Приложение
Запреты и ограничения
Табл. 17. Параметры диалога "Компьютер"
Параметр |
Эффект включения параметра |
Вход пользователя в |
Дополнительные меры защиты на этапе входа пользователя в систему. |
систему |
|
Запрет кэширования |
Запрещает хранить в кэшированном виде информацию об именах и паролях по- |
информации о пользователе |
следних десяти пользователей, входивших в систему. Хранение этой информа- |
|
ции обеспечивает возможность входа в систему данных пользователей при |
|
отсутствии основного и резервных контроллеров домена. |
Выключение компьютера |
Запрещает использовать для выключения компьютера кнопку "Выключить…" в |
только вошедшим |
диалоге "Вход в систему". В этих условиях выключить компьютер с помощью |
пользователем |
стандартной процедуры сможет только пользователь, осуществивший вход в |
|
систему. |
Не выдавать имя последнего |
Запрещает отображать в диалоге "Вход в систему" имя последнего работавшего |
входящего пользователя |
на компьютере пользователя. Отображение этого имени упрощает процедуру ре- |
|
гистрации, при условии, что на компьютере, как правило, работает один и тот же |
|
пользователь. |
Уровень аутентификации |
Увеличение строгости аутентификации доступа к основному (резервному) |
пользователя |
контроллеру домена. |
Использовать только |
Разрешено использовать для аутентификации только LM (Lan Manager) и NTLM |
LM и NTLM |
(MS Windows Lan Manager) протоколы. Запрещено использовать протокол NTLM |
|
версии 2. |
Использовать |
Разрешено использовать для аутентификации протоколы LM и NTLM. Допустимо |
LM, NTLM и NTLMv2 |
использование протокола NTLM версии 2, если он поддерживается и сервером, и |
|
клиентом. |
Требовать использования |
Разрешено использовать при подключении к серверу только NTLM аутентифика- |
NTLM |
цию. |
Требовать использования |
Разрешено использовать при подключении к серверу только аутентификацию |
NTLMv2 |
NTLM версии 2. |
Отвергать LM |
Контроллер домена будет отвергать клиентов, использующих аутентификацию |
аутентификацию |
LM. |
Отвергать NTLM |
Контроллер домена будет отвергать клиентов, использующих LM и NTLM аутен- |
аутентификацию |
тификацию. Разрешено использовать только аутентификацию NTLM версии 2. |
Замкнутая среда |
Усиление контроля в режиме замкнутой среды. |
Контролировать загрузку |
Контролируется загрузка только 32-ти битных программных модулей (NE- |
только NE-файлов |
файлов). |
Контролироватьвладельца |
Подсистема замкнутой среды проверяет корректность владельца программы из |
файланасанкционированность |
UEL-списка перед ее запуском. Корректным владельцем считается группа ло- |
|
кальных администраторов. |
Внешние носители |
Ограничение допуска системных процессов и пользователей других компьюте- |
|
ров к работе с гибкими дисками и компакт-дисками. |
Ограничение использования |
Ограничение допуска системных процессов и пользователей других компьюте- |
гибких дисков |
ров к работе с гибкими дисками. |
Ограничение использования |
Ограничение допуска системных процессов и пользователей других компьюте- |
CD-ROM |
ров к работе с компакт-дисками. |
Подсистемы Windows |
Дополнительные меры защиты от использования на компьютере подсистем |
|
Windows, не обеспечивающих должного уровня защиты. |
Запрет использования POSIX |
Запрещено использовать подсистему POSIX. |
Запрет использования OS/2 |
Запрещено использовать подсистему OS/2. |
Дополнительный аудит |
Усиление защиты за счет расширения событий аудита и ограничения доступа к |
|
регистрируемой информации. |
Полный аудит привилегий |
Все события, связанные с изменением привилегий, регистрируются в журнале |
|
безопасности Windows. |
129
Secret Net 2000. Руководство по администрированию
Параметр |
Эффект включения параметра |
Аудит основных объектов |
В журнале безопасности регистрируются события, связанные с обращением к |
|
основным объектам ОС Windows. Основные объекты – это специальные объек- |
|
ты отличные от файлов, принтеров и ключей системного реестра Windows, скры- |
|
тые от обычного пользователя, но доступные программам. |
Ограничение доступа к |
Просмотр журнала разрешен только пользователям, обладающим правами |
системному журналу |
"Управление аудитом и журналом безопасности". Иначе журналы безопасности |
|
Windows смогут просматривать пользователи с правами гостя и пользователи, |
|
не прошедшие идентификацию. |
Разграничение доступа к |
Усиление контроля в режиме разграничения доступа к дискам и портам. |
устройствам |
|
Запрет доступа к дискам |
Анонимно подключившемуся к компьютеру пользователю запрещается доступ к |
анонимным пользователям |
локальным дискам и портам. |
Другие |
Дополнительные параметры защиты, не относящиеся к предыдущим группам. |
Блокировка при переполнении |
Предотвращает потерю зарегистрированных в журнале событий в случае его пе- |
системного журнала |
реполнения. Переполнение журнала приводит к аварийному завершению работы |
|
компьютера. |
Строгая защита совместно |
Управлять внутренними объектами Windows может только пользователь с пра- |
используемых объектов |
вами администратора. |
Запрет просмотра имен |
Анонимно подключившийся к компьютеру пользователь не может просмотреть |
ресурсов анонимным |
имена пользователей в домене и получить имена ресурсов, доступных для со- |
пользователем |
вместного использования. |
Затирание файла подкачки |
Информация, содержащаяся в файле подкачки, который применяется для орга- |
страниц при выключении |
низации виртуальной памяти в Windows, будет защищена от просмотра после |
|
перезагрузки. |
Запрет создания скрытых |
Запрет создания скрытых административных совместно используемых ресурсов |
доступных дисков |
(C$, D$, E$, и т.д.). |
Табл. 18. Запреты на работу пользователя в Windows
Параметр |
Эффект включения параметра |
Windows |
|
Запрет редактирования реестра |
Запрещается вызывать редактор системного реестра. |
Запрет работы с Диспетчером задач |
Запрещается вызывать диалог "Диспетчер задач" |
Сеть |
|
Запрет отображения папки "Сетевое окружение" |
Запрещается показывать папку "Сетевое окружение". |
Запрет отображения всей сети в папке "Сетевое |
Запрещается доступ к сети в папке "Сетевое окружение". |
окружение" |
|
Запрет отображения домена (группы) в папке |
Запрещается показывать домен (группы) в папке "Сетевое ок- |
"Сетевое окружение" |
ружение". При просмотре сетевого окружения, пользователь |
|
сможет увидеть только те рабочие станции, которые входят в |
|
рабочую группу компьютера. |
Проводник |
|
Запрет команды "Выполнить" |
Запрещается показывать команду "Выполнить" в главном ме- |
|
ню Windows. |
Запрет команды "Завершение работы" |
Запрещается показывать команду "Завершение работы" в |
|
главном меню Windows. |
Запрет установки параметров Панели задач |
Запрещается вызывать диалог управления параметрами па- |
|
нели задач. |
Запрет поиска |
Запрещается вызывать диалог "Найти". |
Запрет объектов на рабочем столе |
Запрещается показывать ярлыки рабочего стола. |
Запрет сохранения сделанных изменений |
Запрещается сохранять изменения, сделанные в Windows. |
Запрет управления доступом к файлам компью- |
Запрещается показывать меню "Файл" в окне программы "Про- |
тера |
водник". |
Запрет использования непроверенных расшире- |
Запрещается использовать расширения оболочки, не входя- |
ний |
щие в список проверенных расширений. |
130
Приложение
Параметр |
Эффект включения параметра |
Запрет отображения общих групп программ |
Запрещается показывать в главном меню Windows общие для |
|
всех пользователей группы программ. |
Запрет отображения контекстных меню в Панели |
Запрещается вызов контекстного меню Панели задач и контек- |
задач |
стных меню для любого объекта, размещенного на Панели за- |
|
дач. |
Запрет отображения контекстных меню в MS- |
Запрещается вызывать контекстное меню любого объекта в |
Exploer |
окне программы "Проводник" (MS-Explorer). |
Экран |
|
Запрет диалога "Настройки экрана" |
Запрещается показывать диалог "Настройка экрана" в окне |
|
управления свойствами экрана. |
Запрет диалога "Фон" |
Запрещается показывать диалог "Фон" в окне управления |
|
свойствами экрана. |
Запрет диалога "Оформление" |
Запрещается показывать диалог "Оформление" в окне управ- |
|
ления свойствами экрана. |
Запрет диалога "Заставка" |
Запрещается показывать диалог "Заставка" в окне управления |
|
свойствами экрана. |
Запрет диалога "Параметры" |
Запрещается показывать диалог "Параметры" в окне управле- |
|
ния свойствами экрана. |
131
|
Secret Net 2000. Руководство по администрированию |
|
|
Формат UEL-файла для пользователя |
|
Секции |
UEL-файл представляет собой список программ, разрешенных или запрещенных |
|
пользователю для исполнения. UEL-файл является структурированным текстовым |
|
файлом (в кодировке ANSI), состоящим из нескольких секций. |
[Information] – секция общего описания. Данная секция содержит информацию описательного характера и рассматривается подсистемой замкнутой среды как комментарий. Здесь могут быть сведения:
•о принадлежности UEL-файла (имя пользователя и название компьютера, к которым относится данный файл).
•об изменениях UEL-файла (дата, время, причина изменений, режим внесения изменений – ручной/автоматический, а в случае ручного режима – имя пользователя, произведшего изменения).
Эта секция корректируется только системой защиты, произвольное ручное изменение запрещено.
[Tasks] – секция описания задач. Данный раздел содержит перечень исполняемых ресурсов, к которым пользователю разрешен доступ посредством механизма задач. Об использовании механизма задач смотрите соответствующий раздел в документе "Система защиты Secret Net. Подсистема управления. Программа Администратор. Руководство по администрированию".
Эта секция корректируется только средствами, предусмотренными механизмом управления задачами; ручное изменение запрещено.
[Auto] – секция автоматической корректировки. Здесь размещается информация об исполняемых файлах, составляющих замкнутую программную среду при автоматическом формировании списка на основании журнала безопасности.
Для данного раздела разрешено ограниченное ручное изменение:
Разрешается: |
Запрещается: |
||
• |
удалять записи; |
• |
ручное добавление записей; |
• |
комментировать записи; |
• |
корректировать пути в записях. |
•изменять префикс записей.
Формат строк
Префиксы
[Manual] – секция ручной корректировки. В данную секцию разрешено добавлять записи вручную. Первоначально в этой секции размещается UEL-список, сформированный системой защиты по умолчанию.
Секции описания задач, автоматической и ручной корректировки содержит строки, разрешающие или запрещающие запуск программ на исполнение. Строки в секциях описания задач, автоматической и ручной корректировки могут быть двух видов:
•Комментарий. Строка комментария начинается с символа ";" (точка с запятой). Такие строки игнорируются подсистемой замкнутой программной среды.
•Значащая строка. Такая строка содержит путь к исполняемым файлам. Пе-
ред указанием пути может быть один или несколько префиксов.
Префиксы перед указанием пути указывают на способ его обработки.
Префикс |
Назначение |
!Путь, следующий за данным префиксом, указывает на модули, запрещенные для запуска. Данный префикс может использоваться с любым путем (путь к файлу, путь к каталогу, маска файлов).
+Префикс может стоять только перед именем каталога. Указывает на рекурсивный режим обработки для данного каталога. Если перед именем каталога не указан префикс, то по умолчанию используется рекурсивный режим обработки.
–Префикс, противоположный предыдущему. Т.е. указывает на отсутствие рекурсивной обработки для каталога.
132
Приложение
Пути к исполняемым файлам
Пути к исполняемым файлам могут быть указаны в виде:
•Полного пути к исполняемому файлу.
•Полного пути к каталогу, содержащему файлы. При записи в UEL имя каталога должно заканчиваться символом "\" (например: c:\tools\). Если перед таким путем нет префикса, указывающего режим обработки, то для данного каталога должен применяться рекурсивный режим (т.е. обрабатываются и вложенные каталоги).
•Маски файлов для имен файлов. Допускается использование символов " " (0x2A) и "?" (0x3F). Символ " " соответствует любой последовательности символов. Символ "?" соответствует одному любому символу, в случае если после последовательности из одного или более "?" стоит значимый символ. Если после последовательности из одного или более "?" значимого символа нет, то "?" означает "один любой символ или отсутствие символа". Эти правила применимы как к имени, так и к расширению. Если имя файла содержит " " или "?", а расширение не задано, то считается, что расширение равно " ". Не допускается использование Windows-масок, т.е. масок типа fi e.txt.
Цветовая индикация строк UEL-файла
За основными элементами UEL-файла, а также ошибочными элементами закреплены следующие цветовые индикаторы:
Цвет: |
Используется для выделения основных элементов: |
Темно-синий |
Названия секций |
Серый (50%) |
Комментарии и содержимое секции [Information] |
Черный |
Путь к файлам |
Сине-зеленый |
Путь к дискам, каталогам и файлам, заданных с помощью масок |
Зеленый |
Путь к сетевым каталогам и файлам |
|
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования масок), ко- |
|
торые не обнаружены на локальном диске компьютера или являются |
|
некорректными строками (т.е. строками с некорректным описанием |
|
ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), на которых ат- |
|
рибуты доступа не соответствуют требованиям замкнутой среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в других |
|
секциях данного файла |
Правила
устранения
противоречий
Если в UEL-списке есть строки, противоречащие друг другу, то для разрешения конфликтов используются следующие правила:
Конфликтная ситуация: |
Правило устранения: |
В списке есть |
Явно указанный запрет запуска (т.е. строка с префиксом "!") |
строки с префиксом "!" |
имеет более высокий приоритет |
и строки без префикса |
|
В списке есть |
Рекурсивный режим (префикс "+" или отсутствие префикса, |
строки с префиксом "+" |
управляющего рекурсивным режимом) имеет более высо- |
(или без префикса) |
кий приоритет. |
и строки с префиксом "–" |
|
Некорректные Если в UEL-файле есть строки с некорректной комбинацией префиксов (префиксы строки "+" или "–" указаны перед именем файла или каталога одновременно), такие строки
считаются некорректными, выделяются цветом и исключаются из обработки подсистемой замкнутой среды.
133