- •Введение
- •Установка, переустановка и удаление системы защиты
- •Назначение
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Временное отключение системы защиты
- •Выгрузка программных модулей системы защиты
- •Отключение системы защиты
- •Включение системы защиты
- •Удаление системы защиты
- •Общие принципы настройки и управление объектами
- •Общие принципы
- •Объекты управления
- •Порядок настройки системы
- •Средства управления
- •Консоль системы защиты
- •Средства управления общими параметрами системы
- •Средства управления свойствами пользователя
- •Средства управления доступом к дискам, каталогам и файлам
- •Аппаратные средства поддержки Secret Net 9x
- •Установка устройства
- •Настройка устройства
- •Отключение устройства
- •Управление пользователями и группами
- •Администратор безопасности компьютера
- •Пользователи
- •Создание пользователя
- •Переименование пользователя
- •Удаление пользователя
- •Предоставление привилегий
- •Ограничение времени работы
- •Шаблоны настройки свойств пользователей
- •Настройка свойств пользователя с помощью шаблона
- •Создание шаблона
- •Управление шаблонами настройки
- •Изменение настроек, сохраненных в шаблоне
- •Группы пользователей
- •Создание группы
- •Изменение свойств группы
- •Управление составом группы
- •Удаление группы пользователей
- •Настройка механизмов контроля входа
- •Настройка общих параметров входа
- •Управление паролями
- •Настройка параметров пароля
- •Правила определения пароля
- •Настройка индивидуальных параметров входа
- •Настройка параметров аутентификации пользователя
- •Смена пароля пользователя
- •Управление блокировкой пользователя
- •Управление персональными идентификаторами
- •Управление персональными системными файлами пользователя
- •Запреты работы при изменении конфигурации компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Полномочное управление доступом .
- •Включение и настройка режима
- •Предоставление прав пользователю
- •Определение категории конфиденциальности дисков и каталогов
- •Правила работы с конфиденциальными документами
- •Отключение полномочного управления доступом
- •Временная блокировка компьютера
- •Предоставление пользователю прав на управление параметрами блокировки
- •Настройка параметров блокировки
- •Блокировка компьютера
- •Снятие блокировки
- •Замкнутая программная среда
- •Настройка регистрации событий
- •Корректировка UEL-списка по умолчанию
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Корректировка UEL-списка
- •Настройка замкнутой среды
- •Включение дополнительных механизмов защиты
- •Ограничение доступа к локальным ресурсам
- •Разграничение доступа пользователей к USB - устройствам
- •Ограничение доступа к сетевым ресурсам
- •Ограничение доступа к системным ресурсам
- •Затирание удаляемой информации
- •Управление доступом к дискам, каталогам и файлам
- •Общие сведения
- •Настройка индивидуальных параметров
- •Определение атрибутов по умолчанию для пользователя
- •Настройка режима контроля атрибутов
- •Управление доступом к ресурсам в программе Проводник
- •Управление доступом пользователей к дискам
- •Управление доступом пользователей к каталогам
- •Управление доступом пользователей к файлам
- •Управление атрибутами в программе IMAGE32
- •Настройка параметров IMAGE32
- •Управление атрибутами в режиме "Диалог"
- •Управление атрибутами в режиме "Файлы"
- •Специальные возможности программы IMAGE32
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание списка ресурсов
- •Изменение свойств списка ресурсов
- •Удаление списка ресурсов
- •Управление составом списка ресурсов
- •Формирование задания на контроль целостности
- •Управление заданиями
- •Пересчет контролируемых параметров
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка режима регистрации событий для пользователя
- •Работа с журналом регистрации событий
- •Формирование запроса
- •Настройка основных параметров запроса
- •Настройка дополнительных параметров запроса
- •Формирование запроса с помощью шаблонов
- •Формирование запроса с помощью шаблонов из программы Проводник
- •Работа с программой просмотра журнала
- •Интерфейс программы просмотра журнала
- •Просмотр информации о событии
- •Поиск записей, содержащихся в выборке
- •Повторная выборка записей
- •Печать отдельных записей и всего журнала
- •Очистка журнала
- •Преобразование записей журнала в файлы различных форматов
- •Приложение
- •Параметры установки Secret Net 9x
- •Порядок использования файла с атрибутами при установке системы
- •Информация о состоянии и настройках Secret Net 9x
- •Параметры настройки. Краткие сведения
- •Общие параметры системы
- •Параметры настройки свойств пользователя
- •Привилегии пользователя
- •Привилегии на работу с системой
- •Привилегии на администрирование системы
- •Ограничения для пользователей Windows '9х
- •Варианты атрибутов доступа к ресурсам файловой системы
- •Печать документов с грифом конфиденциальности
- •Настройка шаблонов грифа конфиденциальности
- •Печать в Microsoft Word
- •Печать в SnetWPad
- •Функции редактора SnEdit
- •Цветовая индикация записей
- •Структура файлов для замкнутой программной среды
- •Структура файлов с атрибутами
- •Элементы интерфейса и приемы работы
- •Элементы интерфейса и типовые приемы работы
- •Терминологический справочник
- •Предметный указатель
Глава 6. Управление доступом к дискам, каталогам и файлам
доступа к ресурсам, но при этом соответствующие события НСД будут регистрироваться в журнале безопасности.
При "жестком" (основном) режиме работы пользователю запрещается выполнять над ресурсом действия, превышающие его права доступа к ресурсу.
Примечание. Например, если эффективные права доступа пользователя к ресурсу определены как “Доступ на чтение” и выполняется операция удаления ресурса - операция запрещается.
Для настройки режима:
1. Вызовите на экран окно управления свойствами пользователя.
2.Активизируйте диалог “Режимы” (см.Рис.28).
3.Установите отметку в поле "Мягкий режим контроля атрибутов", если необходимо включить "мягкий" режим контроля атрибутов. Если необходимо включить "жесткий" режим работы, удалите отметку из этого поля.
Примечание. Выключатель недоступен для изменений, если пользователю предоставлены привилегии на работу с системой “Без атрибутов на дисках”, “Без атрибутов на каталогах” и “Без атрибутов на файлах”.
4.Нажмите кнопку "Ok".
Управление доступом к ресурсам в программе Проводник
Для управления атрибутами Secret Net 9x дисков, каталогов и файлов вызовите на экран окно программы Проводник.
Внимание! Для управления атрибутами доступа и владения необходимо обладать соответствующимипривилегияминаадминистрированиесистемызащиты(см. Табл.20).
Управление доступом пользователей к дискам
Для управления доступом к диску:
1. В окне программы Проводник выберите диск, вызовите на экран окно настройки свойств этого ресурса и активизируйте диалог "Secret Net".
Список имен всех пользователей компьютера (колонка “Пользователи”) с указанием прав доступа к диску (колонка “Доступ”)
Выключатели этой группы отображают статус диска
Рис.40 Диалог управления доступом к диску
97
Secret Net 4.0. Автономный вариант. Руководство по администрированию
2.Выберите в списке имя пользователя, для которого необходимо изменить атрибуты доступа к диску.
Внимание! Привилегии по доступу к ресурсам компьютера “Видимость дисков” и “Без атрибутов на дисках”, предоставленные пользователю, отменяют соответствующие ограничения на доступ этого пользователя к логическим дискам, заданные атрибутами доступа.
3.Группа полей “Атрибуты” содержит имя выбранного пользователя и установленные для него значения атрибутов доступа к диску.
• Чтобы разрешить доступ, поставьте отметку в поле соответствующего выключателя: “Чтение”, “Запись”, “Выполнение”.
• Чтобы запретить доступ, удалите отметку.
Пояснение. Не все комбинации значений атрибутов являются допустимыми. Нельзя установить следующие комбинации: “Запись без чтения”, “Выполнение без чтения” и “Выполнение и запись без чтения”.
Установленные права доступа немедленно отобразятся в колонке “Доступ” списка пользователей.
Разъяснение значений атрибутов доступа к дискам содержится в Табл.31 на стр.153.
4.Нажмите кнопку "ОК".
Внимание! Не рекомендуется ограничивать права пользователя на выполнение программ, размещенных на диске [С:] (или другом локальном диске, с которого производится загрузка операционной системы), т.е. устанавливать для пользователя следующие атрибуты доступа к этому диску: “Чтение и запись”, “Только чтение”, “Нет доступа”. В этом случае при входе пользователя загрузка операционной системы окажется невозможной.
При попытке установить атрибуты доступа пользователя к системному диску, небезопасные для работы системы, на экране появится предупреждающее сообщение:
•Нажмите кнопку "ОК" для подтверждения своего решения.
•Нажмите кнопку "Отмена", чтобы вернуться к диалогу управления доступом к диску.
Управление доступом пользователей к каталогам
Для управления доступом к каталогу:
1. В окне программы Проводник выберите один или несколько каталогов, вызовите на экран окно настройки свойств ресурса и активизируйте диалог "Secret Net".
98
Глава 6. Управление доступом к дискам, каталогам и файлам
Выберите имя пользователя-владельца каталога и укажите атрибуты доступа к каталогу для владельца
Укажите атрибуты доступа к каталогу для остальных пользователей
Список имен всех пользователей компьютера с указанием прав доступа к каталогу (с учетом прав на доступ пользователей к диску, содержащему каталог, а также ко всем каталогам, в состав которых входит данный каталог)
Выберите название группы пользователей и укажите атрибуты доступа к каталогу для всех пользователей этой группы
Нажмите эту кнопку, чтобы запустить программу Image32
Рис.41 Диалог управления доступом к каталогу (папке)
Примечание. При просмотре или изменении атрибутов для нескольких каталогов, значение "Не определен" в колонке "Доступ" указывает на то, что пользователю назначены разные права доступа к выбранным каталогам.
2.Укажите в поле "Владелец"21 имя пользователя-владельца каталога и атрибуты доступа к каталогу для владельца.
Примечание. При просмотре или изменении атрибутов для нескольких каталогов значение "(не определен)" в текстовом поле указывает на то, что у выбранных каталогов разные поль- зователи-владельцы. При изменении данного значения для всех выбранных каталогов будет установлено одинаковое имя пользователя-владельца.
Чтобы изменить имя пользователя-владельца, выберите в поле с открывающимся списком одно из следующих значений:
•имя пользователя;
•имя пользователя SUPERVISOR – для того чтобы владельцем каталога стал администратор системы защиты;
•значение “(админ.)” – для того чтобы владельцем каталога стал пользователь - администратор безопасности данного компьютера;
•при установке значения "нет" каталог становится общим, не принадлежащим никому конкретно. При этом все пользователи компьютера не будут иметь ограничений на доступ к каталогу (если ограничения не заданы атрибутами доступа к диску и атрибутами доступа к каталогам, в состав которых входит этот каталог).
Определите значения атрибутов доступа к каталогу для пользователя-владельца, установив или удалив отметки в полях “Чтение”, “Запись”, “Выполнение”.
Разъяснение значений атрибутов доступа к каталогам см. в Табл.32 на стр.153.
3.В поле "Группа" выберите название группы пользователей и определите соот-
ветствующие ей атрибуты доступа, повторив действия, описанные выше для поля “Владелец”22.
21 Выключатели, определяющиеправадоступа, недоступныдляизменения, еслинезаданоимявладельца.
99
Secret Net 4.0. Автономный вариант. Руководство по администрированию
Примечание. При просмотре или изменении атрибутов для нескольких каталогов значение "Не определена" в текстовом поле указывает на то, что для выбранных каталогов назначены разные группы пользователей-владельцев. При изменении данного значения, для всех выбранных каталогов будет установлено одинаковое название группы пользователей.
4.Установите значения атрибутов доступа к каталогу для остальных пользователей компьютера23. Изменение атрибутов доступа для этой категории пользователей выполняется так же, как и в двух предыдущих случаях.
5.Поставьте отметку в поле выключателя “Применять рекурсивно”, чтобы устано-
вить заданные атрибуты на все файлы и подкаталоги, содержащиеся в данном каталоге, а также на файлы в подкаталогах24.
6.Нажмите кнопку "ОК".
Внимание!
•Права пользователя на доступ к каталогу определяются значениями атрибутов, установленных на сам каталог, значениями атрибутов всех каталогов, стоящих выше данного в иерархии, и значениями атрибутов доступа к диску, на котором расположен каталог.
•Привилегии на работу с системой "Видимость каталогов" и "Без атрибутов на каталогах"
(см. Табл.15), предоставленные пользователю, отменяют соответствующие ограничения на доступ этого пользователя к каталогам, заданные атрибутами доступа и владения.
Управление доступом пользователей к файлам
Для управления доступом к файлу:
1. В окне программы Проводник выберите один или несколько файлов, вызовите на экран окно настройки свойств ресурса и активизируйте диалог "Secret Net".
Список имен всех пользователей компьютера с указанием прав доступа к файлу (с учетом прав на доступ пользователей к диску, содержащему файл, а также к каталогам, в которых этот файл размещается)
Группа для определения дополнительных атрибутов файла
Рис.42 Диалог управления доступом к файлу
22Выключатели, определяющие права доступа, недоступны для изменения, если не указан владелец каталога и группапользователей-владельцев.
23Выключатели, определяющие права доступа для этой категории пользователей, недоступны для изменения, еслинезаданоимявладельцакаталога.
24Этополенедоступнодляизменениядотехпор, поканеизмененозначениелюбогодругогополядиалога.
100
Дополнительные атрибуты файлов
Глава 6. Управление доступом к дискам, каталогам и файлам
Примечание. При просмотре или изменении атрибутов для нескольких файлов, значение "Не определен" колонки "Доступ" указывает на то, что пользователю назначены разные права доступа к выбранным файлам.
Процедура изменения атрибутов файла аналогична процедуре изменения атрибутов каталога (см. стр.98). Разъяснение значений атрибутов доступа к файлу содержится в Табл.33 на стр.154.
Внимание! Не все комбинации значений атрибутов являются допустимыми. Нельзя установить следующие комбинации: “Запись без чтения”, “Выполнение без чтения” и “Выполнение и запись без чтения”.
2.Определите в группе полей "Владелец" имя пользователя-владельца файла и атрибуты доступа к файлу для владельца.
3.В группе полей "Группа" укажите название группы пользователей и соответствующие ей атрибуты доступа.
4.Установите значения атрибутов доступа к файлу для остальных пользователей компьютера.
5. Определите дополнительные атрибуты файла в группе полей "Дополнительно".
•Атрибут "Полный доступ" имеет смысл только для программ. Устанавливает для программы специальный режим работы. В этом режиме не контролируется доступ программы к ресурсам файловой системы (дискам, каталогам и файлам), аппаратным ресурсам (коммуникационным портам и принтерам) и ресурсам операционной системы (системным файлам, и т.д.). Попытки доступа программы к этим ресурсам не регистрируются в журнале безопасности. При включенном режиме полномочного управления доступом все попытки доступа программы к конфиденциальным ресурсам контролируются.
•Атрибуты "Аудит чтения" и "Аудит записи" включают для файла режим, при котором осуществляется регистрация в журнале безопасности всех успешных попыток доступа к данному файлу, соответственно, на чтение и изменение файла.
Внимание! Для регистрации попыток доступа к файлам, которым определены дополнительные атрибуты "Аудит чтения" и "Аудит записи", необходимо включить соответствующие режимы регистрации событий (см.
стр.121).
•Атрибут "Только чтение" включает для файла режим, при котором реальный доступ к этому файлу разрешен только на чтение, но программе, которая осуществляет доступ к файлу на запись, возвращается признак успешного завершения операции изменения файла.
6.Нажмите кнопку "ОК".
Внимание!
•Права пользователя на доступ к файлу определяются значениями атрибутов, установленных на сам файл, значениями атрибутов всех каталогов, образующих путь к файл, а также значениями атрибутов доступа к диску.
•Привилегии по доступу к ресурсам компьютера “Видимость файлов” и “Без атрибутов на файлах”, предоставленные пользователю, отменяют соответствующие ограничения на доступэтогопользователякфайлам, заданныеатрибутамидоступаивладения.
101