- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Система Secret Net. Руководство по администрированию. Книга первая
Компоненты системы и их размещение в сети
Система Secret Net обеспечивает защиту рабочих станций и серверов сети, работающих под управлением следующих операционных систем:
•Windows’9x (Windows 95, Windows 98 и их модификаций) с файловой системой FAT16 или FAT32;
•Windows NT версии 4.0 и Windows 2000;
•NCR UNIX SVR4 MP-RAS версии 3.02.00.
Система Secret Net имеет клиент-серверную архитектуру, при которой серверная часть (сервер безопасности) обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции (или сервера) и хранение управляющей информации в собственной локальной базе данных (ЛБД).
Программное обеспечение (ПО) системы защиты состоит из трех основных компонентов:
•Сервер безопасности размещается на выделенном компьютере и обеспечивает хранение информации в центральной базе данных (ЦБД) системы защиты, а также обслуживает запросы, поступающие от подсистемы управления и клиентов сервера безопасности.
•Подсистема управления осуществляет контроль и централизованное управление параметрами системы защиты.
•Клиентское ПО устанавливается на рабочие станции и серверы информационной системы для защиты локальных ресурсов, локального управления параметрами, а также для контроля за событиями, происходящими на рабочих станциях и серверах.
Варианты применения системы Secret Net определяются перечнем операционных систем, под управлением которых работают рабочие станции и серверы информационной системы. Один из общих вариантов применения представлен на Рис. 3.
Централизованное и локальное управление
При такой архитектуре управление системой распределено между централизованными средствами подсистемы управления и локальными средствами управления на рабочих станциях. Централизованное управление осуществляет главный администратор безопасности (или группа главных администраторов), а локальное управление – администратор безопасности компьютера.
Главный администратор безопасности приводит настройки в соответствие с требованиями политики безопасности, а локальный администратор, обеспечивая необходимую защищенность компьютеров, пытается создать для пользователей эффективную рабочую среду. Для разрешения таких противоречий при двухуровневом подходе к управлению системой используется механизм синхронизации. Действует он следующим образом. Настройки, выполненные главным администратором, фиксируются в ЦБД системы защиты и затем тиражируются в локальные БД защищенных компьютеров. Этот процесс носит название прямой синхронизации. Для согласованного изменения настроек выполненных локальным администратором используется процедура обратной синхронизации, обеспечивающая передачу изменений в ЦБД.
Настройки, выполненные централизованными и локальными средствами управления, могут носить противоречивый характер и поэтому нуждаются в согласовании. Для этих целей предусмотрены средства автоматического обеспечения непротиворечивости вносимых изменений и средства ручного разрешения противоречий, которые позволяют администратору системы контролировать действия локальных администраторов и при необходимости отменить корректировку ЦБД (см. стр. 203).
20
Глава 2. Общие принципы управления системой защиты
Компьютеры с ОС Windows 9х
Домены
Windows NT
Сервер
MP-RAS
PDC
Сервер безопасности устанавливается на выделенном компьютере
PDC |
Подсистема управления устанавливается |
|
на рабочие места |
|
администраторов безопасности |
|
Клиентское ПО устанавливается |
|
на остальные рабочие станции |
|
и серверы сети |
Рис. 3. Размещение компонентов Secret Net в сети
Распределение административных полномочий
В небольшой организации установка и настройка системы может быть выполнена одним сотрудником с правами главного администратора безопасности. В системе защиты объект "Сотрудник", соответствующий главному администратору, создается автоматически при установке сервера безопасности, и ему предоставляются все права на управление системой защиты, в том числе, права на установку клиентов Secret Net на защищаемые компьютеры. Пользователь, под именем которого главный администратор осуществляет установку и администрирование клиентов, наделяется правами доступа к компьютерам автоматически.
Иная ситуация складывается в крупной организации, особенно при удаленном расположении подразделений, когда возникает необходимость в помощниках главного администратора, которые могли бы взять на себя выполнение части функций управления. В этом случае необходимо права на установку клиентов Secret Net и их локальное администрирование предоставить и другим сотрудникам организации, назначив их главными администраторами безопасности или помощниками главного администратора.
Следует заметить, что число сотрудников, которых можно назначить главными администраторами или его помощниками, не ограничено. Однако не рекомендуется предоставлять полномочия на администрирование системы защиты слишком большому числу лиц.
21