- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Глава 7. Управление доступом к ресурсам и защита ресурсов
2.В группе полей "Выполнять уточнение UEL по журналу НСД" укажите дату, начиная с какой необходимо выполнять процедуру формирования списка UEL, и в течение какого времени (числа дней).
Эта процедура будет выполняться, начиная с указанной даты в течение заданного числа дней ежедневно. Если необходимо задать другую периодичность выполнения, нажмите кнопку "Дополнительно".
При нажатии на кнопку "Дополнительно" появляется диалог настройки расписания. Процедура настройки расписания подробно описана на стр. 185.
3.Установите отметку в поле "Устанавливать режим замкнутой программной среды после выполнения", если следует включить жесткий режим замкнутой среды после уточнения списков UEL на компьютерах, для которых создается это задание.
4.Установите отметку в поле "Устанавливать атрибуты и права владения", чтобы происходила автоматическая корректировка прав доступа и владения файлов программ на компьютерах (Процедура корректировки этих прав вручную описана на стр. 171).
5.Нажмите кнопку "Далее >".
На экране появится завершающий диалог Мастера списков UEL, в котором будут перечислены все параметры задания по настройке замкнутой программной среды. Просмотрите эти настройки.
Если какой-либо из параметров задания Вас не устраивает, используйте для возврата к предыдущим шагам кнопку "< Назад".
6.Нажмите кнопку "Готово" для завершения работы Мастера и внесения изменений в ЦБД системы защиты.
После сохранения изменений в ЦБД в течение определенного количества дней для пользователей на компьютерах, указанных в задании, будет включен мягкий режим замкнутой среды. Ежедневно (по умолчанию) записи из журнала НСД будут анализироваться, и на основании их будут корректироваться списки UEL. По окончании действия задания для пользователей на компьютерах будет включен жесткий режим замкнутой программной среды.
Далее описаны процедуры "ручной" настройки замкнутой программной среды.
Настройка и включение
Параграф содержит описание процедур, которые необходимо выполнить при первом включении замкнутой программной среды для пользователей на тех компьютерах, на которых этот механизм для них еще не применялся. Сведения о корректировке настроек механизма содержатся в следующих параграфах.
Формирование списков разрешенных для запуска программ
Список разрешенных для запуска программ формируется индивидуально для каждого пользователя на каждом из доступных ему компьютеров. Существуют два способа формирования этих списков:
•автоматическое формирование списка по информации о запуске программ, содержащейся в Журнале НСД;
•редактирование вручную списка программ в текстовом редакторе SnEdit. Этот способ обычно используется для корректировки списка.
При создании UEL-файла пользователя, независимо от выбранного способа формирования списка, в него автоматически добавляются программы из списка по
165
Система Secret Net. Руководство по администрированию. Книга первая
умолчанию, сформированного при установке клиента Secret Net на данный компьютер. Описание формата UEL-файла содержится в приложении (стр. 214).
Список разрешенных для запуска программ по умолчанию можно корректировать.
Целесообразно добавлять в этот список программы, которые заведомо необходимы для работы всем пользователям данного компьютера.
Для корректировки списка разрешенных для запуска программ по умолчанию:
1. Вызовите на экран окно настройки свойств объекта "Компьютер", и активизируйте закладку "Профили".
На экране появится следующий диалог:
9x |
При установке системы Secret Net 9x на компьютер программа установки фор- |
|
мирует список программ, разрешенных пользователям компьютера для запуска, |
||
|
||
|
который сохраняется в файле 00000000.UEL. |
|
NT |
При установке системы Secret Net NT этот список программ сохраняется в фай- |
|
ле DEFAULT.UEL. |
||
|
||
|
В дальнейшем содержание этого файла используется в качестве исходного со- |
|
|
держания при составлении индивидуальных списков программ, разрешенных |
|
|
(запрещенных) для запуска. |
2.Выполните одно из следующих действий:
•Подведите курсор мыши к строке, содержащей имя нужного файла, и дважды нажмите левую кнопку мыши.
•Выберите строку с именем нужного файла и нажмите кнопку "Изменить".
На экране появится окно текстового редактора SnEdit, в котором будет открыт выбранный для изменения файл.
166
Глава 7. Управление доступом к ресурсам и защита ресурсов
Автоматическое
формирование
списка
3.Отредактируйте нужным образом содержание этого файла. Описание возможностей редактирования UEL-файла см. в приложении (стр. 214).
Добавление файлов в диалоговом режиме. Для этого в меню "Список программ" окна программы SnEdit выполните команду "Добавить". На экране появится стандартный диалог Windows "Добавить файл". С помощью этого диалога найдите и укажите нужный файл.
Сортировка списка. Для сортировки UEL-списка выполните команду "Сортировать" в меню "Список программ" окна программы SnEdit.
4.Завершив редактирование, сохраните внесенные изменения. Для этого откройте меню “Файл” редактора SnEdit и выберите пункт “Сохранить”. Затем закройте окно редактора.
Содержание конфигурационных файлов хранится в ЦБД системы защиты, а также на соответствующем компьютере
•в каталоге C:\-SNET- (в файле с именем 00000000.UEL), если компьютер принадлежит пространству имен Windows 9x;
•в файле с именем DEFAULT.UEL, находящемся в подкаталоге UEL каталога, в который была установлена система защиты, если компьютер принадлежит пространству имен Windows NT.
Перед тем как использовать автоматическую процедуру формирования списка разрешенных для запуска программ, необходимо настроить индивидуальный режим регистрации событий для пользователей на тех компьютерах, на которых для них будет включена замкнутая программная среда, и установить достаточный срок хранения записей в Журнале НСД.
167
Система Secret Net. Руководство по администрированию. Книга первая
Предварительные действия:
1. Вызовите на экран окно настройки свойств связи “Пользователь-Компьютер” и перейдите к диалогу “Регистрация”.
2.Включите регистрацию следующих событий:
в пространстве имен Windows 9x:
•в группе полей "Регистрация событий" в группе "Несанкционированный доступ" установите отметки в полях "Запрет запуска", "Запрет загрузки библиотеки";
•удалите отметку из поля "События запуска программ из системн. каталога" в группе полей "Не регистрировать".
впространстве имен Windows NT:
в списке “События Secret Net” в группе "События НСД" установите отметку в поле "Запрет запуска программы".
Эти параметры регистрации событий установлены по умолчанию.
168
Глава 7. Управление доступом к ресурсам и защита ресурсов
3.Повторите действия 1-2 для тех связей “Пользователь-Компьютер”, для которых будет включена замкнутая программная среда.
4.Вызовите на экран окно настройки параметров системы Secret Net и перейдите к диалогу “Архивирование журналов” (см. Рис. 79 на стр. 196). Установите для Журнала НСД значение параметра “Время хранения событий в журнале” достаточное для последующего анализа записей, например, – 10 дней. При этом учитывайте, что записи, помещенные в архив, не анализируются.
Обычно для накопления сведений об используемых пользователем программах достаточно 5 рабочих дней.
Для формирования списка и включения режима:
1. Вызовите на экран окно настройки свойств связи “Пользователь-Компьютер” и перейдите к диалогу “Режимы” (см. Рис. 65 на стр. 147 и Рис. 75 на стр. 181).
2.В группе полей "Для программ" нажмите кнопку "Построить". Осуществится анализ записей Журнала НСД, и на экране появится окно редактора SnEdit, содержащее сформированный список программ.
Пояснение. При автоматическом формировании списка разрешенных для запуска программ в него добавляются только те программы, которых нет в списке. Эта особенность позволяет уточнять в автоматическом режиме ранее сформированные списки программ.
3.Просмотрите список программ, измените при необходимости его содержание, а затем сохраните.
При сохранении списка автоматически устанавливается отметка в поле “Замкнутая программная среда”, т.е. включается этот механизм, но автоматически не включается “мягкий” режим для этого механизма. Перед сохранением параметров включите “мягкий” режим для замкнутой программной среды.
4.Для включения “мягкого” режима работы замкнутой программной среды:
• в пространстве имен Windows 9x – перейдите к диалогу “Настройки” (см. Рис. 74 на стр. 180) и установите отметку в поле выключателя “Мягкий режим для списка программ”, входящего в группу “Параметры работы пользователя”;
• в пространстве имен Windows NT – отметьте поле “Мягкий режим”.
5.Повторите процедуру для тех связей “Пользователь-Компьютер”, для которых будет включена замкнутая программная среда.
9x / NT Механизм замкнутой программной среды включается на компьютерах пространства имен Windows 9x без перезагрузки. Для включения этого механизма на компьютерах пространств имен Windows NT перезагрузка необходима.
|
Дополнительная настройка замкнутой программной среды |
NT |
При использовании замкнутой программной среды на компьютерах пространств |
имен Windows NT имеется возможность дополнительной настройки механизма. |
|
|
Для настройки дополнительных параметров: |
|
1. Вызовите на экран окно настройки свойств компьютера и перейдите к диалогу |
|
“Настройки” (см. Рис. 72 на стр. 157). |
|
2. Определите параметры работы механизма на этом компьютере с помощью вы- |
|
ключателей группы “Замкнутая среда”: |
|
• Контролировать загрузку только NE-файлов. Установите отметку в этом |
|
поле, чтобы контролировать запуск только программных модулей Windows |
169