- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Состояние учетных записей и использование паролей
- •Параметры блокировки
- •Ограничения на использование пароля
- •Состояние учетных записей
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение замкнутой среды на компьютере
- •Настройка регистрации событий
- •Настройка замкнутой среды для пользователя
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Шифрование
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание группы ресурсов
- •Удаление группы ресурсов
- •Формирование списка ресурсов
- •Формирование задания
- •Управление заданиями
- •Пересчет контрольных сумм
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Устройства аппаратной поддержки системы защиты
- •Плата Secret Net Card
- •Плата Secret Net TM Card
- •Сетевая плата с микросхемой Secret Net ROM BIOS
- •Электронный замок "Соболь"
- •Электронный ключ eToken R2 для USB-порта
- •Запреты и ограничения
- •Формат UEL-файла
- •Атрибуты доступа
- •Атрибуты доступа к дискам со сменными носителями
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Глава 5. Настройка механизмов контроля входа
Аппаратные средства идентификации и аутентификации
Подключение устройства
Если на компьютере предполагается использовать устройства аппаратной поддержки системы защиты (электронный замок "Соболь", устройства для работы со Smart Card, или eToken), то целесообразно нужные для этого устройства и их программное обеспечение установить до установки системы защиты. Программное обеспечение других устройств аппаратной поддержки устанавливается на компьютер в процессе установки системы защиты.
Процедура предварительной подготовки и порядок установки устройств аппаратной поддержки в компьютер описаны в приложении к руководству (см. стр. 120). Подробная инструкция по установке электронного замка "Соболь" содержится в документе "Электронный замок "Соболь". Руководство администратора".
Настройка устройства
Для настройки устройства аппаратной поддержки:
1. Вызовите на экран окно настройки общих параметров и перейдите к диалогу "Устройства":
Выбор текущего устройства
Устройство, используемое в настоящий момент
Нажмите для отключения устройства
Состояние используемого устройства
Для смены устройства выберите его тип в списке и …
нажмите на кнопку "Установить"
Укажите номер порта, к которому подключено устройство
Выберите режим входа пользователей в систему
Рис. 28. Диалог "Устройства"
2.Выберите в списке название устройства и нажмите на кнопку "Установить".
Название выбранного устройства аппаратной поддержки будет отображено как текущее, а в списке "Параметры" появится новый перечень значений, соответствующих этому устройству. Укажите нужное значение параметра.
55
Выбор режима входа в систему
Secret Net NT 4.0 Руководство по администрированию
3.Выберите нужный режим входа в систему с помощью переключателей группы "Вход в систему".
Врежиме … для входа в систему необходимо …
Стандартный |
Ввести информацию о пользователе с клавиатуры |
|
|
Смешанный |
Ввести информацию о пользователе, предъявив персональный иден- |
|
тификатор, или используя клавиатуру |
Вход по |
Ввести информацию о пользователе, предъявив персональный иден- |
идентификатору |
тификатор |
При выборе режима руководствуйтесь следующими соображениями. Использование аппаратных средств идентификации усиливает защищенность системы. Однако на этапе ввода системы защиты в эксплуатацию, когда еще не все пользователи получили электронные идентификаторы, может использоваться смешанный режим. Для включения нужного режима поставьте отметку рядом с его названием в поле переключателя.
Позднее, когда каждый из пользователей будет иметь свой персональный идентификатор, Вы сможете установить режим входа только по идентификатору.
4.Нажмите на кнопку "OK" или "Применить" в окне настройки общих параметров.
Внесенные изменения будут зафиксированы и вступят в силу после перезагрузки компьютера.
Локально выполненные настройки будут действовать и в последующих сеансах работы, если главный администратор средствами централизованного управления примет сведения о новой конфигурации данного компьютера.
Персональные идентификаторы
Управление идентификаторами доменного пользователя выполняется с помощью средств централизованного управления. Средствами локального управления можно лишь просмотреть информацию об идентификаторах, а также инициализировать свободный идентификатор. При инициализации (форматировании) идентификатора из его памяти удаляется записанная ранее информация и производится разметка носителя информации. Таким образом, выполняется подготовка идентификатора для дальнейшего использования. Инициализировать можно только идентификатор, который никому не принадлежит.
Персональный идентификатор пользователя – это аппаратное средство, предназначенное для идентификации пользователя и хранения необходимой служебной информации. В идентификаторе может храниться пароль пользователя, который считывается автоматически при предъявлении идентификатора для входа в систему.
Нельзя присвоить один и тот же персональный идентификатор нескольким пользователям. Каждому пользователю можно присвоить несколько идентификаторов разного или одного и того же типа, но общее число не может превышать 10-ти.
Для просмотра информации об идентификаторах:
1. В окне программы "Проводник" выберите нужного пользователя, вызовите окно настройки свойств иперейдите к диалогу "Электронные идентификаторы" (Рис. 29).
Управляя свойствами доменного пользователя, с помощью этого диалога можно:
•просмотреть информацию о персональных идентификаторах, присвоенных пользователю;
•инициализировать свободный идентификатор, который не принадлежит ни одному из пользователей.
56
Глава 5. Настройка механизмов контроля входа
Примечание. Другие операции с идентификаторами (присвоение, удаление идентификатора, сохранение или удаление пароля из идентификатора) осуществляется только централизовано средствами подсистемы управления.
Локальные пользователи. При управлении персональными идентификаторами локальных пользователей администратор имеет более широкие возможности:
•присвоить идентификатор локальному пользователю или удалить идентификатор из перечня идентификаторов локального пользователя;
•записать пароль в идентификатор или удалить пароль из идентификатора.
Однако нельзя управлять идентификаторами локальных пользователей с помощью централизованныхсредствуправления.
|
|
|
Пользователю может быть |
|
|
|
|
назначено несколько |
|
|
|
|
идентификаторов |
|
|
|
|
|
|
|
|
|
В некоторых идентификаторах |
|
|
|
|
может храниться пароль |
|
В меню кнопки |
|
|||
жирным шрифтом |
|
|||
выделен |
|
|||
используемый в |
В этом диалоге присвоить новый |
|||
настоящий момент |
||||
идентификатор можно только |
||||
тип устройства |
||||
локальному пользователю, |
||||
идентификации |
||||
доменному пользователю |
||||
|
|
|
||
|
|
|
идентификатор можно присвоить |
|
|
|
|
средствами централизованного |
|
|
|
|
управления |
Рис. 29. Диалог "Электронные идентификаторы"
2.Нажмите на кнопку "OK" или "Применить", выполнив просмотр информации об идентификаторах пользователя.
Для инициализации идентификатора:
1. В диалоге "Электронные идентификаторы" нажмите на стрелку рядом с названием кнопки "Инициализировать" и в открывшемся меню выберите тип нужного устройства, которое по идентификации. Если на компьютере установлено одно устройство идентификации, то просто нажмите на кнопку "Инициализировать".
2.Предъявите идентификатор в ответ на запрос.
Если инициализация завершена успешно, появится сообщение об этом.
3.Нажмите на кнопку "OK" в окне сообщения.
4.Нажмите на кнопку "OK" или "Применить" в окне настройки свойств пользователя.
57