Вы находитесь на странице: 1из 4

Дополнения к Release Notes

система защиты Secret Net 2000 версии 4.00.43.0

Данный документ содержит описание особенностей управления политиками и привилегиями, а также


рекомендации по управлению этими параметрами в системе Secret Net 2000 версии 4.00.43.0.

Особенности работы с политиками и привилегиями

При использовании системы Secret Net 2000 необходимо учитывать особенности управления
следующими параметрами безопасности домена Windows 2000:
 Политики учетных записей (Account Policies) – Политика паролей (Password Policy) и Политика
блокировки учетной записи (Account Lockout Policy);
 Политика аудита (Audit Policy);
 Назначение прав пользователя (User Rights Assignment) – привилегии пользователей и групп;
 Параметры безопасности (Security Options).
Управление этими параметрами осуществляется с помощью четырех различных средств управления:
 средства централизованного управления Secret Net (только при использовании сетевого
варианта системы Secret Net);
 средства локального управления Secret Net 2000;
 средства управления Active Directory в рамках домена Windows 2000 – Default Domain Policy
(Политика безопасности домена) и Default Domain Controller Policy (Политика безопасности
контроллера домена);
 средства локального управления ОС Windows 2000 – Локальная политика безопасности.
При выборе средств управления предпочтение нужно отдавать средствам централизованного и
локального управления Secret Net. В этом случае всеми особенностями управления, перечисленными в
данном разделе, можно пренебречь, но рекомендации следующего раздела следует соблюдать.
Политики учетных записей
В Secret Net 2000 работа с политиками учетных записей имеет следующие особенности.
1. Сетевой вариант Secret Net 2000.
 Используются единые параметры политик учетных записей на всех рабочих станциях, серверах
и контроллерах домена в рамках одного пространства имен (домена Windows 2000). Значения
параметров хранятся в ЦБД системы защиты на сервере безопасности, в локальной БД Secret
Net 2000 на каждом защищаемом компьютере и синхронизируются с аналогичными
параметрами Default Domain Policy, хранящимися в Active Directory.
 При изменении политик средствами централизованного управления Secret Net новые значения
параметров сохраняются в ЦБД, в Default Domain Policy и передаются на каждый защищаемый
компьютер, где сохраняются в локальной БД Secret Net 2000.
 При изменении политик средствами управления Default Domain Policy новые значения
параметров с помощью механизма обратной синхронизации поступают на сервер безопасности
и сохраняются в ЦБД, а затем передаются на каждый защищаемый компьютер, где
сохраняются в локальной БД Secret Net 2000.
 Изменить политики средствами локального управления Secret Net 2000 невозможно.
 При изменении политик на рабочей станции или сервере средствами локального управления
ОС выполняется автоматическое восстановление значений, хранящихся в локальной БД
Secret Net 2000.
2. Автономный вариант Secret Net 2000 (при использовании в домене Windows 2000).
 На рабочих станциях и серверах, за исключением контроллеров домена, параметры политик
учетных записей хранятся в локальной БД Secret Net 2000. При изменении параметров
средствами управления Default Domain Policy или средствами локального управления ОС на
защищаемом компьютере выполняется автоматическое восстановление значений,
хранящихся в локальной БД Secret Net 2000.
 На контроллерах домена действуют параметры политик, заданные Default Domain Policy. При
изменении параметров средствами управления Default Domain Policy новые значения
параметров сохраняются в локальной БД Secret Net 2000 на всех контроллерах домена.
Политика аудита
В Secret Net 2000 работа с политикой аудита имеет следующие особенности, одинаковые как для
сетевого, так и для автономного варианта.
 На рабочих станциях и серверах, за исключением контроллеров домена, управление политикой
аудита (в терминах Secret Net – параметры регистрации событий Windows) осуществляется
только средствами централизованного или локального управления Secret Net. При изменении
политики аудита средствами управления Default Domain Policy или средствами локального
управления ОС на защищаемом компьютере выполняется автоматическое восстановление
значений, хранящихся в локальной БД Secret Net 2000.
 На контроллерах домена не используется механизм управления политикой аудита на уровне
отдельных пользователей. Для всех контроллеров домена действуют параметры политики
аудита, установленные средствами централизованного или локального управления Secret Net,
или средствами управления Default Domain Controllers Policy для контроллера домена,
выполняющего функции PDC. Параметры распространяются на другие контроллеры домена в
результате применения политики Default Domain Controllers Policy.
Привилегии пользователей и групп
В Secret Net 2000 работа с привилегиями пользователей и групп имеет следующие особенности,
одинаковые как для сетевого, так и для автономного варианта.
 На рабочих станциях и серверах, за исключением контроллеров домена, имеется свой набор
привилегий пользователей и групп, который определяется локальной политикой безопасности
(Local Policy) и хранится в локальной БД Secret Net 2000. При изменении привилегий
средствами управления Default Domain Policy или средствами локального управления ОС на
защищаемом компьютере будет действовать новый набор привилегий, не соответствующий
значениям, хранящихся в локальной БД Secret Net 2000. Автоматическое восстановление
привилегий в данном случае не выполняется.
 На всех контроллерах домена набор привилегий пользователей и групп одинаков и
определяются политикой Default Domain Controllers Policy. Изменение набора привилегий
средствами централизованного или локального управления Secret Net возможно только для
контроллера домена, выполняющего функции PDC. Изменения распространяются на другие
контроллеры домена автоматически.

Рекомендации по управлению политиками и привилегиями

При использовании сетевого варианта Secret Net 2000 во избежание рассинхронизации значений
параметров политик и привилегий, хранящихся в ЦБД системы защиты, локальных БД Secret Net 2000 и
Active Directory, следуйте следующим рекомендациям. Данные рекомендации также нужно учитывать
при использовании автономного варианта Secret Net 2000 в доменной архитектуре.
1. Категорически не рекомендуется создавать и применять политики, отличные от стандартных,
присутствующих в домене Windows 2000 по умолчанию - Default Domain Policy (Политика
безопасности домена) и Default Domain Controller Policy (Политика безопасности контроллера
домена).
2. В стандартных политиках параметры должны быть настроены следующим образом:
Политики и привилегии Default Domain Policy Default Domain Controller Policy
Политики учетных записей Определены Не определены
(Account Policies)
Политика аудита (Audit Policy) Не определены Определены
Назначение прав пользователя Не определены Определены
(User Rights Assignment)
Параметры безопасности Не определены Не определены
(Security Options)

 "Определены" – группа параметров данной политики используется при синхронизации значений


с базами данных Secret Net.
 "Не определены" – синхронизация значений параметров не выполняется. Изменение
параметров этой группы может привести к рассинхронизации значений с базами данных Secret
Net. Рекомендуется перевести все параметры группы в состояние "Не задан".
3. Рекомендуется использовать для управления политиками и привилегиями только средства
централизованного и локального управления Secret Net.
При использовании автономного варианта Secret Net 2000 в доменной архитектуре рекомендуется на
всех защищаемых рабочих станциях и серверах (кроме контроллеров домена) устанавливать
одинаковые значения параметров локальных политик в соответствии со значениями, заданными
доменными политиками (Default Domain Policy). Если эта рекомендация не будет выполнена, тогда при
каждом применении доменных политик Secret Net 2000 будет восстанавливать значения, хранящиеся в
локальной БД, что приведет к появлению в журнале безопасности записей об изменении параметров
политик.

ЗАО НИП "ИНФОРМЗАЩИТА"


Почтовый адрес: 127018, Москва, а/я 55
Телефон: (7-095) 937-33-85
Факс: (7-095) 219-31-88
e-mail: hotline@infosec.ru
Web: http: // www.infosec.ru

Оценить