- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Глава 5. Настройка механизмов контроля входа
Если кнопка отжата, то это ограничение не действует
Разрешенный период работы
В этой таблице отображается еженедельное расписание работы пользователя
Рис. 20. График работы пользователя
Вгруппе полей "Вход пользователя в систему возможен" указан период времени, на протяжении которого пользователю разрешено работать на компьютере.
Вполе "с" указана дата начала, а в поле "по" – дата окончания этого периода. Если кнопка ("с" или "по"), расположенная рядом с полем даты, отжата, то снято ограничение начала или окончания разрешенного периода работы.
Вгруппе полей "Ограничения по дням недели" указано еженедельное расписание работы пользователя. Отдельная строка соответствует дню недели и разбита на 24 часа. Если ячейка закрашена, то в течение этого часа вход в систему разрешен.
3.Ознакомившись с графиком работы, нажмите кнопку "Отмена".
4.После просмотра информации о состоянии учетной записи можно перейти к другим диалогам окна настройки или закрыть его, нажав кнопку "OK" или "Отмена".
Аппаратные средства идентификации и аутентификации
На компьютере может быть установлено несколько различных аппаратных устройств. При этом только одно из них будет использоваться для идентификации пользователей при их входе в систему. Такое устройство называется текущим.
Установка на компьютер и настройка аппаратных средств может выполняться как до, так и после установки системы Secret Net.
Программное обеспечение для работы с eToken и ЭЗ "Соболь" рекомендуется устанавливать до начала установки Secret Net.
С аппаратными средствами, устанавливаемыми на компьютер, применяется специальное программное обеспечение (ПО). Для eToken, ЭЗ "Соболь" и COMсчитывателя Touch Memory установка ПО выполняется отдельной процедурой. Для других аппаратных средств ПО входит в состав системы Secret Net.
55
Secret Net 2000. Руководство по администрированию
Функции управления аппаратными средствами разделены следующим образом:
Локальное управление |
Централизованное управление |
• Установка на компьютер и настройка аппаратных |
• Только у доменных пользова- |
средств. |
телей: добавление (удаление) |
• Просмотр информации об идентификаторах поль- |
идентификаторов и назначе- |
зователей (перечень идентификаторов, присвоен- |
ние (отмена) режимов хране- |
ных пользователям компьютера, и признаки |
ния паролей в |
хранения в них пароля). |
идентификаторах |
•Толькоулокальныхпользователей: добавление (удаление) идентификаторов иназначение(отмена) режимов храненияпаролей в идентификаторах.
Подключение устройства
Процедура предварительной подготовки и порядок установки устройств аппаратной поддержки в компьютер описаны в документе "Система защиты информации Secret Net. Аппаратные средства. Руководство по установке и эксплуатации".
Следует помнить. Установка и подключение к компьютеру ЭЗ "Соболь" имеют свои особенности. Подробная инструкция содержится в документе "Электронный замок "Соболь". Руководство администратора".
Настройка устройства
Необходимое программное обеспечение устройств аппаратной поддержки устанавливается на компьютер в соответствии с требованиями, приведенными в начале данного раздела.
Для настройки устройства аппаратной поддержки:
1. Вызовите на экран окно настройки общих параметров и перейдите к диалогу "Устройства":
Устройство, используемое в настоящий момент
Нажмите для отключения этого устройства
Состояние используемого устройства
Для смены устройства выберите его название в списке и …
нажмите кнопку "Установить"
Выберите режим входа пользователей в систему
Рис. 21. Настройка устройства аппаратной поддержки
56
Глава 5. Настройка механизмов контроля входа
Выбор текущего устройства
Выбор режима входа в систему
Если устройства аппаратной поддержки на компьютер не устанавливались или устанавливались, но не были настроены в соответствии с данной процедурой, поля "Текущее устройство аппаратной поддержки" и "Состояние" будут пустыми. При этом в списке "Драйверы для устройств аппаратной поддержки" будут отображены все устройства аппаратной поддержки, с которыми может работать система.
Если была выполнена настройка какого-либо устройства, его название будет отображаться в поле "Текущее устройство аппаратной поддержки", а в списке "Драйверы для устройств аппаратной поддержки" его название будет выделено (Рис. 21 иллюстрирует случай, когда таким устройством является Secret Net Touch Memory Card).
2.Выберите в списке название устройства и нажмите кнопку "Установить".
Название выбранного устройства аппаратной поддержки будет отображено как текущее.
3.Выберите нужный режим входа в систему с помощью переключателей группы "Вход в систему".
В режиме … |
для входа в систему необходимо … |
Стандартный |
Ввести информацию о пользователе с клавиатуры |
Смешанный |
Предъявить персональный идентификатор или вести инфор- |
|
мацию о пользователе с клавиатуры |
Вход по идентификатору |
Предъявитьперсональный идентификатор |
|
|
При выборе режима руководствуйтесь следующими соображениями. Использование аппаратных средств идентификации повышает защищенность системы. Однако на этапе ввода системы защиты в эксплуатацию, когда еще не все пользователи получили электронные идентификаторы, может использоваться смешанный режим. Для включения нужного режима поставьте отметку рядом с его названием в поле переключателя.
Позднее, когда каждый из пользователей будет иметь свой персональный идентификатор, установите режим входа только по идентификатору.
4.Нажмите кнопку "OK" или "Применить" в окне настройки общих параметров.
Внесенные изменения будут зафиксированы и вступят в силу после перезагрузки компьютера.
Сведения о новой конфигурации компьютера добавятся в ЦБД автоматически.
Настройка порта ввода/вывода
Данная настройка выполняется, если в качестве устройства аппаратной поддержки используется Secret Net TM Card стандарта ISA или Secret Net Proximity. Настройка выполняется до начала работы с устройством аппаратной поддержки, при условии, что устройство установлено на компьютере и выбрано как текущее (см. выше).
Для настройки порта ввода/вывода:
1. Вызовите на экран панель управления Windows 2000 и откройте в ней компонент "Администрирование".
2.Откройте службу "Управление компьютером" и выберите в ней – "Диспетчер устройств":
57
Secret Net 2000. Руководство по администрированию
В правой части окна будет отображена группа "Устройства идентификации Secret Net", включающая в себя текущее устройство (на рисунке таким устройст-
вом является Secret Net TM Card).
3.Откройте окно свойств устройства, перейдите на закладку "Ресурсы" и установите значения адреса порта ввода-вывода. Они должны соответствовать тем значениям, которые были установлены на плате устройства с помощью перемычек JP3-JP4. См. документ "Система защиты информации Secret Net. Аппаратные средства. Руководство по установке и эксплуатации".
4.Закройте окно свойств устройства с сохранением изменений.
Персональные идентификаторы
Персональный идентификатор выдается пользователю и предъявляется им по требованию системы. В системе Secret Net 2000 предусмотрена возможность хранения пароля пользователя в идентификаторе и автоматического считывания его при предъявлении идентификатора для входа в систему.
Один и тот же персональный идентификатор не может быть присвоен более чем одному пользователю. Пользователю может быть присвоено несколько идентификаторов разного типа10.
Информацию об идентификаторах пользователя можно получить в окне настройки свойств пользователя. Кроме того, в режиме просмотра идентификаторов можно выполнить операцию инициализации идентификатора.
Инициализация персонального идентификатора – это форматирование, обеспечивающее возможность его применения с конкретным аппаратным устройством. Необходимость в инициализации возникает в тех случаях, когда в персональном идентификаторе по каким-либо причинам была нарушена структура данных или до этого он использовался с другим устройством идентификации и аутентификации.
Для просмотра информации об идентификаторах:
1. В программе "Проводник" выберите пользователя и вызовите окно настройки свойств.
10Типопределяетаппаратноеустройство, скоторымприменяетсяидентификатор.
58
Глава 5. Настройка механизмов контроля входа
2.Перейдите к диалогу “Электронные идентификаторы”, содержащему список присвоенных пользователю идентификаторов:
Вид пиктограммы соответствует типу персонального идентификатора
Отметка указывает на то, что в идентификаторе хранится пароль
Служебная информация:
-тип идентификатора:
-его идентификационный номер.
Кнопка доступна только для локальных пользователей и используется для присвоения нового идентификатора
Рис. 22. Список идентификаторов пользователя
Каждый идентификатор в списке представлен пиктограммой, строкой служебной информации и признаком режима хранения пароля. Если поле “Пароль в идентификаторе” содержит отметку, это означает, что в электронном идентификаторе хранится пароль пользователя.
Для обозначения различающихся типов персональных идентификаторов используются следующие пиктограммы:
Ключевая дискета. Для хранения пароля не используется. Для локальных пользователей не применяется.
Электронный идентификатор iButton.
Брелок eToken, подключаемый к USB-порту компьютера.
Кнопка "Присвоить" используется для добавления пользователю нового идентификатора и доступна в окне настройки свойств локальных пользователей.
Кнопка "Инициализировать" используется для форматирования идентификатора (см. далее).
3. Завершив просмотр, закройте окно нажатием кнопки "OK" или "Отмена".
Для инициализации идентификатора:
1. В программе "Проводник" выберите пользователя и вызовите окно настройки свойств.
2.Перейдите на закладку “Электронные идентификаторы”.
Если на компьютере установлено одно устройство идентификации, нажмите кнопку “Инициализировать” (см. Рис. 22).
59