Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Установите отметку для включения "мягкого" режима замкнутой среды 
Группа полей для управления работой механизма замкнутой программной среды 
Установите отметку в этом поле, чтобы включить для пользователя замкнутую программную среду
Используйте эту кнопку для изменения списка программ, разрешенных пользователю для запуска
Рис.35 Настройка режима замкнутой программной среды
3.Установите отметку в поле "Замкнутая программная среда", чтобы включить этот механизм для пользователя.
При первом включении замкнутой программной среды для пользователя автоматически создается UEL-список пользователя, в который добавляется список программ по умолчанию. В этом случае на экране появится окно редактора SnEdit (см. Рис.34), содержащее UEL-список пользователя.
UEL-список пользователя хранится в каталоге C:\-SNET- в файле под именем UEL.*** (где “***” - регистрационный номер пользователя в системе Secret Net 9x). Этот файл удаляется только после удаления пользователя.
4.Сохраните UEL-список и закройте окно редактора SnEdit.
5.Установите отметку в поле "Мягкий режим для списка программ", если необхо-
димо включить "мягкий" режим замкнутой программной среды. Если необходим "жесткий" режим работы, удалите отметку из этого поля14.
6.Нажмите кнопку "ОК".
Корректировка UEL-списка
Существуют два способа корректировки UEL-списков:
•автоматическая корректировка списка на основании информации о запуске программ, содержащейся в локальном журнале безопасности;
•редактирование вручную списка программ с использованием текстового редактора SnEdit.
Способ автоматической корректировки UEL-списка по информации из журнала безопасности существенно упрощает процедуру формирования UEL-списка. В дальнейшем UEL-список может быть дополнен путем повторного использования данной процедуры или корректировки списка вручную.
14 Еслирежимзамкнутойпрограммнойсредыневключендляпользователя– выключательнеактивен.
79
Secret Net 4.0. Автономный вариант. Руководство по администрированию
Автоматическая
корректировка
Автоматическая корректировка UEL-списка
Автоматическое формирование UEL-списка должно проводится после того, как в журнале событий будет накоплено достаточное количество записей, связанных с запуском программ. Автоматический способ облегчает процедуру формирования UEL-списка. Далее список может быть уточнен путем повторного использования автоматической процедуры и ручной корректировкой.
Для автоматической корректировки UEL-списка:
1. Вызовите на экран окно управления свойствами пользователя.
2.Активизируйте диалог “Режимы” (см. Рис.35) и нажмите кнопку "Программы". UEL-список выбранного пользователя будетоткрытв окне редактора SnEdit.
3.Выберите в меню редактора команду "Список программ | Построить по журналу". На экране появится диалог:
Интервал времени, за который анализируются записи журнала событий
Параметры, которые необходимо учитывать при проведении автоматического анализа журнала событий
4.Укажите необходимые значения параметров:
•Установите текущую дату и период времени, за который должен быть проведен анализ событий, зарегистрированных в журнале.
•Установите отметку в поле "События всех пользователей", чтобы при построении UEL-списка учитывались события, зарегистрированные при работе всех пользователей компьютера.
•Установите отметку в поле "События НСД", чтобы помимо событий запуска программ анализировались и события НСД – "Запрет запуска" и “Запрет загрузки библиотеки".
Совет. Если необходимо дополнить UEL-список именами только тех исполняемых файлов, при запуске которых зарегистрировано событие НСД, поставьте отметку в поле "Только события НСД"15.
5.Нажмите кнопку "OK"
Будет проведен анализ записей журнала событий. В секцию [Auto] будет добавлен сформированный по журналу список программ.
6.Просмотрите список программ, измените при необходимости его содержание, а затем сохраните. Закройте окно редактора SnEdit.
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкретной программы). Все другие действия запрещены.
7.Нажмите кнопку "OK" в окне управления свойствами пользователя.
15 Выключательактивенприустановкеотметкивполе"СобытияНСД".
80
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Корректировка
вручную
Корректировка UEL-списка вручную
Перед выполнением процедуры корректировки UEL-списка проанализируйте записи журнала событий, относящиеся к работе пользователей, для которых включена замкнутая программная среда. Составьте для каждого пользователя список программ, попытки запуска которых регистрируются как события НСД "Запрет запуска" и “Запрет загрузки библиотеки".
При корректировке UEL-списка в него можно добавлять имена файлов, содержащие полный путь, указывать каталоги или файлы по маске. Описание формата и цветовой индикации записей UEL-списка содержится в приложении (см. стр.163 и Табл.35 соответственно).
Примечание. Порядок редактирования текстового содержания файла в редакторе SnEdit соответствует порядку, принятому в большинстве текстовых редакторов (например, в стандартных редак-
торах Windows - WordPad или Блокнот).
Для корректировки списка вручную:
1. Вызовите на экран окно управления свойствами пользователя.
2.Активизируйте диалог “Режимы” (см. Рис.35) и нажмите кнопку "Программы". UEL-список выбранного пользователя будетоткрытв окне редактора SnEdit.
3.Отредактируйте записи секции [Auto].
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкретной программы). Все другие действия запрещены.
4.Добавьте в секцию [Manual] нужные строки, разрешающие или запрещающие пользователю запуск тех или иных программ.
Добавление файлов в диалоговом режиме. Выберите в меню главного окна программы SnEdit "Список программ | Добавить". На экране появится стандартный диалог Windows "Добавить файл". С помощью этого диалога найдите и укажите нужный файл.
Сортировка списка. Для сортировки UEL-списка в алфавитном порядке выберите в меню главного окна программы SnEdit "Список программ | Сортировать".
5.Сохраните изменения и закройте окно редактора.
6.Нажмите на кнопку "OK" в окне управления свойствами пользователя.
Настройка замкнутой среды
Как уже указывалось ранее, запуск программы в "жестком" режиме замкнутой среды разрешается, если для файла установлены необходимые права доступа и владения. Однако при формировании UEL-списка система не выполняет автоматическую корректировку этих прав для файлов, добавленных в UEL-список. Поэтому может возникнуть ситуация, когда программа содержится в списке, но не может быть запущена пользователем. Если такая ситуация возникает, необходимо проанализировать записи журнала событий, определить файлы программ, права владения и доступа которых требуют корректировки, и выполнить ее.
Редактор SnEdit предоставляет средства автоматической настройки параметров замкнутой среды, которые обеспечивают:
•корректировку атрибутов доступа и владения для файлов программ, содержащихся в UEL-списке;
•добавление в список имен исполняемых файлов, необходимых для функционирования программ, содержащихся в UEL-списке;
•удаление повторяющихся строк и диагностику корректности формата строк.
81
Secret Net 4.0. Автономный вариант. Руководство по администрированию
Для автоматической настройки замкнутой среды:
1. Вызовите на экран окно управления свойствами пользователя.
Совет. Следует учитывать, что эта процедура позволяет настроить замкнутую среду только для данного пользователя. Рекомендуется повторить процедуру для всех пользователей, работающих в режиме замкнутой среды.
2.Активизируйте диалог “Режимы” (см. Рис.35) и нажмите кнопку "Программы". UEL-список выбранного пользователя будетоткрытв окне редактора SnEdit.
3.Выберите в меню редактора команду "Список программ | Настроить". На экране появится диалог для настройки параметров замкнутой среды:
Укажите расширения исполняемых файлов, которые должны учитываться при обработке указанных в UEL-файле каталогов
Нажмите эту кнопку для восстановления списка расширений, заданных по умолчанию
Рис.36 Диалог "Настройка замкнутой программной среды" 4. Укажите необходимые значения параметров:
Установите отметку в поле: |
Для того чтобы … |
Права доступа к ресурсам |
Корректировать атрибуты доступа и владения для пе- |
|
речня ресурсов, заданных в UEL-файле |
Автоматически настроить для |
Автоматически выполнить корректировку атрибутов |
всех ресурсов* |
доступа и владения, не выполняя предварительно про- |
|
верку их корректности и не запрашивая разрешение пе- |
|
ред выполнением операции. При автоматической |
|
корректировке атрибутов: |
|
• владельцем всех файлов UEL-списка становится |
|
пользователь - администратор безопасности компьюте- |
|
ра по умолчанию (админ.); |
|
• для всех категорий пользователей ("Владелец", "Груп- |
|
па", "Остальные") устанавливаются атрибуты доступа к |
|
файлам "Чтение и выполнение" (см. Табл.33) |
Зависимости от других |
Добавить в UEL-список имена исполняемых файлов, |
модулей |
необходимых для функционирования программ, уже со- |
|
держащихся в UEL-списке |
Повторяющиеся ресурсы |
Удалить из UEL-файла повторяющиеся строки |
Обрабатывать каталоги* |
При проверке (корректировке) атрибутов доступа и вла- |
|
дения обрабатывать файлы из каталогов, указанных в |
|
UEL-списке. Иначе такие строки будут игнорироваться. |
|
Обработке подлежат только файлы с заданными рас- |
|
ширениями |
Обрабатывать ресурсы, |
При проверке (корректировке) атрибутов доступа и вла- |
заданные при помощи масок* |
дения обрабатывать файлы, заданные с помощью ма- |
|
сок. Иначе такие строки будут игнорироваться |
Запрашивать подтверждение |
Перед выполнением операций по настройке парамет- |
перед выполнением операций |
ров замкнутой среды выводить на экран запрос на под- |
|
тверждение операций |
82
Причина
Действия
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Примечание. Параметры настройки, отмеченные символом "*" (звездочка), доступны для изменений при установке отметки в поле "Права доступа к ресурсам".
5.Нажмите кнопку "Начать".
•Если программа обнаружит в UEL-списке ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк используются следующие цветовые индикаторы:
Цвета |
Используется для выделения ошибочных элементов: |
Красный |
Пути к каталогам и файлам (заданным без использования ма- |
|
сок), которые не обнаружены на локальном диске компьютера |
|
или являются некорректными строками (т.е. строками с некор- |
|
ректным описанием ресурсов или секций) |
Темно-красный |
Пути к файлам (заданным без использования масок), на которых |
|
атрибуты доступа и владения не соответствуют требованиям |
|
замкнутой среды |
Синий |
Пути к каталогам и файлам, совпадающие с описаниями в дру- |
|
гих секциях данного файла |
•В некоторых случаях программа сама может разрешить противоречия, руководствуясь рядом правил (см. стр. 164).
•Если включен режим запроса подтверждений, перед выполнением операций на экран будут выводиться дополнительные диалоги, описанные ниже.
•При автоматическом режиме настройки подтверждения не запрашиваются, а после успешного завершения корректировки указанных параметров на экране появится сообщение об этом.
В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.
6.Сохраните изменения и закройте окно редактора.
7.Нажмите кнопку "OK" в окне управления свойствами пользователя.
При появлении на экране дополнительных диалогов действуйте следующим образом:
Такое сообщение появится на экране, если активизированы параметры:
• "Зависимости от других модулей";
• "Запрашивать подтверждение перед выполнением операций"
В UEL-списке отсутствуют программы, необходимые для работы программ, уже содержащихся в списке.
Нажмите кнопку "Да". Имена исполняемых файлов будут добавлены в UEL-список.
83