- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Состояние учетных записей и использование паролей
- •Параметры блокировки
- •Ограничения на использование пароля
- •Состояние учетных записей
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение замкнутой среды на компьютере
- •Настройка регистрации событий
- •Настройка замкнутой среды для пользователя
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Шифрование
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание группы ресурсов
- •Удаление группы ресурсов
- •Формирование списка ресурсов
- •Формирование задания
- •Управление заданиями
- •Пересчет контрольных сумм
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Устройства аппаратной поддержки системы защиты
- •Плата Secret Net Card
- •Плата Secret Net TM Card
- •Сетевая плата с микросхемой Secret Net ROM BIOS
- •Электронный замок "Соболь"
- •Электронный ключ eToken R2 для USB-порта
- •Запреты и ограничения
- •Формат UEL-файла
- •Атрибуты доступа
- •Атрибуты доступа к дискам со сменными носителями
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net NT 4.0 Руководство по администрированию
Замкнутая программная среда
Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам только теми программами, которые необходимы им для работы.
При использовании этого механизма действуют следующие правила:
•Пользователь может запустить программу только из списка разрешенных для запуска программ (UEL-список, User Executable List). Этот список формируется индивидуально для каждого пользователя.
•Замкнутая программная среда может быть включена выборочно для отдельных пользователей.
•Замкнутая программная среда может использоваться в одном из двух режимов работы: "мягком" или "жестком".
При "мягком" режиме пользователю разрешается запускать любые программы, а не только входящие в UEL-список. При этом в журнале безопасности регистрируются соответствующие события несанкционированного доступа (НСД).
При "жестком" режиме запуск программы разрешатся, если:
•разрешен запуск файла в UEL-списке;
•файл недоступен текущему пользователю на изменение;
•файл не находится на сменном носителе;
•владельцем файла является локальная группа администраторов (это дополнительное ограничение, которое может и не использоваться).
Порядок настройки
Особенности настройки механизма замкнутой программной среды связаны со следующими обстоятельствами. Чтобы правильно настроить замкнутую среду необходимо четко установить индивидуальный перечень исполняемых файлов необходимых в работе каждому сотруднику. Сделать это может быть достаточно сложно, если каждый из них к тому же работает со своим набором программ.
Для облегчения выполнения этой процедуры используется следующий подход. Сначала замкнутая среда включается в "мягком" режиме, при котором пользователю разрешается запускать любые программы, а все действия, связанные с запуском программ, фиксируются в журнале безопасности в течение некоторого периода времени. Затем на основании данных журнала автоматически формируется список разрешенных для запуска программ, который можно откорректировать и вручную. После этого замкнутая среда переводится в основной "жесткий" режим работы.
При автоматическом формировании UEL-списка в него сначала добавляются программы из "списка по умолчанию", который формируется при установке клиентского программного обеспечения на компьютер, и включает в себя исполняемые файлы из системного каталога и каталога установки системы защиты. "Список по умолчанию" может быть отредактирован, но только средствами подсистемы управления. Целесообразно добавлять в этот список программы, которые необходимы для работы всем пользователям компьютера. И сделать это нужно перед созданием UELсписков для отдельных пользователей.
В дальнейшем, в процессе эксплуатации замкнутой программной среды целесообразно периодически анализировать записи журнала безопасности и корректировать UEL-список, а также права владения и доступа для файлов, добавляемых в списки.
При необходимости механизм замкнутой программной среды может быть временно отключен сразу для всех пользователей компьютера. При этом все индивидуальные настройки механизма сохраняются без изменений. Затем механизм может быть включен повторно.
68
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Общий план действий:
Средствами подсистемы управления
Дополните "список по умолчанию" программами, необходимыми всем пользователям компьютера
Локальными средствами управления
Включите механизм замкнутой программной среды на компьютере
Подготовьте систему к регистрации
Проведите регистрацию событий и сбор данных
Сформируйте для каждого пользователя список разрешенных для запуска программ на основании данных системного журнала
Включите для пользователей “жесткий” режим замкнутой программной среды
Детальный порядок настройки замкнутой программной среды на компьютере:
|
Этап Шаг |
Процедура |
Описание |
|
|||
|
|
||||||
|
Включение механизма |
|
|
|
|
|
|
|
1. |
Включите механизм замкнутой программной среды на компьютере. |
|
стр. 70 |
|
||
|
Подготовка к регистрации |
|
|
|
|
|
|
|
2. |
Настройте для пользователей регистрацию событий, связанных с |
|
стр. 71 |
|
||
|
|
запуском программ. |
|
|
|
|
|
|
3. |
Настройте журнал безопасности. |
|
стр. 72 |
|
||
|
4. |
Включите и настройте "мягкий" режим работы замкнутой программной |
|
стр. 72 |
|
||
|
|
среды для пользователей компьютера. |
|
|
|
|
|
|
Моделирование работы пользователей и формирование списков программ |
|
|
|
|
||
|
5. |
Смоделируйте работу на компьютере пользователей, запуская нужные |
стр. 72 |
|
|||
|
|
программы и выполняя типовые действия. |
|
|
|
|
|
|
6. |
На основании данных журнала безопасности сформируйте |
|
|
|
|
|
|
|
автоматически или вручную для каждого пользователя список |
|
|
|
|
|
|
|
разрешенных для запуска программ. |
|
|
|
|
|
|
Формирование списков программ |
|
|
|
|
|
|
|
7 |
Откорректируйте параметры замкнутой среды |
|
Стр. 75 |
|
||
|
8. |
Ознакомьте каждого из пользователей со списком разрешенных для |
|
|
|
|
|
|
|
запуска программ. |
|
|
|
|
|
|
Включение жесткого режима |
|
|
|
|
|
|
|
9. |
Включите для пользователей "жесткий" режим замкнутой программной |
стр. 72 |
|
|||
|
|
среды. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
69
Secret Net NT 4.0 Руководство по администрированию
Включение замкнутой среды на компьютере
Прежде чем приступить к настройке замкнутой программной среды, необходимо включить этот механизм на компьютере, чтобы стали доступными для редактирования его параметры.
Для включения режима замкнутой среды на компьютере:
1. Откройте окно управления общими параметрами и выберите диалог "Дополнительно":
Установите отметку в этом поле, чтобы включить механизм замкнутой программной среды на компьютере
Рис. 35. Диалог "Дополнительно"
2.Установите отметку в поле выключателя "Замкнутая среда".
3.Завершив настройку, нажмите на кнопку "OK" или "Применить".
Для того чтобы установленные параметры вступили в силу, необходимо перезагрузить компьютер.
Временное отключение. Для отключения замкнутой программной среды одновременно для всех пользователей компьютера достаточно убрать отметку из поля "Замкнутая среда". При этом все индивидуальные настройки механизма останутся без изменений. Для повторного включения механизма достаточно установить отметку в этом поле. После включения или отключения механизма необходимо перезагрузить компьютер.
70
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Настройка регистрации событий
Персональный |
Перед тем как использовать автоматическую процедуру формирования списка раз- |
перечень |
решенных для запуска программ необходимо: |
|
• Настроить индивидуальный режим регистрации событий при работе пользова- |
|
телей, для которых предполагается включить замкнутую программную среду, а |
|
также для администратора, выполняющего настройку замкнутой среды на ком- |
|
пьютере. |
|
• Установить срок хранения записей в журнале безопасности, соответствующий |
|
времени их сбора. |
|
Для настройки перечня регистрируемых событий: |
|
1. В программе "Проводник" выберите пользователя, вызовите на экран окно на- |
|
стройки свойств и выберите диалог "Регистрация": |
Установите регистрацию необходимых событий в группах "События расширенной регистрации" и "События НСД"
Дополнительные механизмы контроля
Рис. 36. Диалог "Регистрация"
2.Отметьте события Secret Net NT, которые необходимо регистрировать для настройки замкнутой среды:
•В группе "События расширенной регистрации": "Запуск программы".
•В группе "События НСД": "Запрет запуска программы".
3.Нажмите на кнопку "OK" или "Применить".
В системе Secret Net NT имеется возможность усилить контроль за работой замкнутой программной среды за счет включения дополнительных механизмов контроля. В частности, это может потребоваться для контроля за правильностью прав владения.
Для включения дополнительных механизмов контроля:
1. Вызовите на экран окно настройки общих параметров работы компьютера и выберите диалог "Компьютер":
71