- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Система Secret Net. Руководство по администрированию. Книга первая
Отмена допуска сотрудника к ресурсам задачи
В результате отмены допуска:
•пользователи, входящие в ролевые группы, теряют права доступа к ресурсам, определенные для этих групп;
•из индивидуального UEL-списка данного пользователя удаляются ресурсы, добавленные с помощью задачи, и пользователь теряет доступ к этим ресурсам.
Чтобы запретить допуск сотрудника к ресурсам задачи, надо удалить связь между объектами "Сотрудник" и "Роль":
•стандартные методы удаления связи между объектами см. на стр. 216;
•запрет допуска сотрудника к ресурсам задачи в окне настройки свойств сотрудника см. ниже.
Для удаления связи "Сотрудник–Роль" в окне настройки свойств сотрудника:
1. Вызовите на экран окно настройки свойств нужного сотрудника и перейдите к диалогу “Задачи” (Рис. 46 на стр. 108).
В списке отмечены задачи, допуск к ресурсам которых сотруднику разрешен.
2.Удалите отметку у нужной задачи.
3.Нажмите кнопку “OK”, чтобы закрыть окно настройки свойств сотрудника с сохранением заданных параметров, или кнопку “Применить”, чтобы продолжить работу в диалоговом окне.
В результате информация о данной связи будет удалена из ЦБД системы защиты, а из состава объектов – соответствующие ярлыки-ссылки.
Контроль целостности ресурсов задачи
Каждому ресурсу из списка ресурсов задачи может быть назначено соответствующее задание на контроль целостности. Процедура назначения заданий на контроль целостности включает в себя следующие операции:
•Настройка контроля целостности;
•Создание и редактирование методов контроля целостности;
•Создание и редактирование шаблонов контроля целостности.
Настройка контроля целостности ресурсов
Для настройки контроля целостности ресурсов:
1. Вызовите на экран окно настройки свойств нужной задачи и откройте диалог “Контроль целостности”.
110
Глава 5. Управление с использованием механизма задач
|
|
|
В соответствии с |
|
|
|
данным шаблоном |
|
|
|
ресурсам задачи будут |
Включает режим |
|
назначены методы |
|
|
контроля целостности |
||
тиражирования |
|
||
контрольных сумм |
|
|
|
Эталонные контрольные |
|
|
|
суммы будут рассчитаны |
|
|
|
на этом компьютере |
|
Запускает процедуру |
|
|
|||
Отображает состояние |
|
расчета эталонных |
|
|
контрольных сумм |
||
процедуры расчета и |
|
||
тиражирования |
|
|
|
контрольных сумм |
|
|
|
При наличии отметки |
|
Открывает диалог |
|
новые эталонные |
|
“Ресурсы” |
|
контрольные суммы |
|
|
|
вступают в силу только |
|
|
|
после обновления |
|
|
|
ресурсов |
|
|
|
|
|
Рис. 48. Диалог “Контроль целостности” |
|
См. также: |
2. |
В поле “Шаблон контроля целостности” выберите из раскрывающегося списка |
|
Шаблоны контроля |
|
название нужного шаблона. В соответствии с данным шаблоном ресурсам зада- |
|
целостности ресурсов |
|
чи будут назначены методы контроля целостности. |
|
задачи на стр. 105. |
3. |
Если ресурсы задачи одинаковы на всех компьютерах, можно использовать ре- |
|
|
|||
|
|
жим тиражирования контрольных сумм. В этом случае эталонные контрольные |
|
|
|
суммы вычисляются однократно для некоторой эталонной установки задачи и |
|
|
|
сохраняются в ЦБД. Полученные таким образом данные рассылаются на ос- |
|
|
|
тальные компьютеры, где используются для проверки целостности ресурсов. |
|
|
|
Чтобы включить режим тиражирования контрольных сумм, установите отметку в |
|
|
|
одноименном поле. Выберите из раскрывающегося списка эталонный компью- |
|
|
|
тер для расчета эталонных контрольных сумм. Список содержит имена компью- |
|
|
|
теров, на которых установлена данная задача. |
|
|
|
При наличии отметки в поле “Отложенное обновление контрольных сумм” вновь |
|
|
|
рассчитанные эталонные контрольные суммы используются для проведения |
|
|
|
контроля целостности ресурсов на остальных компьютерах только после обнов- |
|
|
|
ления самих ресурсов. До момента обновления используются эталонные значе- |
|
|
|
ния контрольных сумм, рассчитанные ранее. При отсутствии отметки эталонные |
|
|
|
контрольные суммы становятся актуальными сразу после их расчета и передачи |
|
|
|
на соответствующие компьютеры. |
|
|
|
Чтобы начать расчет эталонных контрольных сумм, нажмите кнопку “Рассчитать |
|
|
|
сейчас”. Процедура расчета и тиражирования будет запущена, а в поле “Со- |
|
|
|
стояние” будет отображаться ее текущее состояние. |
|
|
4. |
Нажмите кнопку “OK”, чтобы закрыть диалоговое окно с сохранением заданных |
|
|
|
параметров, или кнопку “Применить”, чтобы продолжить работу в данном окне. |
Просмотр и редактирование методов контроля целостности, назначенных ресурсам, осуществляется в диалоге “Ресурсы”.
Для просмотра и редактирования методов контроля целостности:
1. В диалоге “Контроль целостности” нажмите кнопку “Ресурсы”.
На экране появится диалог “Ресурсы”, отображающий в табличном виде список ресурсов и назначенные им методы контроля целостности.
111
Система Secret Net. Руководство по администрированию. Книга первая
Тип представленной информации может быть выбран в поле “Показать”.
Чтобы в таблице |
|
|
|
отображались методы |
|
|
|
контроля целостности, |
|
|
|
выберите из |
|
|
|
раскрывающегося списка |
|
|
|
|
|
Если выбрать |
|
соответствующее |
|
|
|
значение |
|
|
ячейку, |
|
|
|
откроется |
Название группы |
|
|
список |
|
|
|
|
|
|
|
|
ресурсов |
|
|
|
Имя ресурса |
|
|
|
|
|
|
Рис. 49. Определение методов контроля целостности ресурсов
Заголовки столбцов таблицы содержат названия контролируемых параметров, заголовки строк – имена ресурсов задачи, объединенных в группы. В ячейках таблицы указаны методы контроля целостности (см. стр. 113).
2.Выберите нужную ячейку и в открывшемся списке выберите требуемый метод контроля. В списке отображаются только допустимые методы контроля для соответствующего типа контролируемых ресурсов. При определении метода контроля в строке с названием группы ресурсов выбранный метод устанавливается для всех ресурсов данной группы.
3.После определения методов контроля целостности для всех ресурсов нажмите кнопку “OK”, чтобы вернуться к диалогу “Контроль целостности” окна настройки свойств задачи (Рис. 48 на стр. 111).
4.Нажмите кнопку “OK”, чтобы закрыть диалоговое окно с сохранением заданных параметров, или кнопку “Применить”, чтобы продолжить работу в данном окне.
После сохранения в ЦБД внесенных изменений и обновления заданий контроля целостности на соответствующих компьютерах контроль целостности начнет осуществляться в соответствии с установленными параметрами.
Шаблоны контроля целостности ресурсов задачи
Данные шаблоны определяют методы контроля целостности, которые будут автоматически назначаться имеющимся группам ресурсов задачи.
Для создания шаблона контроля целостности:
1. Откройте контекстное меню папки “Шаблоны контроля целостности ресурсов” и активизируйте команду “Создать”. На экране появится окно настройки свойств нового шаблона.
Для редактирования параметров уже созданного шаблона откройте в папке “Шаблоны контроля целостности ресурсов” контекстное меню нужного шаблона и активизируйте команду “Свойства”.
112
Глава 5. Управление с использованием механизма задач
Открывает диалог для |
Если выбрать |
|||
ячейку, откроется |
||||
регистрации новой группы |
||||
список |
||||
ресурсов |
||||
|
||||
Удаляет выбранную |
|
|
|
|
|
|
|
||
|
|
|||
группу из списка |
|
|||
Открывает диалог для |
|
|||
редактирования |
|
|||
параметров группы |
|
|||
Это контекстное |
||||
|
|
|
||
|
|
|
меню вызывается в |
|
|
|
|
первой колонке |
Рис. 50. Создание шаблона контроля целостности
2.Определите название и описание шаблона в соответствующих полях диалога. Максимальная длина записей в полях 255 символов.
Название шаблона должно быть уникальным для данной папки.
3.Сформируйте список групп ресурсов (см. стр. 94).
Названия этих групп отображаются в раскрывающемся списке поля “Группа” диалога “Ресурс” при регистрации ресурса задачи (см. Рис. 34 на стр. 95).
4.Определите для групп ресурсов соответствующие им методы контроля целостности. Для этого выберите нужную ячейку и в открывшемся списке выберите нужный метод. В списке отображаются только те методы контроля, которые соответствуют данному контролируемому параметру. Название параметра указано в заголовке столбца.
5.Нажмите кнопку “OK”, чтобы закрыть диалоговое окно с сохранением заданных параметров, или кнопку “Применить”, чтобы продолжить работу в данном окне.
После сохранения в ЦБД внесенных изменений в папке “Шаблоны контроля целостности” появится новый объект с заданным названием.
Методы контроля целостности ресурсов
Объект “Метод контроля целостности” (далее метод контроля целостности) определяет алгоритм проверки целостности, приоритет и расписание выполнения задания, а также реакцию системы на результат выполнения задания. В Secret Net имеется набор встроенных методов, и, кроме того, можно создавать методы самостоятельно.
Объекты “Методы контроля целостности” размещены в одноименной папке, которая находится в папке “Шаблоны контроля целостности ресурсов”.
Для создания метода контроля целостности:
1. Откройте контекстное меню папки “Методы контроля целостности” и активизируйте команду “Создать”. На экране появится окно настройки свойств данного объекта.
113
Система Secret Net. Руководство по администрированию. Книга первая
Для редактирования параметров уже созданного шаблона откройте в папке “Методы контроля целостности” контекстное меню нужного метода и активизируйте команду “Свойства”.
Рис. 51. Создание метода контроля целостности
2.Определите параметры создаваемого объекта в диалоге “Общие”:
•введите название метода и комментарий к нему;
•выберите алгоритм проверки из раскрывающегося списка (см. Табл. 3);
•установите приоритет выполнения задания;
•отметьте с помощью переключателей желаемую реакцию системы защиты на результат выполнения задания в случае успеха и в случае неудачи (отказа).
Название метода должно быть уникальным для данной папки.
Значение параметра “Алгоритм проверки” определяется при создании метода и в дальнейшем изменению не подлежит.
Табл. 3. Алгоритмы проверки целостности объектов
Название |
Характеристика |
Проверка прав доступа |
Проверка списков прав доступа пользователей к объектам с |
|
возможностью восстановления |
Проверка содержимого |
Проверка целостности содержимого объектов. Скорость вы- |
(CRC-7) |
полнения – высокая, надежность – низкая, дополнительных |
|
аппаратных средств не требуется |
Проверка содержимого |
Проверка целостности содержимого объектов. Скорость вы- |
(Имитовставка) |
полнения – средняя, надежность – высокая, требуется допол- |
|
нительное аппаратное средство для хранения секретного |
|
ключа |
Проверка содержимого |
Проверка целостности содержимого объектов с возможностью |
(Сравнение) |
восстановления. Скорость выполнения – средняя, надеж- |
|
ность – высокая, повышенные требования к дисковому про- |
|
странству |
Проверка содержимого |
Проверка целостности содержимого объектов. Скорость вы- |
(Хэш) |
полнения – средняя, надежность – высокая |
Проверка содержимого |
Проверка целостности содержимого объектов |
(ЭЦП) |
Скорость выполнения – низкая, надежность – высокая |
Проверка списка |
Проверка неизменности перечня объектов, имена которых |
элементов (CRC-7) |
удовлетворяют заданным условиям |
114
Глава 5. Управление с использованием механизма задач
Название |
Характеристика |
Проверка |
Проверка наличия объекта |
существования объекта |
|
Сверка атрибутов |
Проверка атрибутов файлов, даты создания и т.п. |
3. Установите расписание действия данного метода в диалоге “Расписание”.
|
|
|
|
|
|
|
Отметьте, когда |
|
|
|
|
|
|
|
система защиты |
|
|
|
|
|
|
|
должна контролировать |
|
|
|
|
|
|
|
целостность ресурсов. |
|
|
|
|
|
|
|
Срочный контроль |
|
|
|
|
|
|
|
проводится |
|
|
|
|
|
|
|
немедленно после |
|
|
|
|
|
|
|
нажатия кнопок “OK” |
Укажите периодичность |
|
|
или “Применить” |
||||
|
|
|
|||||
контроля в течение |
|
|
|
Таблица позволяет |
|||
суток. Отсчет начинается |
|
|
сформировать |
||||
с нулевого часа. Можно |
|
|
|||||
|
|
календарный план |
|||||
задать период, а можно |
|
|
|||||
|
|
проведения контроля |
|||||
и непосредственно |
|
|
|||||
|
|
|
|||||
ввести конкретные |
|
|
Интервал — это |
||||
значения |
|
|
|
|
|
|
|
|
|
|
|
|
|
периодичность |
|
|
|
||||||
|
|
|
|
|
|
|
проведения контроля в |
|
|
|
|
|
|
|
течение часа. Если |
|
|
|
|
|
|
|
значение не указано, |
|
|
|
|
|
|
|
контроль выполняется |
|
|
|
|
|
|
|
в начале часа |
Рис. 52. Диалог “Расписание”
•Выключатели в верхней части диалога позволяют указать, на каком этапе работы ОС Windows система защиты должна контролировать целостность ресурсов.
Обратите внимание! Срочный контроль проводится немедленно после того, как в окне настройки свойств будет нажата кнопка “OK” или “Применить”.
•Таблица средней части диалога позволяет сформировать календарный план проведения контроля.
Работа с календарем. Если нужно отметить одну ячейку, установите на нее курсор и нажмите левую кнопку мыши – ячейка изменит свой цвет на светло-синий. Если нужно отметить прямоугольную группу ячеек, сначала выделите ее. Для этого нажмите угловую ячейку группы и, удерживая нажатой левую кнопку мыши, перетащите курсор к противоположному углу группы. Выделенная группа изменит свой цвет на темно-синий цвет. Затем нажмите кнопку "Разрешить" или "Запретить", находящиеся справа от таблицы. Выбранные ячейки окрасятся в цвет, соответствующий выполненной операции. Для изменения состояния группы ячеек используйте также клавишу <пробел>.
•В нижней части диалога в группе полей “Учет параметров почасовой работы” можно указать периодичность контроля в течение суток.
Часы контроля. Введите или выберите из раскрывающегося списка значение периодичности контроля в течение суток. Следует иметь в виду, что отсчет начинается с нулевого часа. Поэтому, если Вы установите значение 4, что означает – “проводить контроль каждый четвертый час”, контроль будет проводиться в 0, 3, 7, 11, и т.д. Часы контроля можно задать, не только указав периодичность, но и непосредственно введя конкретные значения. Например, если Вы введете следующую строку: 2, 7-9, 16-18, 21, то контроль будет проведен в 2, 7, 8, 9, 16, 17, 18 и 21 час.
115