Система Secret Net. Руководство по администрированию. Книга первая
2.Установите отметку в поле "Мягкий режим запрета доступа к устройствам" в группе "Режимы".
3.Нажмите кнопку "OK".
4.Включите мягкий режим для других связей "Пользователь-Компьютер".
Режим защиты жесткого диска при загрузке с гибкого диска
Существует защитная функция, которая препятствует возможности обхода средств защиты в случае загрузки операционной системы с гибкого диска (что возможно, если в комплекте поставки отсутствует плата аппаратной поддержки системы защиты).
9х |
Эта защитная функция существует только для компьютеров пространства имен |
|
|
Windows 9х. |
|
|
Для настройки режима: |
|
|
1. |
Вызовите на экран окно настройки свойств компьютера и перейдите к диалогу |
|
|
"Настройки" (см. Рис. 63 на стр. 140). |
|
2. |
Установите отметку в поле “режим мягкой защиты жесткого диска” в группе вы- |
|
|
ключателей "Флаги управления системой", чтобы включить программную защиту |
|
|
жесткого диска при загрузке с гибкого диска. |
|
|
В этом случае система защиты, установленная на данном компьютере, изменит |
|
|
системные области локальных дисков компьютера, которые станут “невидимы” |
|
|
при загрузке компьютера с гибкого диска в обход системы защиты. При попытке |
|
|
выбора защищенного диска в качестве текущего, например диска [C:], на экране |
|
|
появится сообщение об отсутствии доступа к диску. |
|
|
|
|
|
Чтобы выключить защиту жесткого диска при загрузке с гибкого диска – удалите отметку из |
|
|
этого поля. |
|
3. |
Нажмите кнопку "OK". |
|
4. |
Повторите процедуру для всех компьютеров, не оборудованных платой аппа- |
|
|
ратной поддержки системы защиты. |
Криптографическая защита данных
Для повышения защищенности информации в системе Secret Net дополнительно предусмотрена возможность использования средств криптографической защиты. С их помощью шифруется информационное содержание файлов.
Для организации криптографической защиты информационного содержания файлов необходимо установить подсистему криптографической защиты на всех рабочих станциях (серверах), на которых планируется организация совместно используемых ресурсов (локальных и сетевых каталогов).
Криптографическая защита информационного содержания файлов осуществляется компонентой шифрования файлов. При этом используется двухуровневая ключевая схема, состоящая из ключей шифрования каталогов и ключей шифрования файлов.
Ключи шифрования каталогов создаются сервером безопасности в ЦБД при создании совместно используемого каталога и установки для него признака шифрования данных. Ключи шифрования удаляются из ЦБД при удалении сведений о совместно используемом каталоге.
Ключи шифрования ресурсов создаются сервером безопасности. При создании ключа шифрования ресурса используются возможности криптографического ядра
176
Глава 7. Управление доступом к ресурсам и защита ресурсов
по генерации случайных чисел. Ключи шифрования хранятся в ЦБД в зашифрованном виде.
Шифрование файлов выполняется специальным драйвером шифрования. Для каждого файла генерируется ключ шифрования файла, на котором шифруется содержимое файла по алгоритму ГОСТ 28147-89 в режиме гаммирования.
Ключи шифрования ресурсов передаются на рабочую станцию сети после проведения аутентификации и установления защищенного соединения. Сервер безопасности пересылает на рабочую станцию ключи только тех ресурсов, к которым пользователь, вошедший в систему, должен иметь доступ. Ключи передаются по защищенному каналу.
Загрузка этих ключей в криптоядро осуществляется агентом системы по мере их получения.
Механизм криптографической защиты данных на компьютерах пространств имен 9x / NT Windows 9х и Windows NT различен, соответственно различается и порядок на-
стройки этого механизма для компьютеров.
На компьютерах под управлением Windows 9х осуществляется прозрачное шифрование каталогов при локальном обращении к ним с консоли данной рабочей станции.
Для включения механизма криптографической защиты данных на компьютерах пространств имен Windows 9х достаточно включить режим шифрования файлов
(см. стр. 179).
На компьютерах под управлением Windows NT осуществляется прозрачное шифрование каталогов, предоставляемых в совместное использование.
Для включения механизма криптографической защиты данных на компьютерах пространств имен Windows NT необходимо выполнить следующее:
•создать совместно используемый каталог на компьютере;
•установить для этого каталога признак шифрования данных;
•включить режим шифрования файлов на компьютере.
Создание
совместно
используемого каталога 
На компьютерах под управлением Windows 2000 не предусмотрена возможность использования средств криптографической защиты.
Процедура предоставления ресурса в совместное использование выполняется локально на компьютере средствами ОС Windows NT.
Для предоставления ресурса в совместное использование:
1. На компьютере выберите существующий или создайте новый каталог, который будет предоставлен в совместное пользование.
2.Укажите имя, под которым ресурс доступен в сети.
3.Предоставьте необходимые права доступа тем пользователям и группам, которым требуется доступ к зашифрованным данным. Причем права сетевого доступа должны соответствовать правам локального доступа.
Файлы, помещенные в ресурс до включения режима шифрования, останутся неизменными. Поэтому во избежание их некорректного расшифрования рекомендуется очистить ресурс перед включением режима.
Включение
режима
шифрования
каталога
Для включения режима шифрования ресурса:
1. В основном окне программы Администратор вызовите контекстное меню компьютера, на котором создан совместно используемый каталог, и выполните команду "Предоставить ресурс".
На экране появится диалоговое окно:
177
Система Secret Net. Руководство по администрированию. Книга первая
Имя компьютера, содержащего ресурс
2.В поле "Сетевое имя" укажите имя, под которым ресурс доступен в сети. В поле "Описание" введите дополнительную информацию о ресурсе.
3.В поле "Каталог" укажите локальный путь к ресурсу компьютера, предоставленному в совместное использование.
4.Установите отметку в поле "Данные зашифрованы". В этом случае, содержимое файлов, создаваемых в ресурсе, будет шифроваться.
5.Нажмите кнопку "Применить" и перейдите к диалогу "Доступ":
6.Определите пользователей, которые будут иметь ключ шифрования. Для этого вызовите контекстного меню, выполните команду "Добавить пользователя" или "Добавить группу" и выберите в появившемся списке нужного пользователя или группу пользователей.
Все остальные пользователи системы Secret Net не будут иметь доступ к зашифрованным файлам.
178