- •Оглавление
- •Введение
- •Установка и удаление системы защиты
- •Подготовка компьютера к установке
- •Требования к аппаратному и программному обеспечению
- •Предварительная подготовка
- •Установка системы защиты
- •Переустановка системы защиты
- •Удаление системы защиты
- •Общие принципы настройки системы и управление объектами
- •Общие принципы
- •Архитектура системы и организация управления
- •Объекты управления
- •Особенности настройки
- •Средства управления
- •Элементы интерфейса, используемые для вызова средств управления
- •Консоль системы защиты
- •Средства управления параметрами работы компьютера
- •Средства управления свойствами пользователя
- •Средства управления свойствами группы пользователей
- •Средства управления свойствами ресурсов
- •Управление группами пользователей
- •Просмотр информации о группах пользователей
- •Добавление доменной группы пользователей
- •Создание локальной группы пользователей
- •Удаление группы пользователей
- •Управление составом локальной группы пользователей
- •Включение доменной группы в состав локальной группы
- •Исключение доменной группы из состава локальной группы
- •Включение пользователя в состав локальной группы
- •Исключение пользователя из состава локальной группы
- •Предоставление привилегий группе пользователей
- •Управление пользователями
- •Получение информации о пользователях компьютера
- •Просмотр сведений о составе пользователей компьютера
- •Просмотр перечня групп, в которые входит пользователь
- •Управление составом пользователей компьютера
- •Включение доменного пользователя в состав пользователей компьютера
- •Удаление пользователя из состава пользователей компьютера
- •Предоставление привилегий и управление другими свойствами
- •Предоставление привилегий путем включения пользователя в группу
- •Непосредственное предоставление привилегий
- •Управление другими свойствами пользователей
- •Настройка механизмов контроля входа
- •Пароль
- •Учетная запись
- •Аппаратные средства идентификации и аутентификации
- •Подключение устройства
- •Настройка устройства
- •Настройка порта ввода/вывода
- •Персональные идентификаторы
- •Контроль входа локальных пользователей
- •Изменение параметров пароля
- •Изменение пароля пользователя
- •Изменение состояния и параметров учетной записи
- •Персональные идентификаторы
- •Временная блокировка компьютера
- •Настройка параметров блокировки
- •Снятие блокировки
- •Настройка механизмов управления доступом и защиты ресурсов
- •Механизмы разграничения доступа
- •Полномочное управление доступом
- •Управление режимом работы
- •Просмотр уровня допуска пользователя
- •Указание категории конфиденциальности ресурса
- •Работа с конфиденциальными документами
- •Замкнутая программная среда
- •Порядок настройки
- •Включение механизма замкнутой программной среды на компьютере
- •Настройка регистрации событий
- •Настройка режима работы замкнутой среды для пользователей
- •Формирование UEL-списка пользователя
- •Корректировка параметров замкнутой среды
- •Доступ к дискам и портам
- •Включение и настройка механизма разграничения доступа к дискам и портам
- •Предоставление прав доступа
- •Управление режимами
- •Затирание данных
- •Настройка механизмов контроля и регистрации
- •Регистрация событий
- •Настройка параметров журнала безопасности
- •Настройка общего перечня регистрируемых событий
- •Дополнительный аудит
- •Настройка персонального перечня регистрируемых событий
- •Контроль целостности
- •Подготовка механизма контроля целостности к работе
- •Настройка заданий
- •Управление заданиями
- •Анализ нарушений и восстановление ресурсов
- •Удаленный контроль
- •Усиление защищенности
- •Запреты и ограничения
- •Общие запреты и ограничения
- •Персональные запреты и ограничения
- •Работа с журналом безопасности
- •Программа просмотра журнала безопасности
- •Интерфейс программы просмотра журнала
- •Управление положением и размером окон
- •Типовые операции при работе с журналом
- •Обновление записей в окне просмотра
- •Сортировка записей
- •Изменение состава и порядка отображения полей
- •Печать записей журнала
- •Очистка журнала
- •Сохранение записей журнала в файле
- •Поиск нужной записи
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу в системе
- •Привилегии на администрирование системы
- •Запреты и ограничения
- •Формат UEL-файла для пользователя
- •Типы контролируемых ресурсов
- •Атрибуты доступа
- •Атрибуты доступа к дискам
- •Консоль системы защиты
- •Элементы интерфейса и приемы работы. Терминология
- •Термины, используемые для описания работы с мышью
- •Элементы интерфейса и типовые приемы работы
- •Специальные приемы работы
- •Терминологический справочник
- •Документация
- •Предметный указатель
Secret Net 2000. Руководство по администрированию
При нажатии кнопок "OK" или "Применить" запускается процедура перерасчета контролируемых параметров, в результате чего текущее состояние параметров ресурсов фиксируется в БД контроля целостности и принимается за эталонное.
Для удаления ресурса из списка:
1. В диалоге "Контроль целостности" выберите в списке ресурс и вызовите команду "Удалить" из контекстного меню кнопки "Ресурс" или из контекстного меню таблицы ресурсов (или нажав клавишу <Delete>).
2.В появившемся запросе на удаление нажмите кнопку "Да". Выбранный ресурс будет удален из списка.
Для удаления списка ресурсов:
1. В диалоге "Контроль целостности" выберите список, который необходимо удалить, и нажмите кнопку"Удалить список ресурсов".
Появится предупреждающее сообщение.
2.Нажмите кнопку "Да" для подтверждения удаления. Выбранный список ресурсов будет удален.
Внимание! Нельзя удалить список ресурсов, созданный средствами централизованного администрирования и поступивший с сервера безопасности.
Настройка заданий
Настройка задания и составление расписания выполняются для списка ресурсов.
Для настройки задания и составления расписания:
1. В диалоге "Контроль целостности" (см. Рис. 37) выберите список ресурсов, нажмите кнопку "Задание" и активируйте в меню команду "Добавить задание".
Введите название задания
Введите комментарий к заданию
Выберите тип контролируемых данных
Для типа "Содержимое объекта" выберите алгоритм из списка
Для пересчета контрольных сумм поставьте отметку
Рис. 38. Параметры задания
98
Глава 7. Настройка механизмов контроля и регистрации
2.Настройте параметры задания в диалоге "Общие":
•Введите название задания и комментарий к нему. В названии задания рекомендуется отразить его краткое содержание, чтобы в дальнейшем задания можно было различать по названию.
•Выберите тип контролируемых данных, т.е. контролируемые параметры (характеристики) ресурсов. При этом значение в поле "Алгоритм проверки" устанавливается автоматически в зависимости от выбранного типа контролируемых данных. Исключение составляет тип данных "содержимое объекта", для которого алгоритм проверки выбирается из списка.
Тип контролируемых данных |
Что проверяется |
Содержимое объекта |
Целостность содержимого ресурсов |
Атрибуты объекта |
Стандартные атрибуты, установленные для ре- |
|
сурсов |
Список доступа |
Атрибуты доступа Windows 2000 (дескриптор |
|
безопасности), установленные для ресурсов |
Существование объектов |
Существования ресурсов |
При выборе типа контролируемых данных необходимо иметь в виду, что проверка будет выполняться только для определенных типов ресурсов. Сведения о применимости алгоритмов проверки для каждого из типов ресурсов в зависимости от выбранного типа контролируемых данных приведены в Табл. 20 на стр. 134.
•Отметьте с помощью переключателей желаемую реакцию системы защиты на результат выполнения контроля в случае успеха и в случае неудачи (отказа).
Регистрировать |
Результаты выполнения задания регистрируются в жур- |
завершение задания |
нале безопасности |
Регистрировать |
Результаты контроля каждого элемента задания (ресурса) |
результат проверки |
регистрируются в журнале безопасности |
элементов |
|
Запросить |
При нарушении целостности компьютер будет заблокиро- |
блокировку |
ван, если в настройках свойств пользователя задан пара- |
компьютера |
метр "Запрет работы при нарушении целостности" |
Восстановить |
При нарушении целостности контролируемых ресурсов |
значение объекта |
текущие значения контролируемых параметров (атрибуты |
|
объекта, список доступа, содержимое объекта при выпол- |
|
нении сравнения содержимого) устанавливаютсяравными |
|
эталонным значениям. |
Принять значение |
При нарушении целостности контролируемых ресурсов |
объекта как образец |
новые значения контролируемых параметров, полученные |
|
в ходе проверки, становятся эталонными. |
Пересчитать задание |
Однократно выполняется пересчет задания. Полученные |
|
новые значения контролируемых параметров становятся |
|
эталонными. |
Для того чтобы в журнале безопасности можно было анализировать события, связанные с нарушением целостности ресурсов, поставьте отметки в колонке "Отказ" для действий "Регистрировать завершение задания" и "Регистрировать результат проверки элементов".
3. Перейдите к диалогу "Расписание" и составьте расписание контроля.
99
Secret Net 2000. Руководство по администрированию
Укажите
периодичность контроля в течение суток. Отсчет начинается с нулевого часа. Можно задать период, а можно и непосредственно ввести конкретные значения
С помощью переключателей верхней части диалога укажите, когда система защиты должна контролировать целостность ресурсов. Срочный контроль проводится немедленно после того, как в диалоге настройки общих параметров будет нажата кнопка "OК" или "Применить"
Таблица средней части диалога позволяет сформировать календарный план проведения контроля
Интервал – это периодичность проведения контроля в течение часа. Если значение не указано, контроль выполняется в начале часа
Рис. 39. Составление расписания
•Переключатели в верхней части диалога позволяют указать, на каком этапе своей работы система защиты должна контролировать целостность ресурсов.
Обратите внимание! Срочный контроль проводится немедленно после того, как в диалоге настройки общих параметров будет нажата кнопка "OK" или "Применить".
•Таблица средней части диалога позволяет сформировать календарный план проведения контроля.
Работа с календарем. Если нужно отметить одну ячейку, установите на нее курсор и нажмите левую кнопку мыши – ячейка изменит свой цвет на зеленый. Если нужно отметить прямоугольную группу ячеек, сначала выделите ее. Для этого нажмите угловую ячейку группы и, удерживая нажатой левую кнопку мыши, перетащите курсор к противоположному углу группы. Выделенная группа изменит свой цвет на синий цвет. Затем нажмите на клавишу пробел, и синий цвет сменится на зеленый. Для того чтобы снять отметки нужно повторить те же действия еще раз.
•В нижней части диалога в группе полей "Учет временных параметров" можно указать периодичность контроля в течение суток.
Часы контроля. Введите или выберите из раскрывающегося списка значение периодичности контроля в течение суток. Следует иметь в виду, что отсчет начинается с нулевого часа. Поэтому, если вы установите значение 4, что означает – "проводить контроль каждый четвертый час", контроль будет проводиться в 0, 3, 7, 11, и т.д. Часы контроля можно задать, не только указав периодичность, но и непосредственно введя конкретные значения. Например, если вы введете следующую строку: 2, 7-9, 16-18, 21, то контроль будет проведен в 2, 7, 8, 9, 16, 17, 18 и 21 час.
Интервал. Укажите периодичность контроля в течение часа контроля. Если значение не указано, контроль выполняется в начале часа один раз. Так, например, если контроль должен проводиться в 7 часов, а в поле "Интервал" указано значение 10, то процесс контроля первый раз начнется в 7 часов 00 минут, а затем будет повторяться каждые 10 минут в течение этого часа.
4.Нажмите кнопку "OK".
100
Глава 7. Настройка механизмов контроля и регистрации
Программа вернется к диалогу "Контроль целостности" (см. Рис. 37 на стр. 96). В списке ресурсов диалога появится новый столбец, соответствующий сформированному заданию.
По умолчанию задание имеет статус "включено", т.е. контролю подлежит целостность всех ресурсов, входящих в список. Об этом свидетельствуют отметки в ячейках столбца задания.
Затененная ячейка в столбце задания означает, что для данного ресурса и указанного в задании типаконтролируемыхданныхпроверканепредусмотрена.
Если необходимо, сформируйте другие задания для данного списка ресурсов.
5.Для завершения настройки задания (или заданий) нажмите кнопку "OK" или "Применить". При этом выполняется пересчет контролируемых параметров и обновление их эталонных значений для всех сформированных заданий данного списка ресурсов.
Управление заданиями
После того как для списка ресурсов сформированы задания контроля целостности, имеется возможность изменять настройки: редактировать параметры заданий (кроме заданий, поступивших от сервера безопасности), удалять и добавлять новые задания и ресурсы.
Редактирование параметров задания заключается в изменении реакции системы на результат проверки и изменении расписания ее выполнения.
Кроме того, имеется возможность выключать или повторно включать задания без изменения их параметров. Выключать и включать задания можно как для всего списка, так и для отдельных входящих в него ресурсов.
Для изменения параметров задания:
1. Вызовите окно настройки общих параметров, перейдите к диалогу "Контроль целостности" и выберите список ресурсов:
Чтобы узнать название задания, совместите курсор мыши с кнопкой-заголовком – название появится во всплывающем окне
Нажмите на кнопку заголовок, чтобы включить или отключить задание для всего списка ресурсов
Нажмите на кнопке-заголовке правую кнопку мыши, чтобы вызвать контекстное меню и перейти к редактированию задания
Чтобы включить (активировать) для ресурса задание установите отметку в ячейке
Нажмите на эту кнопку и в открывшемся меню выберите нужное задание и перейдите к его редактированию
Рис. 40. Настройка заданий
101
Secret Net 2000. Руководство по администрированию
Колонки таблицы ресурсов, начиная со второй, соответствуют заданиям контроля целостности. Заголовки столбцов одновременно являются и кнопками. Пиктограммы кнопок-заголовков соответствуют типам контролируемых данных:
– содержание объекта, |
– атрибуты объекта, |
– список доступа, |
– существование объекта. |
Совет. Чтобы узнать название задания, совместите курсор мыши с кнопкой-заголовком соответствующейколонкитаблицы– названиезаданияотобразитсявовсплывающейподсказке.
Выключение и включение заданий
Корректировка
эталонных
значений
2.Для добавления и удаления задания используйте соответствующий пункт меню, которое можно открыть нажатием кнопки "Задание" или нажатием правой кнопки мыши на кнопке-заголовке задания.
3.Если необходимо отредактировать параметры задания, вызовите окно "Контроль целостности" одним из следующих способов:
•Вызовите контекстное меню к кнопке-заголовку и выберите пункт "Изменить".
•Нажмите на кнопку "Задание", в появившемся меню выберите название задания, а во вторичном меню – команду "Свойства".
Измените параметры задания или откорректируйте расписание (см. стр. 98). 4. Нажмите кнопку "OK" в окне настройки общих параметров.
Задание можно выключить для всего списка ресурсов или выборочно для отдельных ресурсов, входящих в список. Если задание выключено для всего списка, это означает, что ни один из ресурсов списка не будет проверяться на целостность. Если задание выключено для отдельных ресурсов, это означает, что целостность именно этих ресурсов проверяться не будет.
Для выключения/включения задания:
1. Вызовите окно настройки общих параметров, перейдите к диалогу "Контроль целостности" и выберите список ресурсов (см. Рис. 40).
2.Чтобы выключить или включить (активировать) задание для ресурса, удалите или установите отметку в ячейке на пересечении строки, содержащей информацию о ресурсе, и столбца, соответствующего заданию контроля.
Чтобы выключить или включить задание для всего списка ресурсов, нажмите кнопку-заголовок этого задания.
Совет. Для включения и выключения задания контроля целостности для всего списка ресурсов можноиспользоватьменю, котороевызываетсяпринажатиикнопки"Задание".
3.Нажмите кнопку "OK" или "Применить".
Определение и фиксация эталонных значений контролируемых параметров выполняются автоматически после изменения списка ресурсов или заданий в момент нажатия в диалоге "Контроль целостности" кнопки "OK" или "Применить".
Если в параметры или атрибуты контролируемого ресурса вносятся изменения, то следует помнить, что это может повлечь за собой несовпадение эталонного и текущего состояний такого ресурса. В этом случае необходимо выполнить корректировку эталонных значений, иначе в системе будет зафиксировано нарушение целостности контролируемого ресурса.
Для корректировки эталонных значений:
1. Выберите список ресурсов, для которого необходимо откорректировать эталонные значения параметров (см. Рис. 37 на стр. 96).
102