Глава 5. Настройка механизмов управления доступом и защиты ресурсов
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкретной программы). Все другие действия запрещены.
8. Нажмите кнопку "OK" в окне управления свойствами пользователя.
Корректировка
вручную
Корректировка UEL-списка вручную
Перед выполнением процедуры корректировки UEL-списка проанализируйте записи журналов, относящиеся к работе пользователей, для которых включена замкнутая программная среда. Для анализа следует использовать средства централизованного управления системой защиты, т.к. записи локального журнала передаются нас сервер безопасности и автоматически удаляются из локального журнала.
Составьте для каждого пользователя список программ, попытки запуска которых регистрируются как события НСД "Запрет запуска" и “Запрет загрузки библиотеки".
При корректировке UEL-списка в него можно добавлять имена файлов, содержащие полный путь, указывать каталоги или файлы по маске. Описание формата и цветовой индикации записей UEL-списка содержится в приложении (см. стр.152 и Табл.35 соответственно).
Примечание. Порядок редактирования текстового содержания файла в редакторе SnEdit соответствует порядку, принятому в большинстве текстовых редакторов (например, в стандартных редак-
торах Windows - WordPad или Блокнот).
Для корректировки списка вручную:
1. Вызовите на экран окно управления свойствами пользователя.
2.Активизируйте диалог “Режимы” (см. Рис.42) и нажмите кнопку "Программы". UEL-список выбранного пользователя будетоткрытв окне редактора SnEdit.
3.Отредактируйте записи секции [Auto].
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкретной программы). Все другие действия запрещены.
4.Добавьте в секцию [Manual] нужные строки, разрешающие или запрещающие пользователю запуск тех или иных программ.
Добавление файлов в диалоговом режиме. Выберите в меню главного окна программы SnEdit "Список программ | Добавить". На экране появится стандартный диалог Windows "Добавить файл". С помощью этого диалога найдите и укажите нужный файл.
Сортировка списка. Для сортировки UEL-списка в алфавитном порядке выберите в меню главного окна программы SnEdit "Список программ | Сортировать".
5.Сохраните изменения и закройте окно редактора.
6.Нажмите на кнопку "OK" в окне управления свойствами пользователя.
Настройка замкнутой среды
Как уже указывалось ранее, запуск программы в "жестком" режиме замкнутой среды разрешается, если для файла установлены необходимые права доступа и владения. Однако при формировании UEL-списка система не выполняет автоматическую корректировку этих атрибутов для файлов, добавленных в UEL-список. Поэтому может возникнуть ситуация, когда программа содержится в списке, но не может быть запущена пользователем. Если такая ситуация возникает, необходимо про-
71
Secret Net 4.0. Руководство по администрированию
анализировать записи журнала событий, определить файлы программ, права владения и доступа которых требуют корректировки, и выполнить ее.
Редактор SnEdit предоставляет средства автоматической настройки параметров замкнутой среды, которые обеспечивают:
•корректировку атрибутов доступа и владения для файлов программ, содержащихся в UEL-списке;
•добавление в список имен исполняемых файлов, необходимых для функционирования программ, содержащихся в UEL-списке;
•удаление повторяющихся строк и диагностику корректности формата строк.
Для автоматической настройки замкнутой среды:
1. Вызовите на экран окно управления свойствами пользователя.
Совет. Следует учитывать, что эта процедура позволяет настроить замкнутую среду только для данного пользователя. Рекомендуется повторить процедуру для всех пользователей, работающих в режиме замкнутой среды.
2.Активизируйте диалог “Режимы” (см. Рис.42) и нажмите кнопку "Программы". UEL-список выбранного пользователя будетоткрытв окне редактора SnEdit.
3.Выберите в меню редактора команду "Список программ | Настроить". На экране появится диалог для настройки параметров замкнутой среды:
Укажите расширения исполняемых файлов, которые должны учитываться при обработке указанных в UEL-файле каталогов
Нажмите эту кнопку для восстановления списка расширений, заданных по умолчанию
Рис.43 Диалог "Настройка замкнутой программной среды" 4. Укажите необходимые значения параметров:
Установите отметку в поле: |
Для того чтобы … |
Права доступа к ресурсам |
Корректировать атрибуты доступа и владения для пе- |
|
речня ресурсов, заданных в UEL-файле |
Автоматически настроить для |
Автоматически выполнить корректировку атрибутов |
всех ресурсов* |
доступа и владения, не выполняя предварительно про- |
|
верку их корректности и не запрашивая разрешение пе- |
|
ред выполнением операции. При автоматической |
|
корректировке атрибутов: |
|
• владельцем всех файлов UEL-списка становится |
|
пользователь - администратор безопасности компьюте- |
|
ра по умолчанию (админ.); |
|
• для всех категорий пользователей ("Владелец", "Груп- |
|
па", "Остальные") устанавливаются атрибуты доступа к |
|
файлам "Чтение и выполнение" (см. Табл.5) |
Зависимости от других |
Добавить в UEL-список имена исполняемых файлов, |
модулей |
необходимых для функционирования программ, уже со- |
72
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Установите отметку в поле: |
Для того чтобы … |
|
держащихся в UEL-списке |
Повторяющиеся ресурсы |
Удалить из UEL-файла повторяющиеся строки |
Обрабатывать каталоги* |
При проверке (корректировке) атрибутов доступа и вла- |
|
дения обрабатывать файлы из каталогов, указанных в |
|
UEL-списке. Иначе такие строки будут игнорироваться. |
|
Обработке подлежат только файлы с заданными рас- |
|
ширениями |
Обрабатывать ресурсы, |
При проверке (корректировке) атрибутов доступа и вла- |
заданные при помощи масок* |
дения обрабатывать файлы, заданные с помощью ма- |
|
сок. Иначе такие строки будут игнорироваться |
Запрашивать подтверждение |
Перед выполнением операций по настройке парамет- |
перед выполнением операций |
ров замкнутой среды выводить на экран запрос на под- |
|
тверждение операций |
Примечание. Параметры настройки, отмеченные символом "*" (звездочка), доступны для изменений при установке отметки в поле "Права доступа к ресурсам".
5.Нажмите кнопку "Начать".
•Если программа обнаружит в UEL-списке ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк используются следующие цветовые индикаторы:
Цвета |
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования ма- |
|
сок), которые не обнаружены на локальном диске компьютера |
|
или являются некорректными строками (т.е. строками с некор- |
|
ректным описанием ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), на которых |
|
атрибуты доступа и владения не соответствуют требованиям |
|
замкнутой среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в дру- |
|
гих секциях данного файла |
•В некоторых случаях программа сама может разрешить противоречия, руководствуясь рядом правил (см. стр. 153).
•Если включен режим запроса подтверждений, перед выполнением операций на экран будут выводиться дополнительные диалоги, описанные ниже.
•При автоматическом режиме настройки подтверждения не запрашиваются, а после успешного завершения корректировки указанных параметров на экране появится сообщение об этом.
В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.
6.Сохраните изменения и закройте окно редактора.
7.Нажмите кнопку "OK" в окне управления свойствами пользователя.
При появлении на экране дополнительных диалогов действуйте следующим образом:
73
Secret Net 4.0. Руководство по администрированию
Такое сообщение появится на экране, если активизированы параметры:
• "Зависимости от других модулей";
• "Запрашивать подтверждение перед выполнением операций"
Причина
Действия
В UEL-списке отсутствуют программы, необходимые для работы программ, уже содержащихся в списке.
Нажмите кнопку "Да". Имена исполняемых файлов будут добавлены в UEL-список.
В сообщениях, подобных представленному на этом рисунке, кнопки "Исправить" и "Исправить все" будут активны только в том случае, если возможно автоматическое исправление некорректной информации. Например, строка, содержащая неправильное описание пути к файлу, не может быть автоматически исправлена
Причина
Действия
Ручная корректировка атрибутов владения и доступа
Сообщения, подобные представленному на этом рисунке, содержат информацию об ошибках, выявленных в результате проверки UEL-списка. Подробная информация об ошибке изложена в текстовом поле диалога.
Нажмите кнопку:
•"Исправить" – для исправления выявленной ошибки;
•"Исправить все" – для исправления всех ошибок подобного типа;
•"Удалить" – для удаления из UEL-списка записи, содержащей ошибку;
•"Удалить все" – для удаления всех записей, содержащих ошибку подобного типа;
•"Пропустить" – чтобы отказаться от исправления выявленной ошибки;
•"Пропустить все" – для отказа от исправления всех ошибок подобного типа;
•"Отмена" – чтобы прервать процедуру корректировки.
Для корректировки атрибутов владения и доступа вручную:
1. Откройте журнал событий.
2.Просмотрите в колонке "Событие" все записи о событиях НСД, содержащие значения "Запрет запуска" и “Запрет загрузки библиотеки" (причина запрета запуска отображается в окне дополнительной информации о событии).
Проверьте атрибуты доступа и владения для всех файлов программ, полные пути к которым содержатся в колонке "Объект" этих записей. Выясните причину запрета запуска программ и выявите файлы с некорректными атрибутами владения и доступа. Составьте список таких файлов.
3.Закройте журнал событий.
4.Присвойте корректные права доступа и владения файлам программ из составленных списков, руководствуясь следующими правилами:
•владельцем файла должен быть пользователь, которому это разрешено привилегией "Изменение для всех ресурсов" или "Полный доступ" из группы привилегий "Атрибуты системы защиты". Обычно таким пользователем является администратор безопасности компьютера по умолчанию (админ.);
74