- •Оглавление
- •Введение
- •Установка, переустановка и удаление системы защиты
- •Назначение
- •Подготовка компьютера к установке Secret Net 9x
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Временное отключение системы защиты
- •Удаление системы защиты
- •Общие принципы настройки и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Порядок и особенности настройки системы
- •Средства управления
- •Консоль системы защиты
- •Средства управления общими параметрами системы
- •Средства управления свойствами пользователя
- •Средства управления доступом к дискам, каталогам и файлам
- •Аппаратные средства поддержки Secret Net 9x
- •Установка устройства
- •Настройка устройства
- •Отключение устройства
- •Управление пользователями и группами
- •Администратор безопасности компьютера
- •Пользователи
- •Предоставление привилегий
- •Ограничение времени работы пользователя
- •Группы пользователей
- •Свойства группы
- •Состав группы
- •Настройка механизмов контроля входа
- •Настройка общих параметров входа
- •Управление паролями
- •Общие параметры пароля
- •Правила определения пароля
- •Настройка индивидуальных параметров входа
- •Настройка параметров аутентификации пользователя
- •Смена пароля пользователя
- •Управление блокировкой пользователя
- •Персональные идентификаторы
- •Управление персональными системными файлами пользователя
- •Запреты работы при изменении конфигурации компьютера
- •Настройка механизмов управления доступом и защиты ресурсов
- •Удаленный контроль
- •Полномочное управление доступом
- •Включение и настройка режима
- •Просмотр информации о правах пользователя
- •Определение категории конфиденциальности дисков и каталогов
- •Правила работы с конфиденциальными документами
- •Отключение режима
- •Настройка хранителя экрана
- •Замкнутая программная среда
- •Настройка регистрации событий
- •Корректировка UEL-списка по умолчанию
- •Включение и настройка режима работы замкнутой среды для пользователя
- •Корректировка UEL-списка
- •Настройка замкнутой среды
- •Включение дополнительных механизмов защиты
- •Ограничение доступа к локальным ресурсам
- •Разграничение доступа пользователей к USB - портам компьютера
- •Ограничение доступа к сетевым ресурсам
- •Ограничение доступа к системным ресурсам
- •Криптографическая защита информации
- •Включение режима и управление шифрованием ресурсов
- •Управление списком зашифрованных ресурсов
- •Выключение режима
- •Затирание удаляемой информации
- •Управление доступом к дискам, каталогам и файлам
- •Общие сведения
- •Определение атрибутов по умолчанию для пользователя
- •Управление доступом к ресурсам в программе Проводник
- •Управление доступом пользователей к дискам
- •Управление доступом пользователей к каталогам
- •Управление доступом пользователей к файлам
- •Управление атрибутами помощью программы IMAGE32
- •Настройка параметров IMAGE32
- •Управление атрибутами в режиме "Диалог"
- •Управление атрибутами в режиме "Файлы"
- •Специальные возможности программы Image32
- •Настройка механизмов контроля и регистрации
- •Контроль целостности
- •Создание списка ресурсов
- •Изменение свойств списка ресурсов
- •Удаление списка ресурсов
- •Управление составом списка ресурсов
- •Формирование задания
- •Управление заданиями
- •Пересчет контролируемых параметров
- •Регистрация событий
- •Настройка общих параметров
- •Настройка режима регистрации событий для пользователя
- •Работа с журналом регистрации событий
- •Формирование запроса
- •Настройка основных параметров запроса
- •Настройка дополнительных параметров запроса
- •Формирование запроса с помощью шаблонов
- •Формирование запроса с помощью шаблонов из программы Проводник
- •Работа с программой просмотра журнала
- •Интерфейс программы просмотра журнала
- •Просмотр информации о событии
- •Поиск записей, содержащихся в выборке
- •"Подзапрос" к системному журналу
- •Печать отдельных записей и всего журнала
- •Очистка журнала
- •Преобразование записей журнала в файлы различных форматов
- •Приложение
- •Параметры установки Secret Net 9x
- •Порядок использования файла с атрибутами при установке системы
- •Параметры установки Secret Net 9x
- •Информация о состоянии и настройках Secret Net 9x
- •Параметры настройки. Краткие сведения
- •Общие параметры системы
- •Параметры настройки свойств пользователя
- •Привилегии пользователя
- •Привилегии на работу с системой
- •Привилегии на администрирование системы
- •Ограничения Windows 9х
- •Печать документов с грифом конфиденциальности
- •Печать в Microsoft Word
- •Печать в SnetWPad
- •Текстовый редактор SnEdit
- •Перечень функций редактора
- •Цветовая индикация записей
- •Структура файлов для замкнутой программной среды
- •Средства аппаратной поддержки системы защиты
- •Установка платы Secret Net Card
- •Установка платы Secret Net TM Card
- •Установка сетевой платы с микросхемой Secret Net ROM BIOS
- •Установка платы Электронный замок "Соболь"
- •Установка и настройка считывателя eToken
- •Элементы интерфейса и приемы работы
- •Элементы интерфейса и типовые приемы работы
- •Терминологический справочник
- •Предметный указатель
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Система Secret Net 9x располагает рядом механизмов разграничения доступа пользователей к ресурсам компьютера, что позволяет организовать эффективную совместную работу пользователей и обеспечить надежную защиту ресурсов компьютера от несанкционированного доступа.
Внимание! Управление доступом пользователей к дискам, каталогам и файлам с использованием системы атрибутов Secret Net 9x подробно описано в Главе 6.
Удаленный контроль
Средства централизованного управления системой Secret Net позволяют удаленно контролировать другие компьютеры, на которых установлено клиентское программное обеспечение. В свою очередь средствами локального управления Secret Net 9x можно запретить или разрешить контроль с другого компьютера. Сделать это может пользователь, которому средствами централизованного управления предоставлена привилегия "Разрешить изменение режима удаленного управления".
Подробное описание средств удаленного контроля содержится в документе "Система защиты Secret Net. Подсистема управления. Руководство по администрированию. Книга вторая", содержащем сведения о работе с программой "Монитор".
Для настройки параметров:
1. Вызовите на экран окно управления общими параметрами.
2.Активизируйте диалог “Режимы” (см. Рис.39).
3.В группе полей "Удаленный контроль" установите отметку в поле:
•"Запрещен" – чтобы запретить просмотр с другого компьютера содержимого экрана данного компьютера;
•"Разрешен просмотр экрана" – чтобы разрешить просмотр содержимого экрана данного компьютера.
4.Нажмите кнопку "ОК".
Полномочное управление доступом
Система Secret Net 9x включает в свой состав средства, позволяющие организовать полномочное управление доступом пользователей к ресурсам файловой системы компьютера.
Примечание. Включение, настройка и отключение режима полномочного управления доступом может осуществляться как средствами локального управления, так и средствами централизованного управления системой Secret Net.
При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных и подключенных сетевых дисках компьютера, назначается категория конфиденциальности. Категории конфиденциальности соответствует уровень доступа к конфиденциальной информации, устанавливаемый для пользователей компьютера.
Наименование категорий конфиденциальности, которые можно присвоить ресурсам, содержится в файле CATEGORY.DAT. Файл SLIST.DAT содержит список каталогов, которым присвоена категория конфиденциальности “Конфиденциально”, файл SSLIST.DAT - список каталогов, которым присвоена категория конфиденциальности “Строго конфиденциально”. Эти файлы создаются при установке системы Secret Net 9x на компьютер и размещаются в каталоге C:\-SNET-.
59
Secret Net 4.0. Руководство по администрированию
Для изменения содержания конфигурационных файлов:
1. Вызовите на экран окно управления общими параметрами Secret Net 9x. 2. Активизируйте диалог “Дополнительно”:
Перечень и краткое описание конфигурационных файлов, общих для всех пользователей компьютера
Рис.38 Диалог "Дополнительно"
3.Чтобы посмотреть или изменить содержание любого конфигурационного файла, выполните одно из следующих действий:
•подведите курсор мыши к строке таблицы, содержащей имя файла, и дважды нажмите левую кнопку мыши;
•выберите строку с именем этого файла и нажмите кнопку "Редактировать".
На экране появится окно текстового редактора SnEdit, в котором будет открыт выбранный для изменения конфигурационный файл.
4.Отредактируйте нужным образом содержание файла.
Примечание.
•Порядок редактирования текста в редакторе SnEdit соответствует порядку, принятому в большинстве текстовых редакторов Windows.
•Файл CATEGORY.DAT (наименование категорий конфиденциальности) доступен только для просмотра. Редактирование файла осуществляется средствами централизованного управления системой Secret Net.
При редактировании файлов SLIST.DAT или SSLIST.DAT:
•добавьте имена каталогов (включая полный путь к ним), которым требуется присвоить соответствующую категорию конфиденциальности;
•удалите строки с именами каталогов, открыв тем самым доступ к ним для пользователей, не имеющих допуска к конфиденциальной информации.
Примечание. Содержание файлов SLIST.DAT и SSLIST.DAT может быть изменено автоматически системой защиты. Это происходит при определении категории конфиденциальности дисков и каталогов штатными средствами управления (см. стр.63).
5.Завершив редактирование, сохраните внесенные изменения и закройте окно редактора SnEdit.
6.Закройте окно управления общими параметрами с сохранением изменений.
60
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Включение и настройка режима
Включение и настройка режима полномочного управления доступом осуществляется в окне управления общими параметрами системы защиты.
Для настройки режима полномочного управления доступом:
1. Вызовите на экран окно управления общими параметрами. 2. Активизируйте диалог “Режимы”:
Установите отметку в |
|
|
|
|
этом поле, чтобы |
|
|
|
|
включить режим |
|
|
|
|
полномочного |
|
|
|
|
управления доступом |
|
|
|
|
|
|
|
|
Укажите |
|
|
|
|
необходимые |
Данная группа полей |
|
|
|
значения |
|
|
|
параметров |
|
позволяет установить |
|
Нажмите эту кнопку, |
||
режим удаленного |
|
|||
контроля |
|
чтобы посмотреть |
||
|
|
шаблоны грифа |
||
|
|
|||
|
|
конфиденциальности |
|
|
Рис.39 Диалог "Режимы" (настройка общих параметров) |
Включение |
3. Поставьте отметку в поле “Полномочное управление доступом”. |
|
полномочного |
|
При установке отметки поля выключателей, с помощью которых осуществляется |
управления |
|
|
доступом |
|
дополнительная настройка режима, становятся доступными для изменений. |
|
|
Внимание! Включение и выключение режима полномочного управления дос- |
|
|
тупом осуществляется без перезагрузки компьютера. |
Контрольпотоков 4. Установите отметку в поле “Контроль потоков данных”, чтобы разрешить систе- данных ме защиты контролировать потоки данных приложений, работающих с конфи-
денциальной информацией.
Контроль буфера обмена
Пояснение. Контроль потоков конфиденциальных данных осуществляется следующим образом. Если в приложении, например MS Word, был открыт конфиденциальный файл, то этому приложению, вплоть до его завершения, запрещается открывать на запись или создавать файлы в каталогах, категория конфиденциальности которых ниже, чем у открытого ранее конфиденциального файла. Любым приложениям запрещается копировать (сохранять) файлы в каталоги с более низким уровнем конфиденциальности.
5.Если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое, поставьте отметку в поле “Контроль буфера обмена”.
Пояснение. При установке этого режима вставка конфиденциальных данных из буфера обмена в документ более низкого уровня конфиденциальности запрещается. Документу, в который копируется конфиденциальная информация, и приложению, в котором открыт документ, автоматически присваивается уровень конфиденциальности данных из буфера обмена. Этот документ не может быть сохранен в каталоги с более низким уровнем конфиденциальности.
61
Secret Net 4.0. Руководство по администрированию
Контроль печати 6. Установите отметку в поле "Контроль печати"10, для включения режима, обеспечивающего:
•печать конфиденциальных документов только средствами редактора MS Word (версии 8.0 и выше) или редактора SnetWPad, входящего в комплект поставки системы Secret Net 9x;
См. также. Печать документов с грифом конфиденциальности на стр.147.
•вывод грифа конфиденциальности на каждой странице печатаемого документа.
7.Чтобы посмотреть шаблоны грифа конфиденциальности, нажмите кнопку "Гриф", которая станет активной при установке отметки в поле "Контроль печати".
На экране появится окно редактора MS Word, в котором будет открыт специальный файл шаблонов грифа конфиденциальности с именем STAMP.RTF, содержащийся в каталоге C:\-SNET-. Посмотрев интересующую Вас информацию, закройте текстовый редактор MS Word.
Примечание. Изменение шаблонов грифа конфиденциальности осуществляется средствами централизованного управления системой Secret Net.
8.Закройте окно управления общими параметрами с сохранением изменений.
Просмотр информации о правах пользователя
Внимание! Управление допуском пользователей к конфиденциальным данным и предоставление им привилегий группы "Категории конфиденциальности ресурсов" осуществляется средствами централизованного управления Secret Net. См. документ “Система защиты Secret Net. Подсистема управления. Руководство по администрированию. Книга первая”.
Для просмотра информации:
1. Вызовите на экран окно управления свойствами пользователя.
Поле “Уровень допуска” в группе полей "Общие сведения" отображает уровень допуска пользователя (сотрудника, сопоставленного данному пользователю) к конфиденциальным данным.
Это поле может содержать одно из трех возможных значений, соответствующих трем категориям конфиденциальности информации.
•Отсутствует - у пользователя нет допуска к конфиденциальной информации;
•Конфиденциально - пользователь имеет допуск к информации, хранящейся в каталогах, которые отмечены как конфиденциальные;
•Строго конфиденциально - пользователь имеет допуск к информации, хранящейся в каталогах, которые отмечены как конфиденциальные и строго конфиденциальные.
Эти названия уровня допуска предлагаются системой по умолчанию и могут быть изменены средствами централизованного управления.
2.Активизируйте диалог “Привилегии”.
3.В списке "Привилегии на администрирование системы" откройте группу привилегий "Категории конфиденциальности ресурсов" (см. Табл.25).
См. также. Запрет вывода конфиденциальной информации на дискеты в Табл.18 на стр.139.
10 Если отметка не установлена – для печати конфиденциальных документов могут использоваться любые приложения.
62