- •Государственная система защиты информации
- •Содержание
- •Принятые термины и сокращения
- •1. Назначение программы
- •Запуск редактора прав доступа внимание!
- •2.1. Порядок запуска программы aced32
- •Сообщения, выдаваемые программой при ее запуске, и порядок действий по ним:
- •2.2. Выход из программы
- •Сообщения, выдаваемые программой при выходе из нее, и порядок действий по ним:
- •Информация о программе
- •Редактирование параметров пользователей (прав доступа)
- •Регистрация нового пользователя
- •Сообщения, выдаваемые при регистрации пользователей, и порядок действий по ним:
- •4.2. Архивация параметров пользователя
- •4.3. Удаление пользователя из списка зарегистрированных
- •Внимание!
- •4.4. Переименование пользователя в списке зарегистрированных
- •Сообщения, выдаваемые программой при регистрации пользователей, и порядок действий по ним:
- •Поиск пользователя по тм-идетнификатору
- •Сообщения, выдаваемые программной при поиске тм-идентификаторов пользователей, и порядок действий по ним:
- •Синхронизация параметров пользователя
- •Сообщения, выдаваемые программой при синхронизации парметров пользователей, и порядок действий по ним:
- •5. Администрирование подсистемы разграничения доступом
- •Задание имени пользователя
- •Регистрация тм пользователя
- •1). "Уже записан в тм"
- •2). "Сгенерировать"
- •3). "Потерян"
- •Сообщения, выдаваемые программой при регистрации тм пользователей, и порядок действий по ним:
- •Задание пароля пользователя
- •Сообщения, выдаваемые программой при вводе пароля пользователя, и порядок действий по ним:
- •Установка параметров пароля
- •Установка детальности протокола работы пользователей
- •Установка режима гашения экрана.
- •Сообщения, выдаваемые программой при установке режима гашения экрана, и порядок действий по ним:
- •Установка временных ограничений для сеанса работы пользователя
- •Установка правил разграничения доступа (прд) к объектам доступа
- •Установка доступа к объектам с использованием дискреционного метода прд.
- •Внимание!
- •Сообщения, выдаваемые программой при установке дискреционных прд, и порядок действий по ним:
- •Установка доступа к объектам с использованием мандатного метода контроля прд.
- •Контроль целостности файлов.
- •"Статический" контроль целостности файлов
- •"Динамический" контроль целостности файлов
- •«Контроль целостности файлов для (указывается имя_пользователя)».
- •Установка опций настройки
- •Заключение
"Динамический" контроль целостности файлов
Эта операция выполняется при каждом запуске процесса (исполняемого модуля). Для создания списка контролируемых процессов нажмите кнопку, расположенную справа в поле «Контроль целостности», в главном окне (Рис. 2). На экран выводится окно
«Контроль целостности файлов для (указывается имя_пользователя)».
Щелкните мышью на закладке "Динамический" и откроется список файлов для динамического контроля, показанный на Рис. 28.
Рис. 28. Список файлов для динамического контроля.
С этим списком можно работать так же, как и со "статическим", но не требуется задания параметров контроля.
Установка опций настройки
В списке пользователей с помощью мыши или клавиатуры выделите пользователя.
В поле «Опции» окна «Параметры пользователя» (Рис. 2) отображается информация о том, какие дополнительные опции настройки системы «Аккорд» установлены у активного (выделенного) пользователя. Выберите режим редактирования, нажав на кнопку, расположенную справа в поле «Опции», или клавишу <Enter>. На экран выводится окно «Опции» (Рис. 29). По умолчанию, установлена лишь одна опция «Показывать скрытые файлы».
Рис.29. Опции настройки.
Дополнительные опции настройки СЗИ «Аккорд-NT/2000»:
удаление файлов с очисткой - после операций удалений файлов физическое место файла на жестком диске очищается;
показывать скрытые файлы - показывать ли файлы с атрибутом Hidden;
может изменять дату/время - разрешено ли пользователю изменять дату/время;
полный доступ для АРМ АБИ - при использовании сетевых утилит системы "Аккорд", разрешать ли полный доступ к компьютеру администратору безопасности информации;
проверять доступ к реестру - использовать ли разграничение доступа к системному реестру.
Остальные флаги в разделе «Опции настройки» не используются (зарезервированы для дальнейших разработок).
Для выхода из режима редактирования с сохранением, нажмите кнопку «Запись» или клавишу <F2>, без сохранения – «Отмена» или <Esc>.
Заключение
Программа ACED32.EXE является лишь редактором параметров доступа пользователя к объектам доступа ПЭВМ (АС). Разграничение доступа пользователей к ресурсам компьютера реализуется программой ACRUN, которая использует параметры доступа, подготовленные администратором безопасности с помощью редактора ПРД.
Приложение 1.
Файл C:\ACCORD\ACCORD.INI – файл конфигурации СЗИ НСД «Аккорд»тм
Описание параметров, задаваемых в файле accord.ini, которые могут быть изменены администратором СЗИ или субъектом с правами администратора:
[Common]
TmPageNo – страница ТМ, в которой хранится секретный ключ пользователя
Hardware – типы поддерживаемых контроллеров (для Windows 9x)
aciadrv.exe – файл подсистемы ввода/вывода (для Windows 9x)
[ACRUN] (для Windows 9x)
DosScreenSaver – файл Screen Saver для DOS
Umb – использование umb
Значения:
Yes – использовать umb.
No – не использовать umb.
[ACED]
PRDType – тип правил разграничения доступа
Значения:
New – новые правила разграничения доступа*.
Old – старые правила разграничения доступа.
* Для Windows NT используются только новые
UseAmdzBase – использование АМДЗ
Значения:
Yes – АМДЗ используется.
No – АМДЗ не используется.
UseNTBase – синхронизация с БД пользователей NT.
Значения:
Yes – используется.
No – не используется.
MandatoryAccess – использование мандатного метода разграничения доступа
Значения:
Yes – используется.
No – не используется.
CheckProcess – использование динамического контроля исполняемых файлов
Значения:
Yes – используется.
No – не используется.
OnlyGroupMandatory – использовать в качестве мандатных ПРД описание группы
Значения:
Yes – используется.
No – не используется.
[Windows]
LoadWinVxD – загрузка монитора разграничения доступа под Windows 9x.
Значения:
Yes – загружать монитор разграничения доступа.
No – не загружать монитор разграничения доступа.
DisableUpdateHash – обновление хэш с помощью Vxd.
Значения:
Yes – выключено.
No – включено.
[MANDATORY] - описание уровней доступа
Level0=Общедоступно
Level1=Для бухгалтерии
Level2=Конфиденциально
Level3=Секретно
Level4=Совершенно секретно
;Level5=Уровень доступа 5
;Level6=Уровень доступа 6
;Level7=Уровень доступа 7
;Level8=Уровень доступа 8
;Level9=Уровень доступа 9
;Level10=Уровень доступа 10
;Level11=Уровень доступа 11
;Level12=Уровень доступа 12
;Level13=Уровень доступа 13
;Level14=Уровень доступа 14
;Level15=Уровень доступа 15
Параметры, задаваемые в файле accord.ini, но не описанные выше, изменять не рекомендуется.
1 команде <Выход> в подменю <Файл> соответствуют клавиши <Alt+X>.
-
№ изменения
Подпись отв. лица
Дата внесения изм.