- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Глава 7. Управление доступом к ресурсам и защита ресурсов
Чтобы отключить режим полномочного управления доступом – удалите отметку.
3.Установите отметку в поле “Контроль потоков”, чтобы разрешить Агенту контролировать потоки данных приложений, работающих с конфиденциальной информацией.
Контроль потоков конфиденциальных данных осуществляется следующим образом. Если в приложении, был открыт конфиденциальный файл, то этому приложению, вплоть до его завершения, запрещается открывать на запись или создавать файлы в каталогах, категория конфиденциальности которых ниже, чем у открытого конфиденциального файла. Также, запрещается копировать и перемещать файлы, если категория конфиденциальности каталога-источника выше, чем у каталога-получателя.
4.Установите отметку в поле выключателя “Запрет доступа при невозможности получения уровня допуска”, если требуется запрещать доступ пользователей к конфиденциальным ресурсам при отсутствии информация об их уровне допуска.
5.Нажмите кнопку "OK".
Механизм замкнутой программной среды
Механизм замкнутой программной среды позволяет ограничить доступ пользователя к программам только теми из них, которые необходимы пользователю для работы. Этот механизм включается индивидуально для каждого пользователя на каждом из компьютеров, на которых работает пользователь. Для пользователя на каждом из этих компьютеров формируется индивидуальный UEL-список – перечень исполняемых файлов, составляющих замкнутую среду.
Механизм замкнутой программной среды может применяться в одном из двух режимов работы: "мягком" или "жестком". "Мягкий" (технологический) режим работы применяется на этапе ввода в эксплуатацию, когда пользователю разрешен запуск и других программ, не входящих в UEL-список. При этом в системном журнале регистрируются соответствующие события несанкционированного доступа (НСД). В дальнейшем, этот список программ может быть уточнен и дополнен на основании данных, содержащихся в журналах регистрации. При "жестком" (основном) режиме работы разрешается запуск программ только при соблюдении следующих условий:
•программа содержится в UEL-списке;
•владельцем файла программы является пользователь, которому это разрешено привилегиями на администрирование;
•файл недоступен текущему пользователю на изменение.
Если эти условия не соблюдаются, запуск программы блокируется и регистрируется как событие НСД.
Ввод в действие механизма замкнутой программной среды рекомендуется осуществлять в следующем порядке:
1. Настройте и включите замкнутую программную среду в "мягком" режиме для пользователей на соответствующих компьютерах.
2.Проанализируйте журнал НСД и дополните списки разрешенных для запуска программ теми программами, которые нужны пользователям для работы. А также установите корректные права доступа для тех файлов программ, запуск которых блокируется из-за несоответствия прав владения и доступа требуемым условиям.
3.Включите для пользователей “жесткий” режим замкнутой программной среды.
161
Система Secret Net. Руководство по администрированию. Книга первая
В дальнейшем целесообразно периодически анализировать записи журнала НСД и корректировать списки разрешенных для запуска программ, а также права владения и доступа для файлов программ, добавляемых в списки.
Настройку замкнутой программной среды можно выполнять следующими способами:
•с помощью Мастера UEL (см. ниже);
•"вручную" (стр. 165);
•с использованием механизма задач (стр. 100).
Автоматическая настройка замкнутой среды
Процедура автоматической настройки замкнутой программной среды выполняется с помощью программы-мастера и состоит из ряда последовательных шагов:
1. Запуск программы Мастера UEL и создание нового задания (или выбор существующего для редактирования).
2.Определение списка компьютеров и уточнение списка пользователей, для которых будет настраиваться замкнутая программная среда.
3.Настройка расписания выполнения процедуры анализа записей журнала НСД для построения списка UEL.
Шаг 1. Запуск программы Мастера UEL
1. Выделите в основном окне программы Администратор компьютер или несколько компьютеров.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).
2.Вызовите контекстное меню и выберите команду "Мастер UEL…".
На экране появится диалог, представленный на Рис. 73 (стр. 163), со списком выбранных компьютеров.
Если для какого-либо из выбранных компьютеров уже существует задание, то на экране появится сообщение, предлагающее отредактировать существующее задание или создать новое. В зависимости от выбранного варианта продолжения на экране появится диалог со списком компьютеров:
•входящих в это задание (при редактировании существующего задания),
•указанных на шаге 1 (при создании нового задания).
Для просмотра списка существующих заданий запустите Мастер UEL из контекстного меню папки "Компьютеры" в основном окне программы Администратор. На экране появится стартовый диалог Мастера настройки замкнутой среды. Нажмите кнопку "Далее >". Появится диалог со списком имеющихся заданий. Выберите задание, которое необходимо изменить, и нажмите кнопку "Далее >" (для редактирования выбранного задания) или создайте новое задание.
162
Глава 7. Управление доступом к ресурсам и защита ресурсов
Шаг 2. Создание списка компьютеров и списка пользователей
Если необходимо удалить компьютер из списка компьютеров для этого задания, выделите его и нажмите эту кнопку
Если отметка в этом поле установлена, то списки UEL будут создаваться для всех пользователей выбранных компьютеров
Рис. 73. Изменение списка компьютеров
1. Нажмите кнопку "Добавить".
На экране появится диалог со списком компьютеров всех пространств имен:
Если создается новое задание после запуска Мастера UEL из контекстного меню папки "Компьютеры", то этот диалог появится автоматически после нажатия кнопки "Создать" в диалоге со списком существующих заданий.
2.Выберите компьютер из списка интересующего пространства имен и нажмите кнопку "ОК".
3.Удалите отметку в поле "Создавать UEL для всех сотрудников, имеющих доступ к этим компьютерам", чтобы иметь возможность отредактировать список сотрудников – удалить из списка тех пользователей, которым не нужен режим замкнутой программной среды (см. Рис. 73).
4.Нажмите кнопку "Далее >".
На экране появится следующий диалог:
163
Система Secret Net. Руководство по администрированию. Книга первая
Включить исключенных пользователей можно с помощью этой кнопки
Если отметка в поле "Создавать UEL для всех сотрудников, имеющих доступ к этим компьютерам" установлена (см. Рис. 73), то этот диалог не появится, а списки UEL будут создаваться для всех пользователей сотрудников, имеющих доступ на эти компьютеры.
5.Отредактируйте список сотрудников, исключив из списка тех пользователей, для которых не требуется создание замкнутой среды. Для этого выделите пользователя и нажмите кнопку "Исключить".
Пользователь останется в списке, но его имя будет написано серым шрифтом.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).
6.Нажмите кнопку "Далее >".
Шаг 3. Настройка расписания выполнения задания
Анализировать записи из журнала НСД о событиях, произошедших после указанной в этом поле даты (эта дата должна быть <= даты начала выполнения задания)
1. В поле "Анализировать события НСД, зарегистрированные, начиная с" укажите дату регистрации событий, чтобы исключить из анализа те записи, которые были добавлены в журнал ранее этой даты.
164