- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы управления
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Состояние учетных записей и использование паролей
- •Параметры блокировки
- •Ограничения на использование пароля
- •Состояние учетных записей
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение замкнутой среды на компьютере
- •Настройка регистрации событий
- •Настройка замкнутой среды для пользователя
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Шифрование
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание группы ресурсов
- •Удаление группы ресурсов
- •Формирование списка ресурсов
- •Формирование задания
- •Управление заданиями
- •Пересчет контрольных сумм
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Устройства аппаратной поддержки системы защиты
- •Плата Secret Net Card
- •Плата Secret Net TM Card
- •Сетевая плата с микросхемой Secret Net ROM BIOS
- •Электронный замок "Соболь"
- •Электронный ключ eToken R2 для USB-порта
- •Запреты и ограничения
- •Формат UEL-файла
- •Атрибуты доступа
- •Атрибуты доступа к дискам со сменными носителями
- •Запреты на доступ к локальным ресурсам компьютера
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net NT 4.0 Руководство по администрированию
Запреты и ограничения
Табл. 19. Параметры диалога "Компьютер"
Параметр |
Эффект включения параметра |
Вход пользователя в |
Дополнительные меры защиты на этапе входа пользователя в систему. |
систему |
|
Запрет кэширования |
Запрещает хранить в кэшированном виде информацию об именах и паролях по- |
информации о пользователе |
следних десяти пользователей, входивших в систему. Хранение этой информа- |
|
ции обеспечивает возможность входа в систему данных пользователей при |
|
отсутствии основного и резервных контроллеров домена. |
Выключение компьютера |
Запрещает использовать для выключения компьютера кнопку "Выключить…" в |
только вошедшим |
диалоге "Вход в систему". В этих условиях выключить компьютер с помощью |
пользователем |
стандартной процедуры сможет только пользователь, осуществивший вход в |
|
систему. |
Не выдавать имя последнего |
Запрещает отображать в диалоге "Вход в систему" имя последнего работавшего |
входящего пользователя |
на компьютере пользователя. Отображение этого имени упрощает процедуру ре- |
|
гистрации, при условии, что на компьютере, как правило, работает один и тот же |
|
пользователь. |
Уровень аутентификации |
Увеличение строгости аутентификации доступа к основному (резервному) |
пользователя |
контроллеру домена. |
Использовать только |
Разрешено использовать для аутентификации только LM (Lan Manager) и NTLM |
LM и NTLM |
(MS Windows Lan Manager) протоколы. Запрещено использовать протокол NTLM |
|
версии 2. |
Использовать |
Разрешено использовать для аутентификации протоколы LM и NTLM. Допустимо |
LM, NTLM и NTLMv2 |
использование протокола NTLM версии 2, если он поддерживается и сервером, и |
|
клиентом. |
Требовать использования |
Разрешено использовать при подключении к серверу только NTLM аутентифика- |
NTLM |
цию. |
Требовать использования |
Разрешено использовать при подключении к серверу только аутентификацию |
NTLMv2 |
NTLM версии 2. |
Отвергать LM |
Контроллер домена будет отвергать клиентов, использующих аутентификацию |
аутентификацию |
LM. |
Отвергать NTLM |
Контроллер домена будет отвергать клиентов, использующих LM и NTLM аутен- |
аутентификацию |
тификацию. Разрешено использовать только аутентификацию NTLM версии 2. |
Замкнутая среда |
Усиление контроля в режиме замкнутой среды. |
Контролировать загрузку |
Перед запуском программы из UEL-списка проверяется наличие NE-заголовка |
только NE-файлов |
(для приложений win32). Иначе проверяется наличие PE-, NE-, MZ-заголовков |
|
или расширения COM (для файлов DOS). |
Контролироватьвладельца |
Подсистема замкнутой среды проверяет корректность владельца программы из |
файланасанкционированность |
UEL-списка перед ее запуском. Корректным владельцем считается пользова- |
|
тель, входящий в группу администраторов. |
Внешние носители |
Ограничение допуска системных процессов и пользователей других компьюте- |
|
ров к работе с гибкими дисками и компакт-дисками. |
Ограничение использования |
Ограничение допуска системных процессов и пользователей других компьюте- |
гибких дисков |
ров к работе с гибкими дисками. |
Ограничение использования |
Ограничение допуска системных процессов и пользователей других компьюте- |
CD-ROM |
ров к работе с компакт-дисками. |
Подсистемы Windows NT |
Дополнительные меры защиты от использования на компьютере подсистем |
|
Windows NT, не обеспечивающих должного уровня защиты. |
Запрет использования POSIX |
Запрещено использовать подсистему POSIX. |
Запрет использования OS/2 |
Запрещено использовать подсистему OS/2. |
Дополнительный аудит |
Усиление защиты за счет расширения событий аудита и ограничения доступа к |
|
регистрируемой информации. |
Полный аудит привилегий |
Все события, связанные с изменением привилегий, регистрируются в журнале |
|
безопасности Windows NT. |
124
Приложение
Параметр |
Эффект включения параметра |
Аудит основных объектов |
В журнале безопасности регистрируются события, связанные с обращением к |
|
основным объектам ОС Windows NT. Основные объекты – это специальные |
|
объекты отличные от файлов, принтеров и ключей системного реестра Windows |
|
NT, скрытые от обычного пользователя, но доступные программам. |
Ограничение доступа к |
Просмотр журнала разрешен только пользователям, обладающим правами |
системному журналу |
"Управление аудитом и журналом безопасности". Иначе журнал безопасности |
|
Windows NT смогут просматривать пользователи с правами гостя и пользовате- |
|
ли, не прошедшие идентификацию. |
Другие |
Дополнительные параметры защиты, не относящиеся к предыдущим группам. |
Блокировка при переполнении |
Предотвращает потерю зарегистрированных событий в журнале безопасности в |
системного журнала |
случае его переполнения. Переполнение журнала приводит к аварийному за- |
|
вершению работы компьютера. |
Строгая защита совместно |
Управлять внутренними объектами Windows NT может только пользователь с |
используемых объектов |
правами администратора. |
Запрет просмотра имен |
Анонимно подключившийся к компьютеру пользователь не может просмотреть |
ресурсов анонимным |
имена пользователей в домене и получить имена ресурсов, доступных для со- |
пользователем |
вместного использования. |
Затирание файла подкачки |
Информация, содержащаяся в файле подкачки, который применяется для |
страниц при выключении |
организации виртуальной памяти в Windows NT, будет защищена от просмотра |
|
после перезагрузки. |
Запрет создания скрытых |
Запрет создания скрытых административных совместно используемых ресурсов |
доступных дисков |
(C$, D$, E$, и т.д.). |
Табл. 20. Запреты на работу пользователя в Windows NT
Параметр |
Эффект включения параметра |
Windows NT |
|
Запрет редактирования реестра |
Запрещается вызывать редактор системного реестра. |
Запрет работы с Диспетчером задач |
Запрещается вызывать диалог "Диспетчер задач" |
Сеть |
|
Запрет отображения папки "Сетевое окружение" |
Запрещается показывать папку "Сетевое окружение". |
Запрет отображения всей сети в папке "Сетевое |
Запрещается доступ к сети в папке "Сетевое окружение". |
окружение" |
|
Запрет отображения домена (группы) в папке |
Запрещается показывать домен (группы) в папке "Сетевое ок- |
"Сетевое окружение" |
ружение". При просмотре сетевого окружения, пользователь |
|
сможет увидеть только те рабочие станции, которые входят в |
|
рабочую группу компьютера. |
Проводник |
|
Запрет команды "Выполнить" |
Запрещается показывать команду "Выполнить" в главном ме- |
|
ню Windows. |
Запрет команды "Завершение работы" |
Запрещается показывать команду "Завершение работы" в |
|
главном меню Windows. |
Запрет установки параметров Панели задач |
Запрещается вызывать диалог управления параметрами па- |
|
нели задач. |
Запрет поиска |
Запрещается вызывать диалог "Найти". |
Запрет объектов на рабочем столе |
Запрещается показывать ярлыки рабочего стола. |
Запрет сохранения сделанных изменений |
Запрещается сохранять изменения, сделанные в Windows. |
Запрет управления доступом к файлам компью- |
Запрещается показывать меню "Файл" в окне программы "Про- |
тера |
водник". |
Запрет использования непроверенных расшире- |
Запрещается использовать расширения оболочки, не входя- |
ний |
щие в список проверенных расширений. |
Запрет отображения общих групп программ |
Запрещается показывать в главном меню Windows общие для |
|
всех пользователей группы программ. |
Запрет отображения контекстных меню в Панели |
Запрещается вызов контекстного меню Панели задач и контек- |
задач |
стных меню для любого объекта, размещенного на Панели за- |
|
дач. |
125
Secret Net NT 4.0 Руководство по администрированию
Параметр |
Эффект включения параметра |
Запрет отображения контекстных меню в MS- |
Запрещается вызывать контекстное меню любого объекта в |
Exploer |
окне программы "Проводник" (MS-Explorer). |
Экран |
|
Запрет диалога "Настройки экрана" |
Запрещается показывать диалог "Настройка экрана" в окне |
|
управления свойствами экрана. |
Запрет диалога "Фон" |
Запрещается показывать диалог "Фон" в окне управления |
|
свойствами экрана. |
Запрет диалога "Оформление" |
Запрещается показывать диалог "Оформление" в окне управ- |
|
ления свойствами экрана. |
Запрет диалога "Заставка" |
Запрещается показывать диалог "Заставка" в окне управления |
|
свойствами экрана. |
Запрет диалога "Параметры" |
Запрещается показывать диалог "Параметры" в окне управле- |
|
ния свойствами экрана. |
126
|
Приложение |
|
|
Формат UEL-файла |
|
Секции |
UEL-файл представляет собой список программ, разрешенных или запрещенных |
|
пользователю для исполнения. UEL-файл является структурированным текстовым |
|
файлом (в кодировке ANSI), состоящим из нескольких секций. |
[Information] – секция общего описания. Данная секция содержит информацию описательного характера и рассматривается подсистемой замкнутой среды как комментарий. Здесь могут быть сведения:
•о принадлежности UEL-файла (имя пользователя и название компьютера, к которым относится данный файл);
•об изменениях UEL-файла (дата, время, причина изменений, режим внесения изменений – ручной/автоматический, а в случае ручного режима – имя пользователя, произведшего изменения).
[Tasks] – секция описания задач. Данный раздел содержит перечень исполняемых ресурсов, к которым пользователю разрешен доступ посредством механизма задач. Об использовании механизма задач смотрите соответствующий раздел в документе "Система защиты Secret Net. Подсистема управления. Программа Администратор. Руководство по администрированию".Эта секция корректируется только через механизм управления задачами, ручное изменение запрещено.
[Auto] – секция автоматической корректировки. Здесь размещается информация об исполняемых файлах, составляющих замкнутую программную среду, добавленных при автоматическом формировании списка на основании журнала безопасности.
Для данного раздела разрешено ограниченное ручное изменение:
Разрешается: |
Запрещается: |
||
• |
удалять строку целиком; |
• |
ручное добавление записей; |
• |
комментировать записи; |
• |
корректировать пути в записях. |
•вставлять или удалять префикс из первой позиции строки.
|
[Manual] – секция ручной корректировки. В данную секцию разрешено добавлять |
|
|
записи вручную. Первоначально в этой секции размещается UEL-список, сформи- |
|
|
рованный системой защиты по умолчанию. |
|
|
В данную секцию разрешено добавлять записи вручную. Первоначально в этой сек- |
|
|
ции размещается UEL-список, сформированный системой защиты по умолчанию. |
|
Формат строк |
Секции описания задач, автоматической и ручной корректировки содержат строки, |
|
|
разрешающие или запрещающие запуск программ на исполнение. Строки в секциях |
|
|
описания задач, автоматической и ручной корректировки могут быть двух видов: |
|
|
• Комментарий. Строка комментария начинается с символа ";" (точка с запятой). |
|
|
Такие строки игнорируются подсистемой замкнутой программной среды. |
|
|
• Значащая строка. Такая строка содержит путь к исполняемым файлам. Пе- |
|
|
ред указанием пути может быть один или несколько префиксов. |
|
Префиксы |
Префикс добавляется в первую позицию строки и указывает на способ ее обработки. |
|
|
Префикс |
Назначение |
!Путь, следующий за данным префиксом, указывает на модули, запрещенные для запуска. Данный префикс может использоваться с любым путем (путь к файлу, путь к каталогу, маска файлов).
+Префикс может стоять только перед именем каталога. Указывает на рекурсивный режим обработки для данного каталога. Если перед именем каталога не указан префикс, то по умолчанию используется рекурсивный режим обработки.
–Префикс, противоположный предыдущему. Т.е. указывает на отсутствие рекурсивной обработки для каталога.
127
Пути к исполняемым файлам
Цветовая индикация строк UEL-файла
Правила
устранения
противоречий
Secret Net NT 4.0 Руководство по администрированию
Пути к исполняемым файлам могут быть указаны в виде:
•Полного пути к исполняемому файлу.
•Полного пути к каталогу, содержащему файлы. При записи в UEL имя каталога должно заканчиваться символом "\" (например: c:\tools\). Если перед таким путем нет префикса, указывающего режим обработки, то для данного каталога должен применяться рекурсивный режим (т.е. обрабатываются и вложенные каталоги). Путь к сетевым каталогам и файлам начинается с символов: "\\".
•Маски файлов для имен файлов. Допускается использование символов " " (0x2A) и "?" (0x3F). Символ " " соответствует любой последовательности символов. Символ "?" соответствует одному любому символу, в случае, если после последовательности из одного или более "?" стоит значимый символ. Если после последовательности из одного или более "?" значимого символа нет, то "?" означает "один любой символ или отсутствие символа". Эти правила применимы как к имени, так и к расширению. Если имя файла содержит " " или "?", а расширение не задано, то считается, что расширение равно " ". Не допускается использование Windows-масок, т.е. масок типа fi e.txt.
За основными элементами UEL-файла, а также ошибочными элементами закреплены следующие цветовые индикаторы:
Цвет символов: |
Используется для выделения основных элементов: |
Темно-синий |
Названия секций |
Серый (50%) |
Комментарии и содержимое секции [Information] |
Черный |
Путь к файлам |
Сине-зеленый |
Путь к каталогам и файлам, заданным с помощью масок |
Зеленый |
Путь к сетевым каталогам и файлам |
|
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования масок), ко- |
|
торые не обнаружены на локальном диске компьютера или являются |
|
некорректными строками (т.е. строками с некорректным описанием |
|
ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), на которых ат- |
|
рибуты доступа не соответствуют требованиям замкнутой среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в других |
|
секциях данного файла |
Если в UEL-списке есть строки, противоречащие друг другу, то для разрешения конфликтов используются следующие правила:
Конфликтная ситуация: |
Правило устранения: |
В списке есть одинаковые |
Явно указанный запрет запуска (т.е. строка с префиксом "!") |
строки с префиксом "!" |
имеет более высокий приоритет |
и строки без префикса |
|
В списке есть одинаковые |
Рекурсивный режим (префикс "+" или отсутствие префикса, |
строки с префиксом "+" |
управляющего рекурсивным режимом) имеет более высо- |
(или без префикса) |
кий приоритет. |
и строки с префиксом "–" |
|
Некорректные Если в UEL-файле есть строки с некорректной комбинацией префиксов (одновре- строки менно указаны префиксы "+" или "–" перед именем файла или каталога), такие стро-
ки считаются некорректными, выделяются цветом и исключаются из обработки подсистемой замкнутой среды.
128