- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Secret Net 2000. Руководство по администрированию
Общие принципы
В этом разделе содержится общее описание порядка и особенностей настройки основных защитных механизмов. Более подробная информация о назначении и принципах работы механизмов защиты Secret Net приведена в документе "Система защиты Secret Net. Принципы построения и применения".
Архитектура системы и организация управления
Программное обеспечение (ПО) системы защиты состоит из трех основных компонентов: сервера безопасности, подсистемы управления и клиентского программного обеспечения. Сервер безопасности размещается на выделенном компьютере и обеспечивает хранение информации в центральной базе данных (БД). Подсистема управления осуществляет контроль и централизованное управление параметрами системы защиты. Клиентское ПО устанавливается на компьютеры и серверы сети для защиты локальных ресурсов, локального управления параметрами, а также для контроля за событиями, происходящими на рабочей станции.
Сервер безопасности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
устанавливается на |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема управления |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
выделенный компьютер |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
устанавливается на |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
компьютеры |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
администраторов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
безопасности |
Локальная сеть
Клиентское ПО устанавливается на остальные компьютеры и серверы домена
Рис. 7. Компоненты ПО системы защиты
При такой архитектуре управление работой Secret Net 2000 распределено между централизованными средствами подсистемы управления и локальными средствами управления системы Secret Net 2000. Централизованное управление осуществляет главный администратор безопасности (или группа главных администраторов), а локальное управление осуществляет администратор безопасности компьютера.
В этом руководстве рассматриваются вопросы, связанные с локальным управлением системой Secret Net 2000. Об использовании средств централизованного управ-
ления смотрите документ "Система защиты Secret Net. Подсистема управления. Руководство по администрированию".
Объекты управления
В клиентской части системы Secret Net объектами управления являются "пользователи" и "группы пользователей".
Для работы с объектами управления используется расширение программы "Проводник" (Explorer). После установки системы Secret Net 2000 на компьютер в окне программы "Проводник" появится папка "Secret Net 2000", содержащая вложенные папки "Пользователи" и "Группы пользователей". Типовая структура объектов системы защиты, развернутая в окне программы "Проводник", показана на Рис. 8.
28
Глава 2. Общие принципы настройки и управление объектами
Рис. 8. Объекты управления в окне программы "Проводник"
В левой части окна отображается структура папок, представленная в виде дерева. В правой части окна отображается содержимое выбранной папки, в данном случае – содержимое папки "Secret Net 2000".
К папкам и входящим в них объектам управления правой кнопкой мыши можно вызвать контекстное меню, содержащее команды управления. Назначение и применение каждой из команд рассматриваются в последующих главах данного руководства.
Особенности настройки
Объем работ, связанный с настройкой системы, зависит от того, устанавливается система защиты в создающуюся или уже работающую локальную вычислительную сеть (ЛВС). Во втором случае могут быть использованы ранее установленные в сети настройки системы безопасности Windows NT и Windows 2000.
Кроме того, процедура настройки при вводе системы в эксплуатацию может отличаться от процедуры настройки уже эксплуатирующейся системы.
Так, при вводе системы в эксплуатацию основной объем работ по настройке защитных механизмов может быть выполнен централизованно, в соответствии с планом защиты. Централизованно может быть выполнена и настройка отдельных компьютеров и свойств пользователей. Исключение составляют:
•настройка устройств аппаратной поддержки системы защиты, установленных на рабочих станциях, которая выполняется только средствами локального администрирования (см. стр.55);
•добавление локальных пользователей и настройка их свойств (см. стр.50).
Впроцессе эксплуатации системы задачи централизованного и локального управления требуют согласования. Главный администратор безопасности приводит настройки в соответствие требованиям политики безопасности. Администратор безопасности компьютера, обеспечивая необходимую защищенность компьютеров, стремится создать для пользователей эффективную рабочую среду. Для разрешения таких противоречий при двухуровневом подходе к управлению системой используется механизм синхронизации. Действует он следующим образом. Настройки, выполненные главным администратором, фиксируются в центральной БД системы защиты и, затем, тиражируются в локальные БД защищенных компьютеров. Этот процесс носит название прямой синхронизации. Для согласованного изменения на-
29