Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
89
Добавлен:
02.05.2014
Размер:
4.18 Mб
Скачать

Secret Net NT 4.0 Руководство по администрированию

Запреты и ограничения

Табл. 19. Параметры диалога "Компьютер"

Параметр

Эффект включения параметра

Вход пользователя в

Дополнительные меры защиты на этапе входа пользователя в систему.

систему

 

Запрет кэширования

Запрещает хранить в кэшированном виде информацию об именах и паролях по-

информации о пользователе

следних десяти пользователей, входивших в систему. Хранение этой информа-

 

ции обеспечивает возможность входа в систему данных пользователей при

 

отсутствии основного и резервных контроллеров домена.

Выключение компьютера

Запрещает использовать для выключения компьютера кнопку "Выключить…" в

только вошедшим

диалоге "Вход в систему". В этих условиях выключить компьютер с помощью

пользователем

стандартной процедуры сможет только пользователь, осуществивший вход в

 

систему.

Не выдавать имя последнего

Запрещает отображать в диалоге "Вход в систему" имя последнего работавшего

входящего пользователя

на компьютере пользователя. Отображение этого имени упрощает процедуру ре-

 

гистрации, при условии, что на компьютере, как правило, работает один и тот же

 

пользователь.

Уровень аутентификации

Увеличение строгости аутентификации доступа к основному (резервному)

пользователя

контроллеру домена.

Использовать только

Разрешено использовать для аутентификации только LM (Lan Manager) и NTLM

LM и NTLM

(MS Windows Lan Manager) протоколы. Запрещено использовать протокол NTLM

 

версии 2.

Использовать

Разрешено использовать для аутентификации протоколы LM и NTLM. Допустимо

LM, NTLM и NTLMv2

использование протокола NTLM версии 2, если он поддерживается и сервером, и

 

клиентом.

Требовать использования

Разрешено использовать при подключении к серверу только NTLM аутентифика-

NTLM

цию.

Требовать использования

Разрешено использовать при подключении к серверу только аутентификацию

NTLMv2

NTLM версии 2.

Отвергать LM

Контроллер домена будет отвергать клиентов, использующих аутентификацию

аутентификацию

LM.

Отвергать NTLM

Контроллер домена будет отвергать клиентов, использующих LM и NTLM аутен-

аутентификацию

тификацию. Разрешено использовать только аутентификацию NTLM версии 2.

Замкнутая среда

Усиление контроля в режиме замкнутой среды.

Контролировать загрузку

Перед запуском программы из UEL-списка проверяется наличие NE-заголовка

только NE-файлов

(для приложений win32). Иначе проверяется наличие PE-, NE-, MZ-заголовков

 

или расширения COM (для файлов DOS).

Контролироватьвладельца

Подсистема замкнутой среды проверяет корректность владельца программы из

файланасанкционированность

UEL-списка перед ее запуском. Корректным владельцем считается пользова-

 

тель, входящий в группу администраторов.

Внешние носители

Ограничение допуска системных процессов и пользователей других компьюте-

 

ров к работе с гибкими дисками и компакт-дисками.

Ограничение использования

Ограничение допуска системных процессов и пользователей других компьюте-

гибких дисков

ров к работе с гибкими дисками.

Ограничение использования

Ограничение допуска системных процессов и пользователей других компьюте-

CD-ROM

ров к работе с компакт-дисками.

Подсистемы Windows NT

Дополнительные меры защиты от использования на компьютере подсистем

 

Windows NT, не обеспечивающих должного уровня защиты.

Запрет использования POSIX

Запрещено использовать подсистему POSIX.

Запрет использования OS/2

Запрещено использовать подсистему OS/2.

Дополнительный аудит

Усиление защиты за счет расширения событий аудита и ограничения доступа к

 

регистрируемой информации.

Полный аудит привилегий

Все события, связанные с изменением привилегий, регистрируются в журнале

 

безопасности Windows NT.

124

Приложение

Параметр

Эффект включения параметра

Аудит основных объектов

В журнале безопасности регистрируются события, связанные с обращением к

 

основным объектам ОС Windows NT. Основные объекты – это специальные

 

объекты отличные от файлов, принтеров и ключей системного реестра Windows

 

NT, скрытые от обычного пользователя, но доступные программам.

Ограничение доступа к

Просмотр журнала разрешен только пользователям, обладающим правами

системному журналу

"Управление аудитом и журналом безопасности". Иначе журнал безопасности

 

Windows NT смогут просматривать пользователи с правами гостя и пользовате-

 

ли, не прошедшие идентификацию.

Другие

Дополнительные параметры защиты, не относящиеся к предыдущим группам.

Блокировка при переполнении

Предотвращает потерю зарегистрированных событий в журнале безопасности в

системного журнала

случае его переполнения. Переполнение журнала приводит к аварийному за-

 

вершению работы компьютера.

Строгая защита совместно

Управлять внутренними объектами Windows NT может только пользователь с

используемых объектов

правами администратора.

Запрет просмотра имен

Анонимно подключившийся к компьютеру пользователь не может просмотреть

ресурсов анонимным

имена пользователей в домене и получить имена ресурсов, доступных для со-

пользователем

вместного использования.

Затирание файла подкачки

Информация, содержащаяся в файле подкачки, который применяется для

страниц при выключении

организации виртуальной памяти в Windows NT, будет защищена от просмотра

 

после перезагрузки.

Запрет создания скрытых

Запрет создания скрытых административных совместно используемых ресурсов

доступных дисков

(C$, D$, E$, и т.д.).

Табл. 20. Запреты на работу пользователя в Windows NT

Параметр

Эффект включения параметра

Windows NT

 

Запрет редактирования реестра

Запрещается вызывать редактор системного реестра.

Запрет работы с Диспетчером задач

Запрещается вызывать диалог "Диспетчер задач"

Сеть

 

Запрет отображения папки "Сетевое окружение"

Запрещается показывать папку "Сетевое окружение".

Запрет отображения всей сети в папке "Сетевое

Запрещается доступ к сети в папке "Сетевое окружение".

окружение"

 

Запрет отображения домена (группы) в папке

Запрещается показывать домен (группы) в папке "Сетевое ок-

"Сетевое окружение"

ружение". При просмотре сетевого окружения, пользователь

 

сможет увидеть только те рабочие станции, которые входят в

 

рабочую группу компьютера.

Проводник

 

Запрет команды "Выполнить"

Запрещается показывать команду "Выполнить" в главном ме-

 

ню Windows.

Запрет команды "Завершение работы"

Запрещается показывать команду "Завершение работы" в

 

главном меню Windows.

Запрет установки параметров Панели задач

Запрещается вызывать диалог управления параметрами па-

 

нели задач.

Запрет поиска

Запрещается вызывать диалог "Найти".

Запрет объектов на рабочем столе

Запрещается показывать ярлыки рабочего стола.

Запрет сохранения сделанных изменений

Запрещается сохранять изменения, сделанные в Windows.

Запрет управления доступом к файлам компью-

Запрещается показывать меню "Файл" в окне программы "Про-

тера

водник".

Запрет использования непроверенных расшире-

Запрещается использовать расширения оболочки, не входя-

ний

щие в список проверенных расширений.

Запрет отображения общих групп программ

Запрещается показывать в главном меню Windows общие для

 

всех пользователей группы программ.

Запрет отображения контекстных меню в Панели

Запрещается вызов контекстного меню Панели задач и контек-

задач

стных меню для любого объекта, размещенного на Панели за-

 

дач.

125

Secret Net NT 4.0 Руководство по администрированию

Параметр

Эффект включения параметра

Запрет отображения контекстных меню в MS-

Запрещается вызывать контекстное меню любого объекта в

Exploer

окне программы "Проводник" (MS-Explorer).

Экран

 

Запрет диалога "Настройки экрана"

Запрещается показывать диалог "Настройка экрана" в окне

 

управления свойствами экрана.

Запрет диалога "Фон"

Запрещается показывать диалог "Фон" в окне управления

 

свойствами экрана.

Запрет диалога "Оформление"

Запрещается показывать диалог "Оформление" в окне управ-

 

ления свойствами экрана.

Запрет диалога "Заставка"

Запрещается показывать диалог "Заставка" в окне управления

 

свойствами экрана.

Запрет диалога "Параметры"

Запрещается показывать диалог "Параметры" в окне управле-

 

ния свойствами экрана.

126

 

Приложение

 

 

Формат UEL-файла

Секции

UEL-файл представляет собой список программ, разрешенных или запрещенных

 

пользователю для исполнения. UEL-файл является структурированным текстовым

 

файлом (в кодировке ANSI), состоящим из нескольких секций.

[Information] – секция общего описания. Данная секция содержит информацию описательного характера и рассматривается подсистемой замкнутой среды как комментарий. Здесь могут быть сведения:

о принадлежности UEL-файла (имя пользователя и название компьютера, к которым относится данный файл);

об изменениях UEL-файла (дата, время, причина изменений, режим внесения изменений – ручной/автоматический, а в случае ручного режима – имя пользователя, произведшего изменения).

[Tasks] – секция описания задач. Данный раздел содержит перечень исполняемых ресурсов, к которым пользователю разрешен доступ посредством механизма задач. Об использовании механизма задач смотрите соответствующий раздел в документе "Система защиты Secret Net. Подсистема управления. Программа Администратор. Руководство по администрированию".Эта секция корректируется только через механизм управления задачами, ручное изменение запрещено.

[Auto] – секция автоматической корректировки. Здесь размещается информация об исполняемых файлах, составляющих замкнутую программную среду, добавленных при автоматическом формировании списка на основании журнала безопасности.

Для данного раздела разрешено ограниченное ручное изменение:

Разрешается:

Запрещается:

удалять строку целиком;

ручное добавление записей;

комментировать записи;

корректировать пути в записях.

вставлять или удалять префикс из первой позиции строки.

 

[Manual] – секция ручной корректировки. В данную секцию разрешено добавлять

 

записи вручную. Первоначально в этой секции размещается UEL-список, сформи-

 

рованный системой защиты по умолчанию.

 

 

В данную секцию разрешено добавлять записи вручную. Первоначально в этой сек-

 

ции размещается UEL-список, сформированный системой защиты по умолчанию.

Формат строк

Секции описания задач, автоматической и ручной корректировки содержат строки,

 

разрешающие или запрещающие запуск программ на исполнение. Строки в секциях

 

описания задач, автоматической и ручной корректировки могут быть двух видов:

 

Комментарий. Строка комментария начинается с символа ";" (точка с запятой).

 

Такие строки игнорируются подсистемой замкнутой программной среды.

 

Значащая строка. Такая строка содержит путь к исполняемым файлам. Пе-

 

ред указанием пути может быть один или несколько префиксов.

Префиксы

Префикс добавляется в первую позицию строки и указывает на способ ее обработки.

 

Префикс

Назначение

!Путь, следующий за данным префиксом, указывает на модули, запрещенные для запуска. Данный префикс может использоваться с любым путем (путь к файлу, путь к каталогу, маска файлов).

+Префикс может стоять только перед именем каталога. Указывает на рекурсивный режим обработки для данного каталога. Если перед именем каталога не указан префикс, то по умолчанию используется рекурсивный режим обработки.

Префикс, противоположный предыдущему. Т.е. указывает на отсутствие рекурсивной обработки для каталога.

127

Пути к исполняемым файлам

Цветовая индикация строк UEL-файла

Правила

устранения

противоречий

Secret Net NT 4.0 Руководство по администрированию

Пути к исполняемым файлам могут быть указаны в виде:

Полного пути к исполняемому файлу.

Полного пути к каталогу, содержащему файлы. При записи в UEL имя каталога должно заканчиваться символом "\" (например: c:\tools\). Если перед таким путем нет префикса, указывающего режим обработки, то для данного каталога должен применяться рекурсивный режим (т.е. обрабатываются и вложенные каталоги). Путь к сетевым каталогам и файлам начинается с символов: "\\".

Маски файлов для имен файлов. Допускается использование символов " " (0x2A) и "?" (0x3F). Символ " " соответствует любой последовательности символов. Символ "?" соответствует одному любому символу, в случае, если после последовательности из одного или более "?" стоит значимый символ. Если после последовательности из одного или более "?" значимого символа нет, то "?" означает "один любой символ или отсутствие символа". Эти правила применимы как к имени, так и к расширению. Если имя файла содержит " " или "?", а расширение не задано, то считается, что расширение равно " ". Не допускается использование Windows-масок, т.е. масок типа fi e.txt.

За основными элементами UEL-файла, а также ошибочными элементами закреплены следующие цветовые индикаторы:

Цвет символов:

Используется для выделения основных элементов:

Темно-синий

Названия секций

Серый (50%)

Комментарии и содержимое секции [Information]

Черный

Путь к файлам

Сине-зеленый

Путь к каталогам и файлам, заданным с помощью масок

Зеленый

Путь к сетевым каталогам и файлам

 

Используется для выделения ошибочных элементов:

Красный

Пути к каталогам и файлам (заданным без использования масок), ко-

 

торые не обнаружены на локальном диске компьютера или являются

 

некорректными строками (т.е. строками с некорректным описанием

 

ресурсов или секций)

Темно-красный

Пути к файлам (заданным без использования масок), на которых ат-

 

рибуты доступа не соответствуют требованиям замкнутой среды

Синий

Пути к каталогам и файлам, совпадающие с описаниями в других

 

секциях данного файла

Если в UEL-списке есть строки, противоречащие друг другу, то для разрешения конфликтов используются следующие правила:

Конфликтная ситуация:

Правило устранения:

В списке есть одинаковые

Явно указанный запрет запуска (т.е. строка с префиксом "!")

строки с префиксом "!"

имеет более высокий приоритет

и строки без префикса

 

В списке есть одинаковые

Рекурсивный режим (префикс "+" или отсутствие префикса,

строки с префиксом "+"

управляющего рекурсивным режимом) имеет более высо-

(или без префикса)

кий приоритет.

и строки с префиксом "–"

 

Некорректные Если в UEL-файле есть строки с некорректной комбинацией префиксов (одновре- строки менно указаны префиксы "+" или "–" перед именем файла или каталога), такие стро-

ки считаются некорректными, выделяются цветом и исключаются из обработки подсистемой замкнутой среды.

128