- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Назначение
- •Подготовка компьютера к установке Secret Net 9x
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Временное отключение системы защиты
- •Удаление системы защиты
- •Общие принципы настройки и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Порядок и особенности настройки системы
- •Средства управления
- •Консоль системы защиты
- •Средства управления общими параметрами системы
- •Средства управления свойствами пользователя
- •Средства управления доступом к дискам, каталогам и файлам
- •Аппаратные средства поддержки Secret Net 9x
- •Установка устройства
- •Настройка устройства
- •Отключение устройства
- •Управление пользователями и группами
- •Администратор безопасности компьютера
- •Пользователи
- •Предоставление привилегий
- •Ограничение времени работы пользователя
- •Группы пользователей
- •Свойства группы
- •Состав группы
- •Настройка механизмов контроля входа
- •Настройка общих параметров входа
- •Управление паролями
- •Общие параметры пароля
- •Правила определения пароля
- •Настройка индивидуальных параметров входа
- •Настройка параметров аутентификации пользователя
- •Смена пароля пользователя
- •Управление блокировкой пользователя
- •Персональные идентификаторы
- •Управление персональными системными файлами пользователя
- •Запреты работы при изменении конфигурации компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Удаленный контроль
- •Полномочное управление доступом
- •Включение и настройка режима
- •Просмотр информации о правах пользователя
- •Определение категории конфиденциальности дисков и каталогов
- •Правила работы с конфиденциальными документами
- •Отключение режима
- •Настройка хранителя экрана
- •Замкнутая программная среда
- •Настройка регистрации событий
- •Корректировка UEL-списка по умолчанию
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Корректировка UEL-списка
- •Настройка замкнутой среды
- •Включение дополнительных механизмов защиты
- •Ограничение доступа к локальным ресурсам
- •Разграничение доступа пользователей к USB - портам компьютера
- •Ограничение доступа к сетевым ресурсам
- •Ограничение доступа к системным ресурсам
- •Криптографическая защита информации
- •Включение режима и управление шифрованием ресурсов
- •Управление списком зашифрованных ресурсов
- •Выключение режима
- •Затирание удаляемой информации
- •Управление доступом к дискам, каталогам и файлам
- •Общие сведения
- •Определение атрибутов по умолчанию для пользователя
- •Управление доступом к ресурсам в программе Проводник
- •Управление доступом пользователей к дискам
- •Управление доступом пользователей к каталогам
- •Управление доступом пользователей к файлам
- •Управление атрибутами помощью программы IMAGE32
- •Настройка параметров IMAGE32
- •Управление атрибутами в режиме "Диалог"
- •Управление атрибутами в режиме "Файлы"
- •Специальные возможности программы Image32
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание списка ресурсов
- •Изменение свойств списка ресурсов
- •Удаление списка ресурсов
- •Управление составом списка ресурсов
- •Формирование задания
- •Управление заданиями
- •Пересчет контролируемых параметров
- •Регистрация событий
- •Настройка общих параметров
- •Настройка режима регистрации событий для пользователя
- •Работа с журналом регистрации событий
- •Формирование запроса
- •Настройка основных параметров запроса
- •Настройка дополнительных параметров запроса
- •Формирование запроса с помощью шаблонов
- •Формирование запроса с помощью шаблонов из программы Проводник
- •Работа с программой просмотра журнала
- •Интерфейс программы просмотра журнала
- •Просмотр информации о событии
- •Поиск записей, содержащихся в выборке
- •"Подзапрос" к системному журналу
- •Печать отдельных записей и всего журнала
- •Очистка журнала
- •Преобразование записей журнала в файлы различных форматов
- •Приложение
- •Параметры установки Secret Net 9x
- •Порядок использования файла с атрибутами при установке системы
- •Параметры установки Secret Net 9x
- •Информация о состоянии и настройках Secret Net 9x
- •Параметры настройки. Краткие сведения
- •Общие параметры системы
- •Параметры настройки свойств пользователя
- •Привилегии пользователя
- •Привилегии на работу с системой
- •Привилегии на администрирование системы
- •Ограничения Windows 9х
- •Печать документов с грифом конфиденциальности
- •Печать в Microsoft Word
- •Печать в SnetWPad
- •Текстовый редактор SnEdit
- •Перечень функций редактора
- •Цветовая индикация записей
- •Структура файлов для замкнутой программной среды
- •Средства аппаратной поддержки системы защиты
- •Установка платы Secret Net Card
- •Установка платы Secret Net TM Card
- •Установка сетевой платы с микросхемой Secret Net ROM BIOS
- •Установка платы Электронный замок "Соболь"
- •Установка и настройка считывателя eToken
- •Элементы интерфейса и приемы работы
- •Элементы интерфейса и типовые приемы работы
- •Терминологический справочник
- •Предметный указатель
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкретной программы). Все другие действия запрещены.
8. Нажмите кнопку "OK" в окне управления свойствами пользователя.
Корректировка
вручную
Корректировка UEL-списка вручную
Перед выполнением процедуры корректировки UEL-списка проанализируйте записи журналов, относящиеся к работе пользователей, для которых включена замкнутая программная среда. Для анализа следует использовать средства централизованного управления системой защиты, т.к. записи локального журнала передаются нас сервер безопасности и автоматически удаляются из локального журнала.
Составьте для каждого пользователя список программ, попытки запуска которых регистрируются как события НСД "Запрет запуска" и “Запрет загрузки библиотеки".
При корректировке UEL-списка в него можно добавлять имена файлов, содержащие полный путь, указывать каталоги или файлы по маске. Описание формата и цветовой индикации записей UEL-списка содержится в приложении (см. стр.152 и Табл.35 соответственно).
Примечание. Порядок редактирования текстового содержания файла в редакторе SnEdit соответствует порядку, принятому в большинстве текстовых редакторов (например, в стандартных редак-
торах Windows - WordPad или Блокнот).
Для корректировки списка вручную:
1. Вызовите на экран окно управления свойствами пользователя.
2.Активизируйте диалог “Режимы” (см. Рис.42) и нажмите кнопку "Программы". UEL-список выбранного пользователя будетоткрытв окне редактора SnEdit.
3.Отредактируйте записи секции [Auto].
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкретной программы). Все другие действия запрещены.
4.Добавьте в секцию [Manual] нужные строки, разрешающие или запрещающие пользователю запуск тех или иных программ.
Добавление файлов в диалоговом режиме. Выберите в меню главного окна программы SnEdit "Список программ | Добавить". На экране появится стандартный диалог Windows "Добавить файл". С помощью этого диалога найдите и укажите нужный файл.
Сортировка списка. Для сортировки UEL-списка в алфавитном порядке выберите в меню главного окна программы SnEdit "Список программ | Сортировать".
5.Сохраните изменения и закройте окно редактора.
6.Нажмите на кнопку "OK" в окне управления свойствами пользователя.
Настройка замкнутой среды
Как уже указывалось ранее, запуск программы в "жестком" режиме замкнутой среды разрешается, если для файла установлены необходимые права доступа и владения. Однако при формировании UEL-списка система не выполняет автоматическую корректировку этих атрибутов для файлов, добавленных в UEL-список. Поэтому может возникнуть ситуация, когда программа содержится в списке, но не может быть запущена пользователем. Если такая ситуация возникает, необходимо про-
71
Secret Net 4.0. Руководство по администрированию
анализировать записи журнала событий, определить файлы программ, права владения и доступа которых требуют корректировки, и выполнить ее.
Редактор SnEdit предоставляет средства автоматической настройки параметров замкнутой среды, которые обеспечивают:
•корректировку атрибутов доступа и владения для файлов программ, содержащихся в UEL-списке;
•добавление в список имен исполняемых файлов, необходимых для функционирования программ, содержащихся в UEL-списке;
•удаление повторяющихся строк и диагностику корректности формата строк.
Для автоматической настройки замкнутой среды:
1. Вызовите на экран окно управления свойствами пользователя.
Совет. Следует учитывать, что эта процедура позволяет настроить замкнутую среду только для данного пользователя. Рекомендуется повторить процедуру для всех пользователей, работающих в режиме замкнутой среды.
2.Активизируйте диалог “Режимы” (см. Рис.42) и нажмите кнопку "Программы". UEL-список выбранного пользователя будетоткрытв окне редактора SnEdit.
3.Выберите в меню редактора команду "Список программ | Настроить". На экране появится диалог для настройки параметров замкнутой среды:
Укажите расширения исполняемых файлов, которые должны учитываться при обработке указанных в UEL-файле каталогов
Нажмите эту кнопку для восстановления списка расширений, заданных по умолчанию
Рис.43 Диалог "Настройка замкнутой программной среды" 4. Укажите необходимые значения параметров:
Установите отметку в поле: |
Для того чтобы … |
Права доступа к ресурсам |
Корректировать атрибуты доступа и владения для пе- |
|
речня ресурсов, заданных в UEL-файле |
Автоматически настроить для |
Автоматически выполнить корректировку атрибутов |
всех ресурсов* |
доступа и владения, не выполняя предварительно про- |
|
верку их корректности и не запрашивая разрешение пе- |
|
ред выполнением операции. При автоматической |
|
корректировке атрибутов: |
|
• владельцем всех файлов UEL-списка становится |
|
пользователь - администратор безопасности компьюте- |
|
ра по умолчанию (админ.); |
|
• для всех категорий пользователей ("Владелец", "Груп- |
|
па", "Остальные") устанавливаются атрибуты доступа к |
|
файлам "Чтение и выполнение" (см. Табл.5) |
Зависимости от других |
Добавить в UEL-список имена исполняемых файлов, |
модулей |
необходимых для функционирования программ, уже со- |
72
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Установите отметку в поле: |
Для того чтобы … |
|
держащихся в UEL-списке |
Повторяющиеся ресурсы |
Удалить из UEL-файла повторяющиеся строки |
Обрабатывать каталоги* |
При проверке (корректировке) атрибутов доступа и вла- |
|
дения обрабатывать файлы из каталогов, указанных в |
|
UEL-списке. Иначе такие строки будут игнорироваться. |
|
Обработке подлежат только файлы с заданными рас- |
|
ширениями |
Обрабатывать ресурсы, |
При проверке (корректировке) атрибутов доступа и вла- |
заданные при помощи масок* |
дения обрабатывать файлы, заданные с помощью ма- |
|
сок. Иначе такие строки будут игнорироваться |
Запрашивать подтверждение |
Перед выполнением операций по настройке парамет- |
перед выполнением операций |
ров замкнутой среды выводить на экран запрос на под- |
|
тверждение операций |
Примечание. Параметры настройки, отмеченные символом "*" (звездочка), доступны для изменений при установке отметки в поле "Права доступа к ресурсам".
5.Нажмите кнопку "Начать".
•Если программа обнаружит в UEL-списке ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк используются следующие цветовые индикаторы:
Цвета |
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования ма- |
|
сок), которые не обнаружены на локальном диске компьютера |
|
или являются некорректными строками (т.е. строками с некор- |
|
ректным описанием ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), на которых |
|
атрибуты доступа и владения не соответствуют требованиям |
|
замкнутой среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в дру- |
|
гих секциях данного файла |
•В некоторых случаях программа сама может разрешить противоречия, руководствуясь рядом правил (см. стр. 153).
•Если включен режим запроса подтверждений, перед выполнением операций на экран будут выводиться дополнительные диалоги, описанные ниже.
•При автоматическом режиме настройки подтверждения не запрашиваются, а после успешного завершения корректировки указанных параметров на экране появится сообщение об этом.
В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.
6.Сохраните изменения и закройте окно редактора.
7.Нажмите кнопку "OK" в окне управления свойствами пользователя.
При появлении на экране дополнительных диалогов действуйте следующим образом:
73
Secret Net 4.0. Руководство по администрированию
Такое сообщение появится на экране, если активизированы параметры:
• "Зависимости от других модулей";
• "Запрашивать подтверждение перед выполнением операций"
Причина
Действия
В UEL-списке отсутствуют программы, необходимые для работы программ, уже содержащихся в списке.
Нажмите кнопку "Да". Имена исполняемых файлов будут добавлены в UEL-список.
В сообщениях, подобных представленному на этом рисунке, кнопки "Исправить" и "Исправить все" будут активны только в том случае, если возможно автоматическое исправление некорректной информации. Например, строка, содержащая неправильное описание пути к файлу, не может быть автоматически исправлена
Причина
Действия
Ручная корректировка атрибутов владения и доступа
Сообщения, подобные представленному на этом рисунке, содержат информацию об ошибках, выявленных в результате проверки UEL-списка. Подробная информация об ошибке изложена в текстовом поле диалога.
Нажмите кнопку:
•"Исправить" – для исправления выявленной ошибки;
•"Исправить все" – для исправления всех ошибок подобного типа;
•"Удалить" – для удаления из UEL-списка записи, содержащей ошибку;
•"Удалить все" – для удаления всех записей, содержащих ошибку подобного типа;
•"Пропустить" – чтобы отказаться от исправления выявленной ошибки;
•"Пропустить все" – для отказа от исправления всех ошибок подобного типа;
•"Отмена" – чтобы прервать процедуру корректировки.
Для корректировки атрибутов владения и доступа вручную:
1. Откройте журнал событий.
2.Просмотрите в колонке "Событие" все записи о событиях НСД, содержащие значения "Запрет запуска" и “Запрет загрузки библиотеки" (причина запрета запуска отображается в окне дополнительной информации о событии).
Проверьте атрибуты доступа и владения для всех файлов программ, полные пути к которым содержатся в колонке "Объект" этих записей. Выясните причину запрета запуска программ и выявите файлы с некорректными атрибутами владения и доступа. Составьте список таких файлов.
3.Закройте журнал событий.
4.Присвойте корректные права доступа и владения файлам программ из составленных списков, руководствуясь следующими правилами:
•владельцем файла должен быть пользователь, которому это разрешено привилегией "Изменение для всех ресурсов" или "Полный доступ" из группы привилегий "Атрибуты системы защиты". Обычно таким пользователем является администратор безопасности компьютера по умолчанию (админ.);
74