- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Secret Net 2000. Руководство по администрированию
Запреты и ограничения
Запреты и ограничения используются для усиления защищенности компьютера в тех случаях, когда недостаточно стандартных механизмов защиты.
В Windows 2000 некоторые параметры повышенной защищенности настраиваются с помощью редактора реестра. В Secret Net 2000 предусмотрена возможность их настройки в диалоговом режиме.
Общие запреты и ограничения
Общие запреты и ограничения действуют по отношению ко всем пользователям компьютера.
Для настройки перечня общих запретов и ограничений:
1. Вызовите окно настройки общих параметров и перейдите к диалогу "Компьютер":
Список настроек компьютера организован в виде дерева. Каждая ветвь дерева соответствует отдельной группе параметров. Описание групп параметров приведено ниже в таблице, а полное описание отдельных параметров содержится в приложении на стр. 129.
Группа параметров |
Назначение параметров |
Вход пользователя в |
Дополнительные меры защиты на этапе входа пользователя |
систему |
в систему. |
Уровень аутентификации |
Выбор протокола аутентификации пользователя в домене. |
пользователя |
|
Замкнутая среда |
Усиление контроля в режиме замкнутой среды. |
Внешние носители |
Ограничение допуска системных процессов и пользователей |
|
других компьютеров к работе с гибкими дисками и компакт- |
|
дисками. |
Подсистемы Windows |
Запрет использования на компьютере подсистем Windows, |
|
уменьшающих защищенность. |
106
Глава 8. Усиление защищенности
Группа параметров |
Назначение параметров |
Дополнительный аудит |
Усиление защищенности за счет расширения событий ауди- |
|
та и ограничения доступа к регистрируемой информации. |
Разграничение доступа к |
Усиление контроля в режиме разграничения доступа к дис- |
устройствам |
кам и портам. |
Другие |
Дополнительные параметры защиты, не относящиеся к пре- |
|
дыдущим группам. |
2.Для настройки откройте нужную группу параметров (ветвь дерева) и отметьте необходимые из них.
3.Нажмите кнопку "OK" или "Применить".
Персональные запреты и ограничения
Помимо общих запретов и ограничений для любого пользователя могут быть установлены персональные ограничения на использование локальных и системных ресурсов.
Для указания персонального перечня запретов:
1. В окне программы "Проводник" выберите нужного пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Запреты":
Ограничения на использование локальных ресурсов
Ограничения на использование системных ресурсов
107
Secret Net 2000. Руководство по администрированию
Ограничения на использование локальных ресурсов
2.Для ограничения прав на использование локальных ресурсов компьютера, установите отметку в поле соответствующего выключателя группы "Локальные ресурсы", руководствуясь информацией, приведенной в таблице:
Запрет Эффект
Запрет загрузки с |
Пользователю запрещается осуществлять загрузку компьютера с |
внешних носителей |
системной дискеты или с загрузочного CD-ROM-диска. Этот па- |
|
раметр действует только при использовании ЭЗ "Соболь". |
Запрет работы при |
При обнаружении нарушения целостности контролируемых объ- |
нарушении |
ектов доступ пользователя к компьютеру блокируется. При по- |
целостности |
пытке пользователя войти в систему, на экран будет выведено |
|
предупреждающее сообщение, а компьютер – заблокирован. |
Запрет работы при |
Если система обнаружит, что из компьютера было изъято устрой- |
изъятии аппаратной |
ство аппаратной поддержки, доступ пользователя к компьютеру |
поддержки |
будет заблокирован. При попытке пользователя войти в систему |
|
на экран будет выведено предупреждающее сообщение, и за- |
|
грузка компьютера будет прервана. (Если аппаратная поддержка |
|
системы отсутствует, параметр не доступен для редактирования). |
Запрет работы при |
При обнаружении факта внесения несанкционированных измене- |
изменении |
ний в аппаратную или программную конфигурацию компьютера |
конфигурации |
доступ к нему пользователя блокируется. При попытке пользова- |
|
теля войти в систему на экран выводится предупреждающее со- |
|
общение, и загрузка компьютера прерывается. |
Ограничения на использование системных ресурсов
3.Для ограничения прав на работу с системными ресурсами установите отметку в поле "Ограничения Windows" (или, если отметка уже установлена, нажмите кнопку "Список"). На экране появится диалог:
Список "Ограничения в Windows" содержит перечень запретов, налагаемых на пользователя при работе с ресурсами операционной системы (см. стр.130). Запреты, установленные для пользователя, имеют отметку слева от названия.
•Установите необходимые ограничения на использование системных ресурсов. Если требуется установить для пользователя перечень запретов, принятый по умолчанию, нажмите кнопку "По умолчанию".
•Нажмите кнопку "ОК".
4.Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Помните. В ОС Windows эти ограничения устанавливаются средствами механизма Policy. Если управление Policy осуществляется централизованно при помощи Policy Editor, то нет смысла изменять ограничения локально, т.к. всегда будет возвращены предшествующие настройки при входе пользователя в сеть.
108