- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Система Secret Net. Руководство по администрированию. Книга первая
Избирательное управление доступом к ресурсам
Общие сведения
Избирательное управление доступом осуществляется локально, на каждой рабочей станции.
|
|
Система защиты |
Secret Net использует стандартные механизмы |
Windows NT и |
|
|
Windows 2000 для избирательного управления доступом. Избирательный доступ ос- |
||
|
|
новывается на предоставлении прав и привилегий. Права – это правила доступа, ас- |
||
|
|
социированные |
с ресурсом, привилегия – предоставляемая |
пользователю |
|
|
возможность выполнения тех или иных действий с ресурсом. Привилегии имеют при- |
||
|
|
оритет над правами. Привилегии пользователю могут быть назначены индивидуально |
||
|
|
или быть получены от группы после включения в нее пользователя. Групповые при- |
||
|
|
вилегии действуют, даже если индивидуальные привилегии отсутствуют. |
||
|
|
|
||
9x |
В операционной системе Windows 95/98 штатный механизм разграничения доступа |
|||
|
|
пользователей к аппаратным ресурсам компьютера и ресурсам файловой системы |
||
|
|
|||
|
|
отсутствует, поэтому применяется механизм, специально разработанный для сис- |
||
|
|
темы Secret Net. Подробные сведения о настройке механизма избирательного |
||
|
|
управления доступом содержатся в документе "Система защиты Secret Net. Кли- |
||
|
|
ент для Windows 95/98. Руководство по администрированию". С помощью про- |
||
|
|
граммы Администратор можно лишь указать атрибуты по умолчанию, которые |
||
|
|
устанавливаются на ресурсы, создаваемые пользователем на компьютере. Описа- |
||
|
|
ние этой процедуры см. ниже. |
|
|
|
|
|
||
|
|
|||
NT |
Для компьютеров под управлением ОС Windows NT и Windows 2000 используются |
возможности по разграничению доступа пользователей к каталогам и файлам, предоставляемые данными операционными системами и файловой системой NTFS. Подробные сведения о настройке механизма избирательного управления доступом содержатся в документации, входящей в комплект поставки ОС Windows NT. Для разграничения доступа к логическим дискам и портам используются средства Secret Net NT (см стр.173).
Определение атрибутов по умолчанию в Windows 9х
Атрибуты по умолчанию сопоставляются группе ресурсов, которая определяется перечнем расширений файлов.
Для настройки режима:
1. Вызовите окно свойств связи "Пользователь-Компьютер" и перейдите к диалогу "Режимы":
146
Глава 7. Управление доступом к ресурсам и защита ресурсов
Эта группа полей позволяет определить атрибуты, устанавливаемые по умолчанию на все файлы и каталоги, создаваемые пользователем
Эта кнопка вызывает на экран диалог для редактирования атрибутов и не активна, если в поле выключателя “Атрибуты по умолчанию” нет отметки
Рис. 65. Диалог "Режимы"
2.Установите отметку в поле “Атрибуты по умолчанию” группы полей “Общие:”, чтобы включить для пользователя режим работы системы защиты, обеспечивающий установку атрибутов доступа и владения, назначенных пользователю по умолчанию, на любой создаваемый им файл или каталог.
При этом на экране появится диалог определения атрибутов:
Поле “Группы ресурсов” содержит список всех имеющихся групп ресурсов. Управление списком осуществляется с помощью контекстного меню
Рис. 66. Определение атрибутов по умолчанию
Чтобы выключить этот режим – удалите отметку из поля “Атрибуты по умолчанию”. В этом случае все создаваемые пользователем ресурсы будут считаться общими, и все пользователи компьютера будут обладать правами полного доступа к этим ресурсам.
3.Определите атрибуты по умолчанию, которые устанавливаются на ресурсы, создаваемые данным пользователем на данном компьютере. Подробное описание процедуры определения атрибутов по умолчанию см. ниже.
4.Нажмите кнопку "OK".
5.Повторите данную процедуру для всех связей "Пользователь-Компьютер".
147
Система Secret Net. Руководство по администрированию. Книга первая
Для изменения существующих атрибутов по умолчанию нажмите кнопку "Назначить" в группе полей "Общие" (см. Рис. 65).
Для определения атрибутов по умолчанию:
1. Выберите группу ресурсов в списке групп (см. Рис. 66) или создайте новую.
2.В поле “Владелец:” определите владельца всех создаваемых пользователем ресурсов этой группы. Для этого выберите в списке имя пользователя, либо значение “нет”, определив ресурсы этой группы как общие.
Право на владение ресурсом можно предоставить только следующим пользователям: “SUPERVISOR”, “CREATOR_OWNER” – пользователь, создающий ресурс, “DEFAULT_ADMIN” – администратор безопасности компьютера по умолчанию.
Затем определите права доступа владельца к ресурсу, установив отметки в полях выключателей “Чтение”, “Запись” и “Выполнение”.
3.В поле “Группа:” определите группу владельцев, выбрав название группы пользователей из списка. Значение “нет” в этом поле указывает, что группа владельцев для данной группы ресурсов не определена.
Затем определите права доступа к ресурсам всех пользователей, входящих в состав группы, установив отметки в соответствующих полях выключателей.
4.В поле “Остальные:” определите атрибуты доступа для всех остальных пользователей данного компьютера, установив отметки в соответствующих полях выключателей.
5.Определив атрибуты по умолчанию, нажмите кнопку "OK", чтобы назначить их пользователю.
Для отказа от назначения пользователю заданных атрибутов нажмите кнопку "Отмена".
Для создания группы ресурсов:
1. Установите курсор мыши в любое место поля списка. Нажмите правую кнопку мыши и выберите в контекстном меню пункт “Добавить группу файлов” или нажмите клавишу <Insert>.
На экране появится следующий диалог:
2.Введите название группы в поле “Имя”. В поле “Список расширений” укажите расширения файлов, включаемых в группу. Отделяйте одно расширение от другого символом ‘;’.
3.Нажмите кнопку "OK".
Если требуется добавить в список группу ресурсов, с помощью которой осуществляется управление доступом к каталогам, выберите в контекстном меню пункт “Добавить каталоги”.
148
Глава 7. Управление доступом к ресурсам и защита ресурсов
Для удаления группы ресурсов:
Установите курсор мыши на названии удаляемой группы. Нажмите правую кнопку мыши и выберите в контекстном меню пункт “Удалить” или нажмите клавишу <Delete>. Выбранный элемент списка будет немедленно удален.
Из списка групп ресурсов нельзя удалить группу “Остальные файлы”. Группы “Остальные файлы” и “Все каталоги” нельзя редактировать.
Для изменения свойств группы ресурсов:
1. Подведите курсор мыши к названию этой группы. Нажмите правую кнопку мыши и выберите в контекстном меню пункт “Свойства” или дважды нажмите левую кнопку мыши. На экране появится диалог, рассмотренный выше.
2.Отредактируйте содержание полей “Имя” и “Список расширений”, если требуется изменить название группы ресурсов или ее состав.
3.Нажмите кнопку "OK".
149