- •Оглавление
- •Введение
- •Установка, переустановка и удаление подсистемы управления
- •Требования к оборудованию и программному обеспечению
- •Установка подсистемы управления
- •Переустановка подсистемы управления
- •Удаление подсистемы управления
- •Общие принципы управления системой защиты
- •Компоненты системы и их размещение в сети
- •Централизованное и локальное управление
- •Распределение административных полномочий
- •Средства управления
- •Программа Администратор
- •Интерфейс программы
- •Объекты управления
- •Форма представления и организация объектов управления
- •Типы объектов управления
- •Способы управления системой
- •Взаимосвязи между объектами
- •Основные операции над объектами
- •Управление связями между объектами
- •Другие возможности
- •Управление с использованием объектов нижнего уровня
- •Пространство имен
- •Создание пространства имен
- •Удаление пространства имен
- •Управление параметрами пространства имен
- •Управление шаблонами пространства имен
- •Пользователи
- •Управление составом
- •Управление свойствами
- •Управление связями
- •Связь с компьютером
- •Просмотр свойств пользователя в пространстве имен MP-RAS
- •Группы пользователей
- •Управление составом
- •Управление связями
- •Связь с пользователями
- •Связь с компьютерами
- •Компьютеры
- •Управление составом
- •Управление свойствами
- •Локальные группы компьютера
- •Связь с другими объектами
- •Управление с помощью объектов верхнего уровня
- •Общие сведения
- •Построение модели организационной структуры предприятия
- •Просмотр организационной структуры предприятия
- •Создание объекта "Подразделение"
- •Удаление объекта "Подразделение"
- •Редактирование свойств объекта "Подразделение"
- •Установка связи объекта "Подразделение" с другими объектами
- •Построение модели помещений, занимаемых предприятием
- •Просмотр модели помещений
- •Создание объекта "Помещение"
- •Удаление объекта "Помещение"
- •Управление свойствами объекта "Помещение"
- •Установка связи объекта "Помещение" с другими объектами
- •Сотрудник
- •Создание (регистрация) сотрудника
- •Увольнение (удаление) сотрудника
- •Управление свойствами сотрудника
- •Назначение пользователей сотруднику
- •Регистрация сотрудника в подразделении
- •Предоставление сотруднику рабочего места в помещении
- •Назначение сотрудника помощником главного администратора
- •Импорт объектов верхнего уровня
- •Управление с использованием механизма задач
- •Общие принципы
- •Назначение и типы задач
- •Список ресурсов задачи
- •Определение уровня доступа сотрудников к ресурсам задачи
- •Организация контроля целостности ресурсов
- •Обеспечение необходимой степени защищенности компьютеров
- •Общий порядок управления ресурсами
- •Управление задачами
- •Просмотр списка задач
- •Создание задачи
- •Удаление задачи
- •Настройка параметров задачи
- •Установка задачи на компьютер
- •Удаление задачи с компьютера
- •Организация списка ресурсов задачи
- •Формирование списка локальных ресурсов задачи
- •Создание и удаление группы ресурсов
- •Формирование списка пакетов ресурсов распределенной задачи
- •Формирование списка сетевых ресурсов распределенной задачи
- •Настройка механизма замкнутой программной среды с помощью задач
- •Управление доступом сотрудников к ресурсам задачи
- •Создание роли
- •Определение прав доступа к ресурсам для ролей
- •Установка зависимости от определяющей задачи
- •Допуск сотрудника к ресурсам задачи
- •Отмена допуска сотрудника к ресурсам задачи
- •Контроль целостности ресурсов задачи
- •Настройка контроля целостности ресурсов
- •Шаблоны контроля целостности ресурсов задачи
- •Методы контроля целостности ресурсов
- •Обеспечение защищенности компьютеров
- •Установка ограничений для задачи
- •Шаблоны ограничений для задач
- •Управление доступом в систему
- •Управление учетными записями
- •Блокировка
- •Пароли
- •Системные файлы
- •Профили
- •Просмотр информации об учетных записях в MP-RAS
- •Временная блокировка компьютера
- •Аппаратные средства идентификации
- •Работа с электронными идентификаторами
- •Режимы работы с устройствами аппаратной поддержки
- •Режим строгой аутентификации
- •Контроль загрузки с внешних носителей и изъятия устройства аппаратной поддержки
- •Управление доступом к ресурсам и защита ресурсов
- •Избирательное управление доступом к ресурсам
- •Общие сведения
- •Определение атрибутов по умолчанию в Windows 9х
- •Полномочное управление доступом к ресурсам
- •Настройка названий категорий и шаблонов грифов конфиденциальности
- •Предоставление сотруднику допуска к конфиденциальной информации
- •Предоставление прав на управление конфиденциальностью ресурсов
- •Включение и настройка режима полномочного управления доступом
- •Присвоение ресурсам категории конфиденциальности
- •Отключение полномочного управления доступом
- •Полномочное управление доступом к ресурсам в MP-RAS
- •Механизм замкнутой программной среды
- •Автоматическая настройка замкнутой среды
- •Настройка и включение
- •Корректировка списка программ и прав владения и доступа
- •Перевод в жесткий режим
- •Временное отключение и повторное включение
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Режим защиты жесткого диска при загрузке с гибкого диска
- •Криптографическая защита данных
- •Затирание данных
- •Настройка режима затирания данных
- •Затирание данных в MP-RAS
- •Затирание файла подкачки страниц
- •Резервное копирование ЦБД системы защиты
- •Управление средствами контроля и регистрации
- •Контроль целостности ресурсов
- •Регистрация событий
- •Параметры локального системного журнала
- •Параметры регистрации
- •Дополнительный аудит
- •Автоматическая очистка и архивирование системных журналов
- •Удаленное управление
- •Отчеты о состоянии системы и объектов
- •Управление общесистемными параметрами
- •Общесистемные параметры системы защиты
- •Управление синхронизацией
- •Просмотр информации о системе
- •Приложение
- •Привилегии пользователя
- •Привилегии пользователя на доступ к ресурсам компьютера в Windows 9х
- •Привилегии пользователя ОС Windows NT
- •Привилегии пользователя на администрирование системы защиты
- •Типы ресурсов задачи
- •Формат UEL-файла
- •Специальные приемы работы
- •Установление связей между объектами
- •Работа с иерархическим списком параметров
- •Настройка объектов по шаблону
- •Работа с таблицами расписаний
- •Заполнение полей, содержащих дату
- •Использование всплывающих информационных окон
- •Справочник команд контекстных меню объектов
Система Secret Net. Руководство по администрированию. Книга первая
Объекты управления
Управление системой Secret Net построено по объектному принципу – настройка параметров (свойств) объектов определяет состояние защитных механизмов системы.
Форма представления и организация объектов управления
В программе Проводник объекты управления организованы следующим образом:
Пространства имен.
Содержит перечень всех зарегистрированных в системе пространств имен
Структура объектов управления пространства имен.
Каждое пространство имен включает в себя группы объектов нижнего уровня и определяет настройки – общие для этих объектов
Задачи.
Содержит перечень задач и связанных с ними объектов управления
Сотрудники.
Содержит перечень всех сотрудников, зарегистрированных в системе и сведения о них
Пользователи, входящие в данное пространство имен
Группы пользователей,
имеющиеся в данном пространстве имен, а также состав пользователей и компьютеров, входящих в каждую из них
Компьютеры – перечень защищенных компьютеров, входящих в данное пространство имен, а также свойства каждого из них
Подразделения. Отображается организационная структура предприятия, состав сотрудников и
компьютеров, входящих в каждое подразделение
Помещения. Отображается состав помещений, в которых размещаются рабочие места сотрудников и средства вычислительной техники
Рис. 5. Основные группы объектов системы защиты
Типы объектов управления
В системе Secret Net принято разделять все объекты управления на два типа:
•Нижнего уровня – пользователь, группа пользователей, компьютер. Свойства этих объектов зависят от используемой операционной среды.
•Верхнего уровня – сотрудник, задача, роль, подразделение, помещение. Эти объекты не зависят от используемых операционных сред и описываются категориями предметной области (бизнес-понятиями, такими как: сотрудник, штатная структура, территориальное размещение, функциональные обязанности, производственные задачи).
При наличии связей между объектами верхнего и нижнего уровня изменение параметров объектов верхнего уровня приводит к автоматическому изменению, связанных с ними параметров объектов нижнего, а через них и к изменению настроек защитных механизмов.
24
Глава 2. Общие принципы управления системой защиты
Объекты верхнего уровня
Объекты нижнего уровня
Объекты верхнего уровня описываются категориями предметной области (бизнеспонятиями, такими как: сотрудник, штатная структура, территориальное размещение, функциональные обязанности, производственные задачи)
Объекты нижнего уровня (пользователь, группа пользователей, компьютер) позволяют управлять защитными механизмами в различных операционных средах. Свойства этих объектов зависят от используемой операционной системы
Защитные механизмы компьютера
Ресурсы
Программные или аппаратно-программные средства, регулирующие доступ к компьютеру, защиту и доступ к данным и обеспечивающие контроль и регистрацию событий, связанных с безопасностью
Защищаемые ресурсы: ресурсы файловой системы, аппаратные ресурсы, ресурсы операционной системы
Способы управления системой
Управление с использованием объектов нижнего уровня
Управление с использованием шаблонов
Управление с использованием объектов верхнего уровня
С каждым типом объектов управления связан и свой способ управления системой защиты.
Способ непосредственного управления объектами нижнего уровня позволяет выполнять индивидуальную настройку объектов последовательной настройкой отдельных параметров (свойств). Такой подход является наименее продуктивным и усложняет контроль за состоянием настроек.
Объекты нижнего уровня можно настраивать с помощью шаблонов. Такой способ облегчает настройку объектов управления и позволяет администратору безопасности типизировать наборы параметров. Шаблон представляет собой некоторую совокупность значений параметров, которой присвоено символическое имя. Применение шаблона к объекту управления приводит к присвоению ему значений, содержащихся в шаблоне. Каждое пространство имен имеет свой набор шаблонов настроек.
Вместе с системой защиты поставляется ряд уже готовых типовых, так называемых встроенных шаблонов настроек. Также в системе предусмотрена возможность создания и дополнительных шаблонов.
Параметры как дополнительных, так и встроенных шаблонов могут быть изменены (параметры встроенных шаблонов можно восстановить к начальным значениям). Изменение параметров шаблона приводит к изменению и параметров всех объектов, настроенных по этому шаблону. Шаблоны можно переименовывать, кроме того, дополнительные шаблоны можно и удалять.
Настройка с использованием объектов верхнего уровня делает процесс управления более контролируемым и осмысленным, так как позволяет оперировать категориями предметной области (бизнес-понятиями, понятиями из области управления кадрами, такими как: сотрудник, штатная структура, территориальное размещение, функциональные обязанности, производственные задачи).
Основными объектами верхнего уровня являются: "Сотрудник" и "Задача". Управление этими объектами позволяет обеспечить сотруднику доступ к ресурсам, необходимым для выполнения функциональных обязанностей, а также обеспечивает защиту этих ресурсов и контроль их целостности.
Объекты "Подразделение" и "Помещение" не используются непосредственно для управления защитными механизмами или настройки свойств объектов, а служат для группировки объектов (сотрудники, компьютеры).
25
|
Система Secret Net. Руководство по администрированию. Книга первая |
|
Взаимосвязи между объектами |
|
|
|
На следующем рисунке показаны связи, существующие между объектами управле- |
|
|
ния, а в выносках приводится описание содержания этих связей: |
|
Объекты |
|
Эти объекты используются для |
верхнего уровня |
Помещение |
распределения сотрудников и компьютеров |
|
|
по помещениям и подразделениям |
|
Подразделение |
|
|
Задача |
Определяет состав ресурсов, необходимых |
|
для решения производственных задач, и |
|
|
|
права доступа к ним. А также определяет |
|
|
способы контроля целостности ресурсов |
|
|
Набор прав доступа к ресурсам задачи. |
|
Роль |
Роли создаются автоматически при |
|
|
создании задачи. Для функциональной |
|
|
задачи можно создать новую роль вручную |
|
Связь |
Связь роли с сотрудником определяет его |
|
права доступа к ресурсам задачи |
|
|
Роль- |
|
|
При создании роли автоматически |
|
|
Сотрудник |
|
|
|
создается соответствующая ей группа |
|
|
пользователей, обладающая такими же |
|
Сотрудник |
правами доступа к ресурсам задачи |
|
Объект, соответствующий работающему в |
|
|
|
|
|
|
организации физическому лицу |
|
|
Эта связь позволяет сопоставить |
Объекты |
|
сотруднику нескольких пользователей |
Пространство |
|
|
нижнего уровня |
Объединяет объекты нижнего уровня, |
|
|
имен |
относящиеся к одной операционной |
|
|
системе или домену (для Windows NT) и |
|
|
определяет настройки, общие для всех |
|
|
однотипных объектов этого пространства |
Группа |
Определяет привилегии и права |
пользователей |
пользователей, входящих в группу |
Пользователь |
Определяет общие параметры работы |
|
этого пользователя на любых компьютерах |
Связь |
Этот объект создается при установке связи |
и определяет индивидуальные параметры |
|
Пользователь- |
работы этого пользователя на данном |
Компьютер |
компьютере |
|
Определяет настройки системы, общие |
Компьютер |
для всех пользователей компьютера |
Защитные механизмы |
компьютера |
Ресурсы
Рис. 6. Связь объектов верхнего и нижнего уровней
26
Глава 2. Общие принципы управления системой защиты
Основные операции над объектами
Над объектами могут быть выполнены следующие операции:
•создание (или регистрация), переименование, удаление объекта;
•редактирование свойств объекта;
•создание и удаление связей между объектами;
•редактирование свойств связи объектов.
Выполнить операцию над объектом можно несколькими способами, используя:
•Контекстное меню объекта или ярлыка-ссылки на объект.
Для этого подведите курсор к объекту или ярлыку-ссылке на него, нажмите правую кнопку мыши и в появившемся контекстном меню выберите нужную команду.
Назначение команд контекстных меню объектов см. в справочнике на стр. 221.
•Панель инструментов программы Проводник.
Для этого выберите объект и нажмите нужную кнопку на панели инструментов.
•Главное меню программы Проводник.
Для этого выберите объект, а затем выберите нужную команду в главном меню программы Проводник. Кроме того, для вызова команд могут быть использованы горячие клавиши, которые показаны в меню рядом с названиями команд.
•Функциональные клавиши на клавиатуре.
Например, для удаления объекта выделите его и нажмите клавишу <Delete>.
Управление связями между объектами
Между объектами системы Secret Net могут быть установлены связи. Некоторые связи устанавливаются автоматически при создании или регистрации объектов, связь между другими объектами должна быть установлена "вручную" явным образом.
Пример. Чтобы включить пользователя в группу пользователей, необходимо установить связь между соответствующими объектами “Пользователь” и “Группа пользователей”. Или, для регистрации пользователя на компьютере, нужно установить связь объекта “Пользователь” с объектом “Компьютер”, а затем определить свойства этой связи.
Не для всех объектов системы защиты допустима операция установки связи. Например, нельзя установить связь объекта “Задача” с объектом “Пользователь” или с объектом “Подразделение”.
Если связь между объектами возможна (см. Рис. 6 на стр. 26), то для ее создания необходимо скопировать один из объектов в папку другого объекта. Создание связи является симметричной операцией: связывание объекта "А" с объектом "В" эквивалентно связыванию объекта "В" с объектом "А". Некоторые связи сами обладают свойствами (например, связь пользователя с компьютером). В этом случае при создании связи требуется указать и свойства связи.
После того как связь между объектами установлена, в состав каждого из них добавляются ярлыки-ссылки друг на друга.
Создание связи Операция установки связи между объектами системы защиты может быть выполнена несколькими способами:
•копированием через буфер обмена;
•методом Drag-and-Drop.
27
Система Secret Net. Руководство по администрированию. Книга первая
Связь некоторых объектов, например, сотрудника с пользователями и компьютерами, может быть создана непосредственно в окне настройки свойств сотрудника. Описание таких способов создания связи приводится в разделах, посвященных управлению соответствующими объектами.
Для установки связи через буфер обмена:
1. Выберите 1-й объект и скопируйте его в буфер обмена, выполнив команду "Копировать" из контекстного меню или нажав соответствующую кнопку на панели инструментов программы Проводник.
2.Выберите 2-й объект и выполните команду “Вставить” из контекстного меню или средствами программы Проводник.
На экране появится запрос для подтверждения установки связи.
3.Нажмите кнопку "OK" в окне запроса.
Пояснение. Если устанавливаемая связь обладает свойствами, на экране появится окно настройки свойств связи. Настройте свойства связи и нажмите кнопку "ОК". При нажатии кнопки "Отмена" связь между выбранными объектами установлена не будет.
Для установки связи методом Drag-and-Drop:
1. Захватите с помощью мыши объект, переместите указатель мыши (не отпуская левой кнопки мыши) к объекту, связь с которым необходимо установить и отпустите левую кнопку мыши.
На экране появится запрос для подтверждения установки связи: 2. Нажмите кнопку "OK" в окне запроса.
О том, что связь установлена, будут свидетельствовать добавленные в состав объектов, между которыми установлена связь, специальные пиктографические изображения (ярлыки-ссылки), содержащие имена или названия связываемых объектов.
Удаление связи При необходимости установленная ранее связь одного объекта с другим может быть удалена. Для удаления связи между объектами системы защиты достаточно удалить из состава одного из объектов ярлык-ссылку на другой объект.
Пример. Если нужно запретить пользователю "А" доступ к компьютеру "В", то для этого удалите связь соответствующих объектов, после чего пользователь потеряет доступ к компьютеру.
Для удаления связи:
1. Выберите с помощью мыши в левой части окна программы Проводник один из объектов, связь между которыми необходимо удалить.
Вправой части окна отобразится список ярлыков-ссылок на объекты, с которыми связан выбранный объект.
2.Выберите ярлык-ссылку, которую требуется удалить, и активизируйте команду "Удалить" из контекстного меню или нажмите кнопку "Удалить" на панели инструментов программы Проводник (или клавишу <Delete>).
Совет. Для выбора нескольких объектов, расположенных подряд, используйте клавишу <Shift>. Еслинеобходимовыбратьобъекты, расположенныеразрозненно, используйтеклавишу<Ctrl>.
Врезультате этих действий на экране появится запрос на удаление связи.
3.Нажмите кнопку "Да" в окне запроса.
Удаление некоторых связей между объектами не допускается. Если удаление связи невозможно, на экране появится сообщение об ошибке.
28