- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Приложение
Привилегии пользователя
Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
Привилегии |
Пояснения |
|
Во всех программах, отображающих список существующих логических дисков, |
Видимость дисков |
показывать пользователю логические диски, даже если доступ к этим дискам |
|
ему запрещен (определены права на доступ к диску “Нет доступа”) |
|
Во всех программах, отображающих список существующих каталогов, показы- |
Видимость каталогов |
вать пользователю каталоги, даже если доступ к этим каталогам ему запрещен |
|
(определены права на доступ к каталогу “Нет доступа”) |
|
Во всех программах, отображающих список существующих файлов, показывать |
Видимость файлов |
пользователю имена файлов, даже если доступ к этим файлам ему запрещен |
|
(определены права на доступ к файлу “Нет доступа”) |
Без атрибутов на дисках |
Отменить для пользователя все ограничения на доступ к логическим дискам |
Игнорировать установленные на каталоги атрибуты доступа и владения. Поль-
Без атрибутов на каталогах зователь наделяется правами полного доступа ко всем каталогам, находящимся на локальных дисках компьютера (если это не запрещено атрибутами доступа к
дискам)
|
|
|
Игнорировать атрибуты доступа и владения, присвоенные файлам. Пользова- |
|
Без атрибутов на файлах |
|
тель наделяется правами полного доступа ко всем файлам, находящимся на ло- |
|
|
кальных дисках компьютера (если это не запрещено атрибутами доступа к |
|
|
|
|
|
|
|
|
дискам и каталогам) |
|
|
|
Игнорировать ограничения и запреты, установленные для пользователя: |
|
|
|
• при включении жесткого режима работы для замкнутой программной среды и |
|
|
|
выключении мягкого режима для атрибутов; |
|
Без ограничений по на- |
|
• запретами и ограничениями, установленными для пользователя (группа вы- |
|
стройкам |
|
ключателей “Локальные ресурсы” в диалоге "Запреты" свойств связи "Поль- |
|
|
|
зователь-Компьютер" (см. Рис. 64 на стр. 143)); |
|
|
|
• ограничениями по доступу к ресурсам операционной системы; |
|
|
|
• расписанием работы пользователя на компьютере. |
Привилегии пользователя ОС Windows NT
|
Привилегии |
|
Пояснения |
|
|
|
|
Группа привилегий “Вход в систему” |
|
|
Вход в систему локально |
|
Разрешается доступ к компьютеру локально (интерактивный вход) |
|
|
Доступ к этому компьютеру |
|
Разрешается доступ к компьютеру по сети (удаленный вход) |
|
|
по сети |
|
|
|
|
Вход в систему как сервис |
|
Разрешается регистрировать в системе процессы в качестве служб |
|
|
Вход в систему как пакет- |
|
Разрешается доступ к компьютеру с помощью специального пакетного файла. В |
|
|
ный файл |
|
Windows NT 4.0 не используется. |
|
|
|
Группа привилегий “Специальные возможности” |
|
|
|
Создание маркерного объ- |
|
Программам, запущенным пользователем, разрешается создавать маркеры |
|
|
екта |
|
доступа |
|
|
Замена маркера уровня |
|
Программам, запущенным пользователем, разрешается модифицировать мар- |
|
|
процесса |
|
керы доступа процессов |
|
|
Закрепление страниц в па- |
|
Программам, запущенным пользователем, разрешается закреплять страницы |
|
|
мяти |
|
памяти так, чтобы они не вытеснялись в файл подкачки страниц (pagefile.sys) |
|
|
Увеличение квот |
|
В Windows NT 4.0 не используется. Зарезервирована для использования в сле- |
|
|
|
дующих версиях Windows |
|
|
|
|
|
|
|
|
Работа в режиме операци- |
|
Позволяет функционировать программе, запущенной пользователем, как части |
|
|
онной системы |
|
операционной системы |
|
|
Создание страничного |
|
В Windows NT 4.0 не используется. Зарезервирована для использования в сле- |
|
|
файла |
|
дующих версиях Windows |
|
207
Система Secret Net. Руководство по администрированию. Книга первая
|
Привилегии |
|
Пояснения |
|
Создание постоянных объ- |
|
Разрешается создавать специальные постоянные объекты, такие как \\Device, |
|
ектов совместного исполь- |
|
применяемые Windows NT |
|
зования |
|
|
|
Отладка программ |
|
Разрешается низкоуровневая отладка программ, например отладка таких объек- |
|
|
тов, как потоки (threads) |
|
|
|
|
|
|
Генерация событий аудита |
|
Программам, запущенным пользователем, разрешается добавлять записи в |
|
|
|
журнал безопасности Windows NT. |
|
|
|
Группа привилегий “Управление системой” |
|
|
|
Идентифицирует пользователя как Security Operator. Позволяет получить доступ |
|
Управление аудитом и жур- |
|
к журналу безопасности и разрешает настраивать параметры аудита для фай- |
|
налом безопасности |
|
лов, каталогов и других объектов. Не используется в Windows NT 4.0 c Service |
|
|
|
Pack ниже 4 версии. |
|
Овладение файлами или |
|
Разрешает вступать во владение файлами, каталогами, принтерами и другими |
|
иными объектами |
|
объектами на компьютере |
|
Изменение системного |
|
Разрешает изменять параметры часов компьютера. Отображается также в диа- |
|
времени |
|
логе “Запреты” |
|
Завершение работы систе- |
|
Разрешает локально завершать работу ОС Windows NT |
|
мы |
|
|
|
Удаленное завершение ра- |
|
Разрешает завершать работу ОС Windows NT с удаленного компьютера |
|
боты системы |
|
|
|
Добавление рабочих стан- |
|
Разрешается добавлять учетные записи рабочих станций. |
|
ций к домену |
|
|
|
|
|
Группа привилегий “Настройки системы” |
|
Загрузка и выгрузка драй- |
|
Разрешается загружать и выгружать драйверы устройств |
|
веров устройств |
|
|
|
Профилирование загружен- |
|
Разрешается получать информацию о загруженности системы |
|
ности системы |
|
|
|
Профилирование одного |
|
Разрешается получать информацию о процессе |
|
процесса |
|
|
|
Увеличение приоритета |
|
Разрешается управлять приоритетом процесса |
|
диспетчирования |
|
|
|
Изменение параметров |
|
Разрешается модифицировать содержимое переменных системного окружения. |
|
среды оборудования |
|
|
|
|
|
Группа привилегий “Отмена ограничений” |
|
Без атрибутов на выше- |
|
Разрешается доступ к файлам и вложенным папкам, невзирая на права доступа, |
|
стоящих каталогах |
|
присвоенные вышестоящим каталогам |
|
|
|
Разрешается доступ к логическим дискам, невзирая на ограничения, установ- |
|
Без атрибутов на дисках |
|
ленные при помощи атрибутов доступа Secret Net NT. Привилегия применима |
|
|
|
только для пользователей |
|
|
|
Разрешается работа без ограничений, установленных для следующих парамет- |
|
|
|
ров: |
|
Без ограничений по на- |
|
• доступ к файловым серверам только из списка; |
|
стройкам |
|
• запрет работы при нарушении целостности; |
|
|
|
• ограничения установленные в Policy (Ограничения Windows NT). |
|
|
|
Привилегия применима только для пользователей |
|
Архивирование файлов и |
|
Разрешается архивировать файлы и каталоги локальных дисков, несмотря на |
|
каталогов |
|
то, что их владельцем является другой пользователь |
|
Восстановление файлов и |
|
Разрешается восстанавливать файлы и каталоги, а также любые корректные |
|
|
SID пользователя и группы пользователей. Эта привилегия имеет приоритет над |
|
|
каталогов |
|
|
|
|
правами доступа, установленными для файлов, каталогов и других объектов. |
|
|
|
|
208
Приложение
Привилегии пользователя на администрирование системы защиты
|
Привилегии |
|
|
Пояснения |
|
|
|
|
Группа привилегий “Параметры компьютера” |
|
|
|
Нет доступа |
|
Вызов диалога “Настройки Secret Net” запрещен |
|
|
|
Только просмотр |
|
Разрешен вызов диалога “Настройки Secret Net”, но запрещено вносить любые |
|
|
|
|
изменения в поля этого диалога |
|
||
|
|
|
|
||
|
Просмотр и изменение |
|
Разрешен вызов диалога “Настройки Secret Net”. Разрешено изменять значения |
|
|
|
|
только тех полей, которые находятся в диалоге “Общие” и могут быть изменены |
|
||
|
(уровень 1) |
|
|
||
|
|
средствами локального администрирования |
|
||
|
|
|
|
||
|
Просмотр и изменение |
|
Разрешен вызов диалога “Настройки Secret Net”. Разрешено изменять значения |
|
|
|
(уровень 2) |
|
всех полей этого диалога, доступных для локального администрирования |
|
|
|
|
|
Группа привилегий “Параметры своей работы” |
|
|
|
|
|
В списке пользователей компьютера не отображается ярлык с именем данного |
|
|
|
Нет доступа |
|
пользователя. Вызов диалога “Свойства пользователя” для этого пользователя |
|
|
|
|
|
запрещен |
|
|
|
|
|
Разрешен вызов диалога “Свойства пользователя” для просмотра параметров |
|
|
|
Только просмотр |
|
работы данного пользователя. Запрещен вызов этого диалога для просмотра |
|
|
|
|
параметров работы других пользователей компьютера. Запрещено вносить лю- |
|
||
|
|
|
|
||
|
|
|
бые изменения в поля этого диалога |
|
|
|
Просмотр и изменение |
|
Разрешен вызов диалога “Свойства пользователя” для просмотра и изменения |
|
|
|
(уровень 1) |
|
некоторых параметров работы данного пользователя |
|
|
|
Просмотр и изменение |
|
Разрешен вызов диалога “Свойства пользователя” для просмотра и изменения |
|
|
|
(уровень 2) |
|
некоторых параметров работы данного пользователя |
|
|
|
Просмотр и изменение |
|
Разрешено просматривать и изменять любые параметры работы данного поль- |
|
|
|
(уровень 3) |
|
зователя, доступные для локального администрирования. |
|
|
|
Группа привилегий “Параметры работы других пользователей” |
|
|||
|
|
|
В списке пользователей компьютера не отображаются ярлыки с именами других |
|
|
|
Нет доступа |
|
пользователей. Вызов диалога “Свойства пользователя” для всех (кроме данно- |
|
|
|
|
|
го) пользователей компьютера, запрещен |
|
|
|
|
|
Разрешен вызов диалога “Свойства пользователя” для просмотра параметров |
|
|
|
Только просмотр |
|
работы любого другого (кроме данного) пользователя компьютера. Запрещено |
|
|
|
|
|
вносить любые изменения |
|
|
|
Просмотр и изменение |
|
Разрешен вызов диалога “Свойства пользователя” для просмотра и изменения |
|
|
|
|
некоторый параметров работы любого другого (кроме данного) пользователя |
|
||
|
(уровень 1) |
|
|
||
|
|
компьютера |
|
||
|
|
|
|
||
|
|
|
Разрешен вызов диалога “Свойства пользователя” для просмотра и изменения |
|
|
|
|
|
параметров работы любого другого (кроме данного) пользователя компьютера. |
|
|
|
|
|
Разрешено изменять значения только следующих параметров: |
|
|
|
|
|
• Имя пользователя и Описание; |
|
|
|
Просмотр и изменение |
|
• Атрибуты по умолчанию (Клиент 9’x); |
|
|
|
(уровень 2) |
|
• Ограничения для пользователей Windows‘9x (Клиент 9’x); |
|
|
|
|
|
• |
Регистрация событий (Клиент 9’x); |
|
|
|
|
• |
Не регистрировать (Клиент 9’x); |
|
|
|
|
• пользователю разрешается изменять значения атрибутов доступа к дискам |
|
|
|
|
|
|
(Клиент 9’x); |
|
|
Просмотр и изменение |
|
Разрешено изменять любые параметры работы любого другого (кроме данного) |
|
|
|
(уровень 3) |
|
пользователя компьютера, доступные для локального администрирования. |
|
|
|
Группа привилегий “Пользователи и группы пользователей” (Windows NT) |
|
|||
|
Создание объектов |
|
Разрешено создание пользователя или группы пользователей |
|
|
|
Удаление объектов |
|
Разрешено удаление пользователя или группы пользователей |
|
|
|
Изменение групп пользова- |
|
Разрешено изменение названия группы пользователей, изменение дополни- |
|
|
|
телей |
|
тельной информации о группе пользователей, управление составом группы |
|
|
|
|
пользователей. |
|
||
|
|
|
|
||
|
Группа привилегий “Атрибуты системы защиты” (Windows 9x) |
|
|||
|
Нет доступа |
|
При обращении к диалогам управления атрибутами Secret Net дисков, каталогов |
|
|
|
|
и файлов содержание диалогов не отображается |
|
||
|
|
|
|
209
Система Secret Net. Руководство по администрированию. Книга первая
|
Привилегии |
|
|
Пояснения |
|
Просмотр для своих и об- |
|
Разрешено отображение диалогов управления атрибутами Secret Net каталогов |
|
|
|
и файлов для всех ресурсов, не имеющих владельца или принадлежащих дан- |
||
|
щих ресурсов |
|
||
|
|
|
ному пользователю. Запрещено вносить любые изменения в поля этих диалогов |
|
|
|
|
|
|
|
Просмотр для всех ресур- |
|
Разрешено отображение диалогов управления атрибутами Secret Net каталогов |
|
|
|
и файлов для любого ресурса компьютера, кроме логических дисков, но запре- |
||
|
сов |
|
||
|
|
щено вносить любые изменения в поля этих диалогов |
||
|
|
|
||
|
|
|
Разрешено отображение диалогов управления атрибутами Secret Net каталогов |
|
|
Изменение для своих и об- |
|
и файлов для любого ресурса компьютера, кроме логических дисков. Разрешено |
|
|
|
вносить любые изменения в поля этих диалогов для всех ресурсов (кроме логи- |
||
|
щих ресурсов |
|
ческих дисков), не имеющих владельца или принадлежащих данному пользова- |
|
|
|
|
||
|
|
|
телю |
|
|
|
|
Разрешено отображение диалогов управления атрибутами Secret Net каталогов |
|
|
Изменение для всех ресур- |
|
и файлов для любого ресурса компьютера, кроме логических дисков. Разрешено |
|
|
|
вносить любые изменения в поля этих диалогов для любого ресурса, кроме ло- |
||
|
сов |
|
гических дисков. Разрешено быть владельцем файлов из списка разрешенных |
|
|
|
|
||
|
|
|
для запуска программ (замкнутая программная среда) |
|
|
|
|
Нет ограничений по управлению атрибутами Secret Net для любого ресурса ком- |
|
|
Полный доступ |
|
пьютера, включая логические диски. Пользователь, наделенный этой привиле- |
|
|
|
гией, автоматически становится владельцем всех локальных логических дисков |
||
|
|
|
||
|
|
|
компьютера. |
|
|
|
|
|
Группа привилегий “Системный журнал” |
|
Нет доступа |
|
Запрещается вызов диалога “Журнал” при обращении к локальному системному |
|
|
|
журналу. |
||
|
|
|
||
|
Только просмотр |
|
Разрешен только просмотр содержания локального системного журнала |
|
|
Просмотр, печать и экспорт |
|
Разрешено просматривать и выводить содержание локального системного жур- |
|
|
|
|
|
нала на печать, преобразовывать в файл |
|
Полный доступ |
|
Разрешено вносить изменения в локальный системный журнал и удалять записи |
|
|
|
из журнала. |
||
|
|
|
||
|
|
|
|
Группа привилегий “Система защиты” |
|
Переустановка и отключе- |
|
Разрешено редактировать файл CONFIG.SYS. Разрешено осуществлять пере- |
|
|
ние системы |
|
установку и отключение системы защиты на компьютере |
|
|
Удаление системы |
|
Разрешено осуществлять полное снятие (удаление) системы защиты с компью- |
|
|
|
тера. |
||
|
|
|
||
|
|
|
|
Группа привилегий “Удаленное управление” |
|
Разрешить использование |
|
Пользователю разрешено запускать программу удаленного управления компью- |
|
|
программы удаленного |
|
терами и осуществлять удаленное управление |
|
|
управления |
|
|
|
|
Разрешить изменение ре- |
|
Пользователю разрешено управлять режимом удаленного управления компью- |
|
|
жима удаленного управле- |
|
терами. |
|
|
ния |
|
|
|
210