- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Система Secret Net. Руководство по администрированию. Книга первая
Для просмотра свойств пользователя:
1. В окне программы Проводник выберите папку "Пользователи", входящую в со-
|
став пространства имен MP-RAS. В правой или левой части окна программы |
||
|
Проводник выберите объект "Пользователь", свойства которого Вы хотите про- |
||
|
смотреть, и выполните команду “Свойства”. |
||
|
На экране появится диалоговое окно для просмотра свойств пользователя. |
||
См. также: |
|
|
Имя, под которым пользователь |
Информация об |
|
|
|
|
|
зарегистрирован на сервере |
|
отдельных элементах |
|
|
и в пространстве имен MP-RAS |
диалога (назначении и |
|
|
|
особенностях |
|
|
Поле для дополнительной |
использования) |
|
|
|
содержится в |
|
|
информации о пользователе |
справочной системе. |
|
|
Название группы пользователей, |
|
|
|
|
|
|
|
зарегистрированных на сервере |
|
|
|
MP-RAS, являющейся основной |
Полный путь на |
|
|
для данного пользователя |
|
|
Полный путь на сервере MP-RAS к |
|
сервере MP-RAS к |
|
|
|
исполняемому файлу |
|
|
каталогу, владельцем которого |
интерпретатора |
|
|
является данный пользователь, и |
командной строки |
|
|
получает права полного доступа к |
|
|
|
его содержимому |
|
|
|
В пространстве имен MP-RAS |
|
|
|
свойства пользователя с помощью |
|
|
|
шаблонов не настраиваются (поле |
|
|
|
всегда содержит значение <нет>) |
|
Рис. 14. Окно просмотра свойств пользователя (MP-RAS) |
||
|
Средства централизованного управления системы Secret Net не позволяют из- |
||
|
менять свойства пользователей пространства имен MP-RAS, поэтому все поля |
||
|
диалогов этого окна доступны только для просмотра. |
2.Просмотрите интересующие Вас свойства.
Поле "Командный интерпретатор". Здесь отображается полный путь к исполняемому файлу интерпретатора командной строки, находящемуся на сервере MP-RAS. При работе пользователя с сервером все команды, вводимые им в командной строке, будут обрабатываться указанной программой-интерпретатором. Список доступных интерпретаторов содержится в конфигурационном файле /etc/inet/shells (см. диалог "Конфигурация" в окне настройки свойств сервера MP-RAS).
Учетная запись. Описание информации, содержащейся в диалоге "Учетная запись" можно найти на стр. 130.
3.Нажмите кнопку "OK" или "Отмена" для завершения работы с диалоговым окном.
Группы пользователей
|
В каждом пространстве имен имеются свои особенности управления группами |
|
пользователей. |
Windows 9х |
В пространстве имен Windows 9х при создании группы пользователей автоматически |
|
устанавливаются ее связи со всеми компьютерами этого пространства имен (связи |
|
создаются автоматически и при регистрации компьютеров). |
46
|
Глава 3. Управление с использованием объектов нижнего уровня |
|
|
|
В состав группы пользователей может быть включен (или исключен) любой пользова- |
|
тель из этого пространства имен. Права доступа пользователя к ресурсам определя- |
|
ются атрибутами Secret Net, установленными на ресурсы для группы владельцев. |
Windows NT |
Группы, создаваемые в пространстве имен Windows NT, являются глобальными (в |
|
значении, принятом в ОС Windows NT). Глобальные группы используются для объе- |
|
динения пользователей. Сами глобальные группы не обладают свойствами (правами |
|
и привилегиями), которые могли бы быть переданы пользователям, включенным в эти |
|
группы. Эти права и привилегии назначаются пользователям, после включения гло- |
|
бальной группы в состав локальной. |
MP-RAS |
В пространстве имен MP-RAS возможно только получить информацию о составе и |
|
свойствах группы пользователей. Средства управления системы защиты не |
|
позволяют создавать, удалять, изменять свойства и управлять связями групп поль- |
|
зователей. Эти операции осуществляются с помощью средств администрирования |
|
сервера MP-RAS (см. эксплуатационную документацию сервера MP-RAS), а инфор- |
|
мация об них выполнении поступает на сервер безопасности и помещается в жур- |
|
нал событий. |
Управление составом
Для просмотра перечня групп пользователей:
В окне программы Проводник откройте папку нужного пространства имен, выберите в ней папку "Группы пользователей". В правой части окна программы Проводник отобразится список групп пользователей, зарегистрированных в этом пространстве имен.
Для создания новой группы пользователей:
1. В окне программы Проводник вызовите контекстное меню папки "Группы пользователей", входящей в состав нужного пространства имен, и активизируйте команду “Создать”.
На экране появится диалог для ввода имени группы пользователей и поясняющего описания.
2.Введите имя новой группы пользователей и поясняющее описание.
Общие требования к имени группы: название группы должно быть уникальным в данном пространстве имен и не должно превышать 20 символов.
Требования в Windows 9х: название группы пользователей может состоять только из латинских символов, цифр и служебных символов (символы латинской раскладки клавиатуры) и не должно содержать символов "пробел".
Требования в Windows NT: название глобальной группы может содержать символы кириллицы, латинские символы, цифры, символы ‘пробел’ и служебные символы (за исключением: ).
3.Нажмите кнопку "OK".
В список групп пользователей добавится новый объект.
Для удаления группы пользователей:
1. В окне программы Проводник откройте папку "Группы пользователей" нужного пространства имен, выберите ярлык удаляемого объекта и выполните команду “Удалить”.
Совет. Для удаления из списка нескольких объектов одновременно предварительно выделите их, используя совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).
47
|
Система Secret Net. Руководство по администрированию. Книга первая |
|
|
|
В результате этих действий на экране появится запрос на удаление. |
|
|
|
|
2. |
Нажмите кнопку "Да". |
|
Выбранные объекты будут удалены из списка групп данного пространства имен. |
|
|
|
|
NT |
В пространстве имен Windows NT существуют встроенные (Build-in) группы пользователей, удале- |
|
ние которых запрещено. Для таких групп команда "Удалить" недоступна. |
||
|
Для переименования группы пользователей: |
|
|
1. В окне программы Проводник, откройте папку "Группы пользователей" нужного |
|
|
|
пространства имен, выберите ярлык группы и выполните команду “Свойства”. |
|
|
На экране появится диалог для просмотра и редактирования имени и описания |
|
|
группы пользователей. |
|
2. |
Измените название ранее созданной группы пользователей или дополнитель- |
|
|
ные сведения о ней. |
|
3. |
Нажмите кнопку "OK для принятия изменений. |
Управление связями
В состав группы пользователей, зарегистрированной в пространстве имен, может быть включен (или исключен) любой пользователь из этого пространства имен.
Связь группы пользователей может быть установлена со следующими объектами:
Объект |
Содержание связи |
См. |
Пользователь |
При создании связи пользователь включается в группу поль- |
стр. 49 |
|
зователей. В пространстве имен Windows 9х пользователь |
|
|
получает права доступа к файловым ресурсам, которыми на- |
|
|
делена группа. В пространстве имен Windows NT пользова- |
|
|
тель получает права и привилегии, предоставленные |
|
|
глобальной группе непосредственно или наследуемые гло- |
|
|
бальной группой от локальных групп |
|
Компьютер |
При создании связи с компьютером выполняется регистрация |
стр. 49 |
|
группы пользователей на компьютере. |
|
|
В пространстве имен Windows 9х при создании группы поль- |
|
|
зователей автоматически устанавливаются ее связи со всеми |
|
|
компьютерами этого пространства имен |
|
Для просмотра связей группы пользователей:
В левой части окна программы Проводник откройте папку нужного пространства имен, а в ней – папку "Группы пользователей". Найдите и выберите ярлык интересующей группы пользователей. В правой части окна Проводника отобразится список ярлыков-ссылок на объекты, с которыми связана данная группа.
Для создания связей с другими объектами:
В окне программы Проводник установите связь между объектами методом Drag- and-Drop или копированием через буфер обмена (см. стр. 216).
Особенности в пространстве имен Windows 9х. Все группы пользователей пространства имен Windows 9х по умолчанию зарегистрированы на всех компьютерах этого пространства имен. Связи между объектами "Группа пользователей" и "Компьютер" устанавливаются автоматически, как при создании новой группы, так и при регистрации компьютеров в пространстве имен Windows 9х. Связь объектов "Группа пользователей" и "Компьютер" не может быть удалена “вручную”. Связь будет удалена только при удалении группы пользователей или компьютера.
48
Глава 3. Управление с использованием объектов нижнего уровня
Особенности в пространстве имен MP-RAS. Средства централизованного управления системы Secret Net не позволяют в пространстве имен MP-RAS вручную устанавливать и удалять связи между объектами нижнего уровня. Эти операции осуществляются с помощью средств администрирования сервера MP-RAS (см. эксплуатационную документацию сервера).
Связь с пользователями
Windows NT |
При создании связи пользователь включается в группу пользователей и приобрета- |
|
ет права и привилегии, которыми обладает группа. |
|
Для создания связи пользователя с группой: |
|
В окне программы Проводник установите связь между объектами методом Drag- |
|
and-Drop или копированием через буфер обмена (см. стр. 216). |
Связь с компьютерами
Управление свойствами связи с компьютером
Только в пространстве имен Windows NT связь между объектами “Группа пользователей” и “Компьютер” обладает свойствами, которые соответствуют привилегиям Windows NT (см. приложение, стр. 207). Этими свойствами наделяется глобальная группа пользователей на данном компьютере и, соответственно, все пользователи, входящие в эту группу.
После того, как установлена и подтверждена связь между объектами “Группа пользователей” и “Компьютер” на экране появится диалог:
Список всех привилегий
Windows NT,
которые могут быть предоставлены глобальной группе
Таблица содержит список локальных групп компьютера, в состав которых включена данная глобальная группа
Отметка на сером фоне указывает, что данная индивидуальная привилегия предоставлена глобальной группе как члену локальной группы (иначе говоря, наследуется от локальной группы). Название локальной группы появляется во всплывающей подсказке
Имеется возможность управления списком локальных групп и их свойствами непосредственно из этого диалога.
Управляющие команды вызываются из контекстного меню
Рис. 15. Управление привилегиями глобальной группы
Для непосредственного предоставления привилегий:
1. Предоставьте необходимые привилегии глобальной группе на компьютере.
Для этого выберите в левой части окна программы Проводник один из этих объектов. В правой части окна отобразится список ярлыков-ссылок на объекты, с которыми связан выбранный объект. Вызовете контекстное меню для ярлыкассылки на группу или компьютер и активизируйте команду “Свойства”.
49
Система Secret Net. Руководство по администрированию. Книга первая
На экране появится окно настройки свойств связи группы с компьютером
(см. Рис. 15).
2.Настройте привилегии глобальной группы. Назначение каждой привилегии разъясняется в приложении (см. стр. 207).
Предоставить глобальной группе привилегии можно следующими способами:
•Индивидуальный выбор привилегий. Для предоставления привилегии ус-
тановите отметку в поле рядом с ее названием. Чтобы отменить привилегию – удалите отметку.
Отменить привилегию, которую глобальная группа наследует от локальной группы, можно только исключив глобальную группу из состава этой локальной группы (см. стр. 51).
•Групповой выбор привилегий. Если несколько раз нажать на поле рядом с названием группы привилегий, то последовательно будут меняться ее состояния, которые означают:
отключены все привилегии, входящие в группу;
включены все привилегии, входящие в группу;
включены ранее отмеченные привилегии, входящие в группу.
3.Нажмите кнопку "OK".
Все внесенные изменения вступят в силу, а диалог закроется.
Если нужно принять новые значения параметров и не закрывать окно настроек – нажмите кнопку "Применить". Если нужно закрыть окно и отказаться от сохранения внесенных изменений – нажмите кнопку "Отмена".
Для предоставления привилегий через локальную группу:
1. В таблице со списком локальных групп вызовите контекстное меню и активизируйте команду “Добавить” (см. Рис. 15).
На экране появится диалог для выбора локальной группы:
Список локальных групп компьютера. Список содержит только те локальные группы, в которые глобальная группа еще не включена
2.Выберите из списка локальных групп данного компьютера группы, в состав которых Вы хотите включить глобальную группу.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).
3.Выбрав группы, нажмите кнопку "OK".
50