- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Система Secret Net. Руководство по администрированию. Книга первая
Управление учетными записями
К управлению учетными записями относятся настройка параметров блокировки (см. стр. 120), ограничения на использование пароля (см. стр. 124), управление персональными системными файлами (см. стр. 127) и настройка профилей пользователей (см. стр. 129). Управление осуществляется для каждого пространства имен отдельно.
Блокировка
Общие настройки для всех пользователей пространства имен
Эти параметры являются общими для всех пользователей пространства имен и определяют условия блокировки учетных записей после серии неудачных попыток входа в систему.
Для общей настройки блокировки:
1. Вызовите на экран окно настройки свойств пространства имен и активизируйте закладку "Учетная запись".
На экране появится следующий диалог:
Отключаются |
|
|
|
Параметры, определяющие |
пользователи, |
|
|
|
условия блокировки учетной |
подключенные к |
|
|
|
записи при регистрации |
компьютеру удаленно, |
|
|
|
пользователя |
при их попытке начать |
|
|
|
|
или продолжить работу в |
|
|
|
|
неразрешенное время |
|
|
|
|
Блокируется вход в |
|
|
|
|
систему пользователей, |
|
|
|
|
пароль которых |
|
|
|
|
просрочен. Изменить |
|
|
|
|
пароль сможет только |
|
|
|
|
администратор |
|
|
|
|
|
Рис. 54. Диалог "Учетная запись" |
|
|
|
|
9x / NT |
Этот диалог предназначен для управления параметрами автоматической блокировки учетных |
|
записей (или автоматической блокировкой входа пользователей в систему) после неудачных |
||
|
||
|
попыток входа в систему пользователей, зарегистрированных в пространстве имен |
|
|
Windows NT. |
|
|
Для пространства имен Windows 9x этот диалог содержит только одно поле – “Максимальное |
|
|
число попыток входа”. |
2.Установите отметку в поле “Блокировка учетной записи”, чтобы включить механизм (режим) блокировки учетных записей для всех пользователей данного пространства имен.
3.Определите следующие параметры блокировки учетных записей пользователей:
120
Глава 6. Управление доступом в систему
•В поле “Максимальное число попыток входа” укажите число неудачных попыток входа пользователя, в результате которых учетная запись этого пользователя будет заблокирована.
9x / NT |
В пространстве имен Windows 9x этот параметр может принимать значение от 1 до 10, в |
пространстве имен Windows NT – от 1 до 999. |
|
|
|
•В поле “Интервал времени сброса счетчика (мин)” укажите интервал времени в минутах, по истечении которого для учетной записи пользователя сбрасывается счетчик неудачных попыток входа, при условии, что в течение этого интервала времени данный пользователь не совершил ни одной неудачной попытки входа.
Этот параметр может принимать значение от 1 до 99999.
Персональные настройки для каждого пользователя
После этого, если в течение указанного интервала времени для учетной записи пользователя предпринимается слишком большое число неудачных попыток входа в систему, учетная запись блокируется. Вход в систему пользователя, учетная запись которого заблокирована, становится невозможным до разблокирования учетной записи.
Если требуется отключить механизм, управляющий автоматической блокировкой входа пользователя в систему, установите отметку в поле “Отключить блокировку учетных записей”. В этом случае, учетные записи пользователей данного пространства имен не блокируются, вне зависимости от числа неудачных попыток входа, предпринятых любым из них.
4.В поле “Длительность блокировки” определите способ разблокирования учетной записи. Для чего установите отметку в одном из полей:
•“Постоянная (до снятия администратором)”, если требуется блокировать учетные записи до снятия блокировки администратором “вручную” (см. Рис. 55 на стр. 122, выключатель “Заблокирована системой” в группе полей "Учетная запись").
•“Ограничить время блокировки (мин):” для автоматического разблокирования учетной записи. Затем определите интервал времени в минутах, по истечении которого с момента блокировки учетной записи она будет автоматически разблокирована, и соответствующий пользователь сможет войти в систему. Параметр может принимать значение от 1 до 99999.
5.Установите отметку в поле “Принудительное отключение удаленных пользователей”, чтобы включить режим, при котором контролируется время работы пользователей, подключенных к компьютеру удаленно (по модемному соединению).
В этом случае осуществляется автоматическое отключение пользователей, удаленно подключенных или подключающихся к компьютеру, если время, отведенное для их работы, истекло или еще не наступило.
6.Нажмите кнопку "OK".
7.Повторите процедуру настройки параметров блокировки для всех пространств имен.
На блокировку учетной записи могут быть установлены персональные ограничения для каждого пользователя.
Для персональной настройки блокировки:
1. Вызовите окно настройки свойств пользователя. На экране появится диалоговое окно:
121
Система Secret Net. Руководство по администрированию. Книга первая
Если это поле содержит отметку, вход данного пользователя в систему блокирован системой защиты. При попытке пользователя войти в систему (даже если он предъявил соответствующий идентификатор и указал правильный пароль), компьютер будет заблокирован, а на экране появится соответствующее сообщение
Эта кнопка позволяет вызвать диалог настройки расписания работы пользователя и активна только тогда, когда в поле выключателя “Ограничения по времени работы” установлена отметка
Это поле позволяет включить для пользователя режим контроля времени его работы на компьютере (компьютерах)
Рис. 55. Диалог "Общие" свойств пользователя
Составление
расписания
работы
пользователя
2.Удалите отметку из поля “Заблокирована системой” для отключения блокировки учетной записи, если это поле содержит отметку.
При этом выключатель становится недоступным для управления, т.е. заблокировать работу пользователя “вручную” с помощью этого выключателя нельзя.
3.Установите отметку в поле “Отключить”, чтобы отключить учетную запись данного пользователя.
В этом случае никто не сможет войти в систему под именем этого пользователя.
Чтобы разрешить вход в систему этого пользователя – удалите отметку из поля "Отключить".
4.Нажмите кнопку "OK".
5.Повторите процедуру настройки параметров блокировки для всех пользователей всех пространств имен.
Для каждого пользователя можно составить расписание работы. Если пользователь попытается войти в систему в нерабочее время, даже если им предъявлен правильный идентификатор и указан верный пароль, компьютер будет заблокирован и на экране появится соответствующее сообщение. Компьютер также будет блокирован, если время, отведенное пользователю для работы, истекло.
Для инициализации настройки расписания работы пользователя:
1. Установите отметку в поле “Ограничения по времени работы” в группе полей "Учетная запись" (см. Рис. 55 на стр. 122), чтобы разрешить работу данного пользователя только в отведенное для этого время, которое определяется расписанием работы пользователя.
При этом на экране появится диалог настройки расписания работы пользовате- 9x / NT ля (для пользователей пространства имен Windows 9x см. Рис. 56 на стр. 123,
для Windows NT – Рис. 57 на стр. 124).
2.Выполните настройку расписания работы пользователя как это описано на стр. 123.
122
Глава 6. Управление доступом в систему
3.Нажмите кнопку “OK“, чтобы закрыть диалоговое окно с сохранением заданных параметров, или кнопку “Применить”, чтобы продолжить работу в данном окне.
Для изменения параметров существующего расписания работы пользователя нажмите кнопку "Назначить" в группе полей "Учетная запись".
Для настройки расписания в Windows 9х:
1. Вызовите диалог настройки расписания работы пользователя:
Если кнопка отжата, то это ограничение не действует
Рис. 56. Диалог "Временные ограничения"
2.В группе полей "Вход пользователя в систему возможен" укажите период времени, на протяжении которого пользователю разрешено работать на компьютере:
•в поле "с" укажите дату начала;
•в поле "по" – дату окончания этого периода.
Подробное описание выбора даты приведено на стр. 220.
Если кнопка ("с" или "по"), расположенная рядом с полем даты, отжата, то снято ограничение соответственно на начало или окончание периода работы.
3.В группе полей “Рабочая неделя” укажите еженедельное расписание работы пользователя на протяжении всего заданного периода.
•Поставьте отметки в поля, содержащие названия дней недели, чтобы определить какие из дней недели являются для пользователя рабочими.
•Затем определите интервал рабочего времени для каждого из выбранных рабочих дней. Для этого установите в поле “Начало” время начала, а в поле “Завершение” время окончания работы пользователя в этот день.
4.Нажмите кнопку "OK".
Для настройки расписания в Windows NT:
1. Вызовите диалог настройки расписания работы пользователя:
123