- •Введение
- •Установка, переустановка и удаление системы защиты
- •Назначение
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Временное отключение системы защиты
- •Выгрузка программных модулей системы защиты
- •Отключение системы защиты
- •Включение системы защиты
- •Удаление системы защиты
- •Общие принципы настройки и управление объектами
- •Общие принципы
- •Объекты управления
- •Порядок настройки системы
- •Средства управления
- •Консоль системы защиты
- •Средства управления общими параметрами системы
- •Средства управления свойствами пользователя
- •Средства управления доступом к дискам, каталогам и файлам
- •Аппаратные средства поддержки Secret Net 9x
- •Установка устройства
- •Настройка устройства
- •Отключение устройства
- •Управление пользователями и группами
- •Администратор безопасности компьютера
- •Пользователи
- •Создание пользователя
- •Переименование пользователя
- •Удаление пользователя
- •Предоставление привилегий
- •Ограничение времени работы
- •Шаблоны настройки свойств пользователей
- •Настройка свойств пользователя с помощью шаблона
- •Создание шаблона
- •Управление шаблонами настройки
- •Изменение настроек, сохраненных в шаблоне
- •Группы пользователей
- •Создание группы
- •Изменение свойств группы
- •Управление составом группы
- •Удаление группы пользователей
- •Настройка механизмов контроля входа
- •Настройка общих параметров входа
- •Управление паролями
- •Настройка параметров пароля
- •Правила определения пароля
- •Настройка индивидуальных параметров входа
- •Настройка параметров аутентификации пользователя
- •Смена пароля пользователя
- •Управление блокировкой пользователя
- •Управление персональными идентификаторами
- •Управление персональными системными файлами пользователя
- •Запреты работы при изменении конфигурации компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Полномочное управление доступом .
- •Включение и настройка режима
- •Предоставление прав пользователю
- •Определение категории конфиденциальности дисков и каталогов
- •Правила работы с конфиденциальными документами
- •Отключение полномочного управления доступом
- •Временная блокировка компьютера
- •Предоставление пользователю прав на управление параметрами блокировки
- •Настройка параметров блокировки
- •Блокировка компьютера
- •Снятие блокировки
- •Замкнутая программная среда
- •Настройка регистрации событий
- •Корректировка UEL-списка по умолчанию
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Корректировка UEL-списка
- •Настройка замкнутой среды
- •Включение дополнительных механизмов защиты
- •Ограничение доступа к локальным ресурсам
- •Разграничение доступа пользователей к USB - устройствам
- •Ограничение доступа к сетевым ресурсам
- •Ограничение доступа к системным ресурсам
- •Затирание удаляемой информации
- •Управление доступом к дискам, каталогам и файлам
- •Общие сведения
- •Настройка индивидуальных параметров
- •Определение атрибутов по умолчанию для пользователя
- •Настройка режима контроля атрибутов
- •Управление доступом к ресурсам в программе Проводник
- •Управление доступом пользователей к дискам
- •Управление доступом пользователей к каталогам
- •Управление доступом пользователей к файлам
- •Управление атрибутами в программе IMAGE32
- •Настройка параметров IMAGE32
- •Управление атрибутами в режиме "Диалог"
- •Управление атрибутами в режиме "Файлы"
- •Специальные возможности программы IMAGE32
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание списка ресурсов
- •Изменение свойств списка ресурсов
- •Удаление списка ресурсов
- •Управление составом списка ресурсов
- •Формирование задания на контроль целостности
- •Управление заданиями
- •Пересчет контролируемых параметров
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка режима регистрации событий для пользователя
- •Работа с журналом регистрации событий
- •Формирование запроса
- •Настройка основных параметров запроса
- •Настройка дополнительных параметров запроса
- •Формирование запроса с помощью шаблонов
- •Формирование запроса с помощью шаблонов из программы Проводник
- •Работа с программой просмотра журнала
- •Интерфейс программы просмотра журнала
- •Просмотр информации о событии
- •Поиск записей, содержащихся в выборке
- •Повторная выборка записей
- •Печать отдельных записей и всего журнала
- •Очистка журнала
- •Преобразование записей журнала в файлы различных форматов
- •Приложение
- •Параметры установки Secret Net 9x
- •Порядок использования файла с атрибутами при установке системы
- •Информация о состоянии и настройках Secret Net 9x
- •Параметры настройки. Краткие сведения
- •Общие параметры системы
- •Параметры настройки свойств пользователя
- •Привилегии пользователя
- •Привилегии на работу с системой
- •Привилегии на администрирование системы
- •Ограничения для пользователей Windows '9х
- •Варианты атрибутов доступа к ресурсам файловой системы
- •Печать документов с грифом конфиденциальности
- •Настройка шаблонов грифа конфиденциальности
- •Печать в Microsoft Word
- •Печать в SnetWPad
- •Функции редактора SnEdit
- •Цветовая индикация записей
- •Структура файлов для замкнутой программной среды
- •Структура файлов с атрибутами
- •Элементы интерфейса и приемы работы
- •Элементы интерфейса и типовые приемы работы
- •Терминологический справочник
- •Предметный указатель
Secret Net 4.0. Автономный вариант. Руководство по администрированию
Управление блокировкой пользователя
Для управления блокировкой пользователя:
1. Вызовите на экран окно управления свойствами пользователя (см. Рис.25).
Внимание! Вход пользователя в систему блокируется системой защиты автоматически, если пользователь:
•осуществил попытку войти в систему в нерабочее время (см. стр.39);
•превысил число попыток, отводящихся ему для правильного указания своего имени и пароля при входе в систему (см. стр.50);
•своевременно не сменил свой пароль, несоответствующий заданным требованиям к паролям (истек срок действия пароля, длина пароля меньше установленной минимальной длины) (см. стр.52).
В этих случаях отметка автоматически устанавливается в поле выключателя "Пользователь блокирован". Чтобы разрешить вход пользователя в систему, уберите отметку из поля выключателя.
2.В поле "Пользователь блокирован":
•установите отметку, чтобы запретить работу пользователя на компьютере;
При попытке этого пользователя войти в систему (даже если он предъявил соответствующий идентификатор и указал правильный пароль), компьютер будет заблокирован, а на экране появится соответствующее сообщение.
Внимание! Нельзя заблокировать пользователя, обладающего привилегией:
•"Уровень 3" из группы привилегий "Параметры своей работы" (см. Табл.17);
•"Безограниченийпонастройкам" изгруппыпривилегийнаработуссистемой(см. стр.38).
•удалите отметку, чтобы разрешить пользователю работать на компьютере.
3.Нажмите кнопку "ОК".
Управление персональными идентификаторами
Персональный идентификатор пользователя – это аппаратное средство, пред-
назначенное для идентификации пользователя и хранения необходимой служебной информации. В идентификаторе может храниться пароль пользователя, который считывается автоматически при предъявлении идентификатора для входа в систему. Предъявить идентификатор – это означает, сделать его доступным системе для выполнения необходимых операций (например, чтения или записи). В зависимости от типа устройств эта процедура выполняется по-разному. Идентификатор Touch Memory (новое название – iButton) необходимо приложить к считывателю так, чтобы между ними был надежный контакт, а идентификатор eToken вставьте непосредственно или через удлинитель в разъем USB-порта компьютера. При выполнении этой процедуры могут возникать ошибки, связанные, например, с нарушением контакта со считывателем или неверным форматом идентификатора. Во всех таких случаях система выведет на экран необходимые сообщения, рекомендациям которых необходимо следовать.
Каждому пользователю можно присвоить несколько идентификаторов разного или одного и того же типа. Нельзя присвоить один и тот же персональный идентификатор нескольким пользователям.
Всистеме предусмотрены следующие операции с идентификаторами:
•инициализация свободного идентификатора;
•присвоение идентификатора пользователю или удаление идентификатора из перечня идентификаторов пользователя;
•запись пароля в идентификатор или удаление пароля из идентификатора.
58
Глава 4. Настройка механизмов контроля входа
При инициализации (форматировании) идентификатора из его памяти удаляется записанная ранее информация и производится разметка носителя информации. Таким образом, выполняется подготовка идентификатора для дальнейшего использования. Инициализировать можно только идентификатор, который никому не принадлежит.
Совет. Для доступа к защищенной памяти eToken рекомендуется использовать стандартный для Secret Net PIN-код, так как в этом случае при выполнении операций чтения или записи данных в идентификатор на экране не появится запрос на ввод PIN-кода, что упрощает процедуру использования идентификатора eToken. Стандартное значение PIN-кода - “1234567890”. С таким PIN-кодом новые идентификаторы eToken R2 поставляются компанией Alladin.
Для управления персональными идентификаторами:
1. Вызовите на экран окно управления свойствами пользователя (см. Рис.25).
2.В группе полей "Персональные идентификаторы и пароль" нажмите кнопку "Подробности".
На экране появится диалог для управления персональными идентификаторами пользователя:
Если поле содержит отметку, пароль пользователя хранится в персональном идентификаторе и считывается автоматически при предъявлении идентификатора
Список персональных идентификаторов, присвоенных пользователю. Для каждого идентификатора указывается его тип и номер
Список устройств для работы с персональными идентификаторами
Рис.27 Диалог "Персональные идентификаторы"
Примечание. Пользователь, которому присвоено несколько идентификаторов, может осуществить вход в систему, предъявив любое из этих устройств.
Для отображения идентификаторов используются следующие обозначения:
Пиктограмма |
Тип идентификатора |
|
iButton |
|
eToken |
|
|
3.Выполните необходимые действия (см. ниже).
4.Нажмите кнопку "ОК".
5.Закройте окно управления свойствами пользователя.
Для инициализации персонального идентификатора:
Инициализация 1. В диалоге "Персональные идентификаторы" (см. Рис.27) нажмите на кнопку идентификатора "Инициализировать…", если на компьютере установлено одно устройство иден-
тификации.
59
Secret Net 4.0. Автономный вариант. Руководство по администрированию
Совет. Если на компьютере установлено несколько устройство идентификации, то нажмите на стрелку в правом углу кнопки и в открывшемся меню выберите название нужного устройства.
Появится запрос на предъявление идентификатора.
2.Предъявите идентификатор.
Если инициализация завершена успешно, появится сообщение об этом.
3.Нажмите на кнопку “OK” в окне сообщения.
Следует помнить, что инициализировать можно только те идентификаторы, которые не принадлежат ни одному из пользователей.
Для присвоения идентификатора пользователю:
Присвоение
идентификатора
1. В диалоге "Персональные идентификаторы" (см. Рис.27) нажмите кнопку "Присвоить…", если на компьютере установлено одно устройство идентификации.
Совет. Если на компьютере установлено несколько устройство идентификации, то нажмите на стрелку в правом углу кнопки и в открывшемся меню выберите название нужного устройства.
Появится запрос на предъявление идентификатора.
2.Предъявите идентификатор.
Система может обнаружить ошибочный формат идентификатора и потребовать выполнить инициализацию персонального идентификатора (см. выше). После инициализации повторите процедуру присвоения с начала.
При считывании информации из идентификатора система Secret Net 9х проверяет, не используется ли этот идентификатор другим пользователем компьютера. Если идентификатор не используется другим пользователем, он присваивается данному пользователю, и в списке идентификаторов пользователя появится новая запись. Иначе на экране появится сообщение об ошибке, и предъявленный идентификатор не будет присвоен.
Примечание.
•В том случае, если предъявлен идентификатор eToken, содержащий нестандартный PINкод, на экране появится запрос на ввод PIN-кода. Введите PIN-код и нажмите кнопку "Ok".
•Если требуется присвоить пользователю еще один персональный идентификатор - повторите те же действия. Пользователю, которому присвоено несколько персональных идентификаторов, вход в систему разрешен по любому из них.
Пароль в идентификаторе
3.При присвоении идентификатора пароль пользователя не записывается в идентификатор автоматически. Если необходимо, чтобы пароль пользователя хранился в персональном идентификаторе и автоматически считывался при предъявлении идентификатора в момент входа пользователя в систему, выполните процедуру записи пароля в идентификатор (см. ниже).
Для записи пароля в идентификатор:
Обратите внимание. При выполнении этой процедуры необходимо будет указать текущий пароль пользователя. Для этого нужно либо пригласить данного пользователя, чтобы он ввел свой пароль сам, либо предварительно сменить ему пароль и указать новый пароль здесь, а при передаче идентификатора пользователю обязательно сообщить ему новый пароль.
Запись пароля в |
1. В диалоге "Персональные идентификаторы" (см. Рис.27) установите отметку в |
идентификатор |
соответствующем идентификатору поле “Пароль в идентификаторе”. |
|
Появится запрос на предъявление идентификатора, в котором указан его учет- |
|
ный номер. |
60
Глава 4. Настройка механизмов контроля входа
2.Предъявите идентификатор.
Примечание. В том случае, если предъявлен идентификатор eToken, содержащий нестандартный PIN-код, на экране появится запрос на ввод PIN-кода. Введите PIN-код и нажмите кнопку "Ok".
Если предъявлен нужный идентификатор, на экране появится запрос пароля пользователя.
3.Введите пароль и нажмите кнопку “OK”.
Если пароль указан правильно, он записывается в идентификатор. При этом отметка в поле “Пароль в идентификаторе” сохраняется.
Для удаления пароля из идентификатора:
Удаление пароля из идентификатора
1. В диалоге "Персональные идентификаторы" (см. Рис.27) удалите отметку из соответствующего идентификатору поля “Пароль в идентификаторе”.
Появится запрос на предъявление идентификатора, в котором указан его учетный номер.
2.Предъявите идентификатор.
Примечание. В том случае, если предъявлен идентификатор eToken, содержащий нестандартный PIN-код, на экране появится запрос на ввод PIN-кода. Введите PIN-код и нажмите кнопку "Ok".
Если предъявлен нужный идентификатор, пароль будет из него удален. При этом отметка из поля “Пароль в идентификаторе” удаляется.
Для удаления персонального идентификатора:
Удаление |
1. |
В диалоге "Персональные идентификаторы" (см. Рис.27) установите курсор на |
идентификатора |
|
номер идентификатора, подлежащего удалению, вызовите контекстное меню и |
|
|
выберите команду “Удалить”. |
|
2. |
Подтвердите свое решение в появившемся на экране окне запроса. |
|
|
Идентификатор будет удален из списка. |
Управление персональными системными файлами пользователя
После установки системы защиты на компьютер, при входе пользователей в систему выполняются общие версии системных файлов CONFIG.SYS и AUTOEXEC.BAT. Средства системы Secret Net 9x позволяют создавать для пользователей персональные версии этих файлов.
Для создания персональных версий системных файлов:
1. Вызовите на экран окно управления свойствами пользователя. 2. Активизируйте диалог “Режимы”:
61
Secret Net 4.0. Автономный вариант. Руководство по администрированию
Установите отметку для включения "мягкого" режима для списка программ
Группа для управления работой механизма замкнутой программной
среды
Данная группа полей позволяет создавать для пользователя персональные версии системных файлов
Группа полей для управления параметрами настройки хранителя экрана
Рис.28 Диалог "Режимы"
Внимание! Выключатель "Персональный Config.sys" активен только тогда, когда компьютер оборудован устройством аппаратной поддержки системы защиты. Если данное устройство отсутствует – создать для пользователя персональный файл CONFIG.SYS нельзя.
3.Установите отметку в поле "Персональный Autoexec.bat" или "Персональный
Config.sys", чтобы назначить пользователю персональные версии системных файлов7.
Пояснение. В том случае если эти поля не содержат отметок, при входе данного пользователя в систему будут выполняться общие версии файлов CONFIG.SYS и AUTOEXEC.BAT.
На экране появится окно текстового редактора SnEdit, в котором будет отображаться содержание соответствующего файла. Если персональный системный файл пользователя еще не создан, в качестве его содержания будет предложено содержание общего системного файла, например - AUTOEXEC.BAT.
Рис.29 Окно редактора SnEdit (редактирование файла Autoexec.bat)
4.Отредактируйте нужным образом системный файл. Порядок редактирования текстового содержания файла в редакторе SnEdit соответствует порядку, принятому в большинстве текстовых редакторов (например, в стандартных редакторах WordPad или Блокнот). Завершив редактирование, сохраните внесенные изменения. Затем закройте окно редактора SnEdit.
7 Дляредактированияперсональныхсистемныхфайловиспользуйтекнопки"Config.sys" и"Autoexec.bat".
62