- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Secret Net 2000. Руководство по администрированию
Привилегии пользователя
Привилегии на работу в системе
Табл. 4. Группа привилегий "Вход в систему"
Привилегии |
Пояснения |
Вход в систему локально |
Разрешается доступ к компьютеру локально (интерактивный вход). |
Доступ к этому компьютеру по сети |
Разрешается доступ к компьютеру по сети (вход по сети). |
Вход в систему как сервис |
Разрешается запускать процессы (сервисы) под именем пользователя. |
Вход в систему как пакетный файл |
Разрешается доступ к компьютеру с помощью специального пакетного |
|
файла. |
Табл. 5. Группа "Ограничения на вход в систему"
Привилегии |
Пояснения |
Отклонить локальный вход |
Запрещается локальный вход в систему. |
Отказ в доступе к компьютеру из сети |
Запрещается доступ к компьютеру по сети. |
Отказ во входе в качестве пакетного задания |
Запрещается вход в систему в качестве пакетного задания. |
|
Привилегия имеет более высокий приоритет по отношению к |
|
привилегии "Вход в систему как пакетный файл" из группы |
|
"Вход в систему". |
Отказать во входе в качестве службы |
Запрещается вход в систему в качестве службы. Привилегия |
|
имеет более высокий приоритет по отношению к привилегии |
|
"Вход в систему как сервис" из группы "Вход в систему". |
Табл. 6. Группа привилегий "Отмена ограничений" |
||
|
|
|
|
Привилегии |
Пояснения |
|
Без атрибутов на |
Разрешается доступ к файлам и вложенным каталогам, невзирая на права досту- |
|
вышестоящих каталогах |
па, присвоенные вышестоящим каталогам. |
|
Без атрибутов на дисках |
Разрешается доступ к логическим дискам, невзирая на ограничения, установлен- |
|
|
ные при помощи атрибутов доступа системы Secret Net NT. Привилегия примени- |
|
|
ма только для пользователей. |
|
Без ограничений по |
Разрешается работа без ограничений, задаваемых следующими параметрами: |
|
настройкам |
• Доступ к файловым серверам только из списка11; |
|
|
• Запрет работы при изъятии аппаратной поддержки и изменении конфигура- |
|
|
ции; |
|
|
• Запрет работы при нарушении целостности; |
|
|
• Ограничения, установленные в Policy (ограничения Windows NT). |
|
|
Привилегия применима только для пользователей. |
|
Синхронизация данных |
Разрешается синхронизация данных службы каталогов. |
|
службы каталогов |
|
|
Архивирование файлов |
Разрешается архивировать файлы на диске, несмотря на то, что их владельцем |
|
и каталогов |
является другой пользователь. |
|
Восстановление файлов |
Разрешается восстанавливать файлы и каталоги, а также любые корректные SID |
|
и каталогов |
пользователя и группы пользователей. Эта привилегия имеет приоритет над пра- |
|
|
вами доступа, установленными для файлов, каталогов и других объектов. |
Табл. 7. Группа привилегий "Настройки системы"
Привилегии |
|
|
Пояснения |
|
Загрузка и выгрузка драйверов устройств |
|
Разрешается загружать и выгружать драйверы устройств. |
||
Профилирование загруженности системы |
|
Разрешается получать информацию о загруженности системы. |
||
|
|
|
|
|
11 Вданнойверсиинереализовано. |
|
|
124
Приложение
Привилегии |
Пояснения |
Профилирование одного процесса |
Разрешается получать информацию о процессе. |
Увеличение приоритета диспетчирования |
Разрешается управлять приоритетом процесса. |
Изменение параметров среды |
Разрешается модифицировать содержимое переменных сис- |
оборудования |
темного окружения. |
Табл. 8. Группа привилегий "Специальные возможности"
Привилегии |
Пояснения |
Создание маркерного объекта |
Программам, запущенным пользователем, разрешается создавать мар- |
|
керы доступа. |
Замена маркера уровня процесса |
Программам, запущенным пользователем, разрешается модифициро- |
|
вать маркеры доступа процессов. |
Закрепление страниц в памяти |
Программам, запущенным пользователем, разрешается закреплять |
|
страницы памяти так, чтобы они не вытеснялись в файл подкачки стра- |
|
ниц (PAGEFILE.SYS). |
Увеличение квот |
Зарезервирована для использования в следующих версиях Windows. |
Работа в режиме операционной |
Позволяет функционировать программе, запущенной пользователем, как |
системы |
части операционной системы. |
Создание страничного файла |
Зарезервирована для использования в следующих версиях Windows. |
Создание постоянных объектов |
Разрешается создавать специальные постоянные объекты, такие как |
совместного использования |
\\Device, применяемые Windows. |
Отладка программ |
Разрешается низкоуровневая отладка программ, например отладка таких |
|
объектов, как потоки (threads). |
Генерация событий аудита |
Программам, запущенным пользователем, разрешается добавлять запи- |
|
си в журнал безопасности Windows. |
Разрешение доверия к учетным |
Разрешается учетной записи пользователя быть доверенной для делеги- |
записям при делегировании |
рования. |
Табл. 9. Группа привилегий "Управление системой"
Привилегии |
Пояснения |
Управление аудитом и журналом |
Идентифицирует пользователя как Security Operator. Позволяет получить |
безопасности |
доступ к журналу безопасности и разрешает настраивать параметры ау- |
|
дита для файлов, каталогов и других объектов. |
Овладение файлами и иными |
Разрешается вступать во владение файлами, каталогами, принтерами и |
объектами |
другими объектами на компьютере. |
Изменение системного времени |
Разрешается изменять параметры часов компьютера. Отображается так- |
|
же в диалоге "Запреты". |
Завершение работы системы |
Разрешается локально завершать работу ОС Windows на компьютере. |
Удаленное завершение работы |
Разрешается завершать работу Windows с удаленного компьютера. |
системы |
|
Добавление рабочих станций |
Разрешается добавлять рабочие станции к домену. |
Извлечение компьютера из |
Разрешено извлекать компьютер из стыковочного узла. |
стыковочного узла |
|
125
Secret Net 2000. Руководство по администрированию
Привилегии на администрирование системы
Табл. 10. Группа привилегий "Параметры компьютера"
Привилегии |
|
Пояснения |
Нет доступа |
Запрещается вызывать диалог "Настройки Secret Net" |
|
Только просмотр |
Разрешается вызывать диалог "Настройки Secret Net" и просматривать все пара- |
|
|
метры компьютера |
|
Просмотр и изменение |
Разрешается вызывать диалог "Настройки Secret Net" и просматривать все на- |
|
(уровень 1) |
стройки компьютера. Разрешается изменять следующие настройки: |
|
|
• Имя пользователя, предлагаемого при входе в систему по умолчанию; |
|
|
• Количество попыток неправильного ввода имени (пароля); |
|
|
• Максимальный срок действия пароля; |
|
|
• Минимальный срок действия пароля; |
|
|
• Минимальное количество символов в пароле; |
|
|
• Количество хранимых старых паролей; |
|
|
• Необходимость смены пароля пользователем после входа в систему; |
|
|
• Количество дней, в течение которых надо хранить журнал безопасности; |
|
|
• Количество повторов при затирании данных; |
|
|
• Интервал подтверждения существования в сети; |
|
|
• Дополнительная информация о рабочей станции. |
|
Просмотр и изменение |
Разрешается вызывать диалог "Настройки Secret Net" и просматривать все на- |
|
(уровень 2) |
стройки компьютера. Разрешается изменять следующие настройки: (дополнитель- |
|
|
но к уровню 1): |
|
|
• Номер порта ввода-вывода для карты аппаратной поддержки; |
|
|
• Добавление устройств аппаратной поддержки; |
|
|
• Флаг управления системой: мягкий режим для работы с картой; |
|
|
• Флаг управления системой: полномочное управление доступом; |
|
|
• |
Признак блокировки компьютера; |
|
• |
Блокировка учетной записи; |
|
• Количество неудачных попыток для блокировки; |
|
|
• Время сброса счетчика блокировки; |
|
|
• Длительность блокировки учетной записи. |
Табл. 11. Группа привилегий "Параметры своей работы"
Привилегии |
Пояснения |
Нет доступа |
Запрещается отображать ярлык с именем текущего пользователя в списке пользо- |
|
вателей компьютера и вызывать диалог "Свойства пользователя". |
Только просмотр |
Разрешается вызывать диалог "Свойства пользователя" только для просмотра па- |
|
раметров своей работы. |
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все на- |
(уровень 1) |
стройки пользователя. Разрешается изменять: |
|
• Код комбинации клавиш для вызова хранителя экрана; |
|
• Интервал паузы неактивности. |
Просмотр и изменение |
Разрешается изменять имя данного пользователя. Разрешается вызывать диалог |
(уровень 2) |
"Свойства пользователя" для просмотра и изменения параметров своей работы. |
Просмотр и изменение |
Разрешается просматривать и изменять любые параметры своей работы. |
(уровень 3) |
|
126
Приложение
Табл. 12. Группа привилегий "Параметры работы других пользователей"
Привилегии |
|
Пояснения |
Нет доступа |
В списке пользователей компьютера не отображаются ярлыки с именами других |
|
|
пользователей. Вызов диалога "Свойства пользователя" для всех (кроме текущего) |
|
|
пользователей компьютера, запрещен. |
|
Только просмотр |
Разрешается вызывать диалог "Свойства пользователя" для просмотра парамет- |
|
|
ров работы любого другого (кроме текущего) пользователя компьютера. |
|
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все на- |
|
(уровень 1) |
стройки пользователя. Разрешается изменять следующие настройки: |
|
|
• Код комбинации клавиш для вызова хранителя экрана; |
|
|
• |
Интервал паузы неактивности. |
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все на- |
|
(уровень 2) |
стройки пользователя. Разрешается изменять следующие настройки (дополни- |
|
|
тельно к уровню 1): |
|
|
• |
Имя пользователя; |
|
• |
Полное имя пользователя; |
|
• |
Описание пользователя. |
Просмотр и изменение |
Разрешается вызывать диалог "Свойства пользователя" и просматривать все на- |
|
(уровень 3) |
стройки пользователя. Разрешается изменять следующие настройки (дополни- |
|
|
тельно к уровню 2): |
|
|
• Идентификатор шаблона настроек для пользователя; |
|
|
• Значение ID персонального идентификатора; |
|
|
• |
Привилегии пользователя; |
|
• Дата, с которой разрешена работа пользователя на компьютере; |
|
|
• Дата, после которой запрещена работа пользователя на компьютере; |
|
|
• Время работы в дни недели; |
|
|
• |
Параметры работы пользователя; |
|
• |
Флажки управления доступом; |
|
• Ограничения Policy для Windows ; |
|
|
• Запрет запуска программ с удаленных дисков; |
|
|
• Права пользователя на доступ к дискам; |
|
|
• Режим регистрации событий в журнале безопасности; |
|
|
• |
Признак блокировки пользователя. |
Табл. 13. Группа привилегий "Категории конфиденциальности ресурсов"
Привилегии |
Пояснения |
Нет доступа |
Запрещается просматривать категории конфиденциальности файлов и каталогов. |
Только |
Разрешается просматривать категории конфиденциальности файлов и каталогов. |
просмотр |
|
Просмотр и за- |
Разрешается просматривать и изменять категории конфиденциальности только файлов и |
секречивание |
только в сторону повышения уровня. |
Полный доступ |
Разрешается выполнять все операции: просматривать, устанавливать, изменять и снимать |
|
категории конфиденциальности файлов и каталогов. |
Табл. 14. Группа привилегий "Системный журнал"
Привилегии |
|
|
Пояснения |
|
Нет доступа |
|
|
Запрещается просматривать содержание журнала безопасности. |
|
Только просмотр |
|
|
Разрешается только просматривать содержание журнала безопасности. |
|
Просмотр, печать, |
|
|
Разрешается просматривать содержание, выводить на печать и преобразовывать в |
|
экспорт |
|
|
файл содержание журнала безопасности. |
|
Полный доступ |
|
|
Разрешаются все операции с журналом безопасности: просмотр, внесение изменений, |
|
|
|
удаление содержимого журнала, печать и экспорт. |
|
|
|
|
|
|
127
Secret Net 2000. Руководство по администрированию
Табл. 15. Группа привилегий "Пользователи и группы пользователей"
Привилегии |
Пояснения |
Создание пользователей / групп |
Разрешается создавать пользователей или группы пользователей. |
|
|
Удаление пользователей / групп |
Разрешается удалять пользователей или группы пользователей. |
|
|
Изменение групп пользователей |
Разрешается изменять названия групп пользователей, дополнительную |
|
информацию о группе пользователей, управлять составом групп пользова- |
|
телей. |
Табл. 16. Группа привилегий "Система защиты"
Привилегии |
Пояснения |
Переустановка системы |
Разрешается выполнять переустановку системы Secret Net 2000 на компьютере. |
Удаление системы |
Разрешается выполнять полное удаление системы Secret Net 2000 с компьюте- |
|
ра. |
128