- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Настройка режима работы замкнутой среды для пользователей
Механизм замкнутой программной среды может быть включен для всех пользователей или избирательно для некоторых из них. На этапе настройки следует включать замкнутую среду в "мягком" режиме.
Обратите внимание! Не допускайте включение замкнутой среды в "жестком" режиме для пользователей, входящих в группу локальных администраторов (непосредственно или через доменную группу). Это может привести к невозможности входа таких пользователей в систему, т.к. у них в этом случаевсегдабудутнекорректныеправавладениясистемнымифайлами.
Для настройки режима работы замкнутой среды для пользователя:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Режимы":
Установите отметку в этом поле, чтобы включить механизм замкнутой программной среды для пользователя
Установите отметку в этом поле, чтобы включить мягкий режим работы замкнутой программной среды
Рис. 32. Включение режима замкнутой среды для пользователя
2.Включите и настройте замкнутую среду.
•Установите отметку в поле "Замкнутая программная среда", чтобы включить этот механизм для выбранного пользователя. При этом автоматически устанавливается отметка в поле "Мягкий режим для списка программ".
•Если необходим "жесткий" режим работы, удалите отметку из поля "Мягкий режим для списка программ".
Включение режима замкнутой программной среды для встроенной учетной записи Администратор недоступно.
3. Нажмите кнопку "OK" или "Применить".
Формирование UEL-списка пользователя
Список разрешенных для запуска программ формируется индивидуально для каждого пользователя. Существуют два способа формирования этих списков:
•автоматическое формирование списка на основании информации о запуске программ, содержащейся в журнале безопасности;
79
Secret Net 2000. Руководство по администрированию
Автоматическое
формирование
списка
•редактирование вручную списка программ с использованием текстового редактора SnEdit.
Автоматический способ облегчает процедуру формирования UEL-списка. В дальнейшем список может быть уточнен путем повторного использования автоматической процедуры или корректировки списка вручную.
Для автоматического формирования UEL-списка пользователя:
1. Смоделируйте на компьютере работу пользователя, для которого вы собираетесь автоматически настроить UEL-список. Для этого последовательно запускайте нужные программы и выполняйте типовые действия.
Например: запустите программу MS Word, откройте документ, отредактируйте содержание документа, сохранитедокументизакройтепрограмму.
В журнале безопасности будут зафиксированы события, связанные с запуском программ.
2.В программе "Проводник" выберите пользователя, работу которого вы моделировали, вызовите на экран окно настройки свойств и перейдите к диалогу "Режимы" (см. Рис. 32).
3.Нажмите кнопку "Программы".
UEL-список выбранного пользователя будетоткрытв окне программы SnEdit.
Содержимое "списка по умолчанию"
добавляется в начало секции [Manual] UEL-файла пользователя
Рис. 33. Просмотр UEL-файла в окне редактора SnEdit
Описание формата UEL-файла содержится в приложении (стр. 132).
4.Выберите в меню основного окна программы SnEdit "Список программ | Построить по журналу".
На экране появится диалог:
80
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Интервал времени, за который анализируются записи журнала безопасности
Параметры, которые необходимо учитывать при проведении автоматического анализа журнала событий
Ручная корректировка списка
5.Укажите необходимые значения параметров:
•Установите текущую дату и период времени, за который должен быть проведен анализ событий, зарегистрированных в журнале.
•Установите отметку в поле "События всех пользователей", чтобы при построении UEL-списка пользователя учитывались события, вызванные вашими действиями при моделировании работы пользователя.
•Установите отметку в поле "События НСД", чтобы помимо событий запуска программ анализировались и события НСД – "запрет запуска программ".
6.Нажмите кнопку "OK".
Будет проведен анализ записей журнала безопасности. В секцию [Auto] будет добавлен сформированный по журналу список программ.
7.Просмотрите список программ, измените при необходимости его содержание, а затем сохраните. Закройте окно редактора SnEdit.
8.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Перед выполнением процедуры проанализируйте записи журнала безопасности, относящиеся к работе пользователей, для которых включена замкнутая программная среда. Составьте для каждого пользователя список программ, попытки запуска которых регистрируются как событие НСД "Запрет запуска программы". В списке имя файла программы должно включать полный путь к нему.
Для ручной корректировки списка программ:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Режимы" (см. Рис. 32).
2.Нажмите кнопку "Программы".
UEL-файл, относящийся к выбранному пользователю, будет открыт в окне ре-
дактора SnEdit (см. Рис. 33).
3.Добавьте в секцию [Manual] строки с именами файлов программ (включая полный путь к файлам), запуск которых требуется разрешить или запретить пользователю. Описание формата UEL-файла содержится в приложении (стр. 132).
Добавление файлов в диалоговом режиме. Для этого выберите в меню главного окна программы SnEdit "Список программ| Добавить". На экране появится стандартный диалог Windows "Добавитьфайл". Спомощьюэтогодиалоганайдитеиукажитенужныйфайл.
Сортировка списка. Для упорядочения UEL-списка по алфавиту выберите "Список программ| Сортировать" вменюглавногоокнапрограммыSnEdit.
4.Сохраните изменения и закройте окно редактора.
5.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
81
Secret Net 2000. Руководство по администрированию
Корректировка параметров замкнутой среды
Автоматическая корректировка параметров
Как уже было сказано ранее, запуск программы из UEL-списка разрешается, если обеспечены необходимые права доступа и владения. Однако при формировании UEL-списка система не выполняет автоматическую корректировку этих прав для файлов, добавленных в UEL-список. Поэтому может возникнуть ситуация, когда программа содержится в списке, но не может быть запущена пользователем. Если такая ситуация возникает, необходимо проанализировать записи журнала безопасности, определить файлы программ, права владения и доступа которых требуют корректировки, и выполнить ее.
Следует обратить внимание на особенности локального журнала безопасности. После окончания каждого сеанса работы записи из этого журнала удаляются и передаются на сервер безопасности. Поэтому для администратора безопасности компьютера доступна только информация, собранная о работе пользователя в текущем сеансе. На ее основе администратор может провести оперативный контроль корректности прав для текущего пользователя. А для подробного анализа корректности прав доступа и владения нужно использовать средства централизованного управления и информацию, хранящуюся в центральной БД системы защиты.
Кроме того, если исполняемые модули программ находятся на других компьютерах и относятся к сетевым ресурсам общего доступа, то в этом случае для корректировки права доступа и владения необходимо обратиться к главному администратору безопасности или непосредственно к администраторам компьютеров.
Для автоматической настройки параметров:
1. Выберите "Список программ | Настроить" в меню основного окна программы SnEdit. На экране появится диалог для коррекции параметров замкнутой среды:
|
|
Укажите расширения |
|
|
исполняемых файлов, |
|
|
которые должны учитываться |
|
|
при просмотре указанных в |
|
|
UEL-файле каталогов |
|
|
Нажмите эту кнопку для |
|
|
восстановления списка |
|
|
расширений, заданных по |
|
|
умолчанию |
2. Укажите необходимые значения параметров: |
||
|
Установите отметку в поле: |
Для того чтобы … |
|
Права доступа к ресурсам |
Корректировать права доступа и владения для перечня |
|
|
ресурсов, заданных в UEL-файле. |
|
Автоматически настроить для |
Автоматически выполнить корректировку прав доступа и |
|
всех ресурсов |
владения, не выполняя предварительно проверку кор- |
|
|
ректности прав и не запрашивая разрешение перед вы- |
|
|
полнением операции. При включении этого режима |
|
|
корректировка выполняется быстрее, т.к. не проводится |
|
|
проверка прав доступа, требующая значительных за- |
|
|
трат времени. |
|
Зависимости от других |
Добавить в список другие исполняемые файлы, необхо- |
|
модулей |
димые для работы программ, содержащихся в UEL- |
|
|
списке. |
|
Повторяющиеся строки |
Удалить из UEL-списка повторяющиеся строки. |
82
Глава 6. Настройка механизмов управления доступом и защиты ресурсов
Установите отметку в поле: |
Для того чтобы … |
Обрабатывать каталоги |
Обрабатывать при корректировке исполняемые файлы, |
|
содержащиеся в каталогах, указанных в UEL-списке. |
|
(должны быть указаны расширения для поиска испол- |
|
няемых файлов). |
Обрабатывать ресурсы, |
Обрабатывать при корректировке исполняемые файлы, |
заданные при помощи масок |
заданные при помощи маски |
|
(см. описание формата UEL-файла, стр. 132). |
Запрашивать подтверждение |
Потребовать выводить запрос перед выполнением ука- |
перед выполнением операций |
занных в диалоге операций по настройке и корректиров- |
|
ке параметров замкнутой среды |
3.Нажмите кнопку "Начать".
•Если система обнаружит в UEL-файле ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк используются следующие цветовые индикаторы:
Цвета |
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования ма- |
|
сок), которые не обнаружены на локальном диске компьютера |
|
или являются некорректными строками (т.е. строками с некор- |
|
ректным описанием ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), на которых |
|
атрибуты доступа не соответствуют требованиям замкнутой |
|
среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в дру- |
|
гих секциях данного файла |
•В некоторых случаях система сама может разрешить противоречия в соответствии с правилами, изложенными в приложении (см. стр. 133).
•Если автоматический режим настройки не используется, а перед выполнением операции запрашивается подтверждение, то на экране будет появляться диалог:
Информация о проблеме
Кнопки для выбора способа устранения проблемы
•При автоматическом режиме настройки подтверждение не запрашивается, а после успешного завершения корректировки указанных параметров на экране появится сообщение об этом.
В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.
4.Сохраните изменения и закройте окно редактора.
5.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
83
Secret Net 2000. Руководство по администрированию
Ручная корректировка прав владения и доступа
Для изменения прав владения и доступа вручную:
1. Откройте журнал безопасности.
2.Просмотрите в колонке "Событие" все записи, содержащие значения "Запрет запуска программы". Причина запрета запуска отображается в окне дополнительной информации или во всплывающей подсказке к колонке "Событие".
Проверьте права доступа и владения для всех файлов программ, полные пути к которым содержатся в колонке "Объект" этих записей. Выясните причину запрета запуска программ и выявите файлы с некорректными правами владения и доступа. Составьте список таких файлов.
3.Закройте журнал безопасности.
4.Присвойте корректные права доступа и владения файлам программ из составленных списков, руководствуясь следующими правилами:
•владельцем файла должна быть группа локальных администраторов
•файл не должен быть доступен на изменение (запись) тем пользователям компьютера, для которых включена замкнутая программная среда.
Примечание. Управление правами доступа и владения осуществляется стандартными средствами управления, входящими в состав ОС Windows 2000. Подробное описание процедур содержитсявруководствахпоадминистрированиюОСWindows 2000.
84