Secret Net 2000 Local / Release Notes
.docRelease Notes
автономный вариант системы защиты Secret Net 2000 версии 4.00.39.0
Данный документ содержит описание новых возможностей системы защиты, а также особенностей и ограничений, которые необходимо учитывать при эксплуатации системы.
Комплект поставки
Автономный вариант системы Secret Net 2000 поставляется на CD-ROM:
\Setup\ |
- дистрибутив Secret Net 2000 |
\Documentation\ |
- комплект документации в формате PDF |
\Tools\ |
- вспомогательные утилиты |
Изменения и новые возможности
1. Изменения в механизме замкнутой программной среды:
реализован контроль запуска DOS-приложений из DOS-приложений;
реализована поддержка префиксов рекурсивной обработки для ресурсов, заданных в UEL-списке с помощью масок;
сетевой путь, в котором указано имя подключенного к компьютеру сетевого диска, отображается в редакторе UEL как некорректная строка (использование такого формата в UEL не допускается – необходимо указывать полный сетевой путь).
2. Изменения в механизме полномочного управления доступом:
копирование конфиденциальных документов на сменный носитель с файловой системой NTFS рассматривается как вывод конфиденциальной информации и запрещается, если у пользователя нет такого права. Кроме того, на таких дисках нельзя присваивать файлам и каталогам категории конфиденциальности;
при печати конфиденциальных документов в поле ФИО грифа конфиденциальности передается значение параметра пользователя “Полное имя”.
3. Другие изменения:
программа установки не запрашивает пароль пользователя Windows 2000 и не выполняет автоматический вход пользователя в систему после установки Secret Net 2000;
изменены отображаемые названия устройств аппаратной поддержки;
при настройке COM-считывателя TouchMemory осуществляется проверка наличия в системе необходимых драйверов;
при попытке присвоить пользователю идентификатор администратора ЭЗ “Соболь” на экран выводится предупреждающее сообщение;
полный номер версии установленной системы Secret Net 2000 (например, 4.00.39.0) отображается в заголовке окна “О системе” (окно вызывается командой "О системе" из меню логотипа Secret Net на панели задач).
4. Решены следующие проблемы:
решена проблема с запуском исполняемых файлов, которым присвоена категория конфиденциальности;
устранены проблемы с настройкой устройства Secret Net TM Card при установке Secret Net 2000;
заблокирована возможность установки Secret Net 2000 на сетевой диск;
корректно обрабатывается попытка установки Secret Net 2000 на компьютер с Windows NT 4.0;
решена проблема совместной работы механизма полномочного разграничения доступа и антивируса DrWeb 4.28a.
Основные особенности и ограничения
1. Система Secret Net 2000 поддерживает работу с Active Directory только в режиме Mixed Mode.
Рекомендации: Перед установкой Secret Net 2000 необходимо перевести домен Windows 2000 в смешанный режим работы Active Directory – Mixed Mode.
2. Средства администрирования Secret Net 2000 управляют только локальной политикой безопасности рабочей станции. Если в домене Windows 2000 пользователям предоставляются привилегии средствами управления доменной политикой безопасности, эти привилегии будут иметь приоритет перед привилегиями локальной политики безопасности.
Рекомендации: Для того чтобы использовать схему управления привилегиями, принятую в Secret Net 2000, необходимо отказаться от управления привилегиями пользователей на уровне доменной политики безопасности в домене Windows 2000 (Group Policy Objects и Default Domain Policy).
3. При переименовании пользователя (группы) средствами Secret Net 2000 в ОС меняется параметр Pre-Windows2000 name. Это обстоятельство приводит к тому, что при создании нового пользователя ему нельзя присвоить имя, которое было присвоено другому пользователю до его переименования.
4. Если пароль пользователя хранится в персональном идентификаторе, то после смены пароля стандартными средствами Windows 2000 новый пароль не будет записан в идентификатор. Признак же “Пароль в идентификаторе” останется для персонального идентификатора установленным.
Рекомендации: Используйте для смены пароля пользователя только средства Secret Net.
5. При работе с файлом, длина полного имени которого близка к максимально допустимой длине (~250 символов), в журнале может быть зарегистрировано событие, содержащее неполный путь к файлу. В этом случае путь будет обрезан от начала строки (для того чтобы в журнале было зафиксировано имя модуля). В результате этого, например, при построении UEL по журналу, этот неполный путь попадет в UEL-список, что приведет к запрету запуска программы.
Рекомендации: В такой ситуации путь должен быть откорректирован вручную при редактировании UEL-списка администратором.
6. Если права на доступ к системному диску текущего пользователя соответствуют значению "Чтение и выполнение" (Read|Execute), то при запуске программы просмотра журнала происходит ее аварийное завершение.
Рекомендации: Предоставьте пользователю права доступа к системному диску “Полный доступ”.
7. Если включен режим контроля печати, вывод документа на печать с помощью команд контекстного меню программы Проводник запрещен.
Рекомендации: Для того чтобы распечатать конфиденциальный документ, его надо сначала открыть в MS Word.
8. Для настройки параметров замкнутой программной среды (в том числе, и для корректировки UEL-списка) пользователь должен не только обладать привилегиями на администрирование системы защиты, но и входить в группу локальных администраторов.
Рекомендации: Включите в группу локальных администраторов пользователя, в обязанности которого входит настройка замкнутой среды для других пользователей компьютера.
9. В Secret Net 2000 не используется режим замкнутой программной среды “Контролировать загрузку только NE-файлов”.
10. В жестком режиме работы замкнутой программной среды для запуска DOS-программы при помощи механизма Shortcut необходимо, чтобы UEL-список пользователя содержал и DOS-программу, и соответствующий PIF-файл.
Рекомендации: Добавьте в UEL-списки пользователей PIF-файлы, использующиеся для запуска DOS-приложений.
11. Не обнаруживается изъятие устройства аппаратной поддержки Secret Net TM Card ISA.
12. Если в системе установлен режим входа "Только по идентификатору" и в качестве устройства аппаратной поддержки используется Secret Net TM Card ISA, то после изъятия этого устройства из компьютера вход в систему будет возможен только в административном режиме.
ЗАО НИП "ИНФОРМЗАЩИТА"
Почтовый адрес: |
127018, Москва, а/я 55 |
Телефон: |
(7-095) 937-33-85 |
Факс: |
(7-095) 219-31-88 |
e-mail: |
hotline@infosec.ru |
Web: |
http: // www.infosec.ru |