- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Secret Net 2000. Руководство по администрированию
Механизмы разграничения доступа
Для организации эффективной совместной работы пользователей и обеспечения надежной защиты ресурсов компьютера от несанкционированного доступа (НСД) в системе Secret Net 2000 используются механизмы управления доступом:
•Механизм избирательного управления доступом.
•Механизм полномочного управления доступом.
•Механизм замкнутой программной среды.
В Secret Net 2000 защищаемыми ресурсами являются:
•Ресурсы файловой системы: локальные логические диски, подключенные сетевые диски и размещающиеся на них каталоги и файлы.
•Аппаратные ресурсы: локальные и сетевые принтеры, коммуникационные порты, физические диски, дисководы, приводы CD-ROM.
•Ресурсы операционной системы: системные файлы, ключи системного реестра, системное время, диалоги настройки параметров системы.
Механизм избирательного управления доступом
Система защиты Secret Net 2000 использует для избирательного (дискреционного) управления доступом стандартный механизм Windows 2000, дополненный средствами разграничения доступа к дискам и портам. Подробные сведения о настройке механизма избирательного управления доступом содержатся в документации, входящей в комплект поставки ОС Windows 2000.
Механизм полномочного управления доступом
Механизм полномочного управления доступом предназначен для разграничения доступа пользователей к ресурсам компьютера и сетевым ресурсам на основании полномочного (мандатного) принципа разграничения доступа, а также для контроля потоков конфиденциальной информации в системе.
Механизм замкнутой программной среды
Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам списком тех программ, которые действительно необходимы ему для выполнения своих служебных обязанностей.
Полномочное управление доступом
При организации полномочного управления доступом для каждого пользователя компьютера устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам и файлам, находящимся на локальных и подключенных сетевых дисках с файловой системой NTFS, присваивается категория конфиденциальности.
Названия категорий. Средствами централизованного управления можно изменить названия категорий конфиденциальности. См. Главу 7 в документе "Система защиты Secret Net. Подсистема управления. Руководствопоадминистрированию. Книга1".
При попытке доступа пользователя (программы, запущенной пользователем) к конфиденциальному ресурсу сопоставляется категория конфиденциальности ресурса и уровень допуска пользователя к конфиденциальной информации. Если пользователь не превышает свой уровень допуска, доступ к конфиденциальному ресурсу разрешается, иначе доступ блокируется.
68
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Управление режимом работы
Для настройки режима полномочного управления доступом:
1. Откройте окно управления общими параметрами и выберите диалог "Дополнительно":
См. также: |
|
|
Информация об |
|
|
отдельных элементах |
|
|
диалога (назначении и |
|
|
особенностях |
|
|
использования) |
|
|
содержится в |
|
|
справочной системе |
|
|
|
|
Укажите параметры работы |
Установите отметку в |
|
механизма полномочного |
|
управления доступом |
|
этом поле, чтобы |
|
|
включить режим |
|
|
полномочного |
|
|
управления доступом |
|
|
Рис. 25. Диалог "Дополнительно"
2.Установите отметку в поле выключателя "Полномочное управление доступом" для включения режима полномочного управления. После этого другие поля, относящиеся к полномочному управлению, будут доступны для редактирования. Укажите параметры работы механизма полномочного управления доступом:
•Контроль потоков данных. Установите отметку в этом поле, если необходимо включить режим контроля потоков конфиденциальной информации.
Пояснение. Любым приложениям запрещается копировать (сохранять) файлы в каталоги с более низким уровнем конфиденциальности, чем у исходного файла. Сохраняемому файлу автоматически присваивается уровень конфиденциальности файла-источника.
•Контроль буфера обмена. Установите отметку в этом поле, если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое.
Пояснение. Неконфиденциальному файлу, в который копируется конфиденциальная информация через буфер обмена, автоматически присваивается уровень конфиденциальности этой информации. Этот файл не может быть сохранен в каталоги с более низким уровнем конфиденциальности.
•Запрет доступа при невозможности получить уровень допуска пользо-
вателя. Установите отметку в этом поле, чтобы удаленный пользователь, зарегистрированный на компьютере, мог войти на компьютер, но получал допуск только к неконфиденциальной информации, а незарегистрированный – вообще не получал допуск к компьютеру.
69
Secret Net 2000. Руководство по администрированию
•Контроль печати. Если установить отметку в этом поле, то для печати конфиденциальных документов разрешено будет использовать только редактор MS Word (версии 8.0 и выше). При печати конфиденциальных документов в начало каждой страницы будет добавляться гриф конфиденциальности, а факт печати будет регистрироваться системой защиты.
3.Завершив настройку, нажмите на кнопку "OK" или "Применить".
Временное отключение. Для отключения режима полномочного управления достаточно убрать отметку из поля "Полномочное управление доступом". При этом все остальные настройки механизма останутся без изменений. Для повторного включения механизма достаточно вновь установить отметку в этом поле. После включения или отключения механизма требуется перезагрузить компьютер.
Просмотр уровня допуска пользователя
Управление уровнем допуска пользователей к конфиденциальной информации осуществляется средствами централизованного управления системы Secret Net.
Примечание. У локальных пользователей можно не только просматривать информацию об уровне допуска, ноиизменятьего.
Для просмотра уровня допуска пользователя:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Доступ":
В этом поле отображается уровень допуска пользователя к конфиденциальной информации
Отметка, установленная в этом поле разрешает вывод конфиденциальной информации на дискеты
Рис. 26. Диалог "Доступ"
2.Просмотрите интересующие значения параметров.
В поле "Уровень допуска" отображается уровень допуска пользователя к конфиденциальным данным, который может принимать следующие значения:
Уровень допуска |
Права доступа: |
Отсутствует |
Нет доступа к конфиденциальной информации |
Конфиденциально |
Имеется доступ к файлам с категорией "конфиденциальные" |
Строго |
Имеется доступ к файлам с категорией "конфиденциальные" |
70
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Уровень допуска |
Права доступа: |
конфиденциально |
и "строго конфиденциальные" |
Уровень допуска предлагается системой по умолчанию. Как уже говорилось ранее, уровень можетбытьизмененсредствамицентрализованногоуправления.
Отметка, установленная в поле "Вывод конфиденциальной информации на дискеты" разрешает пользователю сохранять конфиденциальные документы на съемных носителях. Эта настройка управляет возможностью сохранять конфиденциальные документы в неконфиденциальные каталоги, даже если включен режим контроля потоков данных и буфера обмена (см. стр. 69).
3. Завершив просмотр, нажмите на кнопку "OK" или "Отмена".
Указание категории конфиденциальности ресурса
Для изменения категории конфиденциальности ресурса необходимо, чтобы:
•был включен режим полномочного управления доступом (см. стр. 69);
•ресурс находился на диске с файловой системой NTFS;
•текущий пользователь имел права на доступ к ресурсу и на изменения прав доступа, а также обладал привилегией на управление категориями конфиденциальности (см. Табл. 13 на стр. 127).
Управление осуществляется с использованием программы "Проводник".
Для присвоения ресурсу категории конфиденциальности:
1. В окне программы "Проводник" выберите интересующий вас ресурс (локальный диск, каталог, файл), вызовите окно редактирования свойств и перейдите к диа-
логу "Secret Net":
В этом поле отображается имя текущего пользователя
В этом поле отображается уровень допуска этого пользователя к конфиденциальной информации
В этом поле отображается категория конфиденциальности ресурса.
Выберите нужное значение
Рис. 27. Диалог "Secret Net"
2.Установите категорию конфиденциальности ресурса, выбрав значение из раскрывающегося списка "Категория".
3.Нажмите на кнопку "OK" в диалоге "Свойства".
71