- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Состояние учетных записей и использование паролей
- •Параметры блокировки
- •Ограничения на использование пароля
- •Состояние учетных записей
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение замкнутой среды на компьютере
- •Настройка регистрации событий
- •Настройка замкнутой среды для пользователя
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Шифрование
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание группы ресурсов
- •Удаление группы ресурсов
- •Формирование списка ресурсов
- •Формирование задания
- •Управление заданиями
- •Пересчет контрольных сумм
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Устройства аппаратной поддержки системы защиты
- •Плата Secret Net Card
- •Плата Secret Net TM Card
- •Сетевая плата с микросхемой Secret Net ROM BIOS
- •Электронный замок "Соболь"
- •Электронный ключ eToken R2 для USB-порта
- •Запреты и ограничения
- •Формат UEL-файла
- •Атрибуты доступа
- •Атрибуты доступа к дискам со сменными носителями
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net NT 4.0 Руководство по администрированию
Откройте группу параметров "Замкнутая среда" и отметьте необходимые из них
Настройка
журнала
безопасности
Рис. 37. Диалог "Компьютер"
2. Откройте группу параметров "Замкнутая среда" и отметьте необходимые из них:
Если отмечено поле … |
То … |
Контролировать загрузку |
Перед запуском программа из UEL-списка проверяется на- |
только NE-файлов |
личие только NE-заголовка (для приложений win32). |
|
Иначе проверяется наличие PE-, NE-, MZ-заголовков или |
|
расширения COM (для файлов DOS) |
Контролировать |
Перед запуском программа из UEL-списка проверяется кор- |
владельца файла на |
ректность ее владельца. |
санкционированность |
Корректным владельцем считается локальная группа адми- |
|
нистраторов |
3. Нажмите на кнопку "OK" или "Применить".
Перед тем как использовать автоматическую процедуру формирования списка разрешенных для запуска программ необходимо и установить достаточный срок хранения записей в журнале безопасности (см. стр. 91).
Следует помнить. Каждый раз после окончания сеанса работы пользователя и при запросе главным администратором данных из журнала безопасности записи из него передаются на сервер безопасности, а сам он автоматически очищается. Таким образом, если для анализа работы пользователей необходима информация за несколько сеансов работы, то провести его сможет только главный администратор средствами централизованного администрирования.
Настройка замкнутой среды для пользователя
Механизм замкнутой программной среды может быть включен для каждого из пользователей или избирательно для отдельных из них. Также для этих пользователей необходимо включить замкнутую среду в "мягком" режиме.
72
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Обратите внимание! Не допускайте включение замкнутой среды в жестком режиме для пользователей, входящих в группу локальных администраторов (непосредственно или через доменную группу). Это может привести к невозможности входа этих пользователей на компьютер, т.к. у них в этом случае всегда будут некорректные права на системные файлы.
Для настройки режима работы замкнутой среды для пользователя:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и выберите диалог "Режимы":
Установите отметку в этом поле, чтобы для пользователя включить механизм замкнутой программной среды
Установите отметку в этом поле, чтобы включить мягкий режим работы замкнутой программной среды
Рис. 38. Диалог "Режимы"
2.Включите режим и установите необходимые значения параметров работы замкнутой программной среды.
•Установите отметку в поле "Замкнутая программная среда", чтобы включить этот механизм системы защиты для выбранного пользователя и сделать доступным для редактирования поле "Мягкий режим для списка программ".
•Установите отметку в поле "Мягкий режим для списка программ", если необходимо включить "мягкий" режим замкнутой программной среды. Если необходим "жесткий" режим работы, удалите отметку из этого поля.
3.Нажмите на кнопку "OK" или "Применить".
Формирование UEL-списка пользователя
Список разрешенных для запуска программ формируется индивидуально для каждого пользователя.
Существуют два способа формирования этих списков:
•автоматическое формирование списка на основании информации о запуске программ, содержащейся в журнале безопасности;
•редактирование вручную списка программ с использованием текстового редактора SnEdit.
73
|
Secret Net NT 4.0 Руководство по администрированию |
|
|
|
|
Автоматическое |
Автоматический способ облегчает процедуру формирования UEL-списка. В даль- |
|
формирование |
нейшем список может быть уточнен путем повторного использования автоматиче- |
|
списка |
ской процедуры или корректировки списка вручную. |
|
|
Для автоматического формирования UEL-списка пользователя: |
|
|
1. Смоделируйте работу на компьютере пользователя, для которого Вы собирае- |
|
|
|
тесь автоматически настроить UEL-список. Для этого последовательно запус- |
|
|
кайте нужные программы и выполняйте типовые действия. |
|
|
|
|
|
Например: запустите программу MS Word, откройте документ, отредактируйте содержание до- |
|
|
кумента, сохраните документ и закройте программу. |
В журнале безопасности будут зафиксированы события, связанные с запуском программ.
2.В программе "Проводник" выберите пользователя, работу которого Вы моделировали, вызовите на экран окно настройки свойств и выберите диалог "Режимы" (Рис. 38).
3.Нажмите на кнопку "Программы".
UEL-список выбранного пользователя будетоткрытв окне программы SnEdit.
Содержимое "списка по умолчанию"
добавляется в начало секции [Manual] UEL-файла пользователя
Рис. 39. Просмотр UEL-файла в окне редактора SnEdit
Описание формата UEL-файла содержится в приложении (стр. 127).
4.Выберите "Список программ | Построить по журналу" в меню основного окна про-
граммы SnEdit.
На экране появится диалог:
Интервал времени, за который анализируются записи журнала безопасности
Параметры, которые необходимо учитывать при проведении автоматического анализа записей журнала
74
|
Глава 6. Настройка механизмов управления доступом и защиты ресурсов |
|
|
|
|
|
5. |
Укажите необходимые значения параметров: |
|
|
• Установите текущую дату и период времени, за который должен быть прове- |
|
|
ден анализ событий, зарегистрированных в журнале. |
|
|
• Установите отметку в поле "События всех пользователей", чтобы при по- |
|
|
строении UEL-списка пользователя учитывались события, вызванные ваши- |
|
|
ми действиями при моделировании работы пользователя. |
|
|
• Установите отметку в поле "События НСД", чтобы помимо событий запуска |
|
|
программ анализировались и события НСД – "запрет запуска программ". |
|
6. |
Нажмите на кнопку "OK" |
|
|
Будет проведен анализ записей журнала безопасности. В секцию [Auto] будет |
|
|
добавлен сформированный по журналу список программ. |
|
7. |
Просмотрите список программ, измените при необходимости его содержание, а |
|
|
затем сохраните. Закройте окно редактора SnEdit. |
|
8. |
Нажмите на кнопку "OK" или "Применить" в окне настройки свойств пользователя. |
Ручная |
Перед выполнением ручной корректировки UEL-списка проанализируйте записи |
|
корректировка |
журнала безопасности, относящиеся к работе пользователей, для которых включе- |
|
списка |
на замкнутая программная среда. Составьте для каждого пользователя список про- |
|
|
грамм, попытки запуска которых регистрируются как событие НСД "Запрет запуска |
|
|
программы". В списке имя файла программы должно включать полный путь к нему. |
|
|
Для ручной корректировки списка программ: |
|
|
1. В программе "Проводник" выберите пользователя, вызовите на экран окно на- |
|
|
|
стройки свойств и перейдите к диалогу "Режимы" (Рис. 38). |
|
2. |
Нажмите на кнопку "Программы". |
|
|
UEL-файл, относящийся к выбранному пользователю, будет открыт в окне ре- |
|
|
дактора SnEdit (Рис. 39). |
|
3. |
Добавьте в секцию [Manual] строки с именами файлов программ (включая пол- |
|
|
ный путь к файлам), запуск которых требуется разрешить или запретить пользо- |
|
|
вателю. Описание формата UEL-файла содержится в приложении (стр. 127). |
|
|
|
|
|
Добавление файлов в диалоговом режиме. Для этого выберите в меню главного окна про- |
|
|
граммы SnEdit "Список программ | Добавить". На экране появится стандартный диалог Win- |
|
|
dows "Добавить файл". С помощью этого диалога найдите и укажите нужный файл. |
|
|
|
|
|
Сортировка списка. Для сортировки UEL-списка выберите "Список программ | Сортировать" в |
|
|
меню главного окна программы SnEdit. |
|
4. |
Сохраните изменения и закройте окно редактора. |
|
5. |
Нажмите на кнопку "OK" или "Применить" в окне настройки свойств пользователя. |
Корректировка параметров замкнутой среды
Как уже было сказано ранее (см. стр. 68), запуск программы из UEL-списка разрешается, если обеспечены необходимые права доступа и владения. Однако при формировании UEL-списка система не выполняет автоматическую корректировку этих прав для файлов, добавленных в UEL-список. Поэтому может возникнуть ситуация, когда программа содержится в списке, но не может быть запущена пользователем. Если такая ситуация возникает, необходимо проанализировать записи журнала безопасности, определить файлы программ, права владения и доступа которых требуют корректировки, и выполнить ее.
Следует обратить внимание на особенности локального журнала безопасности. После окончания каждого сеанса работы записи из локального журнала безопасности
75
|
Secret Net NT 4.0 Руководство по администрированию |
|
|
|
удаляются и передаются на сервер безопасности. Поэтому для анализа корректно- |
|
сти прав доступа и владения нужно использовать средства централизованного |
|
управления и информацию, хранящуюся в центрально БД системы защиты. |
|
Кроме того, если исполняемые модули программ находятся на других компьютерах |
|
и относятся к сетевым ресурсам общего доступа, то в этом случае для корректиров- |
|
ки права доступа и владения необходимо обратиться к главному администратору |
|
безопасности или непосредственно к администраторам компьютеров. |
Автоматическая |
Для автоматической корректировки параметров: |
корректировка |
1. Выберите "Список программ | Настроить" в меню основного окна программы SnEdit. |
параметров |
|
|
На экране появится диалог для коррекции параметров замкнутой среды: |
Укажите расширения исполняемых файлов, которые должны учитываться при просмотре указанных в UEL-файле каталогов
Нажмите эту кнопку для восстановления списка расширений, заданных по умолчанию
Рис. 40. Настройка и корректировка параметров замкнутой среды
2. Укажите необходимые значения параметров:
Установите отметку в поле: |
Для того чтобы … |
Права доступа к ресурсам |
Корректировать права доступа и владения для переч- |
|
ня ресурсов, заданных в UEL-файле |
Автоматически настроить для |
Автоматически выполнить корректировку прав доступа |
всех ресурсов |
и владения, не выполняя предварительно проверку |
|
корректности прав и не запрашивая разрешение перед |
|
выполнением операции. При включении этого режима |
|
корректировка выполняется быстрее, т.к. не проводит- |
|
ся проверка прав доступа, которая требует значитель- |
|
ного времени |
Зависимости от других |
Добавить в список другие файлы, необходимые для |
модулей |
работы файлов, уже указанных в списке |
Повторяющиеся строки |
Удалить из UEL-файла повторяющиеся строки |
Обрабатывать каталоги |
Выполнить корректировку файлов из каталогов, ука- |
|
занных в UEL-файле. Иначе такие строки будут игно- |
|
рироваться |
Обрабатывать ресурсы, |
Выполнить корректировку файлов, заданных при по- |
заданные при помощи масок |
мощи маски. Иначе такие строки будут игнорироваться |
Запрашивать подтверждение |
Потребовать выводить запрос перед выполнением |
перед выполнением |
указанных в диалоге операций по настройке и коррек- |
операций |
тировке параметров замкнутой среды |
3.Нажмите на кнопку "Начать".
•Если система обнаружит в UEL-файле ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк используются следующие цветовые индикаторы:
76
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Цвета |
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования масок), кото- |
|
рые не обнаружены на локальном диске компьютера или являются не- |
|
корректными строками (т.е. строками с некорректным описанием |
|
ресурсов или секций) |
Темно- |
Пути к файлам (заданным без использования масок), на которых атри- |
красный |
буты доступа не соответствуют требованиям замкнутой среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в других сек- |
|
циях данного файла |
•В некоторых случаях система сама может разрешить противоречия, руководствуясь рядом правил (см. стр. 128).
•Если автоматический режим настройки не используется, а перед выполнением операции запрашивается подтверждение, то на экране будет появляться диалог:
Информация о проблеме
Кнопки для выбора способа устранения проблемы
Ручная корректировка прав владения и доступа
•При автоматическом режиме настройки подтверждение не запрашивается, а после успешного завершения корректировки указанных параметров на экране появится сообщение об этом.
В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.
4.Сохраните изменения и закройте окно редактора.
5.Нажмите на кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Для изменения прав владения и доступа вручную:
1. Откройте журнал безопасности.
2.Просмотрите в колонке "Событие" все записи, содержащие значение "Запрет запуска программы" (причина запрета запуска отображается в окне дополнительной информации или во всплывающей подсказке к колонке "Событие").
Проверьте права доступа и владения для всех файлов программ, полные пути к которым содержатся в колонке "Объект" этих записей. Выясните причину запрета запуска программ и выявите файлы с некорректными правами владения и доступа. Составьте список таких файлов.
3.Закройте журнал безопасности.
4.Присвойте корректные права доступа и владения файлам программ из составленных списков, руководствуясь следующими правилами:
•владельцем файла должна быть группа локальных администраторов;
•файл должен быть недоступен на изменение (запись) для пользователя компьютера, для которого включена замкнутая программная среда.
Примечание. Управление правами доступа и владения осуществляется стандартными средствами управления, входящими в состав ОС Windows NT. Подробное описание процедур содержится в руководствах по администрированию ОС Windows NT.
77