- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Secret Net 2000. Руководство по администрированию
Регистрация событий
Все события, происходящие на компьютере с установленной системой Secret Net 2000 и имеющие отношение к безопасности, регистрируются в локальном журнале, называемом журналом безопасности. Каждое зарегистрированное событие в журнале отображается в виде отдельной записи и содержит подробную информацию, необходимую для анализа события.
Для того чтобы администратор в локальном режиме мог просматривать и анализировать нужную ему информацию, необходимо предварительно выполнить настройки:
•задать параметры журнала безопасности;
•составить общий перечень событий, регистрируемых в системе до идентификации пользователя (этот перечень действует для всех пользователей системы);
•составить персональный перечень регистрируемых событий для каждого пользователя.
Настройка параметров журнала безопасности
Параметрами журнала безопасности являются его размер в килобайтах и порядок (срок) хранения информации.
Для настройки параметров журнала безопасности:
1. Вызовите окно настройки общих параметров и выберите диалог "Журнал":
Укажите требуемый размер журнала
Выберите способ очистки журнала в случае его переполнения: автоматический или ручной.
Рис. 36. Настройка параметров журнала безопасности
2.Установите значение максимального размера журнала и укажите механизм очистки журнала при его переполнении. Более подробная информация о параметрах журнала и рекомендации по их настройке приведены в справочной системе.
90
Глава 7. Настройка механизмов контроля и регистрации
Обратите внимание! Для усиления защищенности журнала безопасности может быть включен параметр "Блокировка при переполнении системного журнала", что должно предотвратить потерю информации о событиях, зарегистрированных в журнале в случае его переполнения (см. стр. 92). Однако при использовании процедуры ручной очистки журнала может произойти его переполнение и аварийное завершение работы компьютера. Это необходимо иметь в виду при выбореручногоспособаочисткижурнала.
3. Нажмите кнопку "OK" или "Применить".
Настройка общего перечня регистрируемых событий
Общий перечень регистрируемых событий – это те события, которые регистрируются при входе пользователей в систему. Соответствующий этому перечню режим регистрации будет действовать до тех пор, пока пользователь не завершит вход в систему, после чего начнет действовать установленный для него индивидуальный режим регистрации событий. Кроме того, данный режим регистрации будет действовать для всех пользователей, подключенных к компьютеру по сети, до завершения интерактивного входа пользователя.
Для настройки перечня регистрируемых событий:
1. В окне настройки общих параметров выберите диалог "Регистрация событий":
В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события
Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от имени регистрируемого события
2.Отметьте категории событий Windows и события Secret Net , которые должны регистрироваться в локальном журнале безопасности.
91
Secret Net 2000. Руководство по администрированию
ДлярегистрациисобытийWindows, относящихсяккатегории"Доступкфайламиобъектам", недостаточно установить отметку в одноименном поле данного диалога. Для использования этого режимарегистрациинеобходимонастроитьполитикуаудитакаждогоресурса(файла, папкиидр.).
Чтобынастроитьполитикуаудитаресурса:
•Вызовите окно настройки свойств ресурса, перейдите к диалогу "Безопасность" и нажмите кнопку"Дополнительно". Впоявившемсяокнеперейдитекдиалогу"Аудит".
•Сформируйте политику аудита ресурса. Для этого добавьте в таблицу "Элементы аудита" группы пользователей или отдельных пользователей и укажите, какие попытки доступа пользователей к ресурсу следует регистрировать. Так, например, чтобы включить регистрацию всех попыток несанкционированного доступа к ресурсу необходимо добавить в таблицу группу"Все" ивключитьдлявсехтиповдоступарегистрациюотказавдоступе.
Следует учитывать, что регистрация событий категории "Доступ к файлам и объектам" примениматолькокресурсам, размещающимсянадискахсфайловойсистемойNTFS.
Подробное описание событий Windows и порядка настройки политики аудита ресурсов содержатсявдокументациикОСWindows 2000, MSDN, атакженаInternet сайтекомпанииMicrosoft.
3. Нажмите кнопку "OK" или "Применить".
Дополнительный аудит
Дополнительный аудит используется для усиления контроля состояния журнала безопасности, а также для регистрации событий, связанных с изменением привилегий и попытками доступа к основным объектам системы.
Для включения дополнительных параметров регистрации:
1. Вызовите окно настройки общих параметров и выберите диалог "Компьютер":
Откройте группу параметров "Дополнительный аудит" и установите отметки рядом с теми из них, которые нужны для расширения аудита
В группу "Другие" входит параметр "Блокировка при переполнении системного журнала"
2.Установите отметки рядом с нужными параметрами, которые относятся к дополнительному аудиту (параметры группы "Дополнительный аудит") и контролю переполнения журнала безопасности (параметр "Блокировка при переполнении системного журнала" в группе "Другие").
92
Глава 7. Настройка механизмов контроля и регистрации
Параметры группы "Дополнительный аудит"
Полный аудит |
Регистрируются события, связанные с изменением привилегий "Архи- |
привилегий |
вирование файлов и каталогов" и "Восстановление файлов и катало- |
|
гов" |
Аудит |
Регистрируются события, связанные с обращением к основным объ- |
основных |
ектам ОС Windows (например, секциям, портам или семафорам) |
объектов |
|
Ограничение |
Просмотр журнала безопасности Windows разрешен только пользова- |
доступа к |
телям, обладающим привилегией Windows "Управление аудитом и |
системному |
журналом безопасности". Пользователям с правами гостя или не про- |
журналу |
шедшим аутентификацию запрещается просматривать журнал |
Параметр группы "Другие" |
|
Блокировка |
Предотвращает потерю информации в случае переполнения журнала |
при |
безопасности. Переполнение журнала приводит к аварийному завер- |
переполнении |
шению работы компьютера |
системного |
|
журнала |
|
3. Нажмите кнопку "OK" или "Применить".
Внимание! Включение параметра "Аудит основных объектов" как отдельно, так и совместно с параметром "Полный аудит привилегий" может быстро привести к переполнению журнала безопасности.
Настройка персонального перечня регистрируемых событий
Для каждого пользователя компьютера может быть установлен персональный перечень событий, которые будут автоматически регистрироваться в журнале безопасности после идентификации пользователя.
Для настройки персонального перечня регистрируемых событий:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Регистрация событий":
В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события
Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от имени регистрируемого события
93