|
пользователя |
|
контроллеру домена. |
|
Использовать только |
Разрешено использовать для аутентификации только LM (Lan Manager) и |
|||
LM и NTLM |
NTLM (MS Windows Lan Manager) протоколы. Запрещено использовать про- |
|||
|
|
|
токол NTLM версии 2. |
|
Использовать |
Разрешено использовать для аутентификации протоколы LM и NTLM. До- |
|||
LM, NTLM и NTLMv2 |
пустимо использование протокола NTLM версии 2, если он поддерживается |
|||
|
|
|
и сервером, и клиентом. |
|
Требовать использования NTLM |
Разрешено использовать при подключении к серверу только NTLM аутенти- |
|||
|
|
|
фикацию. |
|
Требовать использования NTLMv2 |
Разрешено использовать при подключении к серверу только аутентифика- |
|||
|
|
|
цию NTLM версии 2. |
|
Отвергать LM аутентификацию |
Контроллер домена будет отвергать клиентов, использующих аутентифика- |
|||
|
|
|
цию LM. |
|
Отвергать NTLM аутентификацию |
Контроллер домена будет отвергать клиентов, использующих LM и NTLM ау- |
|||
|
|
|
тентификацию. Разрешено использовать только аутентификацию NTLM вер- |
|
|
|
|
сии 2. |
|
|
Замкнутая среда |
|
Усиление контроля в режиме замкнутой среды. |
|
Контролировать загрузку только |
В текущей реализации системы Secret Net 2000 не используется. |
|||
NE-файлов |
|
|
||
Контролироватьвладельцафайлана |
Подсистема замкнутой среды проверяет корректность владельца программы |
|||
|
санкционированность |
из UEL-списка перед ее запуском. Корректным владельцем считается ло- |
||
|
|
|
кальная группа администраторов компьютера. |
|
|
Внешние носители |
|
Ограничение допуска системных процессов и пользователей других компью- |
|
|
|
|
теров к работе с гибкими дисками и компакт-дисками. |
|
Ограничение использования гиб- |
Ограничение допуска системных процессов и пользователей других компью- |
|||
ких дисков |
теров к работе с гибкими дисками. |
|||
Ограничение использования |
Ограничение допуска системных процессов и пользователей других компью- |
|||
CD-ROM |
теров к работе с компакт-дисками. |
|||
|
Подсистемы Windows 2000 |
|
Дополнительные меры защиты от использования на компьютере подсистем |
|
|
|
|
Windows 2000, не обеспечивающих должного уровня защиты. |
|
Запрет использования POSIX |
Запрещено использовать подсистему POSIX. |
|||
Запрет использования OS/2 |
Запрещено использовать подсистему OS/2. |
|||
|
Дополнительный аудит |
|
Усиление защиты за счет расширения событий аудита и ограничения досту- |
|
|
|
|
па к регистрируемой информации. |
|
Полный аудит привилегий |
В журнале безопасности регистрируются события, связанные с использова- |
|||
|
|
|
нием привилегий "Архивирование файлов и каталогов" и "Восстановление |
|
|
|
|
файлов и каталогов". |
|
128
Приложение
Параметр |
Эффект включения параметра |
Аудит основных объектов |
В журнале безопасности регистрируются события, связанные с обращением |
|
к основным объектам ОС Windows 2000. Основные объекты – это специаль- |
|
ные объекты, отличные от файлов, принтеров и ключей системного реестра |
|
Windows 2000, скрытые от обычного пользователя, но доступные програм- |
|
мам. |
Ограничение доступа к журналу |
Просмотр журнала разрешен только пользователям, обладающим правами |
безопасности |
"Управление аудитом и журналом безопасности". Иначе журнал безопасно- |
|
сти Windows 2000 смогут просматривать пользователи с правами гостя и |
|
пользователи, не прошедшие идентификацию. |
Разграничение доступа к |
Усиление контроля в режиме разграничения доступа к дискам и портам. |
устройствам |
|
Запрет доступа к дискам |
Анонимно подключившемуся к компьютеру пользователю запрещается дос- |
анонимным пользователям |
туп к локальным дискам и портам. |
Другие |
Дополнительные параметры защиты, не относящиеся к предыдущим груп- |
|
пам. |
Блокировка при переполнении |
Предотвращает потерю зарегистрированных в журнале безопасности в слу- |
журнала безопасности |
чае его переполнения. Переполнение журнала приводит к аварийному за- |
|
вершению работы компьютера. |
Строгая защита совместно исполь- |
Управлять внутренними объектами Windows 2000 может только пользова- |
зуемых объектов |
тель с правами администратора. |
Запрет просмотра имен ресурсов |
Анонимно подключившийся к компьютеру пользователь не может просмот- |
анонимным пользователем |
реть имена пользователей в домене и получить имена ресурсов, доступных |
|
для совместного использования. |
Затирание файла подкачки стра- |
Информация, содержащаяся в файле подкачки, который применяется для |
ниц при выключении |
организации виртуальной памяти в Windows 2000, будет защищена от про- |
|
смотра после перезагрузки. |
Запрет создания скрытых доступ- |
Запрет создания скрытых административных совместно используемых ре- |
ных дисков |
сурсов (C$, D$, E$, и т.д.). |
Табл. 17. Запреты на работу пользователя в Windows 2000
Параметр |
Эффект включения параметра |
Windows |
|
Запрет редактирования реестра |
Запрещается вызывать редактор системного реестра. |
Запрет работы с Диспетчером задач |
Запрещается вызывать диалог "Диспетчер задач" |
Сеть |
|
Запрет отображения папки "Сетевое окружение" |
Запрещается показывать папку "Сетевое окружение". |
Запрет отображения всей сети в папке "Сетевое |
Запрещается доступ к сети в папке "Сетевое окружение". |
окружение" |
|
Запрет отображения домена (группы) в папке |
Запрещается показывать домены (группы) в папке "Сетевое |
"Сетевое окружение" |
окружение". При просмотре сетевого окружения, пользователь |
|
сможет увидеть только те рабочие станции, которые входят в |
|
рабочую группу компьютера. |
Проводник |
|
Запрет команды "Выполнить" |
Запрещается показывать команду "Выполнить" в главном ме- |
|
ню Windows. |
Запрет команды "Завершение работы" |
Запрещается показывать команду "Завершение работы" в |
|
главном меню Windows. |
Запрет установки параметров Панели задач |
Запрещается вызывать диалог управления параметрами па- |
|
нели задач. |
Запрет поиска |
Запрещается вызывать диалог "Найти". |
Запрет объектов на рабочем столе |
Запрещается показывать ярлыки рабочего стола. |
Запрет сохранения сделанных изменений |
Запрещается сохранять изменения настроек графической обо- |
|
лочки. |
Запрет управления доступом к файлам компью- |
Запрещается показывать меню "Файл" в окне программы "Про- |
тера |
водник". |
129
Secret Net 2000. Автономный вариант. Руководство по администрированию
Параметр |
Эффект включения параметра |
Запрет использования непроверенных расшире- |
Запрещается использовать непроверенные расширения гра- |
ний |
фической оболочки. |
Запрет отображения общих групп программ |
Запрещается показывать в главном меню Windows общие для |
|
всех пользователей группы программ. |
Запрет отображения контекстных меню в Панели |
Запрещается вызов контекстного меню Панели задач и контек- |
задач |
стных меню для любого объекта, размещенного на Панели за- |
|
дач. |
Запрет отображения контекстных меню в MS- |
Запрещается вызывать контекстное меню любого объекта в |
Explorer |
окне программы "Проводник" (Explorer). |
Экран |
|
Запрет диалога "Настройки экрана" |
Запрещается показывать диалог "Настройка экрана" в окне |
|
управления свойствами экрана. |
Запрет диалога "Фон" |
Запрещается показывать диалог "Фон" в окне управления |
|
свойствами экрана. |
Запрет диалога "Оформление" |
Запрещается показывать диалог "Оформление" в окне управ- |
|
ления свойствами экрана. |
Запрет диалога "Заставка" |
Запрещается показывать диалог "Заставка" в окне управления |
|
свойствами экрана. |
Запрет диалога "Параметры" |
Запрещается показывать диалог "Параметры" в окне управле- |
|
ния свойствами экрана. |
130
|
Приложение |
|
|
Формат UEL-файла |
|
Секции |
UEL-файл представляет собой список программ, разрешенных или запрещенных |
|
пользователю для исполнения. UEL-файл является структурированным текстовым |
|
файлом (в кодировке ANSI), состоящим из нескольких секций. |
[Information] – секция общего описания. Данная секция содержит информацию описательного характера и рассматривается подсистемой замкнутой среды как комментарий. Здесь могут быть сведения:
•о принадлежности UEL-файла (имя пользователя и название компьютера, к которым относится данный файл);
•об изменениях UEL-файла (дата, время, причина изменений, режим внесения изменений – ручной/автоматический, а в случае ручного режима – имя пользователя, произведшего изменения).
[Tasks] – секция описания задач. Данная секция в автономном варианте системы
Secret Net 2000 не используется.
[Auto] – секция автоматической корректировки. Здесь размещается информация об исполняемых файлах, составляющих замкнутую программную среду, добавленных при автоматическом формировании списка на основании записей журнала безопасности и при автоматической корректировке UEL-списка.
Для данного раздела разрешено ограниченное ручное изменение:
Разрешается: |
Запрещается: |
||
• |
удалять строку целиком; |
• |
ручное добавление записей; |
• |
комментировать записи; |
• |
корректировать пути в записях. |
•вставлять или удалять префикс из первой позиции строки.
|
[Manual] – секция ручной корректировки. В данную секцию разрешено добавлять |
|
|
записи вручную. Первоначально в этой секции размещается UEL-список, сформи- |
|
|
рованный системой защиты по умолчанию. |
|
Формат строк |
Секции [Auto] и [Manual] содержит строки, разрешающие или запрещающие запуск |
|
|
программ на исполнение. Строки в этих секциях могут быть двух видов: |
|
|
• Комментарий. Строка комментария начинается с символа ";" (точка с запятой). |
|
|
Такие строки игнорируются подсистемой замкнутой программной среды. |
|
|
• Значащая строка. Такая строка содержит путь к исполняемым файлам. Пе- |
|
|
ред указанием пути может быть один или несколько префиксов. |
|
Префиксы |
Префикс добавляется в первую позицию строки и указывает на способ ее обработки. |
|
|
Префикс |
Назначение |
!Путь, следующий за данным префиксом, указывает на модули, запрещенные для запуска. Данный префикс может использоваться с любым путем (путь к файлу, путь к каталогу, маска файлов).
+Префикс может стоять только перед именем каталога. Указывает на рекурсивный режим обработки для данного каталога. Если перед именем каталога не указан префикс, то по умолчанию используется рекурсивный режим обработки.
–Префикс, противоположный предыдущему. Т.е. указывает на отсутствие рекурсивной обработки для каталога.
131
Пути к исполняемым файлам
Цветовая индикация строк UEL-файла
Правила
устранения
противоречий
Secret Net 2000. Автономный вариант. Руководство по администрированию
Пути к исполняемым файлам могут быть указаны в виде:
•Полного пути к исполняемому файлу.
•Полного пути к каталогу, содержащему файлы. При записи в UEL имя каталога должно заканчиваться символом "\" (например: c:\tools\). Если перед таким путем нет префикса, указывающего режим обработки, то для данного каталога должен применяться рекурсивный режим (т.е. обрабатываются и вложенные каталоги). Путь к сетевым каталогам и файлам начинается с символов: “\\”.
•Маски файлов для имен файлов. Допускается использование символов " " (0x2A) и "?" (0x3F). Символ " " соответствует любой последовательности символов. Символ "?" соответствует одному любому символу, в случае, если после последовательности из одного или более "?" стоит значимый символ. Если после последовательности из одного или более "?" значимого символа нет, то "?" означает "один любой символ или отсутствие символа". Эти правила применимы как к имени, так и к расширению. Если имя файла содержит " " или "?", а расширение не задано, то считается, что расширение равно " ". Не допускается использование Windows-масок, т.е. масок типа fi e.txt.
За основными элементами UEL-файла, а также ошибочными элементами закреплены следующие цветовые индикаторы:
Цвет символов: |
Используется для выделения основных элементов: |
Темно-синий |
Названия секций |
Серый (50%) |
Комментарии и содержимое секции [Information] |
Черный |
Путь к файлам |
Сине-зеленый |
Путь к каталогам и файлам, заданным с помощью масок |
Зеленый |
Путь к сетевым каталогам и файлам |
|
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования масок), ко- |
|
торые не обнаружены на локальном диске компьютера или являются |
|
некорректными строками (т.е. строками с некорректным описанием |
|
ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), атрибуты дос- |
|
тупа к которым не соответствуют требованиям замкнутой среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в других |
|
секциях данного файла |
Если в UEL-списке есть строки, противоречащие друг другу, то для разрешения конфликтов используются следующие правила:
Конфликтная ситуация: |
Правило устранения: |
В списке есть одинаковые |
Явно указанный запрет запуска (т.е. строка с префиксом "!") |
строки с префиксом "!" |
имеет более высокий приоритет |
и строки без префикса |
|
В списке есть одинаковые |
Рекурсивный режим (префикс "+" или отсутствие префикса, |
строки с префиксом "+" |
управляющего рекурсивным режимом) имеет более высо- |
(или без префикса) |
кий приоритет. |
и строки с префиксом "–" |
|
Некорректные Если в UEL-файле есть строки с некорректной комбинацией префиксов (одновре- строки менно указаны префиксы "+" или "–" перед именем файла или каталога), такие стро-
ки считаются некорректными, выделяются цветом и исключаются из обработки подсистемой замкнутой среды.
132