Вы находитесь на странице: 1из 143

Н И П И Н Ф О Р М З А Щ И Т А

Система
защиты
информации

Secret Net 2000


Автономный вариант
Версия 4.0

Руководство
по администрированию

УВАЛ. 00300-46 92
© ЗАО НИП “ИНФОРМЗАЩИТА”, 2003. Все права защищены.
Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки программного обеспечения, и на него


распространяются все условия лицензионного соглашения. Без специального
письменного разрешения НИП “ИНФОРМЗАЩИТА” этот документ или его часть в
печатном или электронном виде не могут быть подвергнуты копированию и передаче
третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком


без специального уведомления, что не является нарушением обязательств по
отношению к пользователю со стороны НИП “ИНФОРМЗАЩИТА”.

Научно-инженерное предприятие
"ИНФОРМЗАЩИТА"

Почтовый адрес: 127018, Москва, а/я 55


Телефон: (7-095) 937-33-85
Факс: (7-095) 219-31-88
e-mail: hotline@infosec.ru
Web: http: // www.infosec.ru

Версия: 4.00.43.0 Последнее обновление: 25.03.03


Оглавление

Оглавление
Введение ......................................................................................................................................... 7
Глава 1. Установка, переустановка и удаление системы защиты..................................... 11
Подготовка компьютера к установке ............................................................................ 12
Требования к аппаратному и программному обеспечению .............................................. 12
Предварительная подготовка ............................................................................................. 12
Установка системы защиты........................................................................................... 13
Переустановка системы защиты .................................................................................. 17
Удаление системы защиты ........................................................................................... 18
Глава 2. Общие принципы управления................................................................................... 19
Общие положения .......................................................................................................... 20
Средства управления .................................................................................................... 21
Консоль системы защиты .................................................................................................... 21
Элементы интерфейса, используемые для вызова средств управления ....................... 21
Средства управления параметрами работы компьютера ................................................ 22
Средства управления свойствами пользователя.............................................................. 24
Средства управления свойствами группы пользователей ............................................... 25
Средства управления свойствами ресурсов...................................................................... 26
Шаблоны настроек ......................................................................................................... 27
Настройка общих параметров по шаблону ........................................................................ 27
Настройка свойств пользователя по шаблону................................................................... 29
Удаление дополнительных шаблонов настроек................................................................ 31
Переименование дополнительных шаблонов настроек ................................................... 32
Экспорт и импорт шаблонов настроек................................................................................ 32

Глава 3. Управление группами пользователей ..................................................................... 35


Просмотр информации о группах пользователей....................................................... 36
Добавление доменной группы пользователей ............................................................ 37
Создание локальной группы пользователей ............................................................... 38
Удаление группы пользователей.................................................................................. 38
Управление составом локальной группы пользователей .......................................... 38
Включение доменной группы в состав локальной группы ................................................ 39
Исключение доменной группы из состава локальной группы........................................... 39
Включение пользователя в состав локальной группы ...................................................... 40
Исключение пользователя из состава локальной группы ................................................ 41
Предоставление привилегий локальной группе пользователей ............................... 41
Глава 4. Управление пользователями .................................................................................... 43
Получение информации о пользователях компьютера.............................................. 44
Просмотр сведений о составе пользователей компьютера ............................................. 44
Просмотр перечня групп, в которые входит пользователь............................................... 44
Управление составом пользователей компьютера .................................................... 45
Создание локального пользователя................................................................................... 45
Переименование локального пользователя ...................................................................... 45
Включение доменного пользователя в состав пользователей компьютера ................... 45
Удаление пользователя из состава пользователей компьютера .................................... 46
Предоставление привилегий и управление другими свойствами ............................. 47
Непосредственное предоставление привилегий............................................................... 47
Управление другими свойствами пользователей.............................................................. 48

3
Оглавление

Глава 5. Настройка механизмов контроля входа ................................................................. 49


Учетные записи и пароли .............................................................................................. 50
Параметры блокировки учетной записи............................................................................. 50
Управление состоянием учетных записей ......................................................................... 51
Управление режимами использования пароля ................................................................. 52
Аппаратные средства идентификации и аутентификации......................................... 55
Подключение устройства .................................................................................................... 55
Настройка устройства.......................................................................................................... 55
Отключение устройства....................................................................................................... 57
Персональные идентификаторы......................................................................................... 58
Временная блокировка компьютера............................................................................. 61
Настройка параметров блокировки .................................................................................... 61
Снятие блокировки .............................................................................................................. 63

Глава 6. Настройка механизмов контроля и регистрации .................................................. 65


Регистрация событий..................................................................................................... 66
Настройка параметров журнала безопасности ................................................................. 66
Настройка общего перечня регистрируемых событий ...................................................... 67
Настройка персонального перечня регистрируемых событий ......................................... 68
Дополнительный аудит........................................................................................................ 69
Контроль целостности ................................................................................................... 70
Просмотр заданий контроля и их параметров................................................................... 70
Настройка заданий контроля .............................................................................................. 71
Управление заданиями........................................................................................................ 77
Корректировка настроек механизма контроля целостности............................................. 78
Корректировка эталонных значений................................................................................... 78
Анализ нарушений и восстановление ресурсов ................................................................ 79

Глава 7. Настройка механизмов управления доступом и защиты ресурсов .................. 81


Механизмы разграничения доступа ............................................................................. 82
Полномочное управление доступом ............................................................................ 82
Управление режимом работы ............................................................................................. 82
Управление уровнем допуска пользователя ..................................................................... 84
Управление категорией конфиденциальности ресурса .................................................... 85
Правила работы с конфиденциальными документами..................................................... 86
Настройка шаблонов грифа конфиденциальности ........................................................... 87
Печать конфиденциального документа из Microsoft Word ................................................ 89
Замкнутая программная среда ..................................................................................... 89
Порядок настройки............................................................................................................... 89
Включение механизма замкнутой программной среды на компьютере .......................... 90
Настройка регистрации событий ........................................................................................ 91
Включение и настройка режима работы замкнутой среды для пользователя................ 93
Формирование списка разрешенных для запуска программ ............................................ 94
Корректировка параметров замкнутой среды.................................................................... 96
Доступ к дискам и портам.............................................................................................. 99
Включение механизма разграничения доступа к дискам и портам.................................. 99
Предоставление прав доступа.......................................................................................... 100
Управление режимами ...................................................................................................... 100
Затирание данных........................................................................................................ 101
Глава 8. Усиление защищенности .......................................................................................... 105
Запреты и ограничения................................................................................................ 106
Общие запреты и ограничения ......................................................................................... 106
Персональные запреты и ограничения ............................................................................ 107

4
Оглавление

Глава 9. Работа с журналом безопасности .......................................................................... 109


Программа просмотра журнала .................................................................................. 110
Интерфейс программы просмотра журналов .................................................................. 111
Управление положением и размером окон...................................................................... 112
Типовые операции при работе с журналом ............................................................... 114
Обновление записей в окне просмотра событий............................................................. 114
Сортировка записей........................................................................................................... 115
Изменение состава и порядка отображения характеристик........................................... 115
Печать записей журнала ................................................................................................... 117
Очистка журнала................................................................................................................ 118
Сохранение записей журнала в файле ............................................................................ 118
Поиск нужной записи ......................................................................................................... 119

Приложение ................................................................................................................................ 123


Привилегии пользователя ........................................................................................... 124
Привилегии на работу в системе ...................................................................................... 124
Привилегии на администрирование системы .................................................................. 126
Запреты и ограничения................................................................................................ 128
Формат UEL-файла ...................................................................................................... 131
Типы контролируемых ресурсов ................................................................................. 133
Атрибуты доступа......................................................................................................... 134
Атрибуты доступа к дискам ............................................................................................... 134
Запреты на доступ к локальным ресурсам компьютера ................................................. 134
Консоль системы защиты ............................................................................................ 135
Элементы интерфейса и приемы работы. Терминология ....................................... 136
Термины, используемые для описания работы с мышью .............................................. 136
Элементы интерфейса и типовые приемы работы ......................................................... 137
Специальные приемы работы........................................................................................... 139

Терминологический справочник ............................................................................................ 140


Предметный указатель............................................................................................................. 143

5
Оглавление

6
Введение 1
Введение
Из этого раздела вы узнаете:
• О назначении и структуре книги
• О порядке изучения документации
• О других источниках информации
• Об используемых терминах и принятых обозначениях

7
Secret Net 2000. Автономный вариант. Руководство по администрированию

Данное руководство предназначено для администратора автономного варианта


системы защиты Secret Net 2000 и содержит сведения, необходимые для установки,
настройки и управления работой системы.

Как организовать Прежде чем приступить к изучению этого руководства, мы рекомендуем вам снача-
изучение ла прочесть другую, входящую в комплект поставки, книгу "Secret Net 2000. Авто-
номный вариант. Принципы построения", которая позволит вам получить общее
документации представление об архитектуре, функциональных возможностях и принципах работы
основных защитных механизмов.
В комплект поставки также входит документ "Secret Net 2000. Автономный вариант. Руководство
пользователя", который содержит сведения, необходимые для работы пользователя.

Наиболее эффективный способ изучения системы – это изучение в интерактивном


режиме непосредственно за компьютером, когда после очередной порции инфор-
мации вы можете самостоятельно выполнить необходимые действия для лучшего
понимания и закрепления материала.

Стиль В данном руководстве описание работы с системой носит процедурный характер, то


изложения есть основное внимание сосредоточено на порядке выполнения тех или иных дейст-
вий. Для того чтобы не нарушить целостного представления о выполняемых процеду-
рах, вся частная информация, касающаяся назначения и особенностей заполнения
полей в диалоговых окнах, вынесена в справочную систему (а также приводится в
Приложении к руководству). Поэтому на любом шаге для получения подробной ин-
формации об элементах интерфейса вы можете вызвать контекстную подсказку (или
обратиться по указанной ссылке к справочной информации в конце книги).

Структура Материал руководства организован следующим образом:


руководства • В Главе 1 приведена процедура установки системы защиты на компьютер, ра-
ботающий в сети под управлением операционной системы Windows 2000.
• Глава 2 посвящена общим принципам настройки и управления системой.
• Вся информация, относящаяся к настройке и управлению системой, сосредото-
чена в последующих главах. Так, в Главах 3 и 4 содержатся сведения об управ-
лении пользователями и группами пользователей. В Главах 5 – 8 описана
процедура настройки основных защитных механизмов Secret Net 2000. Глава 9
посвящена приемам работы с журналом безопасности.
• В Приложении приведена вся необходимая справочная информация.
Условные В руководстве для выделения некоторых элементов текста (примечаний и ссылок)
обозначения используется ряд условных обозначений.

Перекрестные ссылки
В тексте руководства могут встречаться ссылки на другие части данного руково-
дства или другие источники информации. Внутренние ссылки, как правило, содер-
жат указание на номер страницы с нужными сведениями. Например, ссылка на
начало данного раздела выглядит так: (см. стр. 7).
См. также: Ссылки на другие документы или источники информации, как правило, размещают-
Так выглядит ссылка ся в тексте примечаний или на полях.
на полях.
Примечания
Особо важная и дополнительная информация оформлена в виде примечаний. Сте-
пень важности содержащихся в них сведений отражают пиктограммы на полях:
• Так обозначается дополнительная информация, которая может содержать при-
меры или ссылки на другие документы или другие части этого руководства.
• Такой пиктограммой выделяется важная информация, которую необходимо при-
нять во внимание.
• Эта пиктограмма сопровождает информацию предостерегающего характера.

8
Введение

Исключения. Некоторые примечания могут и не сопровождаться пиктограммами. А на


полях, помимо пиктограмм примечаний, могут быть приведены и другие графические
элементы, например, изображения кнопок, действия с которыми упомянуты в тексте
расположенного рядом абзаца.

Соглашения о Некоторые термины, содержащиеся в тексте руководства, уникальны для системы


терминах Secret Net, другие используются в специфическом смысле, третьи выбраны из сооб-
ражений краткости. Смысл основной части терминов объясняется по ходу изложе-
ния материала при первом их употреблении в тексте руководства. Термины,
используемые при описании интерфейса, содержатся в специальном разделе при-
ложения (см. стр. 136). Другие термины, относящиеся к системе Secret Net, приве-
дены в терминологическом справочнике (см. стр. 140).
Другие Справочная система
источники В комплект поставки системы Secret Net 2000 входит справочная система, которая
информации содержит информацию об основных элементах интерфейса – описание назначения
и структуры диалоговых окон и способы использования составляющих их элемен-
тов: кнопок, полей и др. Для вызова справки к диалоговому окну нажмите в нем
кнопку "Справка". Для получения более общей информации перейдите по ссылкам
раздела "См. также" или нажмите в окне справки кнопку "Разделы" и найдите нуж-
ную тему. Для вызова справки к отдельным элементам диалогового окна восполь-
зуйтесь одним из следующих способов:
• Нажмите с помощью мыши кнопку контекстной справки в строке заголовка
диалогового окна, а затем – элемент в диалоговом окне.
• Выберите нужный элемент и нажмите <F1>.

Сайт в Интернете
Если у вас есть доступ в Интернет, то вы можете посетить сайт компании
"ИНФОРМЗАЩИТА" или связаться с представителями компании по электронной
почте. Нужные адреса вы найдете в самой системе. Для этого на
панели задач к логотипу Secret Net вызовите контекстное меню и
выберите пункт "О системе".

Логотип Secret Net

Нажмите на адрес-ссылку
для запуска броузера и
загрузки первой страницы
сайта компании
"ИНФОРМЗАЩИТА"
Нажмите на адрес-ссылку электронной
почты для загрузки почтовой системы и
подготовьте сообщение для отправки

Учебные курсы Пройти обучение пользованию аппаратными и программными продуктами


ЗАО НИП "ИНФОРМЗАЩИТА" можно на платных учебных курсах нашего учебного
центра. Перечень курсов и условия обучения представлены на сайте
http://www.infosec.ru/edu. Связаться с представителем учебных курсов можно по
электронной почте (edu@infosec.ru).

9
Secret Net 2000. Автономный вариант. Руководство по администрированию

10
глава 1
Установка, переустановка и удаление
системы защиты
Из этой главы вы узнаете:
• Как подготовить компьютер к установке системы защиты
• Какое оборудование должно быть установлено на компьютере
• Какое программное обеспечение должно быть предварительно установлено,
а какое заблаговременно запущено
• Как выполнить установку системы защиты на компьютер
• Как выполнить переустановку системы защиты
• Как удалить систему

11
Secret Net 2000. Автономный вариант. Руководство по администрированию

Подготовка компьютера к установке


Требования к аппаратному и программному обеспечению
Система Secret Net 2000 может быть установлена только на компьютеры, оснащен-
ные процессорами семейства INTEL X86 или совместимыми с ними, работающие
под управлением операционной системы Windows 2000 (Service Pack 2). Требова-
ния к конфигурации компьютеров приведены в Табл.1.
Табл.1. Требования к конфигурации компьютера
Элемент Минимально Рекомендуется
Процессор Pentium 200 МГц Pentium II 300 МГц
Оперативная память 64 Мб 64 Мб
Жесткий диск 30 Мб 50 Мб
(свободное пространство)
Видеоадаптер VGA SVGA
Монитор цветной или монохромный

Также компьютер должен иметь привод CD-ROM для установки системы защиты с
инсталляционного компакт-диска.
Обратите внимание. Автономную версию не рекомендуется устанавливать на
контроллер домена Windows 2000.

Предварительная подготовка
Перед установкой системы должны быть соблюдены следующие условия:
• Пользователь, устанавливающий систему защиты, должен обладать соот-
ветствующими правами на администрирование компьютера, а именно – вхо-
дить в локальную группу администраторов.
• Системный каталог ОС Windows 2000 %SystemRoot% должен располагаться
на томе с файловой системой NTFS.
• На компьютер необходимо установить "Локатор RPC" ("Remote Procedure Call
Locator").
• На компьютере к моменту установки должны быть запущены следующие се-
тевые службы: Server, Workstation, "Служба удаленного вызова процедур"
("RPC Service"), иначе при установке не смогут стартовать некоторые служ-
бы Secret Net 2000.
• Если на компьютере предполагается использовать устройство аппаратной
поддержки системы защиты Электронный замок "Соболь" или устройства для
работы с iButton, eToken и Smart Card, то целесообразно нужные для этого
устройства и их программное обеспечение установить до установки системы
защиты (см. стр.55).

12
Глава 1. Установка и удаление системы защиты

Установка системы защиты


Программное обеспечение системы Secret Net 2000 поставляется на компакт-диске.
Установку системы защиты можно выполнить непосредственно с компакт диска или
с жесткого диска, предварительно скопировав на него файлы из каталога Setup.
Процедура установки системы Secret Net 2000 выполняется с помощью "мастера"
(wizard) и состоит из ряда последовательных шагов:

1. Запуск программы установки.


2. Принятие лицензионного соглашения.
3. Выбор каталога для размещения файлов системы защиты.
4. Выбор места размещения ярлыков программ.
5. Копирование файлов на жесткий диск и настройка компьютера.
6. Настройка общих параметров.
7. Завершение установки и перезагрузка компьютера.

Шаг 1. Запуск программы установки


1. Завершите работу других приложений. Запустите на исполнение файл
\Setup\SETUP.EXE.
Программа установки начнет выполнение подготовительных действий – сообще-
ние об этом появится на экране. Затем на экран будет выведен стартовый диалог
программы установки. В нем приводится напоминание о необходимости прове-
рить работоспособность контроллера домена, выполняющего функцию PDC.
2. Для продолжения установки нажмите кнопку "Далее >".

Шаг 2. Принятие лицензионного соглашения


На экране появится диалог, содержащий лицензионное соглашение на исполь-
зование системы защиты Secret Net 2000.
1. Ознакомьтесь с содержанием лицензионного соглашения.
2. Установите переключатель в положение “Я принимаю условия лицензионного
соглашения” и нажмите кнопку "Далее>".

Шаг 3. Выбор каталога для размещения файлов


На экране появится диалог “Папка назначения”, в котором необходимо указать
каталог для размещения файлов системы защиты.

13
Secret Net 2000. Автономный вариант. Руководство по администрированию

Рис. 1. Выбор каталога для размещения файлов


1. Укажите каталог для размещения файлов системы защиты.
• По умолчанию программа установки предлагает разместить файлы на сис-
темный диск в каталог Program Files\Infosec\SecretNet\Client.
• Можно выбрать другой каталог, находящийся на томе (диске) с файловой
системой NTFS. Для указания другого каталога нажмите кнопку “Изменить…”
и далее в открывающемся стандартном диалоге укажите нужный каталог.
2. Для продолжения установки нажмите кнопку "Далее>".

Шаг 4. Выбор каталога для ярлыков файлов


На экране появится диалог для выбора имени группы программ, в которой будут
находиться ярлыки программ системы Secret Net 2000:

1. Укажите имя группы программ.


• По умолчанию предлагается создать группу "Secret Net 2000" в меню "Про-
граммы" главного меню Windows и разместить в ней ярлыки программ.

14
Глава 1. Установка и удаление системы защиты

• Если вы хотите изменить название группы программ, введите новое назва-


ние в поле "Группа программ" или выберите одну из групп в списке "Сущест-
вующие группы".
2. Для продолжения установки нажмите кнопку "Далее>".
3. Появится окно с сообщением о готовности программы к началу установки. Что-
бы начать процесс установки, нажмите в окне кнопку “Установить”.

Шаг 5. Копирование файлов и настройка компьютера


На этом шаге программа установки копирует файлы системы защиты на жесткий
диск компьютера. Файлы будут размещены в системные каталоги Windows 2000
(%SystemRoot%\System32 и %SystemRoot%\System32\Drivers) и в каталог, вы-
бранный для размещения системы.
• Если программа установки в процессе копирования не обнаружит файл, за-
явленный в комплекте поставки, она выдаст об этом соответствующее со-
общение. Для исправления ситуации скопируйте еще раз файлы с
резервного дистрибутивного диска и повторите установку.
• Если при копировании обнаруживаются уже установленные на компьютер
более "свежие" (с более поздней датой) файлы той же версии, появляется
диалог, позволяющий сделать выбор между этими файлами.
Далее программа установки выполнит ряд операций, сопровождая их выводом
на экран соответствующих сообщений:
• сформирует на компьютере локальную базу данных системы защиты;
• выполнит установку драйверов и сервисов;
• если компьютер оборудован электронным замком "Соболь", выполнит его
автоматическое подключение к системе защиты и настройку параметров.
Если установка выполняется повторно, то будет выведено предупреждение о
том, что права доступа к системным объектам уже были установлены ранее, и
будет предложено установить их заново или отказаться от этого:

• Нажмите кнопку "Нет", чтобы сохранить текущие права доступа.


• Нажать кнопку "Да", если требуется установить права доступа в соответст-
вии со значениями, принятыми по умолчанию.

Шаг 6. Настройка общих параметров


На экране появится диалоговое окно для настройки общих параметров работы
системы защиты (см. Рис. 2). Каждая закладка диалогового окна относится к от-
дельной группе параметров.

15
Secret Net 2000. Автономный вариант. Руководство по администрированию

Выбор запретов и ограничений Выбор устройства аппаратной поддержки

См. также:
Информация об
отдельных элементах Выбор режимов работы
диалогового окна дополнительных подсистем
(назначении и
особенностях Настройка журнала безопасности
использования)
содержится в Настойка режимов
справочной системе. использования паролей

Управление состоянием
учетной записи

Выбор регистрируемых событий

Настройка параметров может


быть выполнена автоматически
с использованием встроенных в
систему шаблонов настроек

Рис. 2. Диалоговое окно для настройки общих параметров


1. Выполните настройку общих параметров сейчас или примите значения пара-
метров, предлагаемых по умолчанию, чтобы откорректировать их после завер-
шения установки системы.
Процедуры настройки общих параметров приводятся в описании настройки механизмов защиты
в главах 5-8 данного руководства.

Настройку параметров можно выполнить автоматически, используя шаблон. Для


этого выберите его из раскрывающегося списка в поле "Шаблон настроек".
2. Для продолжения установки нажмите кнопку "OK".

Шаг 7. Завершение установки


После успешного выполнения всех предыдущих шагов на экране появится со-
общение о завершении установки.
1. Нажмите кнопку “Готово”.
Далее программа установки предложит перезагрузить компьютер:

Рис. 3. Предупреждение о необходимости перезагрузить компьютер

16
Глава 1. Установка и удаление системы защиты

2. Выберите вариант завершения установки:


• Если требуется начать работу с системой защиты немедленно, нажмите
кнопку “Да”.
• Если нет необходимости в немедленной работе с системой защиты и нужно
продолжить текущий сеанс работы, нажмите кнопку “Нет”.
Программа установки завершит работу. А далее, в зависимости от выбранного
варианта, либо произойдет перезагрузка ОС, либо будет продолжена работа в
текущем сеансе.
Совет. Если на вашем компьютере при загрузке ОС выполняется обращение к накопителям на смен-
ных дисках, то рекомендуется перед перезагрузкой компьютера извлечь диски из этих устройств.

Переустановка системы защиты


Переустановка системы Secret Net 2000 выполняется для обновления версии сис-
темы только в том случае, когда на компьютере установлена более старая версия,
по сравнению с версией системы, которую содержит установочный комплект. Если
требуется восстановить работоспособность текущей версии, удалите систему с
компьютера и выполните ее повторную установку.
Следует помнить, что переустановку системы защиты может выполнить только
пользователь, обладающий привилегией на выполнение этой операции (см. стр. 47).

Для переустановки системы защиты:


1. Проверьте готовность компьютера к переустановке (см. стр. 12).
2. Запустите программу SETUP.EXE из нового комплекта ПО (см. стр. 13).
• Если установленные ранее компоненты системы не могут быть обновлены,
то на экране появится сообщение, содержащее список компонентов, которые
необходимо удалить. Удалите систему, следуя рекомендациям, приведенным
в следующем разделе (см. стр. 18), а затем выполните установку системы.
• Если программа установки может обновить ранее установленные компоненты
системы, то на экране появится диалог, предлагающий выполнить обновление.
3. Нажмите кнопку "Обновить".
Программа проверит права пользователя на выполнение процедуры обновления.
Если право пользователя на обновление системы подтверждено, программа пе-
рейдет непосредственно к обновлению файлов. Каждая операция будет сопро-
вождаться выводом на экран соответствующего сообщения.
После обновления файлов появится сообщение о завершении установки.
4. Нажмите кнопку "Готово" в окне сообщения.
Появится сообщение о необходимости перезагрузки компьютера.
Пояснение. Перезагрузка требуется для обновления всех компонентов системы защиты в памя-
ти компьютера.

5. Выберите вариант завершения процедуры:


• Нажмите кнопку "Да" для перезагрузки компьютера.
• Нажмите кнопку "Нет", если необходимо продолжить работу в текущем сеан-
се, но после его завершения не забудьте перезагрузить компьютер.

17
Secret Net 2000. Автономный вариант. Руководство по администрированию

Удаление системы защиты


При необходимости систему Secret Net 2000 можно удалить с компьютера.
Следует помнить, что удалить систему защиты может только пользователь, обла-
дающий привилегией на выполнение этой операции (см. стр. 47).

Для удаления системы защиты:


1. Запустите программу, при помощи которой выполняется удаление системы за-
щиты. Для этого выберите в главном меню Windows группу "Secret Net 2000", а в
нем пункт "Удаление Secret Net" или воспользуйтесь стандартными для Windows
средствами удаления программ.
После запуска программа удаления проверяет привилегии пользователя, ини-
циировавшего удаление системы. Если пользователь не обладает необходимой
привилегией, программа выдаст об этом сообщение и завершит работу, а если
привилегия есть – на экране появится диалог для запуска процедуры удаления:

Нажмите эту кнопку


для запуска
процедуры
удаления

Рис. 4. Диалог для запуска процедуры удаления системы


2. Нажмите кнопку "Удалить" для запуска процедуры удаления.
Программа перейдет непосредственно к удалению системы. Каждая операция
будет сопровождаться выводом на экран соответствующего сообщения.
Программа удаления выполняет следующие действия:
• удаляет каталог, в который была установлена система защиты, и все содер-
жащиеся в нем файлы;
• удаляет файлы системы защиты из системных каталогов;
• удаляет базу данных системы защиты;
• удаляет из системного реестра Windows ключи, созданные при установке
системы защиты. В том числе будут удалены и сведения о регистрации сер-
висов и драйверов системы защиты.
После успешного завершения удаления на экране сообщение об этом.
3. Нажмите кнопку "Готово".
Появится сообщение о необходимости перезагрузки компьютера (см. Рис. 3).
4. Нажмите кнопку "Да".
Начнется перезагрузка компьютера.

18
глава 2
Общие принципы управления
Из этой главы вы узнаете:
• Как организовано управление системой защиты
• Как оперативно получить информацию о конфигурации системы защиты, пара-
метрах текущего сеанса и используемых ресурсах общего доступа
• Какие средства управления используются при настройке общих параметров ра-
боты системы, свойств пользователей и групп пользователей
• Как выполнить настройку параметров с использованием шаблонов
• Как удалить, переименовать, импортировать или экспортировать шаблон

19
Secret Net 2000. Автономный вариант. Руководство по администрированию

Общие положения
Программное обеспечение автономного варианта Secret Net 2000 может быть уста-
новлено как на рабочие станции, подключенные к ЛВС, так и на не связанные с се-
тью автономные компьютеры, работающие под управлением ОС Windows 2000.
На рабочих станциях могут быть зарегистрированы доменные и локальные пользо-
ватели, на автономных компьютерах – только локальные пользователи.
Управление автономным вариантом Secret Net 2000 осуществляет администратор
безопасности компьютера – это пользователь, обладающий необходимыми приви-
легиями на администрирование системы защиты.
Управление системой защиты осуществляется посредством управления свойствами
объектов. Такими объектами управления в Secret Net являются: "компьютер", "поль-
зователь" и "группа пользователей". С объектом "компьютер" связаны параметры
работы системы защиты, общие для всех пользователей компьютера. Для краткости
будем называть их "общими параметрами".
Для работы с объектами управления используется расширение программы "Про-
водник" (Explorer). После установки системы Secret Net на компьютер в окне про-
граммы "Проводник" появится папка "Secret Net 2000", содержащая вложенные
папки "Пользователи" и "Группы пользователей". Типовая структура объектов сис-
темы защиты, развернутая в окне программы "Проводник", показана на рисунке:

В левой части окна отображается структура папок, представленная в виде дерева. В


правой части окна отображается содержимое выбранной папки, в данном случае –
содержимое папки "Secret Net 2000".
К папкам и входящим в них объектам управления правой кнопкой мыши можно вы-
звать контекстное меню, содержащее команды управления. С помощью этих команд ,
можно вызвать диалоговые окна, предназначенные для редактирования параметров
объектов управления (см. следующий раздел).
Некоторые параметры работы доменных пользователей можно настроить только средствами цен-
трализованного управления доменом (например, User Manager for Domain ОС Windows).

20
Глава 2. Общие принципы настройки и управление объектами

Средства управления
Консоль системы защиты
Консоль системы защиты – это диалоговое окно, содержащее сводную информацию
о настройках системы, параметрах текущего сеанса и сетевых ресурсах, подклю-
ченных к компьютеру. Кроме того, в диалоге располагаются кнопки для выполнения
часто используемых операций и вызова диспетчера задач. При настройке системы
защиты удобно использовать консоль для оперативного получения информации о
состоянии защитных систем и установленных режимах работы.

Для вызова консоли системы защиты:


1. Нажмите комбинацию клавиш <Ctrl>+<Alt>+<Del>.
На экране появится диалог "Консоль системы защиты".

Информация о текущем сеансе В этом диалоге содержится информация о действующих


в текущий момент параметрах системы защиты, которые
определяют ее конфигурацию

В этом диалоге
содержится
информация о
Вызывает временную сетевых
блокировку работы ресурсах,
компьютера подключенных к
компьютеру
Вызывает
завершение сеанса или
выключение компьютера
Вызывает диалог
для смены пароля
Вызывает диспетчер
задач Windows 2000
Закрывает окно консоли

Рис. 5. Консоль системы защиты


Кнопки, расположенные в левой части диалога, предназначены для выполне-
ния пользователем типовых операций. Информация, отображаемая в диалого-
вом окне, распределена по вкладкам:
Сеанс Информация о текущем сеансе стр.135, Табл. 22
Конфигурация Информация о действующих значениях
параметров системы защиты стр.135, Табл. 23
Ресурсы Информация о сетевых ресурсах, под-
ключенных к компьютеру стр.135, Табл. 24

2. Выполните необходимые действия или просмотрите интересующие сведения.


3. Закройте окно, нажав на кнопку "Закрыть" или клавишу <Esc>.
При завершении сеанса или завершении работы окно консоли будет закрыто автоматически.

Элементы интерфейса, используемые для вызова средств управления


После установки системы на компьютер в интерфейсе Windows появятся элементы
управления системой Secret Net 2000.

21
Secret Net 2000. Автономный вариант. Руководство по администрированию

Панель задач
На панели задач Windows появится логотип Secret Net. Контекстное меню логотипа,
содержит команды вызова некоторых программных модулей Secret Net 2000.

Программа "Проводник"
В окне программы "Проводник" появится папка "Secret Net 2000", содержащая вло-
женные папки "Пользователи" и "Группы пользователей". К папкам и входящим в
них объектам управления можно вызвать контекстное меню, содержащее команды
управления объектами.

Главное меню Windows


В меню "Программы" главного меню Windows будет включена группа
Secret Net 2000, содержащая команды для вызова программ настройки общих па-
раметров, просмотра журнала и удаления Secret Net 2000.

Средства управления параметрами работы компьютера


Параметры работы компьютера определяют настройки системы защиты, общие для
всех пользователей компьютера.
Некоторые параметры (политика паролей и политика блокировки учетной записи)
для доменных пользователей можно настроить только средствами централизо-
ванного управления доменом (например, User Manager for Domain ОС Windows).

Для настройки параметров работы компьютера:


1. Вызовите на экран окно управления общими параметрами одним из следующих
способов:
• в программе "Проводник" вызовите к папке "Secret Net 2000" контекстное ме-
1
ню и выберите в нем пункт "Свойства" ;
• выберите в программном меню Windows группу "Secret Net 2000", а в ней
пункт "Настройки Secret Net";
• к логотипу Secret Net на панели задач правой кнопкой мыши вызовите меню
и выберите в нем пункт "Настройки системы".

1 В описании процедур в качестве основного способа вызова команд приводится вызов с помощью контекстного
меню. В Secret Net, как и в других приложениях Windows, для вызова тех же самых команд можно использовать
горячие клавиши или главное меню и кнопки панели инструментов программы "Проводник".

22
Глава 2. Общие принципы настройки и управление объектами

На экране появится диалоговое окно:

См. также:
Информация об Используйте эту кнопку для
отдельных элементах вызова подсказки к отдельным
диалога (назначении и элементам диалога
особенностях
использования)
содержится в
справочной системе.

Настройку параметров можно


выполнить и с использованием
шаблонов настроек, выбрав
нужный из списка

Используйте эту кнопку для


вызова справочных сведений к
активному диалогу

Рис. 6. Диалоговое окно для настройки общих параметров


Диалоги этого окна позволяют управлять общими параметрами системы защиты.
Каждый диалог предназначен для управления одной из групп общих параметров.
2. Выберите нужный диалог и настройте входящие в него параметры.
Так как каждая группа параметров определяет работу тех или иных защитных
механизмов системы, настройку параметров следует выполнять в соответствии
с описаниями этих механизмов, приведенными в последующих главах данного
руководства.
Название диалога Назначение
Общие Просмотр имени и описания компьютера, значения макси-
мального периода неактивности для временной блокировки.
Выбор или создание шаблона настроек.
Учетная запись Настройка политики блокировки учетных записей. Управление
работой удаленных пользователей.
Ограничения на пароль Управление ограничениями на пароль.
Журнал Настройка параметров журнала безопасности.
Компьютер Настройка параметров, относящихся к дополнительным ме-
рам по усилению защитных возможностей системы.
Регистрация событий Настройка общего перечня событий, которые должны регист-
рироваться в журнале безопасности.
Устройства Управление средствами аппаратной поддержки и режимами
их использования для аутентификации.
Контроль целостности Управление параметрами автоматического слежения за це-
лостностью защищаемых ресурсов.
Дополнительно Настройка параметров защитных подсистем: полномочного
управления доступом, механизма разграничения доступа к
дискам и портам, удаленного контроля компьютера.

Настройку параметров можно выполнить и с использованием шаблонов настро-


ек, выбрав нужный из них в диалоге "Общие" (стр. 27).
3. Завершив настройку всех параметров, нажмите кнопку "OK".

23
Secret Net 2000. Автономный вариант. Руководство по администрированию

В этом случае все новые значения параметров вступят в силу, а окно настройки
общих параметров будет закрыто.
Примечание. Если нужно принять новые значения параметров и не закрывать окно настроек –
нажмите на кнопку "Применить". Если нужно закрыть окно и отказаться от сохранения внесенных
изменений – нажмите на кнопку "Отмена".

Средства управления свойствами пользователя


Средства управления свойствами пользователя позволяют настроить для каждого
пользователя компьютера индивидуальную конфигурацию защитных механизмов
системы Secret Net 2000.

Для изменения свойств пользователя:


1. В окне программы "Проводник" раскройте последовательно папки "Мой компью-
тер", "Secret Net 2000", "Пользователи".
2. Выберите ярлык нужного пользователя, вызовите контекстное меню и выберите
команду "Свойства".
На экране появится окно настройки свойств пользователя:

См. также:
Информация об Используйте эту кнопку для
отдельных элементах вызова подсказки к отдельным
диалога (назначении и элементам диалога
особенностях
использования)
содержится в
справочной системе.

Настройку параметров можно


выполнить и с использованием
шаблонов настроек, выбрав
нужный из списка

Используйте эту кнопку для


вызова справочных сведений к
активному диалогу

Рис. 7. Окно настройки свойств пользователя


Диалоги этого окна позволяют управлять свойствами объекта "Пользователь".
Каждый диалог предназначен для управления отдельной группой свойств.

Название диалога Назначение


Общие Изменение имени и описания пользователя. Управление па-
ролем и учетной записью. Выбор и создание шаблона на-
строек свойств пользователя.
Электронные Управление персональными идентификаторами пользователя.
идентификаторы
Доступ Управление уровнем допуска к конфиденциальным данным.
Управление доступом к дискам и портам.

24
Глава 2. Общие принципы настройки и управление объектами

Название диалога Назначение


Привилегии Просмотр и предоставление привилегий.
Режимы Просмотр и управление индивидуальными режимами работы
средств защиты: разграничением доступа к дискам и портам,
замкнутой программной средой, автоматическим затиранием
удаляемой информации, блокировкой компьютера.
Запреты Управление ограничениями и запретами при работе с ло-
кальными ресурсами и ресурсами операционной системы.
Регистрация событий Формирование индивидуального перечня событий Secret Net
и Windows 2000, подлежащих регистрации в журнале безо-
пасности.

Отдельные параметры работы доменных пользователей (параметры пароля и учетной записи)


недоступны для редактирования средствами Secret Net 2000. Для управления ими необходимо
использовать средства централизованного управления доменом (например, User Manager for
Domain ОС Windows).

3. Выберите закладку, содержащую название нужной группы свойств, и укажите не-


обходимые значения параметров. Настройку параметров можно выполнить и с
использованием шаблонов настроек, выбрав нужный из них в диалоге "Общие".
Об использовании шаблонов настроек смотрите раздел на стр.27.

4. Завершив изменение свойств выбранного объекта, нажмите кнопку "OK".


В этом случае все внесенные изменения вступят в силу, а управляющее окно
будет закрыто.
Используйте кнопку "Применить", если необходимо принять внесенные изменения, не закрывая ок-
на. Если требуется завершить работу без сохранения изменений, используйте кнопку "Отмена".

Средства управления свойствами группы пользователей


Средства управления свойствами группы пользователей позволяют:
• редактировать общее описание локальной группы;
• управлять привилегиями локальной группы;
• управлять привилегиями доменной группы на данном компьютере.

Для настройки свойств группы пользователей:


1. В окне программы "Проводник" откройте папку "Группы пользователей".
2. Выберите ярлык нужной группы пользователей, вызовите контекстное меню и
выберите команду "Свойства".

25
Secret Net 2000. Автономный вариант. Руководство по администрированию

На экране появится окно настройки свойств группы пользователей:

См. также:
Информация об Используйте эту кнопку для
отдельных элементах вызова подсказки к отдельным
диалога (назначении и элементам диалога
особенностях
использования)
содержится в
справочной системе.

Используйте эту кнопку для


вызова справочных сведений к
активному диалогу

Рис. 8. Диалог "Привилегии"


По умолчанию активным является диалог "Общие". Расположенное в нем поле
"Описание" содержит уточняющую информацию о выбранной группе пользова-
телей.
Это поле недоступно для редактирования при управлении свойствами доменной группы.

3. Ознакомившись с общей информацией, перейдите к диалогу "Привилегии".


Диалог содержит список привилегий пользователей, входящих в группу, на ра-
боту в системе (см. стр. 124). Эти привилегии определяют права пользователей
в Windows 2000.
4. Установите нужные привилегии для пользователей выбранной группы. Для этого
поставьте отметки рядом с соответствующими привилегиями.
5. Завершив настройку всех параметров, нажмите кнопку "OK".
В этом случае все новые значения параметров вступят в силу, а окно настройки
будет закрыто.
Примечание. Для принятия новых значений параметров без закрытия текущего окна нажмите на
кнопку "Применить". Используйте кнопку "Отмена", чтобы завершить работу с диалогами без со-
хранения изменений.

Средства управления свойствами ресурсов


Для управления свойствами ресурсов файловой системы используется программа
"Проводник".

Для настройки свойств ресурса:


1. В окне программы "Проводник" выберите нужный ресурс (диск, каталог, файл)
файловой системы NTFS и вызовите окно настройки его свойств.

26
Глава 2. Общие принципы настройки и управление объектами

2. В появившемся окне "Свойства" выберите диалог "Secret Net":

См. также:
Информация об
отдельных элементах
диалога (назначении и
особенностях
использования)
содержится в
справочной системе.
Диалог "Secret Net" добавляется к
другим стандартным диалогам
окна "Свойства" после установки
системы на компьютер

Рис. 9. Диалог "Secret Net"


Поле "Категория" доступно для редактирования, если включен режим полно-
мочного управления доступом (см. стр.82) и текущий пользователь имеет не-
обходимые привилегии на управление категорией конфиденциальности (см.
Табл. 12 на стр.127.

3. Установите категорию конфиденциальности ресурса, выбрав значение из рас-


крывающегося списка "Категория".
4. Нажмите кнопку "OK".
Установленные значения будут сохранены, а диалоговое окно – закрыто.

Шаблоны настроек
Шаблоны представляют собой удобное средство, облегчающее настройку свойств
пользователей и настройку общих параметров работы компьютера. Вместе с систе-
мой защиты поставляется ряд уже готовых типовых, так называемых встроенных
шаблонов настроек. Также в системе предусмотрена возможность создания и до-
полнительных собственных шаблонов. Дополнительные шаблоны создаются при
настройке общих параметров работы компьютера (см. стр. 28) и настройке парамет-
ров работы пользователя (см. стр. 30). Параметры дополнительных шаблонов могут
быть изменены. Кроме того, дополнительные шаблоны можно переименовывать и
удалять. Параметры встроенных шаблонов изменить нельзя.

Настройка общих параметров по шаблону


Для настройки параметров работы компьютера по шаблону:
1. Вызовите на экран окно настройки общих параметров.

27
Secret Net 2000. Автономный вариант. Руководство по администрированию

В этом поле отображается


название шаблона, который был
использован для настройки.
Если шаблон не использовался,
то отображается значение
<нет>.
Для настройки по шаблону
выберите название
соответствующего шаблона из
списка

Любую уникальную комбинацию


настроек можно сохранить в
качестве шаблона для
многократного использования в
дальнейшем (см. следующий
раздел)

Рис. 10. Диалог "Общие" окна настройки общих параметров


2. Выберите нужный шаблон настроек в поле "Текущий" в диалоге "Общие".
На экране появится запрос на изменение параметров в соответствии с выбран-
ным шаблоном.
3. Нажмите кнопку "Да" в окне запроса.
Значения общих параметров будут изменены в соответствии со значениями,
хранящимися в выбранном шаблоне, а его имя появится в поле "Текущий".
4. Нажмите кнопку "OK" или "Применить".
При изменении значений некоторых параметров (например, относящихся к замкнутой среде или
полномочному управлению) может потребоваться перезагрузка компьютера, для того чтобы но-
вые значения параметров вступили в силу.

Создание Если ни один из имеющихся шаблонов не соответствует поставленной задаче, вы


шаблона настроек можете выполнить настройку компьютера путем редактирования отдельных пара-
общих параметров метров "с нуля" или предварительно взяв за основу один из шаблонов настроек.
Затем целесообразно такую уникальную комбинацию настроек сохранить в каче-
стве дополнительного шаблона, что позволит многократно использовать его в
дальнейшем.

Для сохранения нового набора настроек в шаблоне:


1. Вызовите на экран окно настройки общих параметров. Отредактируйте нужным
образом значения параметров в тех диалогах окна, где это требуется.
Перечень диалогов и их назначение приведены в таблице на стр. 23, а настройка параметров
описывается в последующих главах руководства.

2. Перейдите к диалогу "Общие", нажмите кнопку "Создать" (см. Рис. 10).

28
Глава 2. Общие принципы настройки и управление объектами

На экране появится диалог для создания нового шаблона:

3. Укажите название и краткое описание шаблона и затем нажмите кнопку "OK".


Актуальные значения параметров будут сохранены в дополнительном шаблоне
с указанным именем, а имя этого шаблона появится в поле "Текущий" диалога
"Общие".
4. Нажмите кнопку "OK" в окне управления общими параметрами.

Редактирование Значения параметров дополнительных шаблонов настроек могут быть изменены.


шаблона настроек Если необходимо иметь шаблон, настройки которого соответствуют встроенному
общих параметров шаблону с некоторыми изменениями, то рекомендуется на основе встроенного
шаблона создать дополнительный и внести в него необходимые изменения.

Для редактирования шаблона настроек:


1. Вызовите на экран окно настройки общих параметров. Выберите в диалоге "Об-
щие" нужный шаблон в качестве текущего (см. Рис. 10). Отредактируйте необхо-
димым образом значения параметров.
2. Нажмите кнопку "Применить" или "OK" в окне настройки общих параметров.
На экране появится запрос, предлагающий сохранить внесенные изменения в
текущем шаблоне настроек.
3. Нажмите кнопку "Да" в окне запроса.
Актуальные значения параметров будут сохранены в текущем шаблоне.
При изменении значений некоторых параметров (например, относящихся к замкнутой среде или
полномочному управлению) может потребоваться перезагрузка компьютера, для того чтобы но-
вые значения параметров вступили в силу.

Настройка свойств пользователя по шаблону


Использование шаблонов является более предпочтительным подходом, так как при
этом облегчается настройка свойств пользователя и, что не менее важно, после-
дующий контроль их состояния.

Для настройки свойств пользователя по шаблону:


1. В программе "Проводник" выберите интересующего вас пользователя и вызови-
те на экран окно настройки свойств (см. Рис. 11).
2. Выберите название нужного шаблона настроек в поле "Текущий".
На экране появится запрос на изменение значений свойств пользователя в со-
ответствии со значениями шаблона.
3. В окне запроса нажмите кнопку "OK".
Значения параметров будут изменены в соответствии со значениями шаблона, а
имя выбранного шаблона будет отображаться в поле "Текущий".
4. Нажмите кнопку "OK" или "Применить" в окне настройки свойств.

29
Secret Net 2000. Автономный вариант. Руководство по администрированию

Выберите название нужного


шаблона настроек в этом поле

Рис. 11. Окно настройки свойств пользователя

Редактирование Параметры дополнительного шаблона редактируются изменением свойств пользова-


шаблона настроек теля, которые ранее были настроены по этому шаблону. Если изменить значения от-
свойств дельных свойств пользователя, настроенных ранее по шаблону, то система предложит
пользователя сохранить эти изменения в самом шаблоне и тем самым распространить их и на других
пользователей, свойства которых так же были настроены по этому шаблону.

Для редактирования шаблона настроек:


1. В программе "Проводник" выберите пользователя, свойства которого были на-
строены по интересующему вас шаблону, и вызовите на экран окно настройки
свойств.
2. Укажите нужные значения параметров.
3. Завершив изменение свойств выбранного объекта, нажмите кнопку "OK" или
"Применить".
На экране появится запрос, предлагающий изменить параметры текущего шаб-
лона настроек пользователя в соответствии с внесенными изменениями.
4. Нажмите кнопку "Да" в окне запроса.
Параметры шаблона будут изменены в соответствии с текущими настройками.
Настройки свойств других пользователей, основанные на этом шаблоне, будут
изменены в соответствии с новыми значениями шаблона.
Если в окне запроса нажать кнопку "Нет", то будет разорвана связь пользователя с шаблоном, а
в поле "Текущий" появится значение <нет>.
Если необходимо изменить настройки отдельного пользователя, не внося изменения в настройки
других пользователей, сохраните эти настройки в новом шаблоне, который можно будет в даль-
нейшем многократно применять.

Создание При создании нового шаблона удобно взять за основу пользователя, значения па-
шаблона настроек раметров которого близки к создаваемому шаблону – это минимизирует число вно-
свойств симых изменений.
пользователя

30
Глава 2. Общие принципы настройки и управление объектами

Для создания нового шаблона:


1. В программе "Проводник" выберите пользователя, значения параметров которо-
го близки к значениям параметров создаваемого шаблона, и вызовите на экран
окно настройки свойств.
2. Укажите нужные значения параметров.
3. Завершив изменение свойств выбранного объекта, перейдите к диалогу "Об-
щие" и нажмите кнопку "Создать".
На экране появится диалог для создания нового шаблона (см. рисунок на
стр. 29).
4. Введите название и краткое описание нового шаблона и нажмите кнопку "OK".
В этом случае актуальные значения параметров будут сохранены в дополни-
тельном шаблоне с указанным именем, а имя нового шаблона появится в поле
"Текущий".
5. Нажмите кнопку "OK" в окне управления свойствами пользователя.

Удаление дополнительных шаблонов настроек


Удалены могут быть только дополнительные шаблоны. Удаление шаблона настроек не
приводит к изменению параметров объекта (компьютера или пользователя), который
был настроен по этому шаблону.

Для удаления дополнительного шаблона:


1. В окне программы "Проводник" (Explorer) вызовите контекстное меню папки
Secret Net 2000 и выберите в меню пункт “Шаблоны”.
На экране появится диалог “Управление шаблонами настроек” (см. Рис. 12).

Шаблоны, названия которых


выделены жирным шрифтом,
являются встроенными. Их нельзя
ни переименовать, ни удалить

Дополнительные шаблоны,
имеют названия нежирного
начертания. Только эти шаблоны
можно удалить или
переименовать

Пока не выполнена
ни одна операция,
окно можно закрыть,
нажав кнопку "OK" .
После выполнения
операции на месте
кнопки "OK"
появится кнопка
"Закрыть"

Рис. 12. Диалог "Управление шаблонами настроек"


В диалоге содержатся списки имеющихся в системе шаблонов настроек пользо-
вателей и шаблонов настроек компьютера. Шаблоны, названия которых выделе-
ны жирным шрифтом, являются встроенными. Удалить или переименовать

31
Secret Net 2000. Автономный вариант. Руководство по администрированию

встроенные шаблоны нельзя. Эти действия вы можете выполнять только с допол-


нительными шаблонами.
2. Выберите название дополнительного шаблона в соответствующем списке и на-
жмите кнопку "Удалить".
На экране появится запрос для подтверждения удаления шаблона.
3. Нажмите кнопку "Да" в окне запроса.
Если шаблон используется для настройки свойств пользователей, на экране
появится предупреждающее сообщение, подобное следующему:

4. Нажмите кнопку "Да" в окне сообщения для подтверждения удаления шаблона.


Название шаблона будет удалено из списка шаблонов, а сам шаблон - из базы
данных системы.
5. Нажмите кнопку "Закрыть", которая появится на месте кнопки "OK" в окне управ-
ления шаблонами.

Переименование дополнительных шаблонов настроек


Переименованы могут быть только дополнительные шаблоны. Необходимость в пере-
именовании шаблона может возникнуть после изменения значения его параметров, ко-
гда название уже не отражает содержание шаблона и требует уточнения.

Для переименования дополнительного шаблона:


1. В окне программы "Проводник" вызовите контекстное меню папки Secret Net
2000 и выберите в меню пункт “Шаблоны”.
На экране появится диалог “Управление шаблонами настроек” (см. Рис. 12).
2. Выберите в списке нужный шаблон и нажмите кнопку "Переименовать".
Строка с названием шаблона будет выделена для редактирования.
3. Отредактируйте прежнее или введите новое название шаблона и затем нажмите
клавишу <Enter>.
Шаблону будет присвоено новое название. В окне управления шаблонами на
месте кнопки "OK" появится кнопка "Закрыть".
4. Нажмите кнопку "Закрыть" в окне управления шаблонами.

Экспорт и импорт шаблонов настроек


Экспорт и импорт шаблонов настроек используются в тех случаях, когда необходи-
мо выполнить настройку на нескольких компьютерах с использованием одних и тех
же шаблонов. Для этого после настройки системы на одном из компьютеров исполь-
зуемые шаблоны экспортируются в файл и затем на других компьютерах выполня-
ется обратная операция – импорт шаблонов из файла.

Для экспорта или импорта шаблонов настроек:


1. В окне программы "Проводник" вызовите контекстное меню папки
Secret Net 2000 и выберите в меню пункт “Шаблоны”.

32
Глава 2. Общие принципы настройки и управление объектами

2. В диалоге "Управление шаблонами настроек" нажмите кнопку "Мастер…"


(см. Рис. 12).
На экране появится начальный диалог мастера импорта-экспорта шаблонов.
3. Выберите режим (экспорт или импорт) и нажмите кнопку "Далее>".
4. В зависимости от выбранного режима выполните следующее:
• в режиме экспорта – отметьте в списке диалога шаблоны, предназначенные
для сохранения в файл;
С помощью кнопок, расположенных в диалоге выбора шаблонов, можно установить или
снять отметку для всего списка одновременно.

• в режиме импорта – укажите имя файла, содержащего шаблоны, и путь к нему.


После выбора шаблонов или указания имени файла нажмите в диалоге кнопку
"Далее>".
5. В зависимости от выбранного режима выполните следующее:
• в режиме экспорта – укажите имя файла, в который должны быть помещены
выбранные шаблоны, и путь к нему.
• в режиме импорта – отметьте в списке диалога шаблоны, предназначенные
для извлечения из файла.
После указания имени файла или выбора шаблонов нажмите в диалоге кнопку
"Готово".
Диалог программы-мастера закроется и в результате, в зависимости от заданного
режима, выбранные шаблоны будут скопированы в файл или добавлены в общий
список диалога "Управление шаблонами настроек" (см. Рис. 12).
Если при выполнении импорта в системе обнаруживается шаблон с таким же име-
нем, как и у импортируемого шаблона, на экране появится диалог:

Здесь указано имя


шаблона, с которым
связан конфликт имен

Повторять выбранную
процедуру разрешения
конфликта

• Выберите нужное решение и нажмите кнопку "OK".


Если установить отметку в поле: то …
Не импортировать данный шаблон Процедура импорта данного шаблона будет про-
пущена
Импортировать шаблон под другим Появится диалог для ввода имени шаблона
именем
Заменить существующий шаблон Параметры шаблона из файла будут присвоены
шаблону, зарегистрированному в системе.
Нельзя заменить только встроенный шаблон
При конфликте имен всегда приме- Выбранная процедура разрешения конфликта
нять выбранное действие будет использоваться и при обнаружении после-
дующих конфликтов имен в этом сеансе импорта

Появится сообщение об успешном завершении импорта шаблонов настроек.

33
Secret Net 2000. Автономный вариант. Руководство по администрированию

34
глава 3
Управление группами пользователей
Из этой главы вы узнаете:
• Как получить информацию о зарегистрированных на компьютере группах
• Как добавить доменную группу пользователей
• Как создать или удалить локальную группу пользователей
• Как управлять составом локальной группы пользователей
• Как предоставить привилегии группе пользователей

35
Secret Net 2000. Автономный вариант. Руководство по администрированию

Использование объекта управления "Группы пользователей" упрощает процесс ад-


министрирования. Включая пользователя в ту или иную группу, вы тем самым наде-
ляете его привилегиями и правами доступа к ресурсам, которыми обладает группа.
При установке системы на компьютер в перечень групп пользователей обязательно
включаются следующие встроенные группы:
Доменные группы Domain Admins
Domain Users
Специальные группы Все (Everyone)
Интерактивные (Interactive)
Сеть (Network)
Стандартные Администраторы (Administrators)
локальные группы: Опытные пользователи (Power Users)
Пользователи (Users)
Гости (Guests)
Операторы архива (Backup Operators)
Репликатор (Replicator)

Примечание. Подробные сведения о назначении встроенных групп и связанных с ними правах и


привилегиях содержатся в документации, входящей в комплект поставки ОС Windows 2000.

Средства локального администрирования позволяют:


• получать информацию о зарегистрированных на компьютере группах и вхо-
дящих в них пользователях;
• добавлять и удалять с компьютера доменные группы;
• создавать и удалять локальные группы пользователей;
• управлять составом локальной группы пользователей, включая в нее локаль-
ных и доменных пользователей, а также доменные группы пользователей;
• предоставлять локальной группе пользователей и доменной группе, зареги-
стрированной на данном компьютере, необходимые привилегии.

Примечание. Управление правами доступа группы пользователей к локальным и совместно ис-


пользуемым ресурсам выполняется средствами Windows 2000

Внимание! Операции с доменными группами пользователей (создание, переиме-


нование и изменение состава) выполняются только средствами централизованно-
го управления доменом (например, User Manager for Domain ОС Windows).

Просмотр информации о группах пользователей


С помощью программы "Проводник" (Explorer) можно получить сведения о перечне
групп, зарегистрированных на компьютере и о входящих в них пользователях.

Для просмотра перечня группы пользователей:


1. Вызовите на экран окно программы "Проводник".
2. Раскройте папку "Группы пользователей".
Отобразится список групп пользователей, зарегистрированных на компьютере.
3. Выберите нужную группу.
В правой части окна программы "Проводник" отобразится список пользователей,
входящих в состав выбранной группы:

36
Глава 3. Управление группами пользователей

Рис. 13. Просмотр состава групп пользователей


В колонке "Имя" отображаются имена пользователей и доменных групп, входя-
щих в состав локальной группы, в колонке "Домен" – имя локального компьютера
или домена. Колонка "Описание" содержит дополнительную информацию о
пользователях и глобальных группах.

Добавление доменной группы пользователей


Добавление доменной группы возможно только в том случае, если автономная вер-
сия установлена на рабочую станцию, входящую в домен Windows NT.

Для добавления доменной группы пользователей:


1. В левой части окна программы Проводник выберите папку "Группы пользователей".
2. Установите курсор мыши в правой части окна программы "Проводник" так, чтобы
он не попадал ни на один из содержащихся там объектов. Вызовите контекстное
меню и выберите пункт "Добавить".
На экране появится диалог "Добавить группу":

Рис. 14. Диалог "Добавить группу"


3. Выберите домен, к которому относится данный компьютер, а в списке "Группы
пользователей" выберите нужную группу.
4. Нажмите кнопку "Добавить".
Выбранная доменная группа появится в списке групп пользователей, зарегистриро-
ванных на компьютере.

37
Secret Net 2000. Автономный вариант. Руководство по администрированию

Создание локальной группы пользователей


Для создания локальной группы:
1. В левой части окна программы Проводник выберите папку "Группы пользователей".
В правой части окна отобразится список всех групп, зарегистрированных на ком-
пьютере.
2. Установите курсор мыши в правой части окна программы "Проводник" так, чтобы
он не попадал ни на один из содержащихся там объектов. Вызовите контекстное
меню и выберите пункт "Создать".
В списке групп пользователей появится новая группа, которой автоматически
будет присвоено имя "GroupNN".
3. Измените имя объекта на осмысленное мнемоническое имя новой группы поль-
зователей, после чего нажмите <Enter>.
Примечание. Имя группы может содержать символы кириллицы, латинские сим-
волы, цифры, служебные символы и символы ‘пробел’. Запрещается использо-
вать символы:

Удаление группы пользователей


Процедуры удаления, как локальной группы, так и доменной – идентичны.
Примечание. После удаления локальной группы удаляются все сведения о ней, хранящиеся в сис-
теме. При удалении доменной группы с компьютера удаляются лишь сведения о ее связи с данным
компьютером, а сведения о самой группе остаются в системе.

Для удаления группы пользователей:


1. Выберите в левой части окна программы "Проводник" папку "Группы пользова-
телей".
В правой части окна программы "Проводник" отобразится список групп пользо-
вателей, зарегистрированных на компьютере.
2. Вызовите контекстное меню к ярлыку с именем удаляемой группы и выберите
пункт "Удалить".
Совет. Для удаления из списка нескольких объектов одновременно предварительно выделите
их, используя совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд)
или <Ctrl> (для выборочного выделения).

3. В появившемся на экране сообщении нажмите кнопку "Да" для подтверждения


удаления.
Группа пользователей будет удалена из списка групп.

Управление составом локальной группы пользователей


В состав локальной группы пользователей могут быть включены: локальные поль-
зователи, доменные пользователи и доменные группы пользователей.
Примечание. В состав локальной группы пользователей нельзя включить другую локальную группу.

38
Глава 3. Управление группами пользователей

Включение доменной группы в состав локальной группы


Включить доменную группу в состав локальной группы можно через буфер обмена
(Clipboard) или методом Drag-and-Drop.

Для включения доменной группы через буфер обмена:


1. В программе "Проводник" выберите ярлык с именем доменной группы, которую
необходимо включить в состав локальной группы.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для
выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

2. Скопируйте объект в буфер обмена.


3. Вызовите контекстное меню к ярлыку нужной локальной группы и выберите в
нем пункт "Вставить".
На экране появится предупреждающее сообщение.
4. Подтвердите свое решение, нажав кнопку "Да".
Доменная группа пользователей будет включена в локальную группу. Пользова-
тели данного компьютера, входящие в доменную группу будут наделены всеми
правами и привилегиями, которыми обладает локальная группа.
Совет. Выполнить эту операцию можно и другим способом. Скопируйте ярлык локальной группы в
буфер обмена и вставьте его в доменную группу. И в этом случае доменная группа будет включена
в локальную группу.

Для включения доменной группы методом Drag-and-Drop:


1. Установите курсор мыши на ярлык с именем доменной группы, нажмите и удер-
живайте нажатой левую кнопку мыши.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для
выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

2. Не отпуская кнопки, перемещайте курсор мыши к ярлыку локальной группы, в


которую необходимо включить доменную. Курсор будет иметь вид:
– пока он не совмещен с ярлыком группы
или когда включение невозможно,
– когда включение в группу возможно.

3. Отпустите левую кнопку мыши.


На экране появится предупреждающее сообщение.
4. Подтвердите свое решение, нажав кнопку "Да".
Доменная группа пользователей будет включена в локальную группу, а пользо-
вателям данного компьютера, входящим в доменную группу, будут предостав-
лены права и привилегии, которыми обладает локальная группа пользователей.
Совет. Выполнить эту операцию можно и другим способом – перемещая ярлык локальной группы в
доменную группу, и в этом случае доменная группа будет включена в локальную.

Исключение доменной группы из состава локальной группы


Для исключения доменной группы из состава локальной группы:
1. В левой части окна программы "Проводник" выберите ярлык локальной группы,
из которой необходимо исключить доменную группу.

39
Secret Net 2000. Автономный вариант. Руководство по администрированию

В правой части окна программы "Проводник" отобразится список ярлыков-ссылок


входящих в нее пользователей и доменных групп.
2. Выберите ярлык-ссылку с именем доменной группы, которую необходимо исклю-
чить из состава локальной группы. Вызовите контекстное меню и выберите пункт
"Удалить" или нажмите клавишу <Delete>.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для
выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

На экране появится предупреждающее сообщение.


3. Подтвердите свое решение, нажав кнопку "Да".
Доменная группа будет удалена из состава локальной группы.

Включение пользователя в состав локальной группы


Состав локальной группы пользователей можно изменить, включая или удаляя из
нее пользователей компьютера. Пользователь, включенный в группу, наделяется
всеми правами и привилегиями, которыми она обладает.
Включить пользователя в состав группы можно через буфер обмена (Clipboard) или
методом Drag-and-Drop.

Для включения пользователя в группу через буфер обмена:


1. В программе "Проводник" выберите ярлык с именем пользователя, которого не-
обходимо включить в состав группы.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для
выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

2. Скопируйте объект в буфер обмена.


3. Откройте папку "Группы пользователей", вызовите контекстное меню к ярлыку с
именем нужной группы и выберите в нем команду "Вставить".
На экране появится предупреждающее сообщение.
4. Подтвердите свое решение, нажав кнопку "Да".
Пользователь будет включен в группу.

Для включения пользователя в группу методом Drag-and-Drop:


1. Установите курсор на ярлык с именем нужного пользователя, нажмите и удер-
живайте нажатой левую кнопку мыши.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для
выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

2. Не отпуская кнопки, перемещайте курсор мыши к ярлыку группы, в которую не-


обходимо включить пользователя. Курсор будет иметь вид:
– пока он не совмещен с ярлыком группы
или когда связь с группой невозможна,
– когда можно установить связь пользователя с группой.

3. Отпустите левую кнопку мыши.


На экране появится предупреждающее сообщение.
4. Подтвердите свое решение, нажав кнопку "Да".
Пользователь будет включен в группу.

40
Глава 3. Управление группами пользователей

Исключение пользователя из состава локальной группы


Для исключения пользователя из состава группы:
1. В левой части окна программы "Проводник" выберите ярлык группы, из которой
необходимо исключить пользователя.
В правой части окна программы "Проводник" отобразится список ярлыков-ссылок
с именами пользователей, входящих в группу.
2. Выберите ярлык-ссылку с именем пользователя, которого необходимо исключить
из состава группы. Вызовите контекстное меню и выберите пункт "Удалить" или
нажмите клавишу <Delete>.
Совет. Для выбора нескольких объектов используйте совместно с мышью клавишу <Shift> (для
выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

На экране появится предупреждающее сообщение.


3. Подтвердите свое решение, нажав кнопку "Да".
Пользователь будет удален из состава группы.
Совет. Исключить пользователя из состава группы можно и другим способом: удалите ярлык-
ссылку на группу из папки с именем пользователя.

Предоставление привилегий локальной группе пользователей


Привилегии могут быть предоставлены как локальной, так и доменной группе поль-
зователей, зарегистрированной на данном компьютере. Привилегии доменной груп-
пы предоставляются ей только на данном компьютере. После удаления доменной
группы с компьютера они аннулируются.

Для предоставления привилегий:


1. В окне программы "Проводник" выберите группу пользователей, вызовите на эк-
ран окно настройки свойств и перейдите к диалогу "Привилегии".
См. также:
Информация об
отдельных элементах
диалога (назначении и
особенностях
использования)
содержится в Список привилегий, организован в
справочной системе виде дерева. Каждая отдельная
ветвь дерева соответствует
группе привилегий.
Предоставленные привилегии
имеют отметку слева от названия.

Рис. 15. Диалог "Привилегии"

41
Secret Net 2000. Автономный вариант. Руководство по администрированию

Диалог содержит структурированный список привилегий на работу в системе


(см. стр. 124) пользователей, входящих в группу. Эти привилегии определяют
права пользователей в ОС Windows 2000.
Каждая отдельная ветвь дерева соответствует группе привилегий. Предостав-
ленные привилегии имеют отметку слева от их названия.
2. Установите нужные привилегии для выбранной группы пользователей.
• Управление отдельными привилегиями. Откройте нужную ветвь дерева и
установите или удалите отметки рядом с названиями соответствующих при-
вилегий.
• Управление группами привилегий. Если установить отметку рядом с на-
званием группы привилегий, то будут предоставлены все входящие в нее
привилегии. Повторное нажатие на этом поле приведет к предоставлению
только части ранее отмеченных привилегий этой группы. Очередное (третье)
нажатие отменяет все привилегии группы. Вид поля будет соответственно
изменяться следующим образом:
– Предоставлены все привилегии, образующие эту группу.
– Предоставлены некоторые из привилегий группы.
– Отменены все привилегии группы.
3. Нажмите кнопку "OК".
Примечание. Для того чтобы новые значения параметров вступили в силу для те-
кущего пользователя компьютера необходимо повторно войти в систему.

42
глава 4
Управление пользователями
Из этой главы вы узнаете:
• Как получить информацию о пользователях компьютера
• Как сформировать состав пользователей компьютера
• Как добавить доменного пользователя в список пользователей компьютера
• Как удалить пользователя из списка пользователей компьютера
• Как включить пользователя в группу
• Как настроить свойства пользователя
• Как предоставить пользователю привилегии на работу и администрирование

43
Secret Net 2000. Автономный вариант. Руководство по администрированию

Все действия, связанные с управлением пользователями, выполняются в окне про-


граммы "Проводник" (Explorer). В нем вы можете получить информацию о пользова-
телях компьютера, создать или удалить локального пользователя, добавить или
исключить доменных пользователей из списка пользователей компьютера, управ-
лять их свойствами.
Для переименования доменного пользователя используйте средства централизован-
ного управления доменом (например, User Manager for Domain ОС Windows).
На контроллерах домена нельзя добавлять или исключать доменных пользовате-
лей из списка пользователей компьютера средствами администрирования системы
Secret Net 2000.

Получение информации о пользователях компьютера


Просмотр сведений о составе пользователей компьютера
В окне программы "Проводник" можно просмотреть состав пользователей компью-
тера и получить сведения о группах, в которые входит каждый из них.

Для просмотра состава пользователей компьютера:


• В левой части окна программы "Проводник" выберите папку "Пользователи".
Список пользователей будет отображен в правой части окна:

Имя пользователя, работающего


В дереве имя текущего в данный момент на компьютере,
пользователя выделено шрифтом полужирного
компьютера также начертания
выделено

Рис. 16. Просмотр списка зарегистрированных пользователей


Для того, чтобы в списке визуально различать доменных и локальных пользо-
вателей, используются соответственно пиктограммы и

Просмотр перечня групп, в которые входит пользователь


Для просмотра перечня групп, в которые входит пользователь:
• Выберите интересующего вас пользователя в папке "Пользователи".
Список групп будет представлен в правой части окна программы "Проводник".
Если просматривать список пользователей в форме таблицы, то рядом с назва-
нием группы будет приведено и краткое описание.

44
Глава 4. Управление пользователями

Управление составом пользователей компьютера


Создание локального пользователя
Чтобы включить нового локального пользователя в состав пользователей компью-
тера необходимо создать соответствующий ему объект “Пользователь”.

Для создания локального пользователя:


1. В окне программы "Проводник" выберите папку "Пользователи".
В правой части окна отобразится список всех пользователей, зарегистрирован-
ных на компьютере.
2. Перейдите к правому окну, вызовите контекстное меню и выберите команду
“Создать”.
Если в системе не разрешается использовать пустые пароли (т.е. установлено
требование к количеству символов в пароле), в этом случае для создания поль-
зователя необходимо указать пароль на вход в систему. После чего в списке
пользователей появится новый объект – , которому автоматически при-
своено имя “User00”.
3. Измените имя объекта на осмысленное мнемоническое имя нового пользователя
и нажмите <Enter>.
Помните. Имя пользователя может содержать символы кириллицы, латинские
символы, цифры, служебные символы и символы ‘пробел’. Запрещается исполь-
зовать символы: Имя пользователя должно быть
уникальным для данного компьютера и не должно превышать 20 символов.

Переименование локального пользователя


Средства Secret Net позволяют переименовать локального пользователя. Для того
чтобы переименовать доменного пользователя необходимо воспользоваться сред-
ствами централизованного управления доменом (например, User Manager for Do-
main ОС Windows).

Для переименования локального пользователя:


1. В окне программы "Проводник" выберите папку "Пользователи".
В правой части окна отобразится список всех пользователей компьютера.
2. Перейдите к правому окну, выберите пользователя, вызовите контекстное меню
и выберите команду “Переименовать”.
Имя пользователя будет выделено для редактирования.
3. Отредактируйте прежнее или введите новое имя пользователя и нажмите кла-
вишу <Enter>.
Пользователю будет присвоено новое имя.

Включение доменного пользователя в состав пользователей компьютера


Для того чтобы доменный пользователь получил право на интерактивный доступ к
данному компьютеру, его необходимо добавить в список пользователей компьютера.

Для добавления доменного пользователя:


1. В окне программы "Проводник" выберите папку "Пользователи".

45
Secret Net 2000. Автономный вариант. Руководство по администрированию

В правой части окна отобразится список всех пользователей компьютера.


2. Перейдите к правому окну, вызовите контекстное меню и выберите команду
"Добавить".
На экране появится диалог для выбора доменного пользователя:

Рис. 17. Диалог "Добавить пользователя"


3. В поле "Домен" выберите имя домена, в который входит компьютер (только из
этого домена можно добавить пользователя). В списке "Пользователи" выбери-
те имя нужного пользователя.
4. Нажмите кнопку "Добавить".
Диалог будет закрыт, а в списке пользователей в окне программы "Проводник"
появится имя добавленного доменного пользователя.

Удаление пользователя из состава пользователей компьютера


При удалении локального пользователя из БД компьютера удаляются все сведения
о нем. Сведения о доменных пользователях хранятся централизованно. Поэтому
при удалении доменного пользователя из состава пользователей компьютера све-
дения о самом пользователе остаются в системе, а удаляются сведения о связи его
с данным компьютером. После этого доменный пользователь теряет право на инте-
рактивный доступ к этому компьютеру.

Для удаления пользователя:


1. В программе "Проводник" выберите пользователя, которого необходимо удалить
из списка пользователей компьютера.
Совет. Для удаления из списка нескольких пользователей предварительно выделите их, исполь-
зуя совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд) или <Ctrl>
(для выборочного выделения).

2. Вызовите контекстное меню и выберите команду "Удалить" или нажмите клави-


шу <Delete>.
3. В появившемся на экране предупреждающем сообщении нажмите кнопку "Да".
Окно сообщения будет закрыто. Ярлык пользователя будет исключен из списка
пользователей.

46
Глава 4. Управление пользователями

Предоставление привилегий и управление другими свойствами


Пользователю могут быть предоставлены привилегии двух типов: привилегии на
работу в системе (см. стр. 124) и привилегии на администрирование системы защи-
ты (см. стр. 126).
Предоставить пользователю привилегии на работу в системе можно как непосредст-
венно, так и включив его в группу, обладающую необходимыми привилегиями. Второй
подход является более предпочтительной формой управления, так как позволяет кон-
тролировать состояние и изменять свойства сразу для нескольких пользователей.
Подробно эта процедура описана в главе, посвященной управлению группами поль-
зователей (см. стр. 40).
Предоставление привилегий на администрирование системы защиты осуществля-
ется только непосредственно для пользователя и не может осуществляться с по-
мощью групп.
Примечание. При включении пользователя в состав группы, кроме привилегий ему предоставляют-
ся и права доступа к локальным и сетевым ресурсам, которыми обладает эта группа. Управление
правами доступа группы выполняется средствами Windows 2000.

Непосредственное предоставление привилегий


Для предоставления привилегий пользователю:
1. В окне программы "Проводник" выберите интересующего вас пользователя, вы-
зовите на экран окно настройки свойств и перейдите к диалогу "Привилегии".

Привилегии, которыми обладает


пользователь в данный момент,
имеют отметку слева от названия.
Привилегии, наследуемые от
групп, в которые включен
пользователь, имеют отметку на
сером фоне. Во всплывающей
подсказке, отображается имя
группы.

Привилегии на
администрирование.
Действующие привилегии имеют
отметку слева от названия.

Рис. 18. Диалог "Привилегии"


2. Отредактируйте список привилегий, предоставляемых пользователю. Для этого ус-
тановите или удалите отметки из полей рядом с названиями привилегий.
3. Завершив настройку, нажмите кнопку "OK" или "Применить".

47
Secret Net 2000. Автономный вариант. Руководство по администрированию

Управление другими свойствами пользователей


Управление другими свойствами пользователей выполняется также с помощью
диалогового окна "Настройки пользователя" (см. стр. 24).
Детальное описание настройки отдельных свойств пользователя приводится в по-
следующих главах, посвященных настройке защитных механизмов системы
Secret Net 2000.
Настройка свойств пользователей с использованием шаблонов описана на стр. 29.

48
глава 5
Настройка механизмов контроля входа
Из этой главы вы узнаете:
• Как управлять состоянием учетных записей пользователей
• Как управлять режимами использования пароля
• Как установить и настроить аппаратные средства
• Как управлять персональными идентификаторами пользователя
• Как управлять персональными идентификаторами пользователя
• Как использовать механизм блокировки компьютера

49
Secret Net 2000. Автономный вариант. Руководство по администрированию

В этой главе содержится описание порядка и особенностей настройки защитных меха-


низмов, контролирующих вход пользователя в систему. Более подробная информация
о назначении и принципах работы этих механизмов защиты содержится в документе
"Secret Net 2000. Автономный вариант. Принципы построения и применения".

Учетные записи и пароли


Средствами администрирования Secret Net 2000 можно управлять блокировкой и со-
стоянием учетных записей локальных пользователей, а также режимами использова-
ния паролей.

Параметры блокировки учетной записи


Эти параметры определяют условия блокировки учетных записей после серии не-
удачных попыток входа пользователя в систему. Параметры блокировки учетных
записей распространяются на всех локальных пользователей компьютера и не дей-
ствуют в отношении доменных пользователей. Для доменных пользователей, заре-
гистрированных на компьютере, значения этих параметров определяются доменной
политикой блокировки учетных записей.
К параметрам, определяющим условия блокировки учетных записей, относятся:
• Максимальное число неудачных попыток входа, после которых учетная за-
пись будет заблокирована;
• Интервал времени сброса счетчика, по истечении которого для учетной за-
писи пользователя сбрасывается счетчик неудачных попыток входа;
• Длительность блокировки: постоянная (до разблокирования администрато-
ром вручную) или ограниченная (разблокирование происходит автоматиче-
ски по истечении указанного интервала времени).

Для редактирования параметров блокировки:


1. Вызовите окно настройки общих параметров и перейдите к диалогу "Учетная запись":

См. также:
Информация об
отдельных элементах
диалога (назначении и
особенностях
использования)
содержится в
интерактивной
справочной системе

Параметры,
определяющие условия
блокировки учетной записи
при входе пользователя в
систему

Пользователи,
подключающиеся к компьютеру
удаленно, отключаются при их
Блокируется вход в попытке начать или продолжить
систему пользователей, работу в неразрешенное время
пароль которых
просрочен. Изменить
пароль сможет только
администратор

Рис. 19. Диалог "Учетная запись"

50
Глава 6. Настройка механизмов управления доступом и защиты ресурсов

В диалоге отображаются условия и параметры блокировки учетных записей для


тех случаев, когда пользователь неверно указал аутентификационную инфор-
мацию при входе в систему.
Обратите внимание. Данные параметры распространяются только на локаль-
ных пользователей. Блокировка учетных записей доменных пользователей
осуществляется в соответствии с политикой блокировки, заданной для домена.

2. Установите необходимые значения параметров и нажмите кнопку "OK" или


"Применить".

Управление состоянием учетных записей


Управление состоянием учетных записей включает в себя: разблокирование, от-
ключение или отмену отключения, ограничение по времени работы. Эти операции
можно выполнить только для локальных пользователей. Для доменных пользовате-
лей необходимо использовать средства централизованного управления доменом
(например, User Manager for Domain ОС Windows).

Для управления состоянием учетной записи:


1. В программе "Проводник" выберите пользователя и вызовите окно настройки
свойств.

Если поле "Заблокирована"


содержит отметку, то учетная
запись пользователя в данный
момент автоматически
заблокирована системой
Отметка в поле "Отключена"
свидетельствует о том, что
Информация учетная запись пользователя в
о состоянии данный момент отключена
учетной записи администратором

Если поле отмечено, то действуют


ограничения времени работы.
Чтобы увидеть или изменить
график работы, нажмите кнопку
"Назначить"

Рис. 20. Диалог "Общие"


Если поле "Заблокирована" содержит отметку, то учетная запись пользователя
в данный момент автоматически заблокирована системой. Для разблокировки
учетной записи локального пользователя необходимо удалить отметку из этого
поля, а для разблокировки учетной записи доменного пользователя – исполь-
зовать средства централизованного управления доменом.

2. Установите нужные значения параметров.


• Для того чтобы запретить пользователю доступ к компьютеру отключите
учетную запись пользователя, установив отметку в поле "Отключена".

51
Secret Net 2000. Автономный вариант. Руководство по администрированию

• Для того чтобы определить для пользователя разрешенное время работы


установите отметку в поле "Ограничена по времени работы". Если отметка
уже установлена в этом поле, нажмите кнопку "Назначить" для вызова на эк-
ран диалога "Дата и время".

Разрешенный период
работы Если кнопка
отжата, то это
В этой таблице ограничение не
отображается еженедельное действует
расписание работы
пользователя.
Если ячейка закрашена, то в
течение этого часа вход в
систему разрешен

Кнопки для маркировки


выделенных областей

3. Укажите разрешенный период работы и составьте нужное расписание.


В группе полей "Вход пользователя в систему возможен" укажите разрешенный
период работы. Для этого нажмите нужную кнопку ("с", "по") и введите дату и
время начала или окончания периода. Если кнопка отжата, то соответствующее
ограничение не действует, а в поле отображается значение "Ограничений нет".
В таблице "Ограничение по дням недели" можно указать еженедельное распи-
сание работы пользователя. Отдельная строка таблицы соответствует дню не-
дели и разделена на 24 часа.
• Если ячейка закрашена в синий цвет, то в течение этого часа вход в систему
разрешен.
• Если установить курсор на синюю ячейку, расположенную на пересечении
строки и столбца, и нажать левую кнопку мыши, то цвет ячейки изменится на
белый. Это будет означать, что в соответствующий день недели в течение
указанного часа вход в систему запрещен. Таким образом можно сформиро-
вать еженедельно повторяющееся расписание работы.
• Если нужно отметить прямоугольную группу ячеек, сначала выделите ее. Для
этого нажмите угловую ячейку группы и, удерживая нажатой левую кнопку
мыши, переместите курсор к противоположному углу группы. Выделенная
группа окрасится в темно-синий цвет. Затем нажмите кнопку "Вход запрещен"
(или клавишу пробел), и темно-синий цвет выделенной области заменится на
белый цвет.
• Для того чтобы снять ограничение нужно повторно выделить ячейку или груп-
пу ячеек и нажать кнопку "Вход разрешен".
4. Нажмите кнопку "OK" в диалоге "Дата и время".
5. Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.

Управление режимами использования пароля


Общие К общим для всех локальных пользователей ограничениям на использование паро-
ограничения на ля относятся срок действия пароля, длина пароля и контроль его уникальности.
пароль

52
Глава 6. Настройка механизмов управления доступом и защиты ресурсов

Для настройки общих ограничений на использование пароля:


1. Вызовите окно настройки общих параметров и перейдите к диалогу "Ограниче-
ния на пароль".
В диалоге отображаются предъявляемые к паролям требования, которые дейст-
вуют по отношению ко всем локальным пользователям компьютера. Для домен-
ных пользователей действует доменная политика учетных записей, изменить
которую можно только средства централизованного управления доменом.

См. также:
Информация об
отдельных элементах
диалога (назначении и
особенностях
использования)
содержится в
справочной системе.

Рис. 21. Диалог "Ограничения на пароль"


2. Установите необходимые значения параметров и нажмите кнопку "OK" или
"Применить".
Установите отметку в поле "Для смены пароля необходимо войти в систему" диалога "Учетная
запись" (см. Рис. 19), если необходимо запретить пользователям смену пароля до успешного
входа в систему. В этом случае пользователи, пароль которых просрочен, не смогут его изменить
самостоятельно. Изменить пароль сможет только администратор.

Персональные К персональным ограничениям на пароль относятся: запрет его смены, разрешение


ограничения на на использование постоянного пароля или его смена при следующем входе в сис-
пароль тему. Настройку этих параметров можно выполнить только для локальных пользо-
вателей, для доменных пользователей применяют средства централизованного
управления доменом.

53
Secret Net 2000. Автономный вариант. Руководство по администрированию

Для настройки персональных ограничений на пароль:


1. В программе "Проводник" выберите пользователя и вызовите окно настройки
свойств:

См. также:
Информация об
отдельных элементах
диалога (назначении и
особенностях
использования)
содержится в
справочной системе.

Требования
к паролю Нажмите на эту кнопку, чтобы
пользователя вызвать диалог для указания
нового пароля

Информация
о состоянии
учетной записи

Рис. 22. Диалог "Общие"


2. Укажите необходимые значения параметров группы "Пароль".
3. Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.

Смена пароля Эту операцию можно выполнить только для локальных пользователей. Для домен-
ных пользователей необходимо использовать средства централизованного управ-
ления доменом.

Для смены пароля:


1. В программе "Проводник" выберите пользователя и вызовите окно настройки
свойств.
2. В диалоге "Общие" (Рис. 22) в группе полей "Пароль" нажмите кнопку "Сменить".
На экране появится диалог для указания нового пароля.
3. В диалоге введите новый пароль пользователя в поле "Новый пароль". Затем по-
вторно введите тот же пароль в поле "Подтверждение", после чего нажмите в окне
кнопку "OK".
Если пароль хранится в идентификаторе, на экране появится диалог для выбо-
ра идентификаторов, в которых необходимо заменить пароль. Диалог содержит
список только тех идентификаторов, в которых хранится текущий пароль.

4. Установите отметку рядом с номерами тех идентификаторов, в которых необхо-


димо заменить пароль, и нажмите кнопку "OK".
У неотмеченных идентификаторов будет снят признак хранения пароля в идентификаторе.

54
Глава 6. Настройка механизмов управления доступом и защиты ресурсов

5. В ответ на запросы, которые появятся на экране, предъявите отмеченные в списке


идентификаторы (номер нужного идентификатора указывается в запросе).
При записи пароля в идентификатор eToken, который защищен нестандартным для Secret Net
PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".

После успешной замены пароля в идентификаторе на экране появляется соот-


ветствующее сообщение.
У остальных идентификаторов, которые не были отмечены в списке, признак
хранения пароля в идентификаторе будет снят.
6. Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.

Аппаратные средства идентификации и аутентификации


На компьютере может быть установлено несколько различных аппаратных уст-
ройств для идентификации пользователей при их входе в систему. При этом ис-
пользоваться будет только одно из них. Такое устройство называется текущим.
Установка на компьютер и настройка аппаратных средств может выполняться как
до, так и после установки системы Secret Net. Программное обеспечение устройств
eToken, ЭЗ "Соболь" и COM-считыватель Touch Memory поставляется отдельно. ПО
остальных аппаратных средств входит в состав системы Secret Net 2000.
Программное обеспечение для работы с eToken и ЭЗ "Соболь" рекомендуется ус-
танавливать до начала установки Secret Net 2000.

Подключение устройства
Процедура предварительной подготовки и порядок установки устройства аппарат-
ной поддержки в компьютер зависят от его типа и описаны в документе "Secret Net.
Аппаратные средства. Руководство по установке и эксплуатации".
Следует помнить. Установка и подключение к компьютеру ЭЗ "Соболь" имеет свои
особенности. Подробная инструкция содержится в документе "Электронный замок
"Соболь". Руководство администратора".

Настройка устройства
Настройка устройства выполняется после его подключения и установки поставляе-
мого с ним ПО. Процедура настройки включает в себя выбор текущего устройства и
режима входа в систему, а также настройку порта ввода-вывода, если в качестве
устройства аппаратной поддержки используется Secret Net TM Card стандарта ISA
или Secret Net Proximity.

Для настройки устройства аппаратной поддержки:


1. Вызовите на экран окно настройки общих параметров и перейдите к диалогу
"Устройства".
Если устройства аппаратной поддержки на компьютер не устанавливались или
устанавливались, но не были настроены в соответствии с данной процедурой, в
поле "Текущее устройство аппаратной поддержки" будет отображаться значение
"Отсутствует", а поле "Состояние" будет пустым. При этом в списке "Драйверы
для устройств аппаратной поддержки" будут отображены все устройства, с кото-
рыми система может работать в данный момент.

55
Secret Net 2000. Автономный вариант. Руководство по администрированию

Устройство, используемое в
настоящий момент

Нажмите для отключения этого


устройства

Состояние используемого
устройства
Для выбора или смены
устройства выберите его
название в списке и …

…нажмите кнопку "Установить"

Выберите режим входа


пользователей в систему

Рис. 23. Настройка устройства аппаратной поддержки


Если была выполнена настройка какого-либо устройства, его название будет
отображаться в поле "Текущее устройство аппаратной поддержки", а в списке
"Драйверы для устройств аппаратной поддержки" его название будет выделено
(Рис. 23 иллюстрирует случай, когда таким устройством является Secret Net
Touch Memory Card).
Выбор текущего 2. Выберите в списке название устройства и нажмите кнопку "Установить".
устройства
Название выбранного устройства аппаратной поддержки будет отображено как
текущее.
Выбор режима 3. Выберите нужный режим входа в систему с помощью переключателей группы
входа в систему "Вход в систему".
В режиме … для входа в систему необходимо …
Стандартный Ввести информацию о пользователе с клавиатуры
Смешанный Предъявить персональный идентификатор или вести инфор-
мацию о пользователе с клавиатуры
Вход по идентификатору Предъявить персональный идентификатор

При выборе режима руководствуйтесь следующими соображениями. Использо-


вание аппаратных средств идентификации повышает защищенность системы.
Однако на этапе ввода системы защиты в эксплуатацию, когда еще не все поль-
зователи получили электронные идентификаторы, может использоваться сме-
шанный режим. Для включения нужного режима поставьте отметку рядом с его
названием в поле переключателя.
Позже, когда каждый из пользователей будет иметь свой персональный иденти-
фикатор, установите режим входа только по идентификатору.

4. Нажмите кнопку "OK" или "Применить" в окне настройки общих параметров.


Внесенные изменения будут зафиксированы и вступят в силу после перезагруз-
ки компьютера.

56
Глава 6. Настройка механизмов управления доступом и защиты ресурсов

Настройка порта Данная настройка выполняется, если в качестве устройства аппаратной поддержки
ввода-вывода используется Secret Net TM Card стандарта ISA или Secret Net Proximity. Настройка
выполняется до начала работы с устройством аппаратной поддержки, при условии,
что устройство установлено на компьютере и выбрано как текущее (см. выше).

Для настройки порта ввода/вывода:


1. Вызовите на экран панель управления Windows 2000 и откройте в ней компонент
"Администрирование".
2. Откройте службу "Управление компьютером" и выберите в ней – "Диспетчер уст-
ройств":

В правой части окна будет отображена группа "Устройства идентификации Se-


cret Net", включающая в себя текущее устройство (на рисунке таким устройством
является Secret Net TM Card).
3. Откройте окно свойств устройства, перейдите на закладку "Ресурсы" и установи-
те значения адреса порта ввода-вывода. Они должны соответствовать тем зна-
чениям, которые были установлены на плате устройства с помощью перемычек
JP3-JP4. См. документ "Secret Net. Аппаратные средства. Руководство по уста-
новке и эксплуатации".
4. Закройте окно свойств устройства с сохранением изменений.

Отключение устройства
Текущее устройство можно отключить. Это означает, что устройство не будет исполь-
зоваться для идентификации пользователей при входе пользователей в систему.

Для отключения устройства:


1. Вызовите на экран окно настройки общих параметров и перейдите к диалогу
"Устройства".
2. Нажмите кнопку "Отключить" (см. Рис. 23).
В поле "Текущее устройство…" вместо наименования отключенного устройства
появится надпись "Отсутствует".

57
Secret Net 2000. Автономный вариант. Руководство по администрированию

3. Нажмите кнопку "Применить" или "OK".


Система предложит перезагрузить компьютер.
4. Подтвердите перезагрузку или откажитесь и выполните ее позже.
Изменения вступят в силу только после перезагрузки компьютера.
Для восстановления работы отключенного устройства необходимо выполнить его настройку, как
описано на стр. 55.

Персональные идентификаторы
Персональный идентификатор пользователя – это аппаратное средство, пред-
назначенное для идентификации пользователя и хранения необходимой служебной
информации. Персональный идентификатор выдается пользователю и предъявля-
ется им по требованию системы. В идентификаторе может храниться пароль поль-
зователя, который считывается автоматически при предъявлении идентификатора
для входа в систему.
Предъявить идентификатор – это означает, сделать его доступным системе для
выполнения необходимых операций (например, чтения или записи). В зависимости
от типа устройств эта процедура выполняется по-разному. Идентификатор
Touch Memory (новое название – iButton) необходимо приложить к считывателю так,
чтобы между ними был надежный контакт, а идентификатор eToken следует вста-
вить непосредственно или через удлинитель в разъем USB-порта компьютера. При
выполнении этой процедуры могут возникать ошибки, связанные, например, с на-
рушением контакта со считывателем или неверным форматом идентификатора. В
каждом таком случае система выведет на экран соответствующее сообщения с ре-
комендациями по продолжению работы.
Каждому пользователю можно присвоить несколько идентификаторов разного или
2
одного и того же типа , но общее число не может превышать 10-ти. Кроме того, нель-
зя присвоить один и тот же персональный идентификатор нескольким пользователям.
В системе предусмотрены следующие операции с идентификаторами:
• инициализация свободного идентификатора;
• присвоение идентификатора пользователю или удаление идентификатор из
перечня идентификаторов пользователя;
• запись или удаление пароля из идентификатора.
Инициализация персонального идентификатора – это форматирование, обеспечи-
вающее возможность его применения с конкретным аппаратным устройством. Не-
обходимость в инициализации возникает в тех случаях, когда в персональном
идентификаторе по каким-либо причинам была нарушена структура данных или до
этого он использовался с другим устройством идентификации и аутентификации.
При инициализации идентификатора из его памяти удаляется записанная ранее ин-
формация и производится разметка носителя информации. Таким образом выполня-
ется подготовка идентификатора для дальнейшего использования. Инициализировать
можно только тот идентификатор, который никому не принадлежит.
Совет. Для доступа к защищенной памяти eToken рекомендуется использовать стандартный для
Secret Net PIN-код, так как в этом случае при выполнении операций чтения или записи данных в
идентификатор на экране не появиться запрос на ввод PIN-кода, что упрощает процедуру исполь-
зования идентификатора eToken. Стандартное значение PIN-кода – "1234567890". С таким PIN-
кодом новые идентификаторы eToken R2 поставляются компанией Alladin.

2Тип определяет аппаратное устройство, с которым применяется идентификатор.

58
Глава 6. Настройка механизмов управления доступом и защиты ресурсов

Для просмотра информации об идентификаторах:


1. В окне программы "Проводник" выберите нужного пользователя, вызовите окно на-
стройки свойств и перейдите к диалогу "Электронные идентификаторы":

Вид пиктограммы
соответствует типу
персонального Служебная информация:
идентификатора - тип идентификатора:
- его идентификационный
номер.

Отметка указывает на Кнопка для выполнения


то, что в процедуры инициализации
идентификаторе идентификатора
хранится пароль

Кнопка для выполнения


процедуры присвоения
идентификатора пользователю

Рис. 24. Диалог "Электронные идентификаторы"


В диалоге отображается список присвоенных пользователю идентификаторов.
Каждый идентификатор представлен пиктограммой, строкой служебной инфор-
мации и признаком режима хранения пароля. Если поле “Пароль в идентифика-
торе” содержит отметку, это означает, что в электронном идентификаторе
хранится пароль пользователя.
Для обозначения различающихся типов персональных идентификаторов ис-
пользуются следующие пиктограммы:
Электронный идентификатор iButton.
Брелок eToken, подключаемый к USB-порту компьютера.

2. Закончив просмотр, нажмите кнопку "OK" или "Применить".

Для инициализации идентификатора:


1. В диалоге "Электронные идентификаторы" (Рис. 24) нажмите кнопку "Инициали-
зировать", если на компьютере установлено одно устройство идентификации.
Если на компьютере установлено несколько устройство идентификации, то нажмите на стрелку
рядом с названием кнопки "Инициализировать" и в открывшемся меню выберите название нуж-
ного устройства.
Появится запрос на предъявление идентификатора.
Следует помнить, что инициализировать можно только те идентификаторы, которые не при-
надлежат ни одному из пользователей.

59
Secret Net 2000. Автономный вариант. Руководство по администрированию

2. Предъявите идентификатор.
При предъявлении идентификатора eToken, который защищен нестандартным для Secret Net
PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".

После успешной инициализации появится соответствующее сообщение.


3. Нажмите кнопку “OK” в окне сообщения.

Для присвоения пользователю идентификатора:


1. Нажмите кнопку “Присвоить” в диалоге "Электронные идентификаторы"
(Рис. 24), если на компьютере установлено одно устройство идентификации.
Если компьютер оборудован несколькими устройствами идентификации, то нажмите на стрелку
рядом с названием кнопки "Присвоить" и выберите название нужного устройства.

Появится запрос предъявить идентификатор.


2. Предъявите идентификатор.
Система может обнаружить ошибочный формат идентификатора и потребовать выполнить его
инициализацию (см. выше). После инициализации повторите процедуру присвоения с начала.
При предъявлении идентификатора eToken, который защищен нестандартным для Secret Net
PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".

Если операция присвоения идентификатора завершается успешно, в списке


идентификаторов пользователя появится новая запись. При этом пароль поль-
зователя не записывается в идентификатор автоматически. Если требуется,
чтобы пароль хранился в идентификаторе, выполните процедуру записи пароля
в идентификатор (см. ниже).
3. Нажмите кнопку “Применить” или “OK” для сохранения изменений.

Для записи пароля в идентификатор:

Обратите внимание. При выполнении этой процедуры необходимо будет указать текущий пароль
пользователя. Для этого нужно либо пригласить данного пользователя, чтобы он ввел свой пароль
сам, либо предварительно сменить ему пароль, записать его в идентификатор, а затем при пере-
даче идентификатора пользователю обязательно сообщить ему этот пароль.

1. В списке идентификаторов диалога "Электронные идентификаторы" (Рис. 24) ус-


тановите отметку в поле “Пароль в идентификаторе”.
Появится запрос на предъявление идентификатора, в котором указан его учет-
ный номер.
2. Предъявите идентификатор.
При предъявлении идентификатора eToken, который защищен нестандартным для Secret Net
PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".

Пароль будет записан в идентификатор, после чего в поле “Пароль в идентифи-


каторе” появится отметка.
3. Нажмите кнопку “Применить” или “OK” для сохранения изменений.

Для удаления пароля из идентификатора:


1. В списке идентификаторов диалога "Электронные идентификаторы" (Рис. 24)
удалите отметку из поля “Пароль в идентификаторе”.
Появится запрос на предъявление идентификатора, в котором указан его учет-
ный номер.

60
Глава 6. Настройка механизмов управления доступом и защиты ресурсов

2. Предъявите идентификатор.
При предъявлении идентификатора eToken, который защищен нестандартным для Secret Net
PIN-кодом, на экране появится запрос. Введите PIN-код и нажмите кнопку "Продолжить".

В результате пароль будет удален из электронного идентификатора, а отметка


будет удалена из поля “Пароль в идентификаторе”.
3. Нажмите кнопку “Применить” или “OK” для сохранения изменений.

Для удаления идентификатора:


1. В диалоге "Электронные идентификаторы" (Рис. 24) установите курсор на номер
идентификатора, подлежащего удалению, вызовите контекстное меню и выбе-
рите команду “Удалить”.
Идентификатор будет удален из списка.
2. Нажмите кнопку “Применить” или “OK”.

Временная блокировка компьютера


В системе Secret Net 2000 предусмотрена временная блокировка клавиатуры и эк-
рана монитора, обеспечивающая защиту от несанкционированного доступа к ком-
пьютеру в период временного отсутствия пользователя на рабочем месте.
Предусмотрены автоматическая и принудительная блокировки.
Автоматическая блокировка включается по истечении заранее установленного ин-
тервала времени – интервала неактивности, в течение которого не использовались
клавиатура или мышь.
Автоматическая блокировка выполняется только при условии, что для данного поль-
зователя выбрана заставка экрана и установлено значение параметра "Интервал
неактивности", отличное от 0. Заставка должна быть установлена каждым из поль-
зователей самостоятельно, т.к. этот параметр хранится в профиле пользователя.
Для этого пользователям нужно предоставить привилегию на администрирование
"Параметры своей работы – Просмотр и изменение (уровень1)".

Принудительная блокировка включается пользователем в любой момент времени


одним из следующих способов:
• нажатием соответствующей кнопки на консоли системы защиты;
• командой меню из панели задач;
• нажатием комбинации горячих клавиш.

Настройка параметров блокировки


Параметрами блокировки являются:
• комбинация клавиш для включения блокировки;
• интервал неактивности, по истечении которого автоматически включается
блокировка.
Параметры блокировки устанавливаются индивидуально для каждого пользователя.
Если пользователю предоставить привилегию на администрирование "Просмотр и
изменение (уровень 1)" из группы привилегий "Параметры своей работы", он сможет
самостоятельно устанавливать и изменять параметры блокировки компьютера.

61
Secret Net 2000. Автономный вариант. Руководство по администрированию

Для настройки общих параметров блокировки:


1. Откройте окно управления общими параметрами.
2. Установите в поле "Максимальный период неактивности" предельное значение
интервала неактивности, действующего для всех пользователей компьютера.
Индивидуальные значения периода неактивности устанавливаются в границах
этого диапазона и не могут его превышать.
Если ранее для пользователей были установлены индивидуальные значения интервала неак-
тивности, то эти значения приводятся в соответствие с максимальным периодом, т. е. все пре-
вышающие значения приравниваются максимально допустимому значению.
Если установить максимально допустимое значение равное 0, то общее ограничение переста-
ет действовать, а индивидуальные значения интервала неактивности автоматически возвра-
щаются к ранее установленным.

3. Нажмите на кнопку "OK" или "Применить".

Для настройки индивидуальных параметров блокировки:


1. В программе "Проводник" выберите интересующего вас пользователя, вызовите
на экран окно настройки свойств и перейдите к диалогу "Режимы":

Выберите комбинацию клавиш


для включения блокировки

Установите значение интервала


неактивности, после окончания
которого происходит
автоматическая блокировка
компьютера.
Нельзя установить значение
больше максимально
допустимого

Рис. 25. Настройка параметров блокировки


2. Установите необходимые значения параметров:
• В поле "Комбинация клавиш для вызова" выберите комбинацию "горячих"
клавиш, с помощью которых пользователь сможет принудительно блокиро-
вать компьютер. Если выбрать значение "нет" – блокировка компьютера с
помощью "горячих" клавиш пользователю будет недоступна.
• В поле "Интервал неактивности (мин.)" укажите интервал времени в минутах,
по истечении которого клавиатура и экран компьютера автоматически блоки-
руются, если в течение этого времени пользователь не работал. При значе-
нии, равном "0", режим автоматической блокировки отключен. Интервал не
может быть больше максимального допустимого значения.
3. Нажмите кнопку "OK" или "Применить".

62
Глава 6. Настройка механизмов управления доступом и защиты ресурсов

Снятие блокировки
Независимо от того, каким способом был заблокирован компьютер (автоматически
или принудительно), для снятия блокировки необходимо указать пароль пользова-
теля (или предъявить его персональный идентификатор).
Необходимо иметь в виду, что в экстренных случаях, когда компьютер по каким-
либо причинам не может быть разблокирован пользователем, снять блокировку мо-
жет администратор. При этом сеанс работы текущего пользователя будет завер-
шен, а все несохраненные данные будут утеряны.
Для снятия блокировки и завершения сеанса пользователя:
1. Предъявите персональный идентификатор администратора или нажмите комби-
нацию клавиш <Ctrl>+<Alt>+<Del>.
Если предъявлен идентификатор с хранящимся в нем паролем, ввод имени и пароля не потребуется.

2. Введите имя и пароль администратора.


3. В предупреждающем окне подтвердите завершение текущей сессии.
4. Для входа в систему предъявите персональный идентификатор или нажмите
комбинацию клавиш <Ctrl>+<Alt>+<Del>.

63
Secret Net 2000. Автономный вариант. Руководство по администрированию

64
глава 6
Настройка механизмов контроля и регистрации
Из этой главы вы узнаете:
• Как настроить журнал безопасности
• Как сформировать перечень регистрируемых событий
• Для чего нужен механизм контроля целостности
• Как настроить контроль целостности
• Как сформировать перечень контролируемых ресурсов
• Как создать задание по контролю целостности
• Как управлять выполнением заданий

65
Secret Net 2000. Автономный вариант. Руководство по администрированию

Регистрация событий
Все события, происходящие на компьютере с установленной системой Secret Net
2000 и имеющие отношение к безопасности, регистрируются в журнале безопасно-
сти Windows 2000.
В состав Secret Net 2000 входит специальная программа, предназначенная для работы с журналом
безопасности (см. стр. 110). Каждое зарегистрированное событие отображается в этой программе
в виде отдельной записи и содержит подробную информацию, необходимую для анализа события.

Для настройки механизма регистрации событий необходимо:


• настроить параметры журнала безопасности;
• составить общий перечень событий, регистрируемых в системе до идентифика-
ции пользователя (этот перечень действует для всех пользователей компьютера);
• составить персональный перечень регистрируемых событий для каждого поль-
зователя.

Настройка параметров журнала безопасности


Параметрами журнала безопасности являются его максимально допустимый раз-
мер в килобайтах и порядок (срок) хранения информации.

Для настройки параметров журнала безопасности:


1. Вызовите окно настройки общих параметров и перейдите к диалогу "Журнал":

Укажите максимально
допустимый размер для
файла журнала

Выберите способ очистки


журнала в случае его
переполнения: автоматический
или ручной

Рис. 26. Настройка параметров журнала безопасности


2. Установите значение максимального размера журнала и укажите механизм очи-
стки журнала при его переполнении (при превышении максимального значения).
По мере При переполнении журнала система автоматически удаляет из жур-
необходимости нала необходимое количество самых старых записей

66
Глава 6. Настройка механизмов контроля и регистрации

По истечении При переполнении журнала система автоматически удаляет записи,


(N) дней время хранения которых превысило заданный период. Новые записи
не будут добавляться, если журнал достиг максимального размера, и
в нем нет записей старше заданного периода. Длительность периода
хранения записей указывается в поле справа в диапазоне значений
от 1 до 365 дней
Ручная очистка После достижения максимального размера записи хранятся в журна-
журнала ле. Новые события в журнале не регистрируются. Журнал можно очи-
стить только “вручную” с помощью программы просмотра журналов
SnLView. Эта операция должна выполняется периодически по мере
накопления записей, чтобы не допустить переполнение журнала, т.к.
при выключенном режиме автоматической очистки переполнение
журнала может привести к нарушениям в работе системы и вызвать
блокировку компьютера.

Обратите внимание! Для усиления защищенности журнала безопасности может быть включен па-
раметр "Блокировка при переполнении системного журнала", что позволяет предотвратить потерю
информации о событиях при переполнении журнала (см. стр. 69). Однако если используется ручная
очистка журнала, может произойти его переполнение и аварийное завершение работы компьютера.
Поэтому, выбирая ручной способ очистки журнала, позаботьтесь о контроле переполнения.

3. Нажмите кнопку "OK" или "Применить".

Настройка общего перечня регистрируемых событий


Общий перечень регистрируемых событий – это общий для всех пользователей пе-
речень событий, которые регистрируются при входе любого из пользователей в сис-
тему до завершения его идентификации. Эти же события будут регистрироваться и
для пользователей, подключенных к компьютеру по сети. После идентификации
пользователя регистрируются события, указанные в его индивидуальном перечне.

Для настройки перечня регистрируемых событий:


1. В окне настройки общих параметров выберите диалог "Регистрация событий":

В зависимости от того,
успешное или неудачное
событие нужно
зарегистрировать, поставьте
отметку в полях “Успех” или
“Отказ”, расположенных справа
от категории события

Для задания списка событий,


подлежащих регистрации,
выберите тип события и
поставьте отметку в
соответствующее поле
выключателя слева от названия
регистрируемого события

Рис. 27. Диалог "Регистрация событий"

67
Secret Net 2000. Автономный вариант. Руководство по администрированию

2. Отметьте категории событий Windows 2000 и события Secret Net 2000, которые
должны регистрироваться в журнала безопасности.
Для регистрации событий Windows, относящихся к категории "Доступ к файлам и объектам", недос-
таточно установить отметку в одноименном поле данного диалога. Для использования этого режи-
ма регистрации необходимо настроить политику аудита каждого ресурса (файла, папки и др.).
Чтобы настроить политику аудита ресурса:
• Вызовите окно настройки свойств ресурса, перейдите к диалогу "Безопасность" и нажмите
кнопку "Дополнительно". В появившемся окне перейдите к диалогу "Аудит".
• Сформируйте политику аудита ресурса. Для этого добавьте в таблицу "Элементы аудита"
группы пользователей или отдельных пользователей и укажите, какие попытки доступа
пользователей к ресурсу следует регистрировать. Так, например, чтобы включить
регистрацию всех попыток несанкционированного доступа к ресурсу необходимо добавить
в таблицу группу "Все" и включить для всех типов доступа регистрацию отказа в доступе.
Следует учитывать, что регистрация событий категории "Доступ к файлам и объектам" примени-
ма только к ресурсам, размещающимся на дисках с файловой системой NTFS.

Подробное описание событий Windows и порядка настройки политики аудита ресурсов содер-
жатся в документации к ОС Windows 2000, MSDN, а также на Internet сайте компании Microsoft.

3. Нажмите кнопку "OK" или "Применить".

Настройка персонального перечня регистрируемых событий


Для каждого пользователя компьютера может быть установлен персональный пере-
чень событий, которые будут автоматически регистрироваться в журнала безопас-
ности после идентификации пользователя.

Для настройки персонального перечня регистрируемых событий:


1. В программе "Проводник" выберите интересующего вас пользователя, вызовите
на экран окно настройки свойств и перейдите к диалогу "Регистрация событий":

В зависимости от того,
успешное или неудачное
событие нужно
зарегистрировать, поставьте
отметку в полях “Успех” или
“Отказ”, расположенных
справа от категории события

Для задания списка событий,


подлежащих регистрации,
выберите тип события и
поставьте отметку в
соответствующее поле
выключателя слева от
названия регистрируемого
события

Рис. 28. Диалог "Регистрация событий"

68
Глава 6. Настройка механизмов контроля и регистрации

2. Отметьте категории событий Windows 2000 и события Secret Net 2000, которые
необходимо регистрировать в журнале безопасности.
Для регистрации событий Windows категории "Доступ к файлам и объектам" необходимо настро-
ить политику аудита каждого ресурса, подлежащего контролю (см. примечание выше).

3. Нажмите кнопку "OK" или "Применить".

Дополнительный аудит
Дополнительный аудит используется для усиления контроля за состоянием журнала
безопасности и для регистрации событий, связанных с использованием привилегий
и попытками доступа к основным объектам системы.

Для включения дополнительных параметров регистрации:


1. Вызовите окно настройки общих параметров и выберите диалог "Компьютер":

Откройте группу параметров


"Дополнительный аудит" и
установите отметки рядом с
теми из них, которые нужны для
расширения аудита

В группу "Другие" входит


параметр "Блокировка при
переполнении системного
журнала"

Рис. 29. Диалог "Компьютер"


2. Установите отметки рядом с нужными параметрами, которые относятся к допол-
нительному аудиту и контролю переполнения журнала безопасности.
Параметры группы "Дополнительный аудит"
Полный аудит Регистрируются события, связанные с использованием привилегий "Ар-
привилегий хивирование файлов и каталогов" и "Восстановление файлов и катало-
гов"
Аудит основных Регистрируются события, связанные с обращением к основным объек-
объектов там ОС Windows 2000 (например, секциям, портам или семафорам)
Ограничение Просмотр журнала безопасности разрешен только пользователям, обла-
доступа к дающим привилегиями Windows 2000 "Управление аудитом и журналом
системному безопасности". Пользователям с правами гостя или не прошедшим ау-
журналу тентификацию запрещается просматривать журнал

69
Secret Net 2000. Автономный вариант. Руководство по администрированию

Параметр группы "Другие"


Блокировка при Предотвращает потерю информации о зарегистрированных событиях в
переполнении журнале безопасности в случае его переполнения. Переполнение жур-
системного нала приводит к аварийному завершению работы компьютера
журнала

3. Нажмите кнопку "OK" или "Применить".


Внимание! Включение параметра "Аудит основных объектов" может привести к бы-
строму переполнению журнала безопасности.

Контроль целостности
Контроль целостности предназначен для слежения за неизменностью содержимого
ресурсов компьютера и прав доступа к ним. К таким ресурсам относятся файлы, ка-
талоги, ключи и значения системного реестра Windows 2000.
Действие механизма контроля целостности основано на сравнении текущих значений
контролируемых параметров проверяемых ресурсов и значений, принятых за эталон.
Эталонные значения контролируемых параметров определяются или рассчитывают-
ся при настройке механизма контроля целостности. В процессе контроля при обнару-
жении несоответствия текущих и эталонных значений система оповещает о
нарушении целостности ресурсов. В этом случае администратору следует выявить
причины несоответствия и принять меры по их устранению.
В перечень задач, решаемых администратором, входят: определение совокупности
контролируемых ресурсов, выбор способов и методов контроля, настройка реакции
системы на нарушение целостности ресурсов, текущее управление заданиями кон-
троля, анализ и устранение причин нарушения целостности.
Дополнительные сведения о механизме контроля целостности содержатся в докумен-
те "Secret Net 2000. Автономный вариант. Принципы построения".

Просмотр заданий контроля и их параметров


Кроме заданий контроля, сформированных администратором, на компьютере вы-
полняются задания, сформированные при установке системы автоматически.

Для просмотра заданий и их параметров:


1. Вызовите окно настройки общих параметров и перейдите к диалогу "Контроль
целостности" (см. Рис. 30).
2. Выберите в поле, расположенном в верхней части диалога, нужный список ре-
сурсов.
Ресурсы, входящие в выбранный список, отобразятся в первом столбце табли-
цы диалога. Рядом с наименованием ресурса отображается пиктограмма, соот-
ветствующая типу ресурса. Перечень всех типов ресурсов приведен в
приложении (см. стр.133). Элементы списка ресурсов расположены с различным
отступом по отношению друг к другу, что позволяет представить иерархию их
вложенности.
Второй и последующие столбцы таблицы соответствуют заданиям контроля,
сформированным для данного списка ресурсов. В общем случае, в соответствии
с выработанной схемой контроля целостности, для списка может быть сформи-
ровано любое необходимое количество заданий. Каждое задание будет отобра-
жено в таблице отдельным столбцом.

70
Глава 6. Настройка механизмов контроля и регистрации

Выберите нужный
список ресурсов
Чтобы узнать название
задания, совместите курсор с
кнопкой-заголовком – название
появится во всплывающем окне

Отметка в ячейке означает, что


задание для данного ресурса
Ресурсы выбранного включено
списка
Затененная ячейка означает,
что для данного ресурса и
указанного в задании типа
контролируемых данных
проверка не предусмотрена

Нажмите на эту кнопку, в


открывшемся меню выберите
нужное задание и перейдите к
его редактированию

Рис. 30. Диалог "Контроль целостности"


Заголовки столбцов одновременно являются и кнопками. Пиктограммы кнопок-
заголовков соответствуют типам контролируемых данных:
– содержание объекта, – атрибуты объекта,
– список доступа, – существование объекта.

Совет. Чтобы узнать название задания, совместите курсор с кнопкой-заголовком соответст-


вующей колонки таблицы – название задания отобразится во всплывающей подсказке.

Отметка в ячейке таблицы означает, что задание для данного ресурса включено
(о выключении и включении заданий см. на стр. 77). Затененная ячейка означа-
ет, что для данного ресурса и указанного в задании типа контролируемых дан-
ных проверка не предусмотрена.
3. Для просмотра параметров задания установите курсор на его кнопку-заголовок,
вызовите контекстное меню и выберите в нем пункт "Свойства". Эту операцию
можно выполнить и другим способом: нажмите кнопку "Задание", выберите в
раскрывающемся меню наименование задания и затем – пункт "Свойства".
Появится окно "Контроль целостности", отображающее параметры выбранного
задания и состоящее из двух диалогов. Описание параметров приведено в раз-
деле "Настройка заданий контроля" на стр. 74.
4. Завершив просмотр списка ресурсов и связанных с ним заданий, перейдите к
следующему, выбрав его название в верхнем поле диалога.
5. Завершив просмотр списков контроля целостности, нажмите кнопку "Отмена" в
окне настройки общих параметров.

Настройка заданий контроля


Перед использованием механизма контроля целостности необходимо тщательно
продумать и наметить общую схему защиты ресурсов.

71
Secret Net 2000. Автономный вариант. Руководство по администрированию

Чтобы правильно составить схему защиты ресурсов, следует внимательно рассмот-


реть и проанализировать комплекс взаимосвязанных вопросов:
• Какие ресурсы должны контролироваться, какие атрибуты (параметры) они
имеют и насколько важна степень защиты каждого из них;
• Какие способы контроля (алгоритмы) предусмотрены в системе Secret Net и
как они могут быть применены к тем или иным типам ресурсов;
• Как составить оптимальное расписание проведения проверки в зависимости
от назначения ресурсов и их типов;
• Какой должна быть реакция системы на результат контроля в зависимости
от того, насколько важны ресурсы для обеспечения работоспособности опе-
рационной системы и прикладных программ;
• Какие последствия могут иметь нарушения целостности ресурсов и как эти
нарушения могут отразиться на работе пользователей;
• Какие средства имеются для анализа нарушений, и какие настройки необхо-
димо выполнить, чтобы наиболее эффективно их использовать.
Тщательное рассмотрение этих вопросов позволит правильно настроить задания
контроля и тем самым обеспечит надежную работу компьютера.
Настройка заданий контроля выполняется в следующей последовательности:

Шаг Процедура Описание


1. Сформируйте списки контролируемых ресурсов. см. ниже
2. Сформируйте задание для каждого списка ресурсов. стр. 74
3. Составьте список регистрируемых событий. стр. 77
4. Проверьте настройку журнала безопасности. стр. 77

Списки Для удобства контролируемые ресурсы группируются в списки по любым устанав-


ресурсов ливаемым признакам. Такими признаками могут быть:
• степень важности защиты ресурса (например, с точки зрения защиты компь-
ютера системные библиотеки Windows имеют более высокий приоритет по
сравнению с файлами прикладных программ);
• функциональное назначение ресурса;
• тип ресурса (файл, каталог, ключ реестра и т.д.);
• тип контролируемых данных и алгоритм проверки;
• любой другой признак.
Для того чтобы ресурс подлежал проверке, он должен быть включен в один из
имеющихся списков. Если подходящего списка нет, его необходимо сформировать.
При формировании нового списка ресурсов сначала вводится его название, а затем
добавляются ресурсы. В дальнейшем содержание списков можно изменять.
Перед началом формирования списков рекомендуется продумать порядок группировки ресурсов и,
исходя из возможностей системы, выработать общую схему контроля их целостности. При этом воз-
можны ситуации, когда в задании у отдельных ресурсов проверка контролируемых параметров вы-
полняться не будет. Так, например, если в список ресурсов включить файл и каталог, а в качестве
задания указать контроль содержимого ресурса, то проверка будет выполняться только для файла.
Поэтому рекомендуется предварительно ознакомиться в приложении с содержанием Табл. 19, в ко-
торой указывается – для каких типов ресурсов проверка выполняется, а для каких – нет.

72
Глава 6. Настройка механизмов контроля и регистрации

Для формирования списка ресурсов:


1. Вызовите окно настройки общих параметров и перейдите к диалогу "Контроль
целостности".
2. Нажмите кнопку "Создать список ресурсов".
На экране появится диалог:

3. Введите название создаваемого списка ресурсов и нажмите кнопку "Сохранить".


Диалог закроется, а название нового списка появится в поле верхней части диа-
лога "Контроль целостности".
4. Нажмите кнопку "Ресурс" и в появившемся меню выберите пункт "Добавить ре-
сурс" (или выберите эту же команду из контекстного меню таблицы ресурсов).
На экране появится диалог:

Имя ресурса, содержащее


полный путь, можно ввести
вручную или …

… выполнить поиск ресурсов в


диалоговом режиме, используя
для вызова диалога кнопку
"Обзор".
Диалоги обзора различны для
разных типов ресурсов

5. Укажите необходимые значения параметров:


• В раскрывающемся списке "Тип ресурса" выберите нужное значение. Описа-
ние типов ресурсов приведено в приложении (см. Табл. 18 на стр. 133).
• Если необходимо включить в список все входящие в ресурс объекты, по-
ставьте отметку в поле "Загрузить вместе с подобъектами".
• В поле "Имя ресурса" укажите имя ресурса и полный путь к нему. Введите имя
вручную или укажите его в диалоговом режиме, вызвав диалог кнопкой "Обзор".
Нажмите кнопку "OK". Добавленный ресурс появится в списке ресурсов.
6. Для добавления в список следующего ресурса, повторите процедуру, начиная с п.4.
Для удаления ресурса из списка: выберите ресурс в списке и вызовите команду "Удалить" (из
контекстного меню кнопки "Ресурс", из контекстного меню таблицы ресурсов, или нажав клавишу
<Delete>), а в появившемся запросе на удаление нажмите на кнопку "Да".

7. Завершив формирование списка, нажмите кнопку "ОК" в окне настройки общих па-
раметров.
При нажатии кнопок "OK" или "Применить" запускается процедура перерасчета контролируемых
параметров, в результате чего текущее состояние параметров ресурсов фиксируется в БД контро-
ля целостности и принимается за эталон.

73
Secret Net 2000. Автономный вариант. Руководство по администрированию

Для удаления списка ресурсов:


1. В диалоге "Контроль целостности" выберите список, который необходимо уда-
лить, и нажмите кнопку "Удалить список ресурсов".
Появится предупреждающее сообщение.
2. Нажмите кнопку "Да" для подтверждения удаления.
Выбранный список ресурсов будет удален.

Задания Для контроля целостности ресурсов списка составляется задание – подробная схе-
ма контроля данных. В задании указывается тип контролируемой информации, алго-
ритм проведения контроля, реакция системы на результаты проверки и расписание
выполнения. Алгоритм проведения контроля и реакция на результаты проверки зави-
сят от типа контролируемой информации.
Для списка ресурсов можно составить несколько заданий и в дальнейшем управ-
лять ими (включать и выключать, изменять параметры).

Для настройки задания и составления расписания:


1. В диалоге "Контроль целостности" (см. Рис. 30 на стр. 71) выберите список ресур-
сов, нажмите кнопку "Задание" и выберите в меню команду "Добавить. задание".

Введите название задания

Введите комментарий к
заданию

Выберите тип
контролируемых данных

Для типа данных


"Содержимое объекта"
выберите алгоритм из
списка

Для пересчета эталонных


значений поставьте
отметку

Рис. 31. Параметры задания


2. Настройте параметры задания в диалоге "Общие":
• Введите название задания и комментарий к нему. В названии задания реко-
мендуется отразить его краткое содержание, чтобы в дальнейшем задания
можно было различать по названию.
• Выберите тип контролируемых данных, т.е. контролируемые параметры (ха-
рактеристики) ресурсов. При этом значение в поле "Алгоритм проверки" ус-
танавливается автоматически в зависимости от выбранного типа
контролируемых данных. Исключение составляет тип данных "содержимое
объекта", для которого алгоритм проверки выбирается из списка.

74
Глава 6. Настройка механизмов контроля и регистрации

Тип контролируемых данных Что проверяется


Содержимое объекта Целостность содержимого ресурсов
Атрибуты объекта Стандартные атрибуты, установленные для ре-
сурсов
Список доступа Атрибуты доступа Windows 2000 (дескриптор
безопасности), установленные для ресурсов
Существование объектов Существования ресурсов

При выборе типа контролируемых данных необходимо иметь в виду, что проверка будет
выполняться только для определенных типов ресурсов. Сведения о применимости алго-
ритмов проверки для каждого из типов ресурсов в зависимости от выбранного типа кон-
тролируемых данных приведены в Табл. 19 на стр. 133.

• Отметьте с помощью переключателей желаемую реакцию системы защиты на


результат выполнения контроля в случае успеха и в случае неудачи (отказа).
Регистрировать Результаты выполнения задания регистрируются в жур-
завершение задания нале безопасности
Регистрировать Результаты контроля каждого элемента задания (ресурса)
результат проверки регистрируются в журнале безопасности
элементов
Запросить При нарушении целостности компьютер будет заблокиро-
блокировку ван, если в настройках свойств пользователя задан пара-
компьютера метр "Запрет работы при нарушении целостности".
Восстановить При нарушении целостности текущие значения контроли-
значение объекта руемых параметров устанавливаются равными эталон-
ным значениям. Используется при контроле следующих
параметров: атрибуты объекта, список доступа, содержи-
мое объекта при выполнении сравнения содержимого.
Принять значение При нарушении целостности контролируемых ресурсов
объекта как образец новые значения контролируемых параметров, полученные
в ходе проверки, становятся эталонными.
Пересчитать задание Однократно выполняется пересчет задания. Полученные
новые значения контролируемых параметров становятся
эталонными.

Для того чтобы в журнале безопасности можно было анализировать события, связанные с
нарушением целостности ресурсов, поставьте отметки в колонке "Отказ" для действий
"Регистрировать завершение задания" и "Регистрировать результат проверки элементов".

3. Перейдите к диалогу "Расписание" и составьте расписание контроля:


• Переключатели в верхней части диалога позволяют указать, на каком этапе
своей работы система защиты должна контролировать целостность ресурсов.
Срочный контроль проводится немедленно сразу после того, как в диалоге настройки
общих параметров будет нажата кнопка "OK" или "Применить" (т.е. после сохранения об-
щих параметров).

• Таблица средней части диалога позволяет сформировать календарный план


проведения контроля.
Работа с календарем. Если нужно отметить одну ячейку, установите на нее курсор и на-
жмите левую кнопку мыши – ячейка изменит свой цвет на зеленый. Если нужно отметить
прямоугольную группу ячеек, сначала выделите ее. Для этого нажмите угловую ячейку
группы и, удерживая нажатой левую кнопку мыши, перетащите курсор к противоположно-
му углу группы. Выделенная группа изменит свой цвет на синий цвет. Затем нажмите на
клавишу пробел, и синий цвет сменится на зеленый. Для того чтобы снять отметки нужно
повторить те же действия еще раз.

75
Secret Net 2000. Автономный вариант. Руководство по администрированию

С помощью переключателей
верхней части диалога
укажите, когда система
защиты должна
контролировать целостность
ресурсов. Срочный контроль
проводится немедленно после
того, как в диалоге настройки
Укажите общих параметров будет
периодичность нажата кнопка "OК" или
контроля в течение "Применить"
суток. Отсчет
начинается с нулевого
часа. Можно задать Таблица средней части
период, а можно и диалога позволяет
непосредственно сформировать календарный
ввести конкретные план проведения контроля
значения
Интервал – это периодичность
проведения контроля в
течение часа. Если значение
не указано, контроль
выполняется в начале часа

Рис. 32. Расписание контроля


• В нижней части диалога в группе полей "Учет временных параметров" можно
указать периодичность контроля в течение суток.
Часы контроля. Введите или выберите из раскрывающегося списка значение периодич-
ности контроля в течение суток. Следует иметь в виду, что отсчет начинается с нулевого
часа. Поэтому, если вы установите значение 4, что означает – "проводить контроль каж-
дый четвертый час", контроль будет проводиться в 0, 3, 7, 11, и т.д. Часы контроля можно
задать, не только указав периодичность, но и непосредственно введя конкретные значе-
ния. Например, если вы введете следующую строку: 2, 7-9, 16-18, 21, то контроль будет
проведен в 2, 7, 8, 9, 16, 17, 18 и 21 час.
Интервал. Укажите периодичность контроля в течение часа контроля. Если значение не
указано, контроль выполняется в начале часа один раз. Так, например, если контроль
должен проводиться в 7 часов, а в поле "Интервал" указано значение 10, то процесс кон-
троля первый раз начнется в 7 часов 00 минут, а затем будет повторяться каждые 10 ми-
нут в течение этого часа.

4. Нажмите кнопку "OK".


Программа вернется к диалогу "Контроль целостности" (см. Рис. 30 на стр. 71). В
списке ресурсов диалога появится новый столбец, соответствующий сформиро-
ванному заданию.
По умолчанию задание имеет статус "включено", т.е. контролю подлежит цело-
стность всех ресурсов, входящих в список. Об этом свидетельствуют отметки в
ячейках столбца задания.
Если необходимо, сформируйте другие задания для данного списка ресурсов.
5. Нажмите кнопку "OK" или "Применить" в окне настройки общих параметров.
При сохранении сформированных заданий выполняется пересчет контролируемых
параметров и обновление их эталонных значений для всех новых заданий списка
ресурсов.

76
Глава 6. Настройка механизмов контроля и регистрации

Регистрация Для поиска и анализа причин, вызвавших нарушение целостности ресурса, необхо-
событий димо регистрировать в журнале безопасности соответствующие события (см.
стр. 66). Перечень событий, подлежащих регистрации, определяется общими пара-
метрами системы (стр. 67) и индивидуальными настройками свойств пользователей
(стр. 68).
Если используется сложная схема контроля целостности ресурсов, включающая в себя достаточно
большое количество заданий, рекомендуется выполнить настройку общего перечня регистрируе-
мых событий, а затем составить список событий для каждого пользователя компьютера.

По умолчанию перечень регистрируемых событий, связанных с работой механизма контроля цело-


стности, настраивается автоматически при установке системы на компьютер.

Для настройки регистрируемых событий:


1. Вызовите окно настройки общих параметров и перейдите к диалогу "Регистра-
ция событий".
2. В категории событий Secret Net проверьте и при необходимости установите от-
метки у событий групп "События расширенной регистрации" и "События НСД".
Для поиска и анализа причин нарушения целостности в этих группах должны
быть отмечены следующие события:
Группа событий Событие
События расширенной Контроль целостности выполнен с исправлениями
регистрации Ошибка при контроле целостности данных
Восстановлено значение объекта
События НСД Нарушена целостность объекта

Обратите внимание. Часть событий регистрируется по умолчанию всегда, и отключить их нель-


зя. Наиболее информативным является событие "Нарушение целостности объекта" из группы со-
бытий НСД, его следует включить в первую очередь. Регистрация остальных событий позволяет
детализировать причины нарушения целостности. Однако необходимо учитывать, что нарушение
целостности большого числа объектов при достаточно частом периодическом контроле может при-
вести к быстрому переполнению журнала.

3. Нажмите кнопку "OK".


4. В программе "Проводник" выберите пользователя, вызовите на экран окно на-
стройки свойств, перейдите к диалогу "Регистрация событий" и повторите дейст-
вия 2-3.
5. Настройте регистрацию событий для всех остальных пользователей компьютера.

Журнал От того, сколько должно регистрироваться событий и как часто это будет происхо-
безопасности дить, зависит время заполнения журнала безопасности. Поэтому после настройки
заданий и формирования списка регистрируемых событий следует проверить зна-
чения параметров настройки журнала безопасности (см. стр. 66) и, если это необхо-
димо, откорректировать их (увеличить максимальный размер журнала или изменить
порядок хранения записей).

Управление заданиями
Задание можно выключить и включить для всего списка ресурсов или выборочно
для отдельных ресурсов, входящих в список. Если задание выключено для всего
списка, это означает, что ни один из ресурсов списка не будет проверяться на цело-
стность. Если задание выключено для отдельных ресурсов, это означает, что цело-
стность именно этих ресурсов проверяться не будет.

77
Secret Net 2000. Автономный вариант. Руководство по администрированию

Для выключения/включения задания:


1. Вызовите окно настройки общих параметров, перейдите к диалогу "Контроль
целостности" и выберите список ресурсов (см. Рис. 30 на стр. 71).
2. Чтобы выключить или включить задание для ресурса, удалите или установите
отметку в ячейке на пересечении строки с именем ресурса и столбца, соответст-
вующего заданию контроля.
Чтобы выключить или включить задание для всего списка ресурсов, нажмите
кнопку-заголовок этого задания.
Совет. Для включения и выключения задания контроля целостности для всего списка ресур-
сов можно использовать меню, которое вызывается при нажатии кнопки "Задание".

3. Нажмите кнопку "OK" или "Применить".

Корректировка настроек механизма контроля целостности


В настройки механизма контроля целостности, выполненные при формировании за-
даний, можно вносить изменения:
• добавлять в списки новые ресурсы и удалять ресурсы из списков;
• изменять в заданиях реакцию системы и расписание выполнения проверки;
• добавлять новые и удалять уже имеющиеся задания.

Для внесения изменений:


1. Вызовите окно настройки общих параметров, перейдите к диалогу "Контроль
целостности" и выберите список ресурсов.
2. Внесите необходимые изменения:
• Для добавления или удаления ресурса выполните действия, описанные в
процедуре формирования списка ресурсов (стр. 73).
• Для изменения реакции системы или расписания установите курсор на кноп-
ку-заголовок нужного задания, вызовите контекстное меню и выберите в нем
пункт "Свойства". Далее в диалоге "Контроль целостности" (см. Рис. 30 на
стр. 71) внесите необходимые изменения. Настройка реакции системы и
расписания описана в параграфе "Задания" на стр. 74.
• Для добавления нового задания выполните процедуру, описанную на стр. 74.
• Для удаления задания нажмите кнопку "Задание", выберите в появившемся
меню наименование задания и далее – команду "Удалить задание".
3. Нажмите кнопку "OK" или "Применить" в окне настройки общих параметров.

Корректировка эталонных значений


Определение и фиксация эталонных значений контролируемых параметров выпол-
няются автоматически после изменения списка ресурсов или заданий в момент на-
жатия в диалоге "Контроль целостности" кнопки "OK" или "Применить".
Если в параметры или атрибуты контролируемого ресурса вносятся изменения, то
следует помнить, что это может повлечь за собой несовпадение эталонного и теку-
щего состояний такого ресурса. В этом случае необходимо выполнить корректиров-
ку эталонных значений, иначе в системе будет зафиксировано нарушение
целостности контролируемого ресурса.

Для корректировки эталонных значений:


1. Выберите список ресурсов, для которого необходимо откорректировать эталон-
ные значения параметров (см. Рис. 30 на стр. 71).

78
Глава 6. Настройка механизмов контроля и регистрации

2. Нажмите кнопку "Задание", выберите в появившемся меню название задания, а


затем - команду "Свойства".
На экране появится окно "Контроль целостности" (см. Рис. 31 на стр. 74).
3. В таблице "Реакция на результат выполнения задания" поставьте отметку в по-
ле "Пересчитать задание".
4. Перейдите к диалогу "Расписание", поставьте отметку в поле "Срочный кон-
троль" и нажмите кнопку "OK" (см. Рис. 32 на стр. 76).
5. Нажмите кнопку "OK" или "Применить" в окне управления общими параметрами.
В результате текущие значения параметров ресурсов будут приняты за эталонные.

Анализ нарушений и восстановление ресурсов


При нарушении целостности контролируемых ресурсов система выводит соответст-
вующее сообщение. Реакция системы при этом зависит от настроек, выполненных
при составлении или редактировании задания.
Для выяснения и устранения причин, вызвавших нарушение целостности, админи-
стратор должен выполнить следующие действия:

1. Найти в журнале безопасности событие, зафиксированное как нарушение цело-


стности ресурса или несанкционированный доступ.
2. В диалоге "Контроль целостности" окна настройки общих параметров по описа-
нию события и настройкам параметров задания найти ресурс, проверка которого
выявила нарушение целостности.
3. Установить причину нарушения целостности ресурса.
4. Принять соответствующие меры, предусмотренные для таких случаев должно-
стными инструкциями. В зависимости от причин нарушения целостности принять
меры по восстановлению нормальной работы системы. Например, восстановить
ресурс, откорректировать задания контроля, выполнить корректировку эталонно-
го состояния ресурса и т.д.

Если запись о событии в журнале отсутствует, это означает, что она была удалена в
соответствии с установленным порядком хранения данных. В этом случае админи-
стратор должен выполнить срочный контроль последовательно для каждого зада-
ния, пока нарушение не будет зафиксировано в журнале.
Работа с журналом безопасности описана в Главе 9 (стр. 109).

79
Secret Net 2000. Автономный вариант. Руководство по администрированию

80
глава 7
Настройка механизмов управления доступом и
защиты ресурсов
Из этой главы вы узнаете:
• Какие механизмы управления доступом применяются в Secret Net
• Как настроить механизм полномочного управления доступом
• Как настроить замкнутую программную среду
• Как управлять доступом к дискам и портам
• Как настроить процедуру затирания данных

81
Secret Net 2000. Автономный вариант. Руководство по администрированию

Механизмы разграничения доступа


Для организации эффективной совместной работы пользователей и обеспечения
надежной защиты ресурсов компьютера от несанкционированного доступа (НСД) в
системе Secret Net 2000 используются механизмы управления доступом:
• Механизм избирательного управления доступом.
• Механизм полномочного управления доступом.
• Механизм замкнутой программной среды.
В Secret Net 2000 защищаемыми ресурсами являются:
• Ресурсы файловой системы: локальные логические диски и размещающиеся на
них каталоги и файлы.
• Аппаратные ресурсы: локальные принтеры, коммуникационные порты, физиче-
ские диски, дисководы, приводы CD-ROM.
• Ресурсы операционной системы: системные файлы, ключи системного реестра,
системное время, диалоги настройки параметров системы.

Механизм избирательного управления доступом


Система защиты Secret Net 2000 использует для избирательного (дискреционного)
управления доступом стандартный механизм Windows 2000, дополненный средст-
вами разграничения доступа к дискам и портам. Подробные сведения о настройке
механизма избирательного управления доступом содержатся в документации, вхо-
дящей в комплект поставки ОС Windows 2000.

Механизм полномочного управления доступом


Механизм полномочного управления доступом предназначен для разграничения
доступа пользователей к ресурсам компьютера на основании полномочного (ман-
датного) принципа разграничения доступа, а также для контроля потоков конфиден-
циальной информации в системе.

Механизм замкнутой программной среды


Механизм замкнутой программной среды позволяет ограничить доступ пользовате-
лей к исполняемым файлам списком тех программ, которые действительно необхо-
димы им для выполнения своих служебных обязанностей.

Полномочное управление доступом


При организации полномочного управления доступом для каждого пользователя
компьютера устанавливается определенный уровень допуска к конфиденциальной
информации. Каталогам и файлам, находящимся на дисках компьютера с файловой
системой NTFS, присваивается категория конфиденциальности.
При попытке доступа пользователя (программы, запущенной пользователем) к кон-
фиденциальному ресурсу сопоставляется категория конфиденциальности ресурса и
уровень допуска пользователя к конфиденциальной информации. Если пользова-
тель не превышает свой уровень допуска, доступ к конфиденциальному ресурсу
разрешается, иначе доступ блокируется.

Управление режимом работы


Описываемая ниже процедура позволяет включить на компьютере механизм пол-
номочного доступа и настроить его параметры.

82
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Для выбора режима полномочного управления доступом:


1. Откройте окно настройки общих параметров и перейдите к диалогу "Дополнительно":

Установите отметку в
этом поле, чтобы
включить режим
полномочного
управления доступом
Укажите параметры работы
механизма полномочного
управления доступом

Рис. 33. Диалог "Дополнительно"


2. Установите отметку в поле выключателя "Полномочное управление доступом"
для включения этого механизма. После этого другие поля, относящиеся к пол-
номочному управлению, будут доступны для редактирования. Укажите парамет-
ры работы механизма полномочного управления доступом:
• Контроль потоков данных. Установите отметку в этом поле, если необхо-
димо включить режим контроля потоков конфиденциальной информации.
Пояснение. Любым приложениям запрещается копировать (сохранять) файлы в каталоги
более низкой категории конфиденциальности, чем у исходного файла. Сохраняемому
файлу автоматически присваивается категория конфиденциальности файла-источника.

• Контроль буфера обмена. Установите отметку в этом поле, если требуется


контролировать передачу конфиденциальной информации через буфер об-
мена (Clipboard) из одного приложения в другое. Поле доступно, если вклю-
чен контроль потоков данных.
Пояснение. Неконфиденциальному файлу, в который копируется конфиденциальная ин-
формация через буфер обмена, автоматически присваивается категория конфиденциаль-
ности этой информации. Этот файл нельзя сохранить в каталоге более низкой категории.

• Запрет доступа при невозможности получить уровень допуска пользо-


вателя. Отметьте это поле, если требуется контролировать доступ удален-
ных пользователей к компьютеру.
Пояснение. Пользователю, зарегистрированному в БД Secret Net NT, разрешается под-
ключаться к компьютеру по сети и работать с ресурсами компьютера. Незарегистрирован-
ному пользователю запрещается удаленный доступ к ресурсам компьютера.

• Контроль печати. Если установить отметку в этом поле, то для печати кон-
фиденциальных документов будет разрешено использовать только редактор
MS Word (версии 8.0 и выше). И только в этом случае при печати конфиден-

83
Secret Net 2000. Автономный вариант. Руководство по администрированию

циальных документов из MS Word в документ будет добавляться гриф кон-


фиденциальности, а факт печати будет регистрироваться системой защиты.
3. Завершив настройку, нажмите кнопку "OK" или "Применить".
Временное отключение. Для отключения полномочного управления достаточно убрать отметку из
поля "Полномочное управление доступом". При этом все остальные настройки механизма останут-
ся без изменений. Для повторного включения механизма достаточно вновь установить отметку в
этом поле. После включения или отключения механизма требуется перезагрузить компьютер.

Управление уровнем допуска пользователя


Уровень допуска к конфиденциальной информации устанавливается для каждого
пользователя индивидуально. Перед тем как приступить к настройке убедитесь, что
на компьютере включен механизм полномочного управления доступом.

Для управления уровнем допуска пользователя:


1. В программе "Проводник" выберите интересующего вас пользователя, вызовите
на экран окно настройки свойств и перейдите к диалогу "Доступ":

Выберите уровень допуска


пользователя к
конфиденциальной
информации
Установите отметку в этом
поле, чтобы разрешить вывод
конфиденциальной
информации на дискеты

Рис. 34. Диалог "Доступ"


2. Установите необходимые значения параметров:
• В поле "Уровень допуска" выберите уровень допуска пользователя к конфи-
денциальным данным, который может принимать следующие значения:
Уровень допуска: Права доступа:
Отсутствует Нет доступа к конфиденциальной информации
Конфиденциальный Имеется доступ к файлам с категорией "конфиденциальные"
Строго Имеется доступ к файлам с категорией "конфиденциальные"
конфиденциальный и "строго конфиденциальные"

• Установите отметку в поле "Вывод конфиденциальной информации на дис-


кеты", если необходимо разрешить пользователю сохранять конфиденци-
альные документы на сменных носителях.

84
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Пояснение. При предоставлении этой возможности пользователь также сможет сохранять


конфиденциальные документы в неконфиденциальные каталоги, даже если включен режим
контроля потоков данных (см. стр. 82). Однако при выполнении таких операций в журнале
безопасности всегда регистрируется событие "Вывод конфиденциальной информации".

3. Нажмите кнопку "OK".

Управление категорией конфиденциальности ресурса


Для изменения уровня конфиденциальности ресурса необходимо, чтобы:
• был включен механизм полномочного управления доступом (см. стр. 82);
• ресурс находился на диске с файловой системой NTFS;
• текущий пользователь имел права на доступ к ресурсу и на изменения прав
доступа, а также обладал привилегией на управление категориями конфи-
денциальности (см. Табл. 12 на стр. 127). Предоставление привилегий опи-
сано выше на стр. 47.
Управление категориями конфиденциальности ресурса осуществляется с использо-
ванием программы "Проводник". Если заранее продумать схему хранения файлов,
создав необходимую структуру каталогов для документов разной категории конфи-
денциальности, и разместить в них соответствующие файлы, то, присваивая катего-
рии конфиденциальности каталогам, можно автоматически присвоить эту же
категорию и входящим в каталог файлам. Присвоить категорию конфиденциальности
также можно и отдельным файлам или сразу группе файлов. После того как катало-
гам и файлам присвоены категории конфиденциальности, начинают действовать ог-
раничения на сохранение и копирование конфиденциальной информации (см. стр.86).

Для указания категории конфиденциальности ресурса:


1. В окне программы "Проводник" выберите интересующий вас ресурс (диск, каталог,
файл), вызовите окно редактирования свойств и перейдите к диалогу "Secret Net".
Совет. Для выбора нескольких файлов используйте совместно с мышью клавишу <Shift> (для
выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

В этом поле отображается имя


текущего пользователя

В этом поле отображается уровень


допуска пользователя к
конфиденциальной информации

В этом поле отображается


категория конфиденциальности
ресурса.
Выберите нужное значение

Рис. 35. Диалог "Secret Net"

85
Secret Net 2000. Автономный вариант. Руководство по администрированию

2. Установите категорию конфиденциальности ресурса, выбрав значение из рас-


крывающегося списка "Категория".
3. Нажмите кнопку "OK".
Если в качестве ресурса был выбран каталог, то на экране появится запрос о сме-
не уровня конфиденциальности вложенных файлов и папок:

Установите отметку, если необходимо


изменить и категорию
конфиденциальности вложенных
каталогов (папок)
Установите отметку, если необходимо
изменить категорию конфиденциальности
и входящих в каталог файлов
4. Установите нужные параметры, принимая во внимание, что категория конфи-
денциальности каталога не может быть ниже, чем у входящих в него файлов.
5. Нажмите кнопку "OK".

Установленные значения будут сохранены, а диалоговые окна – закрыты.

Правила работы с конфиденциальными документами


При работе с конфиденциальными документами действуют следующие правила:
• Программы. Для работы с конфиденциальными документами могут использо-
ваться любые приложения, в которых эти документы были созданы. Однако, для
того чтобы при печати документов в них добавлялся гриф конфиденциальности,
необходимо включить режим контроля печати и использовать MS Word.
• Подготовка. Перед началом работы с конфиденциальными документами, необ-
ходимо закрыть другие документы, открытые в этом приложении, иначе им будет
присвоена категория конфиденциальности, и по отношению к ним будут действо-
вать все те ограничения, которые применяются к конфиденциальным документам.
• Доступ. Пользователь может получить доступ к ресурсу, если его уровень до-
пуска не ниже категории конфиденциальности ресурса. Иначе доступ блокирует-
ся, т.е. пользователь сможет только просмотреть содержимое каталога, но
открыть файл не сможет.
• Просмотр. При открытии конфиденциального файла приложению присваивает-
ся такой же уровень конфиденциальности.
• Сохранение. Запрещается копировать (сохранять) файлы в каталоги более низ-
кой категории конфиденциальности, чем у исходного файла. Файлу-копии авто-
матически присваивается категория конфиденциальности файла-источника. При
копировании (сохранении) файла в каталог более высокого уровня конфиденци-
альности категория конфиденциальности файла-копии не повышается.
Неконфиденциальному файлу, сохраненному в конфиденциальном каталоге, ка-
тегория конфиденциальности автоматически не присваивается. Если файлу необ-
ходимо присвоить категорию конфиденциальности, то сделать это нужно вручную.
• Копирование. При копировании через буфер обмена конфиденциальной инфор-
мации в неконфиденциальный документ ему присваивается категория конфиден-
циальности копируемой информации, и по отношению к нему будут действовать
все те ограничения, которые применяются к конфиденциальным документам.
• Завершение. Закончив работу с конфиденциальными документами, прежде чем
перейти к работе с неконфиденциальными документами, закройте приложение и
очистите буфер обмена. Рекомендуется также во время работы с конфиденци-
альными документами не открывать в MS Word неконфиденциальные файлы.

86
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Настройка шаблонов грифа конфиденциальности


Каждая организация может подготовить необходимый для нее набор грифов кон-
фиденциальности. Файл шаблонов грифа является документом в формате RTF
(Rich Text Format). Он может содержать несколько шаблонов грифа конфиденци-
альности, отделенных друг от друга разрывами раздела (здесь и далее курсивом
выделены термины, принятые в Microsoft Word). Таким образом, в одном разделе
размещается один шаблон грифа конфиденциальности.
Разрыв раздела имеет вид двойной пунктирной линии со словами "Разрыв раздела". Чтобы их
увидеть, включите режим отображения служебных символов. Для создания нового шаблона грифа
создайте новый раздел и введите нужный текст.

В каждом разделе (шаблоне) текст грифа конфиденциальности может размещаться


в верхнем колонтитуле, в нижнем колонтитуле, как основной текст раздела. При пе-
чати документа:
• текст из верхнего колонтитула шаблона вставляется над верхним колонтиту-
лом документа;
• текст из нижнего колонтитула шаблона вставляется под нижним колонтиту-
лом документа;
• текст (кроме названия грифа) из области основного текста шаблона вставля-
ется после последнего абзаца печатаемого конфиденциального документа.
Названием грифа служит первый абзац раздела, отформатированный стилем "Заголовок 1" и со-
держащий не только пробелы и символы табуляции. Если название грифа не указано явно, то сис-
тема использует в качестве названия строку вида «Гриф #N», где N – порядковый номер раздела.

Содержание и форматирование текста грифа конфиденциальности могут быть про-


извольными.
В шаблон грифа можно вставлять поля, поддерживаемые редактором Microsoft Word,
(например: имя файла документа, дату создания или изменения, номер текущей
страницы, общее количество страниц), а также поля с произвольными именами. Кро-
ме того, в шаблон грифа можно вставлять 3 стандартных поля:
• поле "User" – имя пользователя Secret Net 2000;
• поле "UserInfo" – дополнительная информация о пользователе;
• поле "Category" – категория конфиденциальности документа.
Если в шаблоне грифа будут находиться эти стандартные поля, то при вставке гри-
фа в документ они будут приобретать соответствующие фактические значения. Ес-
ли при вставке грифа в документ будут обнаружены нестандартные поля,
непосредственно перед печатью в соответствующем диалоге будут запрошены зна-
чения для всех обнаруженных нестандартных полей.
Совет. Редактирование файла шаблонов грифа конфиденциальности более удобно выполнять в
режиме затенения полей. Чтобы включить этот режим, выберите команду "Параметры" в меню
"Сервис", затем в диалоге "Вид" в поле "затенение полей" укажите значение "Всегда".

Для настройки шаблонов:


1. Запустите текстовый редактор MS Word и откройте файл STAMP.RTF (при стан-
дартной установке файл содержится в каталоге Program Files\Infosec\Client).
2. Отредактируйте шаблоны грифа конфиденциальности.
3. Сохраните и закройте файл шаблонов.

Для вставки нестандартного поля в шаблон грифа:


1. В меню "Файл" выберите команду "Свойства" и перейдите к диалогу "Прочие".
2. Добавьте поле в шаблон грифа:

87
Secret Net 2000. Автономный вариант. Руководство по администрированию

• в поле "Название" введите название поля (допускается ввод как на англий-


ском, так и на русском языке);
• в поле "Тип" укажите тип поля "Текст" (другие типы полей системой защиты
не обрабатываются);
• введите в поле "Значение" формальное значение поля (это значение будет
отображаться в шаблоне, а перед печатью будет заменено фактическим);
• нажмите кнопку "Добавить", а затем - кнопку "OK".

1. Введите название 4. Нажмите кнопку "Добавить"


поля

2. Выберите тип поля


"Текст"

3. Введите формальное
значение поля

Рис. 36. Диалог "Прочие" окна свойств документа


3. Установите курсор в нужной области шаблона грифа (в колонтитуле или области
текста) и выберите команду "Поле" в меню "Вставка".
На экране появится диалог:

1. Выберите категорию
"Сведения о документе"

2. Выберите поле "DocProperty"

3. Отступив на один пробел от


слова «DOCPROPERTY»,
введите в двойных кавычках
имя поля

4. Нажмите кнопку "ОК"

4. Выполните последовательно следующие действия:


• в списке "Категории" выберите значение "Сведения о документе";
• в списке "Поле" выберите значение "DocProperty";

88
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

• отступив на один пробел от слова "DOCPROPERTY", введите в текстовое


поле в двойных кавычках название поля, добавленного на шаге 2;
• нажмите кнопку "ОК".
В тексте документа появится затененное поле, формальное значение которого
было указано на шаге 2.
Совет. Для вставки стандартного поля в шаблон грифа выполните последовательно пункты 3
и 4 предыдущей процедуры. При вводе имени поля укажите соответственно "User", "UserInfo"
или "Category".

5. Сохраните файл шаблонов и закройте редактор Microsoft Word.

Печать конфиденциального документа из Microsoft Word


Если установлен режим контроля печати (см. стр. 82), то печать конфиденциальных
документов выполняется только в MS Word. При этом в выводимый на печать доку-
мент добавляется гриф конфиденциальности.
Процедура печати подробно описана в документе "Secret Net 2000. Автономный ва-
риант. Руководство пользователя".

Замкнутая программная среда


Механизм замкнутой программной среды позволяет ограничить доступ пользовате-
лей к исполняемым файлам только теми программами, которые необходимы им для
работы.
При использовании этого механизма действуют следующие правила:
• Пользователь может работать только с теми программами, запуск которых раз-
решен в UEL-списке (список разрешенных для запуска программ, User Executa-
ble List), Этот список формируется индивидуально для каждого пользователя.
• Замкнутая программная среда может быть включена выборочно для отдельных
пользователей.
• Замкнутая программная среда может использоваться в одном из двух режимов
работы: "мягком" или "жестком".
В "мягком" режиме пользователю разрешается запускать любые программы, а не
только входящие в UEL-список. При этом в журнале безопасности регистрируются
соответствующие события несанкционированного доступа (НСД).
В "жестком" режиме запуск программы разрешатся, если:
• информация о программе содержится в UEL-списке;
• файл программы недоступен текущему пользователю на изменение;
• файл не находится на сменном носителе;
• правильно настроена MS-DOS среда для MS-DOS программ;
• владельцем файла является локальная группа администраторов (это ог-
раничение является дополнительным и может не использоваться).

Порядок настройки
Особенности настройки механизма замкнутой программной среды связаны со сле-
дующими обстоятельствами. Чтобы правильно настроить замкнутую среду, следует
четко установить индивидуальный перечень исполняемых файлов, необходимых в
работе каждому пользователю. Это может быть непростой задачей, тем более, если
каждый пользователь работает со своим набором программ.
Для облегчения этой задачи в системе используется следующий подход. Сначала
замкнутая среда включается в "мягком" режиме, когда пользователю разрешается за-

89
Secret Net 2000. Автономный вариант. Руководство по администрированию

пускать любые программы, а все действия, связанные с запуском программ, фикси-


руются в журнале безопасности в течение определенного периода времени. Затем на
основании данных журнала автоматически может быть сформирован список разре-
шенных для запуска программ, который может быть откорректирован автоматически
или вручную. После этого замкнутая среда переводится в "жесткий" режим работы.
При автоматическом формировании UEL-списка в него сначала добавляются про-
граммы из "списка по умолчанию", который формируется при установке системы
Secret Net 2000 на компьютер, и включает в себя исполняемые файлы из системно-
го каталога и каталога установки системы защиты.
В дальнейшем, в процессе эксплуатации замкнутой программной среды целесооб-
разно периодически анализировать записи журнала безопасности и корректировать
UEL-список, а также права владения и доступа для файлов, добавляемых в списки.
При необходимости механизм замкнутой программной среды может быть временно
отключен сразу для всех пользователей компьютера. При этом все индивидуальные
настройки механизма сохраняются без изменений. Затем механизм может быть
включен повторно.
Детальный порядок настройки замкнутой программной среды на компьютере:

Этап Шаг Процедура Описание


Включение механизма
1. Включите механизм замкнутой программной среды на компьютере. стр. 90
Подготовка к регистрации
2. Настройте для пользователей регистрацию событий, связанных с стр. 91
запуском программ.
3. Настройте журнал безопасности. стр. 93
4. Включите и настройте "мягкий" режим работы замкнутой программной стр. 93
среды для пользователей компьютера.
Регистрация и сбор данных
5. Продолжительность периода сбора данных должна быть достаточной,
чтобы каждый из пользователей поработал со всем необходимым ему
программным обеспечением.
Формирование списков программ
6. На основании данных журнала безопасности сформируйте стр. 94
автоматически или вручную для каждого пользователя список
разрешенных для запуска программ.
7. Ознакомьте каждого из пользователей со списком разрешенных для
запуска программ.
Включение жесткого режима
8. Включите для пользователей "жесткий" режим замкнутой программной стр. 93
среды.

Включение механизма замкнутой программной среды на компьютере


Прежде чем приступить к настройке замкнутой программной среды, необходимо
включить этот механизм на компьютере, чтобы стали доступными для редактирова-
ния его параметры.

Для включения режима замкнутой среды на компьютере:


1. Откройте окно управления общими параметрами и перейдите к диалогу "Допол-
нительно" (см. Рис. 37).

90
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

2. Установите отметку в поле выключателя "Замкнутая среда" и нажмите кнопку


"OK" или "Применить".
Для того чтобы установленные параметры вступили в силу, необходимо перезагру-
зить компьютер.

Временное отключение. Для отключения замкнутой программной среды одно-


временно для всех пользователей компьютера достаточно убрать отметку из поля
"Замкнутая среда". При этом все индивидуальные настройки механизма останутся
без изменений. Для повторного включения механизма достаточно установить от-
метку в этом поле. После включения или отключения механизма необходимо пере-
загрузить компьютер.

Установите отметку в этом поле,


чтобы включить механизм
замкнутой программной среды
на компьютере

Рис. 37. Диалог "Дополнительно"

Настройка регистрации событий


Персональный Перед тем как использовать автоматическую процедуру формирования списка раз-
перечень решенных для запуска программ, необходимо указать перечень регистрируемых со-
бытий для пользователей, которым предстоит работать в замкнутой программной
среде. Также необходимо установить достаточный срок хранения записей в журнале.
Для настройки перечня регистрируемых событий:
1. В программе "Проводник" выберите пользователя, вызовите на экран окно на-
стройки свойств и перейдите к диалогу "Регистрация".
2. Отметьте события Secret Net 2000, которые необходимо регистрировать для на-
стройки замкнутой среды:
• В группе "События расширенной регистрации": "Запуск программы";
• В группе "События НСД": "Запрет запуска программы".
3. Нажмите кнопку "OK" или "Применить".

91
Secret Net 2000. Автономный вариант. Руководство по администрированию

Установите регистрацию
необходимых событий в группах
"События расширенной регистрации"
и "События НСД"

Рис. 38. Диалог "Регистрация"

Дополнительные В системе Secret Net 2000 имеется возможность усилить контроль за работой замкну-
механизмы той программной среды включением дополнительных механизмов контроля. В част-
контроля ности, это может потребоваться для контроля за правильностью прав владения.

Для включения дополнительных механизмов контроля:


1. Вызовите на экран окно настройки общих параметров работы компьютера и пе-
рейдите к диалогу "Компьютер":

Откройте группу параметров


"Замкнутая среда" и отметьте
необходимые из них

Рис. 39. Диалог "Компьютер"

92
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

2. Откройте группу параметров "Замкнутая среда" и отметьте необходимые из них:


"Контролировать загрузку только NE-файлов"
В текущей реализации системы Secret Net 2000 не используется.
"Контролировать владельца файла на санкционированность"
При запуске программы из UEL-списка проверяется корректность владельца файла
программы. Корректным владельцем считается локальная группа администраторов.
Корректность владельца файлов программ не проверяется.

3. Нажмите кнопку "OK" или "Применить".

Настройка Перед тем как использовать автоматическую процедуру формирования списка раз-
журнала решенных для запуска программ, необходимо установить достаточный срок хране-
безопасности ния записей в журнале безопасности (см. стр. 66). Обычно для накопления сведений
о запускаемых пользователем программах достаточно 5 рабочих дней.
Чтобы предотвратить переполнение журнала за время сбора информации, сохраните накопившую-
ся в нем к этому времени информацию в файл, а сам журнал очистите. Это позволит увеличить
полезный объем журнала и хранить в журнале только данные за период сбора информации.

Включение и настройка режима работы замкнутой среды для пользователя


Механизм замкнутой программной среды может быть включен для каждого из поль-
зователей или избирательно для некоторых из них. На этапе настройки замкнутая
среда у этих пользователей должна быть включена в "мягком" режиме.
Обратите внимание! Для пользователей, входящих в группу локальных администраторов (непо-
средственно или через доменную группу), включить замкнутую среду в жестком режиме нельзя. При
включении замкнутой среды у таких пользователей автоматически устанавливается мягкий режим.

Для настройки режима работы замкнутой среды для пользователя:


1. В программе "Проводник" выберите пользователя, вызовите на экран окно на-
стройки свойств и перейдите к диалогу "Режимы":

Установите отметку в этом поле,


чтобы для пользователя
включить механизм замкнутой
программной среды

Установите отметку в этом поле,


чтобы включить мягкий режим
работы замкнутой программной
среды

Рис. 40. Диалог "Режимы"

93
Secret Net 2000. Автономный вариант. Руководство по администрированию

2. Включите замкнутую программную среду и установите режим работы:


• Установите отметку в поле "Замкнутая программная среда", чтобы включить
этот механизм для выбранного пользователя.
При первом включении для пользователя замкнутой программной среды автоматически соз-
дается UEL-файл пользователя, в который добавляется список программ по умолчанию.
При последующих выключениях и включениях замкнутой среды UEL-файл сохраняется не-
изменным. Удаляется UEL-файл только после удаления пользователя.

• Установите отметку в поле "Мягкий режим для списка программ", если необ-
ходимо включить "мягкий" режим замкнутой программной среды. Если
необходим "жесткий" режим работы, удалите отметку из этого поля.
3. Нажмите кнопку "OK" или "Применить".

Формирование списка разрешенных для запуска программ


Список разрешенных для запуска программ формируется индивидуально для каж-
дого пользователя. Существуют два способа формирования этих списков:
• автоматическое формирование списка на основании информации о запуске
программ, содержащейся в журнале безопасности;
• редактирование вручную списка программ с использованием текстового ре-
дактора SnEdit.
Автоматическое Автоматическое формирование UEL-списка должно проводится после того, как в
формирование журнале безопасности будет накоплено достаточное количество записей, связанных
списка с запуском программ. Автоматический способ облегчает процедуру формирования
UEL-списка. Далее список может быть уточнен путем повторного использования ав-
томатической процедуры и ручной корректировкой.

Для автоматического формирования UEL-списка пользователя:


1. В программе "Проводник" выберите пользователя, вызовите на экран окно на-
стройки свойств и перейдите к диалогу "Режимы" (Рис. 40).
2. Нажмите кнопку "Программы".
UEL-список выбранного пользователя будет открыт в окне программы SnEdit.

Содержимое "списка
по умолчанию"
добавляется
в начало
секции [Manual]
UEL-файла
пользователя

Рис. 41. Просмотр UEL-файла в окне редактора SnEdit


Описание формата UEL-файла содержится в приложении (стр. 131).

94
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

3. Выберите "Список программ | Построить по журналу" в меню основного окна про-


граммы SnEdit для вызова на экран диалога для указания параметров анализа:

Интервал времени, за который анализируются


записи журнала безопасности

Параметры, которые необходимо учитывать


при проведении автоматического анализа
записей журнала

4. Укажите необходимые значения параметров:


Параметры: Назначение:
Интервал Эта группа полей используется для указания периода времени, за
который должен быть проведен анализ событий, зарегистриро-
ванных в журнале
События всех поль- Установите отметку, чтобы при построении UEL-списка учитыва-
зователей лись события, связанные с работой всех пользователей компью-
тера
События НСД Установите отметку, чтобы вместе с событиями запуска программ
анализировались и события НСД – "запрет запуска программ"
Только события НСД Установите отметку, чтобы анализировались только события НСД
– "запрет запуска программ"

5. Нажмите кнопку "OK".


Будет проведен анализ записей журнала безопасности. В секцию [Auto] будет
добавлен сформированный по журналу список программ.
6. Просмотрите список программ, измените при необходимости его содержание, а
затем сохраните. Закройте окно редактора SnEdit.
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и на-
жать клавишу <Del>) и вставлять в первую позицию строки префикс "!" (запрет запуска конкрет-
ной программы). Все другие действия запрещены.

7. Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.

Ручная Перед выполнением ручной корректировки UEL-списка проанализируйте записи


корректировка журнала безопасности, относящиеся к работе пользователей, для которых включе-
списка на замкнутая программная среда. Составьте для каждого пользователя список про-
грамм, попытки запуска которых регистрируются как событие НСД "Запрет запуска
программы". В списке можно использовать имя файла, содержащие полный путь к
нему, указывать каталоги или файлы по маске (см. описание формата UEL-файла в
приложении, стр. 131).

Для ручной корректировки списка программ:


1. В программе "Проводник" выберите пользователя, вызовите на экран окно на-
стройки свойств и перейдите к диалогу "Режимы" (Рис. 40).
2. Нажмите кнопку "Программы".
UEL-файл, относящийся к выбранному пользователю, будет открыт в окне ре-
дактора SnEdit (Рис. 41).
3. Добавьте в секцию [Manual] нужные строки, разрешающие или запрещающие
пользователю запуск тех или иных программ.

95
Secret Net 2000. Автономный вариант. Руководство по администрированию

Добавление файлов в диалоговом режиме. Выберите в меню главного окна программы SnEdit
"Список программ | Добавить". На экране появится стандартный диалог Windows "Добавить
файл". С помощью этого диалога найдите и укажите нужный файл.

Сортировка списка. Для сортировки UEL-списка в алфавитном порядке выберите в меню глав-
ного окна программы SnEdit "Список программ | Сортировать".

4. Сохраните изменения и закройте окно редактора.


5. Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.

Корректировка параметров замкнутой среды


Как уже было сказано ранее (см. стр. 89), запуск программы из UEL-списка разре-
шается, если для файла установлены необходимые права доступа и владения. Од-
нако при формировании UEL-списка система не выполняет автоматическую
корректировку этих прав для файлов, добавленных в UEL-список. Поэтому может
возникнуть ситуация, когда программа содержится в списке, но не может быть за-
пущена пользователем. Если такая ситуация возникает, необходимо проанализиро-
вать записи журнала безопасности, определить файлы программ, права владения и
доступа которых требуют корректировки, и выполнить ее.

Автоматическая Для автоматической корректировки параметров:


корректировка
параметров 1. В программе "Проводник" выберите пользователя, вызовите на экран окно на-
стройки свойств и перейдите к диалогу "Режимы" (Рис. 40).
2. Нажмите кнопку "Программы".
UEL-список выбранного пользователя будет открыт в окне программы SnEdit.
3. Выберите "Список программ | Настроить" в меню основного окна программы SnEdit.
На экране появится диалог для коррекции параметров замкнутой среды:

Укажите расширения
исполняемых файлов,
которые должны
учитываться при просмотре
указанных в UEL-файле
каталогов

Нажмите эту кнопку для


восстановления списка
расширений, заданных по
умолчанию

Рис. 42. Настройка и корректировка параметров замкнутой среды


4. Укажите необходимые значения параметров:
Установите отметку в поле: Для того чтобы …
Права доступа к ресурсам Корректировать права доступа и владения для перечня
ресурсов, заданных в UEL-файле
Автоматически настроить для Автоматически выполнить корректировку прав доступа и
всех ресурсов владения, не выполняя предварительно проверку кор-
ректности прав и не запрашивая разрешение перед вы-
полнением операции. При включении этого режима
корректировка выполняется быстрее, т.к. не проводится
проверка прав доступа, которая требует значительного
времени

96
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Установите отметку в поле: Для того чтобы …


Зависимости от других Добавить в список другие файлы, необходимые для ра-
модулей боты файлов, уже указанных в списке
Повторяющиеся строки Удалить из UEL-файла повторяющиеся строки
Обрабатывать каталоги Выполнить корректировку файлов из каталогов, указан-
ных в UEL-файле. Иначе такие строки будут игнориро-
ваться
Обрабатывать ресурсы, Выполнить корректировку файлов, заданных при помо-
заданные при помощи масок щи маски. Иначе такие строки будут игнорироваться
Запрашивать подтверждение Потребовать выводить запрос перед выполнением ука-
перед выполнением операций занных в диалоге операций по настройке и корректиров-
ке параметров замкнутой среды

5. Нажмите кнопку "Начать".


• Если система обнаружит в UEL-файле ошибочные (некорректные) строки,
они будут исключены из обработки и выделены цветом. Для таких строк ис-
пользуются следующие цветовые индикаторы:
Цвета Используется для выделения ошибочных элементов:
Красный Пути к каталогам и файлам (заданным без использования ма-
сок), которые не обнаружены на локальном диске компьютера
или являются некорректными строками (т.е. строками с некор-
ректным описанием ресурсов или секций)
Темно-красный Пути к файлам (заданным без использования масок), атрибуты
доступа к которым не соответствуют требованиям замкнутой
среды
Синий Пути к каталогам и файлам, совпадающие с описаниями в дру-
гих секциях данного файла

• В некоторых случаях система сама может разрешить противоречия в соот-


ветствии с правилами, изложенными в приложении (см. стр. 132).
• Если автоматический режим настройки не используется, а перед выполне-
нием операции запрашивается подтверждение, то на экране будет появ-
ляться диалог:
Информация о проблеме

Кнопки для выбора


способа устранения
проблемы

Кнопки: Используются …
Исправить, Для запуска процедуры автоматического исправления
Исправить все текущей или текущей и всех последующих аналогичных
проблемных строк
Пропустить, Для пропуска текущей или текущей и всех последующих
Пропустить все аналогичных проблемных строк
Удалить, Для удаления текущей или текущей и всех последующих
Удалить все аналогичных проблемных строк
Отмена Для прекращения процедуры корректировки и закрытия
данного диалогового окна

• При автоматическом режиме настройки подтверждение не запрашивается, а


после успешного завершения корректировки указанных параметров на экра-
не появится сообщение об этом.

97
Secret Net 2000. Автономный вариант. Руководство по администрированию

В результате в окне программы SnEdit будет отображен откорректированный


UEL-список выбранного пользователя.
6. Сохраните изменения и закройте окно редактора.
7. Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.

Ручная Для изменения прав владения и доступа вручную:


корректировка
прав владения 1. Откройте журнал безопасности.
и доступа
2. Просмотрите в колонке "Событие" все записи, содержащие значение "Запрет
запуска программы" (причина запрета запуска в окне дополнительной информа-
ции или во всплывающей подсказке к колонке "Событие").
Проверьте права доступа и владения для всех файлов программ, полные пути к
которым содержатся в колонке "Объект". Выясните причину запрета запуска про-
грамм и выявите файлы с некорректными правами владения и доступа. Со-
ставьте список таких файлов.
3. Закройте журнал безопасности.
4. Присвойте корректные права доступа и владения файлам программ из состав-
ленных списков, руководствуясь следующими правилами:
• владельцем файла должна быть группа локальных администраторов;
• файл должен быть недоступен на изменение (запись) для пользователя
компьютера, для которого включена замкнутая программная среда.
Примечание. Управление правами доступа и владения осуществляется стандартными средст-
вами управления, входящими в состав ОС Windows 2000. Подробное описание процедур содер-
жится в руководствах по администрированию ОС Windows 2000.

98
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Доступ к дискам и портам


Механизм разграничения доступа к устройствам компьютера предназначен для ог-
раничения доступа пользователей, осуществивших интерактивный вход или под-
ключившихся к компьютеру по сети, к следующим устройствам:
• Накопителям на сменных носителях (например, дисководам гибких дисков и
приводам CD-ROM).
• Локальным логическим дискам.
• Устройствам ввода-вывода информации (COM-портам, LPT-портам, USB-портам).
Этот механизм может работать в одном из двух режимов: "жестком" или "мягком" (см.
стр.100).

Включение механизма разграничения доступа к дискам и портам


Прежде чем приступить к управлению разграничением доступа к дискам и портам,
необходимо включить этот механизм на компьютере, чтобы стали доступными для
редактирования его параметры.

Для включения механизма разграничения доступа к устройствам:


1. Откройте окно управления общими параметрами и перейдите к диалогу
"Дополнительно":

Установите отметку в
этом поле, чтобы
включить на компьютере
механизм разграничения
доступа к дискам и портам

Рис. 43. Диалог "Дополнительно"


2. Установите отметку в поле выключателя "Разграничение доступа к устройствам" и
нажмите кнопку "OK" или "Применить".
Для того чтобы установленные параметры вступили в силу, необходимо перезагру-
зить компьютер.

99
Secret Net 2000. Автономный вариант. Руководство по администрированию

Временное отключение. Одновременно для всех пользователей компьютера можно отключить


механизм разграничения доступа к устройствам, удалив отметку из поля выключателя "Разграни-
чение доступа к устройствам". При этом все индивидуальные настройки механизма, выполненные
для отдельных пользователей, останутся неизменными. Поэтому для повторного включения меха-
низма достаточно установить отметку в поле данного выключателя и перезагрузить компьютер.

Предоставление прав доступа


Для управления правами доступа к дискам и портам:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите
на экран окно настройки свойств и перейдите к диалогу "Доступ":

См. также:
Информация об
отдельных элементах В этом поле приведен список
диалога (назначении и портов компьютера и отмечены
особенностях те из них, доступ к которым
использования) разрешен пользователю
содержится в
справочной системе. В этой таблице приведен
перечень локальных дисков и
накопителей на сменных
носителях. В столбце “Доступ”
указаны права доступа
пользователя к каждому из них

Системный диск выделен


жирным шрифтом

Для предоставления прав


доступа к диску необходимо
выбрать его имя в таблице, а …
… в раскрывающемся списке
выбрать значение атрибута
доступа

Рис. 44. Диалог "Доступ"


2. Укажите необходимые права доступа к портам и дискам:
Доступ к портам • Для предоставления права доступа к портам установите отметку рядом с его
именем в списке "Доступ к портам".
Доступ к дискам • Для предоставления прав доступа к диску необходимо выбрать его имя в
таблице "Доступ к дискам", а в списке "Права доступа" выбрать значение ат-
рибута доступа. Описание атрибутов доступа к дискам содержится в прило-
жении (см. стр.134).
При попытке изменения прав доступа к системному диску на экран выводится предупреж-
дение, напоминающее, что диск является системным.

3. Нажмите кнопку "OK" или "Применить".

Управление режимами
Средства защиты системы Secret Net 2000 могут работать в двух режимах: "жест-
ком" и "мягком". "Жесткий" режим является основным режимом работы системы за-
щиты. "Мягкий" режим позволяет упростить настройку системы защиты при вводе ее
в эксплуатацию.

100
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

При любом режиме работы попытка несанкционированного доступа к ресурсу фик-


сируется системой как событие несанкционированного доступа (НСД), однако в от-
личие от "жесткого" режима при "мягком" режиме доступ к ресурсу предоставляется.
Такой подход на этапе ввода системы в эксплуатацию позволяет, не ограничивая
возможностей пользователя, фиксировать все случаи превышения прав доступа.
Последующий анализ записей журнала безопасности дает возможность уточнить
потребности пользователя в ресурсах и привести его права в соответствие с ними.
Режим работы механизма разграничения доступа к дискам и портам устанавливает-
ся индивидуально для каждого пользователя.

Для выбора режима доступа пользователя к дискам и портам:


1. В программе "Проводник" выберите интересующего вас пользователя, вызовите
на экран окно настройки свойств и перейдите к диалогу "Режимы":

Установите отметку в этом


поле, если требуется мягкий
режим доступа к дискам и
портам

Рис. 45. Диалог "Режимы"


2. Установите отметку в поле "Мягкий режим для дисков и портов ввода-вывода",
если необходим "мягкий" режим разграничения доступа к дискам и портам. Уда-
лите отметку, если требуется ввести "жесткий" режим.
3. Нажмите кнопку "OK" или "Применить".

Затирание данных
Затирание данных выполняется автоматически путем записи на диск случайной чи-
словой последовательности на место удаленной информации. Эта операция позво-
ляет предотвратить восстановление удаленных файлов.
Примечание. Если удаляемые файлы помещаются в "Корзину", то затираться они будут только
после очистки корзины (т.е. после удаления с диска). Если же в диалоге "Глобальные" свойств
"Корзины" включить параметр "Уничтожать файлы сразу после удаления, не помещая их в корзи-
ну", то они будут затираться сразу после удаления.

101
Secret Net 2000. Автономный вариант. Руководство по администрированию

Затирание одного и того же удаленного файла может повторяться несколько раз, то


Количество есть выполняться за несколько проходов. Следует помнить, что с увеличением чис-
проходов ла циклов работа компьютера замедляется.

Для указания количества проходов затирания данных:


1. Вызовите на экран окно настройки общих параметров и перейдите к диалогу
"Компьютер" (см. Рис. 46).
2. Укажите количество проходов, которое требуется при автоматическом затира-
нии информации, удаленной с локальных дисков. Параметр может принимать
значения от 0 до 5. При значении "0" удаляемая информация не затирается.
3. Нажмите кнопку "OK" или "Применить".

В этом поле укажите


количество повторений
операции затирания

Рис. 46. Диалог "Компьютер"

Включение Режим затирания данных включается индивидуально для каждого пользователя.


режима
Для включения режима затирания:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите
на экран окно настройки свойств и перейдите к диалогу "Режимы".

102
Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Установите отметку в этом


поле, чтобы включить для
пользователя режим
затирания удаляемых данных

Рис. 47. Диалог "Режимы"


2. Установите отметку в поле "Затирание удаляемых данных на локальных дисках"
и нажмите кнопку "OK" или "Применить".

103
Secret Net 2000. Автономный вариант. Руководство по администрированию

104
глава 8
Усиление защищенности
Из этой главы вы узнаете:
• Как усилить защищенность компьютера
• Как установить дополнительные запреты и ограничения
• Как установить запреты и ограничения для отдельных пользователей
• Как ограничить использование локальных, сетевых и системных ресурсов

105
Secret Net 2000. Автономный вариант. Руководство по администрированию

Запреты и ограничения
Запреты и ограничения используются для усиления защищенности компьютера в
тех случаях, когда недостаточно стандартных механизмов защиты.
В Windows 2000 некоторые параметры повышенной защищенности настраиваются с
помощью редактора системного реестра. В Secret Net 2000 предусмотрена возмож-
ность их настройки в диалоговом режиме.

Общие запреты и ограничения


Общие запреты и ограничения распространяются на всех пользователей компьютера.

Для настройки перечня общих запретов и ограничений:


1. Вызовите окно настройки общих параметров и перейдите к диалогу "Компьютер":

Рис. 48. Диалог "Компьютер"


Список параметров организован в виде дерева. Каждая ветвь дерева соответст-
вует отдельной группе параметров. Описание групп параметров приведено ни-
же, а полное описание отдельных параметров содержится на стр.128.
Группа параметров Назначение параметров
Вход пользователя в Дополнительные меры защиты на этапе входа пользователя
систему в систему.
Уровень аутентификации Выбор протокола аутентификации пользователя в домене
пользователя Windows.
Замкнутая среда Усиление контроля в режиме замкнутой среды.
Внешние носители Ограничение доступа системных процессов и пользователей
других компьютеров к работе с гибкими дисками и компакт-
дисками.
Подсистемы Windows Запрет использования на компьютере подсистем Windows,
уменьшающих защищенность.

106
Глава 8. Усиление защищенности

Группа параметров Назначение параметров


Дополнительный аудит Усиление защищенности за счет расширения событий ауди-
та и ограничения доступа к регистрируемой информации.
Разграничение доступа к Усиление контроля в режиме разграничения доступа к дис-
устройствам кам и портам.
Другие Дополнительные параметры защиты, не относящиеся к пре-
дыдущим группам.

2. Для настройки откройте нужную группу параметров (ветвь дерева) и отметьте


необходимые из них.
3. Нажмите кнопку "OK" или "Применить".

Персональные запреты и ограничения


Помимо общих запретов и ограничений для любого пользователя могут быть установ-
лены персональные ограничения на использование локальных и системных ресурсов.

Для указания персонального перечня запретов:


1. В окне программы "Проводник" выберите нужного пользователя, вызовите окно
настройки свойств и перейдите к диалогу "Запреты":

Ограничения на
использование
локальных
ресурсов

Ограничения на
использование
системных
ресурсов

Рис. 49. Диалог "Запреты"


Ограничения на 2. Для ограничения прав на использование локальных ресурсов компьютера, уста-
использование новите отметку в поле соответствующего выключателя группы "Локальные ре-
локальных сурсы", руководствуясь информацией, приведенной в таблице:
ресурсов
Запрет Эффект
Запрет работы при При обнаружении нарушения целостности контролируемых
нарушении целостности объектов доступ пользователя к компьютеру блокируется.
Запрет работы при Если система обнаружит, что из компьютера было изъято
изъятии аппаратной устройство аппаратной поддержки, доступ пользователя к
поддержки компьютеру будет заблокирован. (Если аппаратная поддерж-
ка системы защиты отсутствует, выключатель неактивен).

107
Secret Net 2000. Автономный вариант. Руководство по администрированию

Запрет Эффект
Запрет работы при При обнаружении факта внесения несанкционированных
изменении конфигурации изменений в аппаратную или программную конфигурацию
компьютера доступ к нему пользователя блокируется.

Ограничения на 3. Для ограничения прав на работу с системными ресурсами установите отметку в


использование поле "Ограничения Windows 2000" (или, если отметка уже установлена, нажмите
системных на кнопку "Список"). На экране появится следующий диалог:
ресурсов

Рис. 50. Диалог "Windows 2000"


Список "Ограничения в Windows" содержит перечень запретов, налагаемых на
пользователя при работе с ресурсами операционной системы (см. стр.129). За-
преты, установленные для пользователя, имеют отметку слева от названия.
• Установите необходимые ограничения на использование системных ресур-
сов. Если требуется установить для пользователя перечень запретов, при-
нятый по умолчанию, нажмите кнопку "По умолчанию".
• Нажмите кнопку "ОК".
4. Нажмите кнопку "OK" или "Применить" в окне настройки свойств пользователя.
Помните. В ОС Windows 2000 эти ограничения устанавливаются средствами меха-
низма Policy. Если управление Policy осуществляется централизованно при помо-
щи Policy Editor, то нет смысла изменять ограничения локально, т.к. в этом случае
при входе в систему доменного пользователя для него всегда будут устанавли-
ваться ограничения, настроенные централизованно в домене.

108
глава 9
Работа с журналом безопасности
Из этой главы вы узнаете:
• Как организован интерфейс программы просмотра журнала
• Как выбрать удобный способ отображения информации
• Как обновить записи в журнале
• Как отсортировать записи
• Как изменить состав и порядок полей журнала
• Как распечатать журнал
• Как очистить журнал
• Как преобразовать журнал в файл
• Как провести поиск записей в журнале

109
Secret Net 2000. Автономный вариант. Руководство по администрированию

Программа просмотра журнала


События, произошедшие на данном компьютере и имеющие отношение к безопас-
ности, регистрируются в журнале безопасности ОС Windows 2000, который будем
далее называть "журналом безопасности".
Для работы с журналом безопасности используется программа SnLView. Она позво-
ляет эффективно организовывать просмотр зарегистрированных событий благодаря
возможностям расширенного представления данных, поиска, сортировки и преобра-
зования записей журнала в другие форматы.

Для вызова программы SnLView:


Программу SnLView можно вызвать:
1. Из меню Secret Net панели задач. Вызовите контекстное меню к логотипу
Secret Net на панели задач и выберите в нем пункт "Журнал".

2. Из программы "Проводник". В окне программы "Проводник" вызовите контек-


стное меню к папке "Secret Net" и выберите в нем пункт "Журнал".

3. Из программного меню Windows. Нажмите на кнопку "Пуск" и выберите в ме-


ню "Программы | Secret Net | Просмотр журнала событий".

110
Глава 9. Работа с журналом безопасности

Интерфейс программы просмотра журналов


После запуска программы SnLView на экране появится главное окно программы:

Главное меню и
панель Окно
инструментов дополнительной
информации

Окно просмотра событий

В строке сообщений можно получить краткую Всплывающее информационное окно


информацию об элементах основного меню и
кнопках панели инструментов

Рис. 51. Главное окно программы SnLView


Управление программой SnLView осуществляется с помощью команд основного ме-
ню, панели инструментов и контекстного меню. Некоторые команды можно выпол-
нить и с помощью "горячих" клавиш. В Табл. 2 приведен перечень кнопок панели
инструментов, соответствующих им "горячих" клавиш и указано их функциональное
назначение.
Табл. 2. Кнопки панели инструментов программы SnLView
Кнопка Горячие клавиши Команда
F5 Обновить отображаемые записи

Esc Остановить процедуру обновления


Ctrl+P Печать журнала (целиком или выделенных записей)

Преобразовать журнал в файл (*.txt или *.mdb)

Alt+С Включить/выключить режим расцветки записей

Ctrl+F Изменить параметры просмотра журнала


Включить/выключить режим просмотра дополнительной
Alt+Enter
информации в окне дополнительной информации

Краткую информацию об элементах основного меню и кнопках панели инструментов


можно получить из подсказки в строке сообщений. Сообщение появляется в строке при
выборе пункта меню или кнопки панели инструментов.
Основное окно программы просмотра журнала содержит два внутренних окна:
• Окно просмотра событий – для отображения списка зарегистрированных со-
бытий.
• Окно дополнительной информации – для отображения информации об от-
дельном событии, выбранном в окне просмотра.
Вы можете выбрать для себя удобный вид представления информации в окнах, из-
меняя их положение и относительные размеры (см. ниже).

111
Secret Net 2000. Автономный вариант. Руководство по администрированию

Окно просмотра событий


После запуска программы просмотра журнала в окне просмотра событий появится
список записей о зарегистрированных событиях, организованный в виде таблицы
(см. Рис. 51).
Каждая запись соответствует событию и состоит из нескольких полей, в которых
отображаются его характеристики:
Наименование поля Содержание
Тип события Тип события, например, "информационное сообщение"
или "предупреждение".
Время Время возникновения события
Основной Идентификатор или имя пользователя, действия которого привели
пользователь к появлению события
Компьютер Имя компьютера, действия на котором привели к появлению собы-
тия
Событие Название и описание события
Процесс Название процесса, в рамках которого произошло событие
Объект Имя объекта, в результате действий с которым произошло событие

Названия характеристик вынесены в заголовки столбцов таблицы (например,


"Тип события", "Время", "Пользователь"). Записи приводятся в порядке регистрации
соответствующих им событий. При необходимости способ упорядочения записей
может быть изменен (о сортировке записей см. ниже).

Окно дополнительной информации


В окне дополнительной информации (см. Рис. 51) выводится полная информация о
выбранном событии. По умолчанию это окно не отображается. Включить отображе-
ние окна дополнительной информации можно, выбрав в основном меню пункт "Про-
смотр | Дополнительная информация" или нажав клавиши <Alt>+<Enter>. Отключить
отображение окна дополнительной информации можно одним из следующих спосо-
бов:
• повторно выбрав в основном меню пункт "Просмотр | Дополнительная инфор-
мация" или нажав клавиши <Alt>+<Enter>;
• вызвав в любом месте окна контекстное меню и выбрав в нем пункт "Закрыть".
После того как в окне просмотра журнала вы выберете запись об интересующем вас
событии, в окне дополнительной информации появится полная информация о нем.
В колонке "Поле" приводится список полей, которые используются для описания со-
бытий, а рядом их значения (в колонке "Значение"). До тех пор пока в окне просмот-
ра журнала не выделена ни одна запись, окно дополнительной информации или
будет оставаться пустым, или будет содержать информацию, которая появилась в
нем при последнем обновлении.

Управление положением и размером окон


В программе просмотра журнала предусмотрено несколько способов управления
положением и размером окон. Это позволяет найти наиболее эффективный для ка-
ждого пользователя способ организации работы с журналом.
Перемещение разделяющих границ. Вы можете подобрать удобные для себя от-
носительные размеры окон, перемещая разделяющие их границы обычным приня-
тым в Windows способом.

112
Глава 9. Работа с журналом безопасности

Перетаскивание окон. Окно дополнительной информации можно перемещать внут-


ри главного программы. Это возможно при включенном docking режиме. Docking
можно дословно перевести как "швартовка, причаливание в доке". Если вы откроете
контекстное меню в этом окне, то увидите, что docking режим разрешен по умолчанию
– рядом с соответствующим пунктом меню стоит отметка:

Для того чтобы перетащить вспомогательное окно на новое место подведите курсор
мыши к полосе, которая располагается сразу над заголовками столбцов. Курсор должен
при этом принять форму скрещенных стрелок:

Теперь нажмите на левую кнопку мыши и удерживайте ее в нажатом состоянии. Вокруг


крестообразного курсора появится прямоугольный контур, имитирующий границы
вспомогательного окна:

Когда он приближается к границам главного окна, меняется его форма, он как бы


"причаливает" к границам главного окна, показывая новое возможное положение
окна. Если такое положение вас устраивает, отпустите левую кнопку мыши, и окно
разместится в новом месте.
Если же курсор вывести за границы главного окна, то окружающий его прямоугольный
контур будет очерчен более толстой линией:

Если оставить вспомогательное окно в таком положении, то оно станет самостоя-


тельным:

113
Secret Net 2000. Автономный вариант. Руководство по администрированию

Над строкой заголовков столбцов появится строка заголовка окна с его названием.
Можно независимо от других окон менять его положение и размер.
Если попытаться возвратить окно в границы главного окна, то оно опять начнет "прича-
ливать" к внутренним границам. Окно автоматически возвратится в прежнее положе-
ние, если дважды щелкнуть на его заголовке. Но если вы отмените docking режим в
контекстном меню, то самостоятельное вспомогательное окно можно будет разместить
даже на фоне главного окна, и эффекта "причаливания" уже не будет.

Всплывающие информационные окна


В тех случаях, когда представленная в окнах информация не помещается в них полно-
стью, можно использовать вертикальную и горизонтальную полосы прокрутки или кла-
виши управления курсором для пролистывания записей.
В окне просмотра событий и окне дополнительной информации действует механизм
автоматического вызова подсказки к значениям записей, которые не умещаются це-
ликом в отведенном для них столбце таблицы (см. Рис. 51). Для получения подсказ-
ки наведите курсор на запись. Через 1-2 секунды значение записи будет целиком
выведено на экран во всплывающем окне желтого цвета. Использование этого ме-
ханизма позволяет экономить место на экране и получать всю необходимую ин-
формацию, не изменяя размера окон и столбцов таблицы.

Типовые операции при работе с журналом


При работе с журналом можно выполнить следующие типовые операции:
• обновить записи в окне просмотра см. стр.114
• отсортировать записи см. стр.115
• изменить состав и порядок отображаемых полей см. стр.115
• распечатать записи журнала (целиком или выборочно) см. стр.117
• удалить все записи из журнала см. стр.118
• сохранить записи журнала в файле см. стр.118
• провести поиск записей в журнале см. стр.119

Обновление записей в окне просмотра событий


Регистрация событий происходит непрерывно (согласно установленному режиму
регистрации). Это может привести к тому, что в процессе работы с журналом дан-
ные, отображаемые на экране, не будут соответствовать актуальному состоянию
журнала безопасности. Чтобы привести в соответствие данные, отображаемые в
окне программы просмотра журнала, их необходимо обновить.

Для обновления отображаемых записей:


Воспользуйтесь одним из следующих способов:
• нажмите на клавишу <F5>;
• нажмите на кнопку на панели инструментов;
• выберите в основном меню "Просмотр | Повторить выборку данных".

114
Глава 9. Работа с журналом безопасности

Сортировка записей
Записи в окне просмотра можно сортировать в соответствии со значениями в каком-
либо столбце. При этом записи в столбцах можно сортировать как в прямом, так и в
обратном порядке. Прямая сортировка по датам распределяет записи в соответст-
вии со временем их регистрации, начиная с наиболее ранних из них. Сортировка
текстовых значений в прямом порядке выполняется в соответствии с русским и ла-
тинским алфавитом и не требует повторной выборки записей из журнала.

Для сортировки записей по значениям в столбце:


• Нажмите на заголовок соответствующего столбца.
Записи будут отсортированы в прямом порядке. При повторном нажатии на кнопку-
заголовок записи будут отсортированы в обратном порядке.

Изменение состава и порядка отображения характеристик


В окне просмотра событий можно изменить состав отображаемых характеристик и
порядок их следования. Сделать это можно одним из следующих способов:
• непосредственно в окне просмотра событий;
• с помощью диалога "Отображаемые поля".

Для управления непосредственно в окне просмотра событий:


1. Вызовите на экран журнал безопасности.

Строка заголовков
столбцов
используется для
оперативного
управления их
отображением

Выберите этот пункт в меню


заголовка столбца, чтобы запретить
его отображение в окне просмотра

Откройте этот пункт в меню любого


заголовка столбца и в подменю отметьте
наименования тех столбцов, которые
должны быть видны в окне просмотра

Рис. 52. Средства управления отображением полей


Оперативное управление списком полей выполняется в строке заголовков столб-
цов таблицы.
2. Определите перечень отображаемых полей, используя следующие приемы:
• Чтобы столбец не отображался, совместите указатель мыши с его заголовком,
вызовите контекстное меню и выберите в нем пункт "Не показывать поле".
• Чтобы определить перечень отображаемых полей, совместите указатель
мыши со строкой заголовка таблицы, вызовите контекстное меню и выбери-
те пункт "Список полей". Раскрывшееся подменю содержит полный список
наименований столбцов. Установите отметки рядом с наименованиями тех
столбцов, которые должны отображаться в окне просмотра.

115
Secret Net 2000. Автономный вариант. Руководство по администрированию

3. Укажите порядок следования столбцов в таблице. Для этого нажмите на кнопку-


заголовок столбца и, удерживая ее в нажатом положении, переместите в нужное
место таблицы.
Выравнивание Ряд команд контекстного меню заголовка-столбца предназначены для выбора удоб-
информации в ного отображения данных в ячейках таблицы.
ячейках столбца
Используйте эти команды для выравнивания значений
текущего столбца

Используйте эту команду, если ширина столбца


недостаточна для отображения данных или установите
курсор на разделяющую границу заголовка столбца и
нажмите дважды левую кнопку мыши.

Для управления при помощи диалога "Отображаемые поля":


1. Выберите в основном меню пункт "Просмотр | Параметры просмотра" (или на-
жмите клавиши <Ctrl>+<F>). На экране появится диалог:

Кнопки для
формирования списка
отображаемых полей

Кнопка для
формирования Кнопки для
стандартного списка формирования
отображаемых полей порядка
следования
полей

Рис. 53. Диалог "Отображаемые поля"


В списке "Показать поля в порядке" приводится перечень тех столбцов, которые
будут отображаться в окне просмотра. Порядок элементов списка соответствует
порядку отображения соответствующих им столбцов. Перечень других полей,
доступных для журнала, но не отображаемых в окне просмотра приводится в
списке "Доступные поля".
2. Составьте список отображаемых в журнале полей.
• Если хотите использовать стандартный набор полей, который по умолчанию
предлагает программа просмотра журналов, нажмите кнопку "Стандарт".
• Если хотите сформировать нестандартный список, переместите нужные по-
ля из списка "Доступные поля" в список "Показывать поля в порядке" с по-
мощью кнопок для формирования списка.
3. Укажите порядок следования полей в журнале. Для этого выберите имя поля в
списке "Показать поля в порядке" и с помощью кнопок "Вверх" и "Вниз" установи-
те желаемое положение поля, имея в виду, что верхнему полю списка соответ-
ствует первый столбец в журнале.
4. Нажмите кнопку "OK" для сохранения сделанных изменений.
После этого обновится информация, отображаемая в окне просмотра журнала.

116
Глава 9. Работа с журналом безопасности

Печать записей журнала


Можно распечатать как все записи журнала, так и отдельные из них.

Для распечатки записей:


1. Если требуется распечатать часть записей, выделите их. При выделении запи-
сей используйте клавиши <Ctrl> или <Shift>. Если вы хотите распечатать все за-
писи, выделять их не требуется.
2. Передайте задание на печать:
• для печати выделенных записей, вызовите контекстное меню и выберите в
нем пункт "Печать";
• для печати всех записей выберите в основном меню "Файл | Печать" или на-
жмите на соответствующую кнопку на панели инструментов.

Нажмите для изменения характеристик шрифта

Выберите режим печати

Нажмите для
передачи Нажмите для перехода
задания на к окну предварительного просмотра
печать

3. Установите необходимые параметры печати.


Для изменения характеристик шрифта нажмите на кнопку "Изменить". После
этого на экране появится стандартный диалог настройки шрифта. Выберите же-
лаемый шрифт и укажите другие его характеристики. Нажмите на кнопку "OK"
для возврата к диалогу "Печать журнала".
Для предварительного просмотра выводимой на печать информации нажми-
те на кнопку "Предварительный просмотр". На экране появится стандартный
диалог предварительного просмотра ОС Windows:
Для печати непосредственно из окна просмотра
Для перелистывания страниц
Для выбора режима просмотра одной или двух страниц
Для изменения масштаба просмотра

117
Secret Net 2000. Автономный вариант. Руководство по администрированию

Используйте кнопки окна предварительного просмотра для перелистывания


страниц журнала, выбора режима просмотра и последующей печати.
4. Если вид выводимой на печать информации вас устраивает, нажмите на кнопку
"Печать". Задание будет отправлено на печать.
На экране появится стандартный диалог печати Windows.
5. Укажите необходимые параметры печати, настройте свойства принтера и на-
жмите кнопку "OK" для запуска печати.
Записи журнала будут распечатаны в соответствии с требованиями задания.
Примечание. Настройку принтера можно выполнить предварительно, перед печатью. Для этого вы-
берите "Файл | Параметры страницы" в меню программы просмотра журнала. В появившемся стан-
дартном диалоге Windows для настройки принтера укажите необходимые значения параметров.

Очистка журнала
В программе просмотра журнала предусмотрена возможность удаления всех запи-
сей из журнала безопасности.

Для очистки журнала:


1. Откройте журнал.
2. Выберите пункт меню "Редактирование | Очистить журнал".
На экране появится запрос на очистку журнала.
3. Нажмите кнопку "Да" в окне запроса.
Все записи будут удалены из журнала, а на экране появится сообщение об
окончании удаления записей и запрос на проведение новой выборки данных из
журнала.

4. Для выполнения повторной выборки нажмите кнопку "Да".


В окне просмотра появится одна запись о событии "Очистка журнала аудита".

Сохранение записей журнала в файле


Записи журнала событий можно сохранить в текстовый файл ( .txt) или в файл
Microsoft Access ( .mdb). Сохранить можно как любую выделенную часть записей,
так и все имеющиеся записи журнала.

Для сохранения записей журнала в файле:


1. Откройте журнал.
2. Для сохранения части записей выделите их с помощью мыши и клавиш <Ctrl> или
<Shift>. (Для сохранения всех записей сразу перейдите к пункту 3).

3. Выберите в меню "Файл | Преобразование журнала" (или нажмите кнопку на


панели инструментов.
На экране появится стандартный для ОС Windows диалог сохранения файла.

118
Глава 9. Работа с журналом безопасности

4. Укажите каталог, имя файла, его тип ( .mdb или .txt) и нажмите на кнопку "Со-
хранить".
При сохранении записей журнала в файл формата Microsoft Access ( .mdb) ни-
каких сообщений на экран не выводится. Если же предполагается сохранить за-
писи в файл текстового формата, то на экране появится диалог для выбора
параметров сохранения:

Рис. 54. Диалог для управления параметрами сохранения


5. Укажите необходимые параметры:
• В поле "Ширина таблицы" укажите, какое количество символов (от 50 до
1000) будет помещаться в каждой строке текстового файла. Если количество
символов в строке записи журнала окажется большим, чем указано в поле
"Ширина таблицы" для файла " .txt", то программа либо "обрежет" строки
длиннее указанных, либо перенесет символы в следующую строку. Для пе-
реноса символов в следующую строку оставьте пустым поле "Обре-
зать длинные строки".
• Для сохранения всех записей журнала установите отметку в поле
"Все записи", для сохранения только предварительно выделенных записей
отметьте поле "Только выбранные записи".
• Для просмотра файла сразу после его создания поставьте отметку в поле
"Просмотреть после создания". Для просмотра используется Notepad ("Блок-
нот") – текстовый редактор ОС Windows.
6. Нажмите кнопку "OK". Записи журнала будут записаны в файл.
Если вы установили режим просмотра текстового файла, то он будет открыт в
окне программы "Блокнот":

Рис. 55. Просмотр результатов преобразования


В остальных случаях никакая дополнительная информация на экран выводиться
не будет.

Поиск нужной записи


В программе SnLView предусмотрена возможность поиска записей журнала, кото-
рые содержат (или, наоборот, не содержат) определенный набор символов. Строка
поиска – это набор символов, соответствующий полностью или частично значению
одной из характеристик журнала. При поиске нужной записи в окне просмотра собы-

119
Secret Net 2000. Автономный вариант. Руководство по администрированию

тий строки просматриваются в порядке их отображения сверху вниз от текущей до


последней записи.
Задать строку символов для поиска можно одним из следующих способов:
• введя ее с клавиатуры или вставив из буфера обмена;
• выбрав в качестве образца одно из значений какой-либо записи.

Для поиска записи по образцу, заданному пользователем:


1. Откройте журнал безопасности для просмотра событий.
2. Расположите указатель мыши в той колонке окна просмотра, среди значений ко-
торой будет проводиться поиск, и нажмите правую кнопку мыши.

В появившемся контекстном меню выберите пункт "Поиск строки".


На экране появится диалог, содержащий поле для ввода строки символов.

3. Введите строку поиска с клавиатуры или вставьте ее из буфера обмена.


Совет. Для обмена с буфером Вы можете вызвать в строке ввода стандартное контекстное меню
Windows, содержащее операции редактирования, или использовать горячие клавиши (например,
<Ctrl>+<С>, <Ctrl>+<V> для копирования и вставки текста).

4. После того как искомый набор символов введен, нажмите на клавишу <Enter>
для завершения ввода.
Поиск будет проводиться только среди значений той колонки, из которой вызва-
но контекстное меню. Записи будут просматриваться в порядке их отображения
в окне просмотра сверху вниз, начиная с текущей.
• В том случае, если искомая запись отсутствует, на экране появится сообще-
ние об окончании поиска и запрос на его повторение. Нажмите в окне запро-
са на кнопку "Повторить" для возобновления поиска, начиная с первой
строки журнала (или нажмите на кнопку "Отмена" для прекращения поиска).

• Если запись найдена, она будет выделена цветом. Для продолжения поиска
записей, содержащих искомую строку, воспользуйтесь одним из следующих
способов:
– Нажмите клавишу <F3>.
– Выберите из контекстного меню пункт "Повторить поиск", который поя-
вился после выполнения первого поиска.
– Выберите "Просмотр | Повторить поиск" в основном меню.

120
Глава 9. Работа с журналом безопасности

Для поиска записи с использованием значения в качестве образца:


1. Совместите указатель мыши с нужным значением в одном из столбцов журнала
(например, "TEST_WS1").
2. Вызовите контекстное меню.
На экране появится контекстное меню:

Обратите внимание на две нижние строки меню:


"Найти запись, содержащую <TEST_WS1>" и
"Найти запись, не содержащую <TEST_WS1>".

В треугольные скобки (<TEST_WS1>) заключена строка символов, которая вы-


брана в качестве образца для поиска.
3. Выберите пункт меню "Найти запись, содержащую <TEST_WS1>".
Совет. Используйте команду "Найти запись, не содержащую ...", чтобы найти первую запись, не
содержащую в выбранном для поиска столбце заданную строку символов.

Далее программа выполнит поиск. Последующие шаги поиска по образцу не от-


личаются от поиска явно заданной строки символов.

121
Secret Net 2000. Автономный вариант. Руководство по администрированию

122
Приложение

Приложение
В приложении содержится информация:
• О типовых элементах интерфейса и основных приемах работы
• О доступных для редактирования привилегиях пользователя
• О формате UEL-файла
• Об используемой терминологии

123
Secret Net 2000. Автономный вариант. Руководство по администрированию

Привилегии пользователя
Привилегии на работу в системе
Табл. 3. Группа привилегий "Вход в систему"
Привилегии Пояснения
Вход в систему локально Разрешается доступ к компьютеру локально (интерактивный вход).
Доступ к этому компьютеру по сети Разрешается доступ к компьютеру по сети (вход по сети).
Вход в систему как сервис Разрешается запускать сервисы под именем пользователя.
Вход в систему как пакетный файл Разрешается доступ к компьютеру с помощью специального пакетного
файла. В Windows 2000 не используется.

Табл. 4. Группа "Ограничения на вход в систему"


Привилегии Пояснения
Отклонить локальный вход Запрещается локальный вход в систему.
Отказ в доступе к компьютеру из сети Запрещается доступ к компьютеру по сети.
Отказ во входе в качестве пакетного задания Запрещается вход в систему в качестве пакетного задания.
Отказать во входе в качестве службы Запрещается вход в систему в качестве службы.
Примечание. Каждая из привилегий данной группы имеет более высокий приоритет по сравнению с соответ-
ствующей привилегией группы "Вход в систему" (табл. 4). Если пользователь включен в состав группы, для ко-
торой установлены привилегии "Вход в систему", чтобы отменить любую из них только у этого пользователя,
не затрагивая общих настроек для группы, можно использовать привилегии "Ограничения на вход в систему".
Для этого необходимо в настройках свойств пользователя в диалоге "Привилегии" открыть группу "Ограниче-
ния на вход в систему" и установить соответствующую отметку (или отметки).

Табл. 5. Группа привилегий "Отмена ограничений"


Привилегии Пояснения
Без атрибутов на Разрешается доступ к файлам и вложенным каталогам, невзирая на права досту-
вышестоящих каталогах па, присвоенные вышестоящим каталогам.
Без атрибутов на дисках Разрешается доступ к логическим дискам, невзирая на ограничения, установлен-
ные при помощи атрибутов доступа системы Secret Net. Привилегия применима
только для пользователей.
Без ограничений по Разрешается работа без ограничений, задаваемых следующими параметрами:
3
настройкам • Доступ к файловым серверам только из списка ;
• Запрет работы при изъятии аппаратной поддержки и изменении конфигурации;
• Запрет работы при нарушении целостности;
• Ограничения, установленные в Policy (ограничения Windows 2000).
Привилегия может быть предоставлена только пользователям, но не группам
пользователей.
Архивирование файлов Разрешается архивировать файлы на диске, несмотря на то, что их владельцем
и каталогов является другой пользователь.
Восстановление файлов Разрешается восстанавливать файлы и каталоги, а также любые корректные SID
и каталогов пользователя и группы пользователей. Эта привилегия имеет приоритет над пра-
вами доступа, установленными для файлов, каталогов и других объектов.
Синхронизация данных Разрешается синхронизация данных службы каталогов. В данной версии системы
службы каталогов Secret Net 2000 не используется.

3 В данной версии не реализовано.

124
Приложение

Табл. 6. Группа привилегий "Настройки системы"


Привилегии Пояснения
Загрузка и выгрузка драйверов устройств Разрешается загружать и выгружать драйверы устройств.
Профилирование загруженности системы Разрешается получать информацию о загруженности системы.
Профилирование одного процесса Разрешается получать информацию о процессе.
Увеличение приоритета диспетчеризации Разрешается управлять приоритетом процесса.
Изменение параметров среды Разрешается модифицировать содержимое переменных сис-
оборудования темного окружения.

Табл. 7. Группа привилегий "Специальные возможности"


Привилегии Пояснения
Создание маркерного объекта Программам, запущенным пользователем, разрешается создавать мар-
керы доступа.
Замена маркера уровня процесса Программам, запущенным пользователем, разрешается модифициро-
вать маркеры доступа процессов.
Закрепление страниц в памяти Программам, запущенным пользователем, разрешается закреплять
страницы памяти так, чтобы они не вытеснялись в файл подкачки стра-
ниц (PAGEFILE.SYS).
Увеличение квот Зарезервирована для использования в следующих версиях Windows.
Работа в режиме операционной Позволяет функционировать программе, запущенной пользователем, как
системы части операционной системы.
Создание страничного файла Зарезервирована для использования в следующих версиях Windows.
Создание постоянных объектов Разрешается создавать специальные постоянные объекты, такие как
совместного использования \\Device, применяемые Windows 2000.
Отладка программ Разрешается низкоуровневая отладка программ, например, отладка та-
ких объектов, как потоки (threads).
Генерация событий аудита Программам, запущенным пользователем, разрешается добавлять запи-
си в журнал безопасности Windows 2000.
Разрешение доверия к учетным Разрешено доверие к учетным записям при делегировании.
записям при делегировании

Табл. 8. Группа привилегий "Управление системой"


Привилегии Пояснения
Управление аудитом и журналом Идентифицирует пользователя как Security Operator. Позволяет получить
безопасности доступ к журналу безопасности и разрешает настраивать параметры ау-
дита для файлов, каталогов и других объектов.
Овладение файлами и иными Разрешается вступать во владение файлами, каталогами, принтерами и
объектами другими объектами на компьютере.
Изменение системного времени Разрешается изменять параметры часов компьютера. Отображается так-
же в диалоге "Запреты".
Завершение работы системы Разрешается локально завершать работу ОС Windows 2000 на компьюте-
ре.
Удаленное завершение работы Разрешается завершать работу Windows 2000 с удаленного компьютера.
системы
Добавление рабочих станций Разрешается добавлять рабочие станции к домену.
Извлечение компьютера из Разрешено извлекать компьютер из стыковочного узла.
стыковочного узла

125
Secret Net 2000. Автономный вариант. Руководство по администрированию

Привилегии на администрирование системы


Табл. 9. Группа привилегий "Параметры компьютера"
Привилегии Пояснения
Нет доступа Запрещается вызывать диалог "Настройки Secret Net"
Только просмотр Разрешается вызывать диалог "Настройки Secret Net" и просматривать все парамет-
ры компьютера
Просмотр и изменение Разрешается вызывать диалог "Настройки Secret Net" и просматривать все настрой-
(уровень 1) ки компьютера. Разрешается изменять следующие настройки:
• Отображение имени предыдущего пользователя при входе в систему;
• Количество попыток неправильного ввода имени (пароля);
• Максимальный срок действия пароля;
• Минимальный срок действия пароля;
• Минимальное количество символов в пароле;
• Количество хранимых старых паролей;
• Необходимость входа в систему для смены пароля;
• Параметры журнала безопасности;
• Количество повторов при затирании данных;
• Дополнительная информация о компьютере.
Просмотр и изменение Разрешается вызывать окно "Настройки Secret Net", просматривать и изменять лю-
(уровень 2) бые параметры компьютера, доступные для локального управления.

Табл. 10. Группа привилегий "Параметры своей работы"


Привилегии Пояснения
Нет доступа Запрещается вызывать окно "Свойства пользователя" для просмотра параметров
своей работы.
Только просмотр Разрешается вызывать окно "Свойства пользователя" только для просмотра пара-
метров своей работы. Запрещено вносить любые изменения.
Просмотр и изменение Разрешается вызывать диалог "Свойства пользователя" и просматривать все на-
(уровень 1) стройки пользователя. Разрешается изменять:
• Код комбинации клавиш для вызова хранителя экрана;
• Интервал паузы неактивности.
Просмотр и изменение Разрешается вызывать окно "Свойства пользователя" и просматривать все пара-
(уровень 2) метры своей работы. Разрешается изменять дополнительно к уровню 1 имя и описа-
ние данного пользователя.
Просмотр и изменение Разрешается просматривать и изменять любые параметры своей работы, доступные
(уровень 3) для локального управления.

Табл. 11. Группа привилегий "Параметры работы других пользователей"


Привилегии Пояснения
Нет доступа В списке пользователей компьютера не отображаются ярлыки с именами других
пользователей. Вызов диалога "Свойства пользователя" для всех (кроме текущего)
пользователей компьютера, запрещен.
Только просмотр Разрешается вызывать диалог "Свойства пользователя" для просмотра параметров
работы любого другого (кроме текущего) пользователя компьютера.
Просмотр и изменение Разрешается вызывать диалог "Свойства пользователя" и просматривать все на-
(уровень 1) стройки пользователя. Разрешается изменять следующие настройки:
• Код комбинации клавиш для вызова хранителя экрана;
• Интервал паузы неактивности.
Просмотр и изменение Разрешается вызывать окно "Свойства пользователя" для просмотра параметров
(уровень 2) работы любого другого (кроме текущего) пользователя компьютера. Разрешается
изменять дополнительно к уровню 1 имя и описание пользователя.
Просмотр и изменение Разрешается вызывать окно "Свойства пользователя", просматривать и изменять любые
(уровень 3) параметры работы других пользователей, доступные для локального управления.

126
Приложение

Табл. 12. Группа привилегий "Категории конфиденциальности ресурсов"


Привилегии Пояснения
Нет доступа Запрещается просматривать категории конфиденциальности файлов и каталогов.
Просмотр Разрешается просматривать категории конфиденциальности файлов и каталогов.
Просмотр и Разрешается просматривать и изменять категории конфиденциальности файлов (только в
засекречивание сторону повышения уровня).
Полный доступ Разрешается выполнять все операции: просматривать, устанавливать, изменять и снимать
категории конфиденциальности файлов и каталогов.

Табл. 13. Группа привилегий "Журнал безопасности"


Привилегии Пояснения
Нет доступа Запрещается просматривать содержание журнала безопасности.
Только просмотр Разрешается только просматривать содержание журнала безопасности.
Просмотр, печать, Разрешается просматривать содержание, выводить на печать и преобразовывать в
экспорт файл содержание журнала безопасности.
Разрешаются все операции с журналом безопасности: просмотр, внесение изменений,
Полный доступ
удаление содержимого журнала, печать и экспорт.

Табл. 14. Группа привилегий "Пользователи и группы пользователей"


Привилегии Пояснения
Создание пользователей / групп Разрешается создавать пользователей или группы пользователей.
Удаление пользователей / групп Разрешается удалять пользователей или группы пользователей.
Изменение групп пользователей Разрешается изменять название и дополнительную информацию о группе
пользователей, управлять составом группы пользователей.

Табл. 15. Группа привилегий "Система защиты"


Привилегии Пояснения
Переустановка системы Разрешается выполнять переустановку системы Secret Net 2000 на компьютере.
Удаление системы Разрешается выполнять полное удаление системы Secret Net 2000 с компьютера.

127
Secret Net 2000. Автономный вариант. Руководство по администрированию

Запреты и ограничения
Табл. 16. Параметры диалога "Компьютер"
Параметр Эффект включения параметра
Вход пользователя в систему Дополнительные меры защиты на этапе входа пользователя в систему.
Запрет кэширования информации Запрещает хранить в кэшированном виде информацию об именах и паролях
о пользователе последних десяти пользователей, входивших в систему. Хранение этой ин-
формации обеспечивает возможность входа в систему данных пользовате-
лей при отсутствии основного и резервных контроллеров домена.
Выключение компьютера только Запрещает использовать для выключения компьютера кнопку "Выключить…"
вошедшим пользователем в диалоге "Вход в систему". В этих условиях выключить компьютер с помо-
щью стандартной процедуры сможет только пользователь, осуществивший
вход в систему.
Не выдавать имя последнего вхо- Запрещает отображать в диалоге "Вход в систему" имя последнего рабо-
дящего пользователя тавшего на компьютере пользователя. Отображение этого имени упрощает
процедуру регистрации, при условии, что на компьютере, как правило, рабо-
тает один и тот же пользователь.
Уровень аутентификации Увеличение строгости аутентификации доступа к основному (резервному)
пользователя контроллеру домена.
Использовать только Разрешено использовать для аутентификации только LM (Lan Manager) и
LM и NTLM NTLM (MS Windows Lan Manager) протоколы. Запрещено использовать про-
токол NTLM версии 2.
Использовать Разрешено использовать для аутентификации протоколы LM и NTLM. До-
LM, NTLM и NTLMv2 пустимо использование протокола NTLM версии 2, если он поддерживается
и сервером, и клиентом.
Требовать использования NTLM Разрешено использовать при подключении к серверу только NTLM аутенти-
фикацию.
Требовать использования NTLMv2 Разрешено использовать при подключении к серверу только аутентифика-
цию NTLM версии 2.
Отвергать LM аутентификацию Контроллер домена будет отвергать клиентов, использующих аутентифика-
цию LM.
Отвергать NTLM аутентификацию Контроллер домена будет отвергать клиентов, использующих LM и NTLM ау-
тентификацию. Разрешено использовать только аутентификацию NTLM вер-
сии 2.
Замкнутая среда Усиление контроля в режиме замкнутой среды.
Контролировать загрузку только В текущей реализации системы Secret Net 2000 не используется.
NE-файлов
Контролировать владельца файла на Подсистема замкнутой среды проверяет корректность владельца программы
санкционированность из UEL-списка перед ее запуском. Корректным владельцем считается ло-
кальная группа администраторов компьютера.
Внешние носители Ограничение допуска системных процессов и пользователей других компью-
теров к работе с гибкими дисками и компакт-дисками.
Ограничение использования гиб- Ограничение допуска системных процессов и пользователей других компью-
ких дисков теров к работе с гибкими дисками.
Ограничение использования Ограничение допуска системных процессов и пользователей других компью-
CD-ROM теров к работе с компакт-дисками.
Подсистемы Windows 2000 Дополнительные меры защиты от использования на компьютере подсистем
Windows 2000, не обеспечивающих должного уровня защиты.
Запрет использования POSIX Запрещено использовать подсистему POSIX.
Запрет использования OS/2 Запрещено использовать подсистему OS/2.
Дополнительный аудит Усиление защиты за счет расширения событий аудита и ограничения досту-
па к регистрируемой информации.
Полный аудит привилегий В журнале безопасности регистрируются события, связанные с использова-
нием привилегий "Архивирование файлов и каталогов" и "Восстановление
файлов и каталогов".

128
Приложение

Параметр Эффект включения параметра


Аудит основных объектов В журнале безопасности регистрируются события, связанные с обращением
к основным объектам ОС Windows 2000. Основные объекты – это специаль-
ные объекты, отличные от файлов, принтеров и ключей системного реестра
Windows 2000, скрытые от обычного пользователя, но доступные програм-
мам.
Ограничение доступа к журналу Просмотр журнала разрешен только пользователям, обладающим правами
безопасности "Управление аудитом и журналом безопасности". Иначе журнал безопасно-
сти Windows 2000 смогут просматривать пользователи с правами гостя и
пользователи, не прошедшие идентификацию.
Разграничение доступа к Усиление контроля в режиме разграничения доступа к дискам и портам.
устройствам
Запрет доступа к дискам Анонимно подключившемуся к компьютеру пользователю запрещается дос-
анонимным пользователям туп к локальным дискам и портам.
Другие Дополнительные параметры защиты, не относящиеся к предыдущим груп-
пам.
Блокировка при переполнении Предотвращает потерю зарегистрированных в журнале безопасности в слу-
журнала безопасности чае его переполнения. Переполнение журнала приводит к аварийному за-
вершению работы компьютера.
Строгая защита совместно исполь- Управлять внутренними объектами Windows 2000 может только пользова-
зуемых объектов тель с правами администратора.
Запрет просмотра имен ресурсов Анонимно подключившийся к компьютеру пользователь не может просмот-
анонимным пользователем реть имена пользователей в домене и получить имена ресурсов, доступных
для совместного использования.
Затирание файла подкачки стра- Информация, содержащаяся в файле подкачки, который применяется для
ниц при выключении организации виртуальной памяти в Windows 2000, будет защищена от про-
смотра после перезагрузки.
Запрет создания скрытых доступ- Запрет создания скрытых административных совместно используемых ре-
ных дисков сурсов (C$, D$, E$, и т.д.).

Табл. 17. Запреты на работу пользователя в Windows 2000


Параметр Эффект включения параметра
Windows
Запрет редактирования реестра Запрещается вызывать редактор системного реестра.
Запрет работы с Диспетчером задач Запрещается вызывать диалог "Диспетчер задач"
Сеть
Запрет отображения папки "Сетевое окружение" Запрещается показывать папку "Сетевое окружение".
Запрет отображения всей сети в папке "Сетевое Запрещается доступ к сети в папке "Сетевое окружение".
окружение"
Запрет отображения домена (группы) в папке Запрещается показывать домены (группы) в папке "Сетевое
"Сетевое окружение" окружение". При просмотре сетевого окружения, пользователь
сможет увидеть только те рабочие станции, которые входят в
рабочую группу компьютера.
Проводник
Запрет команды "Выполнить" Запрещается показывать команду "Выполнить" в главном ме-
ню Windows.
Запрет команды "Завершение работы" Запрещается показывать команду "Завершение работы" в
главном меню Windows.
Запрет установки параметров Панели задач Запрещается вызывать диалог управления параметрами па-
нели задач.
Запрет поиска Запрещается вызывать диалог "Найти".
Запрет объектов на рабочем столе Запрещается показывать ярлыки рабочего стола.
Запрет сохранения сделанных изменений Запрещается сохранять изменения настроек графической обо-
лочки.
Запрет управления доступом к файлам компью- Запрещается показывать меню "Файл" в окне программы "Про-
тера водник".

129
Secret Net 2000. Автономный вариант. Руководство по администрированию

Параметр Эффект включения параметра


Запрет использования непроверенных расшире- Запрещается использовать непроверенные расширения гра-
ний фической оболочки.
Запрет отображения общих групп программ Запрещается показывать в главном меню Windows общие для
всех пользователей группы программ.
Запрет отображения контекстных меню в Панели Запрещается вызов контекстного меню Панели задач и контек-
задач стных меню для любого объекта, размещенного на Панели за-
дач.
Запрет отображения контекстных меню в MS- Запрещается вызывать контекстное меню любого объекта в
Explorer окне программы "Проводник" (Explorer).
Экран
Запрет диалога "Настройки экрана" Запрещается показывать диалог "Настройка экрана" в окне
управления свойствами экрана.
Запрет диалога "Фон" Запрещается показывать диалог "Фон" в окне управления
свойствами экрана.
Запрет диалога "Оформление" Запрещается показывать диалог "Оформление" в окне управ-
ления свойствами экрана.
Запрет диалога "Заставка" Запрещается показывать диалог "Заставка" в окне управления
свойствами экрана.
Запрет диалога "Параметры" Запрещается показывать диалог "Параметры" в окне управле-
ния свойствами экрана.

130
Приложение

Формат UEL-файла
Секции UEL-файл представляет собой список программ, разрешенных или запрещенных
пользователю для исполнения. UEL-файл является структурированным текстовым
файлом (в кодировке ANSI), состоящим из нескольких секций.
[Information] – секция общего описания. Данная секция содержит информацию
описательного характера и рассматривается подсистемой замкнутой среды как
комментарий. Здесь могут быть сведения:
• о принадлежности UEL-файла (имя пользователя и название компьютера, к
которым относится данный файл);
• об изменениях UEL-файла (дата, время, причина изменений, режим внесе-
ния изменений – ручной/автоматический, а в случае ручного режима – имя
пользователя, произведшего изменения).
[Tasks] – секция описания задач. Данная секция в автономном варианте системы
Secret Net 2000 не используется.
[Auto] – секция автоматической корректировки. Здесь размещается информация
об исполняемых файлах, составляющих замкнутую программную среду, добавлен-
ных при автоматическом формировании списка на основании записей журнала
безопасности и при автоматической корректировке UEL-списка.
Для данного раздела разрешено ограниченное ручное изменение:
Разрешается: Запрещается:
• удалять строку целиком; • ручное добавление записей;
• комментировать записи; • корректировать пути в записях.
• вставлять или удалять префикс
из первой позиции строки.

[Manual] – секция ручной корректировки. В данную секцию разрешено добавлять


записи вручную. Первоначально в этой секции размещается UEL-список, сформи-
рованный системой защиты по умолчанию.
Формат строк Секции [Auto] и [Manual] содержит строки, разрешающие или запрещающие запуск
программ на исполнение. Строки в этих секциях могут быть двух видов:
• Комментарий. Строка комментария начинается с символа ";" (точка с запятой).
Такие строки игнорируются подсистемой замкнутой программной среды.
• Значащая строка. Такая строка содержит путь к исполняемым файлам. Пе-
ред указанием пути может быть один или несколько префиксов.
Префиксы Префикс добавляется в первую позицию строки и указывает на способ ее обработки.
Префикс Назначение
! Путь, следующий за данным префиксом, указывает на модули, запрещенные
для запуска. Данный префикс может использоваться с любым путем (путь к
файлу, путь к каталогу, маска файлов).
+ Префикс может стоять только перед именем каталога. Указывает на рекурсив-
ный режим обработки для данного каталога. Если перед именем каталога не
указан префикс, то по умолчанию используется рекурсивный режим обработки.
– Префикс, противоположный предыдущему. Т.е. указывает на отсутствие рекур-
сивной обработки для каталога.

131
Secret Net 2000. Автономный вариант. Руководство по администрированию

Пути к Пути к исполняемым файлам могут быть указаны в виде:


исполняемым • Полного пути к исполняемому файлу.
файлам
• Полного пути к каталогу, содержащему файлы. При записи в UEL имя каталога
должно заканчиваться символом "\" (например: c:\tools\). Если перед таким путем
нет префикса, указывающего режим обработки, то для данного каталога должен
применяться рекурсивный режим (т.е. обрабатываются и вложенные каталоги).
Путь к сетевым каталогам и файлам начинается с символов: “\\”.
• Маски файлов для имен файлов. Допускается использование символов "∗"
(0x2A) и "?" (0x3F). Символ "∗" соответствует любой последовательности симво-
лов. Символ "?" соответствует одному любому символу, в случае, если после
последовательности из одного или более "?" стоит значимый символ. Если по-
сле последовательности из одного или более "?" значимого символа нет, то "?"
означает "один любой символ или отсутствие символа". Эти правила примени-
мы как к имени, так и к расширению. Если имя файла содержит "∗" или "?", а
расширение не задано, то считается, что расширение равно "∗". Не допускается
использование Windows-масок, т.е. масок типа fi∗e.txt.
Цветовая За основными элементами UEL-файла, а также ошибочными элементами закрепле-
индикация строк ны следующие цветовые индикаторы:
UEL-файла
Цвет символов: Используется для выделения основных элементов:
Темно-синий Названия секций
Серый (50%) Комментарии и содержимое секции [Information]
Черный Путь к файлам
Сине-зеленый Путь к каталогам и файлам, заданным с помощью масок
Зеленый Путь к сетевым каталогам и файлам

Используется для выделения ошибочных элементов:


Красный Пути к каталогам и файлам (заданным без использования масок), ко-
торые не обнаружены на локальном диске компьютера или являются
некорректными строками (т.е. строками с некорректным описанием
ресурсов или секций)
Темно-красный Пути к файлам (заданным без использования масок), атрибуты дос-
тупа к которым не соответствуют требованиям замкнутой среды
Синий Пути к каталогам и файлам, совпадающие с описаниями в других
секциях данного файла

Правила Если в UEL-списке есть строки, противоречащие друг другу, то для разрешения
устранения конфликтов используются следующие правила:
противоречий
Конфликтная ситуация: Правило устранения:
В списке есть одинаковые Явно указанный запрет запуска (т.е. строка с префиксом "!")
строки с префиксом "!" имеет более высокий приоритет
и строки без префикса
В списке есть одинаковые Рекурсивный режим (префикс "+" или отсутствие префикса,
строки с префиксом "+" управляющего рекурсивным режимом) имеет более высо-
(или без префикса) кий приоритет.
и строки с префиксом "–"

Некорректные Если в UEL-файле есть строки с некорректной комбинацией префиксов (одновре-


строки менно указаны префиксы "+" или "–" перед именем файла или каталога), такие стро-
ки считаются некорректными, выделяются цветом и исключаются из обработки
подсистемой замкнутой среды.

132
Приложение

Типы контролируемых ресурсов


Табл. 18. Типы ресурсов
Наименование Описание
1. Файл Любой доступный файл, хранящийся на жестком диске
компьютера.
2. Каталог Любой доступный каталог, расположенный на жестком
диске компьютера.
3. Ключ реестра Ключ системного реестра ОС Windows 2000.
4. Значение реестра Значение выбранного ключа реестра ОС Windows 2000.
5. Разделяемый ресурс Любой каталог жесткого диска, к которому открыт доступ
через сеть для других пользователей.
6. Список файлов по маске Все доступные файлы, хранящиеся в выбранном каталоге
жесткого диска и удовлетворяющие заданному условию.
Условие формулируется в виде маски имен файлов.
7. Список файлов и каталогов Все доступные файлы, хранящиеся в выбранном каталоге
и входящих в него подкаталогах, удовлетворяющие
заданному условию. Условие формулируется в виде
маски имен файлов.
8. Список ключей и параметров Все ключи и параметры указанного раздела или
подраздела системного реестра ОС Windows 2000.

Табл. 19. Соответствие типов ресурсов и типов контролируемых данных


Содержимое Атрибуты Список Существование
объекта объекта доступа объекта
Файл + + + +
Каталог - + + +
Ключ реестра + - + +
Значение реестра + - + +
Разделяемый ресурс +* - + +
Список файлов по маске +** - - -
Список файлов и каталогов +** - - -
Список ключей и параметров +** - - -
"+" данные контролируются
"-" данные не контролируются
* под содержимым ресурса понимается его системное описание, включающее в себя сетевое
имя, локальный путь и т.д.
** под содержимым понимается перечень элементов списка.

133
Secret Net 2000. Автономный вариант. Руководство по администрированию

Атрибуты доступа
Атрибуты доступа к дискам
Табл. 20. Варианты атрибутов доступа к диску
Предоставляемые пользователю права доступа
Атрибуты доступа
Разрешено: Запрещено:
Полный доступ • Выполнять любые действия над ката- • Нет запретов
логами и файлами диска (если это не
запрещено атрибутами доступа к ним)
Чтение, исполнение • Открывать, переименовывать и уда- • Изменять атрибуты доступа
и запись лять каталоги на данном диске;
• Открывать на чтение, изменять содер-
жание, переименовывать и удалять
файлы на данном диске;
• Запускать любые программы, разме-
щенные на данном диске
Чтение и запись • Открывать, переименовывать и уда- • Запускать любые программы, размещенные
лять каталоги на данном диске; на диске
• Открывать на чтение, изменять содер-
жание, переименовывать и удалять
файлы на диске
Чтение и • Открывать каталоги на данном диске; • Переименовывать и удалять каталоги диска;
исполнение • Открывать на чтение файлы на диске; • Изменять содержание, переименовывать и
• Запускать любые программы на диске удалять файлы, размещенные на диске
Чтение • Открывать каталоги, размещенные на • Переименовывать и удалять каталоги на
данном диске; диске;
• Открывать на чтение файлы, разме- • Изменять содержание, переименовывать и
щенные на диске удалять файлы, размещенные на диске;
• Запускать любые программы, размещенные
на диске
Нет доступа • Нет разрешенных действий • Выполнять любые действия над каталогами
и файлами диска (независимо от атрибутов
доступа к каталогам и файлам)

Запреты на доступ к локальным ресурсам компьютера


Табл. 21. Перечень запретов
Наименование
Пояснения
запрета
Запрет загрузки с Пользователю запрещается осуществлять загрузку компьютера с системной диске-
внешних носителей ты или с загрузочного компакт-диска. Управлять этим параметром можно при ис-
пользовании ЭЗ "Соболь". Если ЭЗ "Соболь" отсутствует или используется другое
средство аппаратной поддержки системы защиты, то загрузка всегда запрещена.
Запрет работы при При обнаружении нарушения целостности контролируемых объектов доступ пользо-
нарушении вателя к компьютеру блокируется. При попытке пользователя войти в систему, на
целостности экран будет выведено предупреждающее сообщение, а компьютер – блокирован.
Запрет работы при Если система обнаружит, что было изъято устройство аппаратной поддержки из
изъятии аппаратной компьютера, доступ пользователя к компьютеру будет заблокирован. При попытке
поддержки пользователя войти в систему на экран будет выведено предупреждающее сообще-
ние, и загрузка компьютера будет прервана. (Если аппаратная поддержка системы
защиты отсутствует, параметр не доступен для редактирования).
Запрет работы при При обнаружении изменений аппаратной конфигурации (например, изменении раз-
изменении мера оперативной памяти, используемого процессора и т.п.) доступ пользователя к
конфигурации компьютеру блокируется. При попытке пользователя войти в систему на экран вы-
водится предупреждающее сообщение, и загрузка компьютера прерывается.

134
Приложение

Консоль системы защиты


Табл. 22. Параметры в диалоге "Сеанс"
Параметр Возможные значения Комментарии
Пользователь Имя пользователя Имя пользователя в системе
Домен Имя домена Домен, в котором зарегистрирован поль-
зователь
Режим входа Стандартный, Режим, который был использован для
По идентификатору входа в систему в данном сеансе
Время входа Дата и время Дата и время входа в систему
Сервер входа Имя компьютера Имя контроллера домена (PDC или BDC),
аутентифицировавшего пользователя
Уровень допуска Отсутствует Уровень допуска к конфиденциальной ин-
Конфиденциально формации
Строго конфиденциально
Замкнутая среда Отсутствует Характеристика использования замкнутой
Мягкий режим среды в текущем сеансе работы
Жесткий режим

Табл. 23. Параметры в диалоге "Конфигурация"


Параметр Значения Комментарий
Имя компьютера Имя компьютера
Основной домен Имя домена Домен, в котором зарегистрирован компьютер.
Версия ОС Версия ОС
Версия Secret Net Версия Secret Net
Режим входа Стандартный, Режим входа, установленный для всех пользо-
По идентификатору, вателей компьютера.
Смешанный
Аппаратная поддержка Отсутствует Название устройства аппаратной поддержки,
Название устройства установленного на компьютере.
Замкнутая среда Отключена Если указано значение "Активна", то в системе
Активна действует режим замкнутой среды.
Полномочный доступ Отключен Если режим включен, то система обеспечит
Мягкий режим разграничение доступа к ресурсам компьютера
Жесткий режим в соответствии со степенью конфиденциально-
сти содержащихся в них сведений и уровнем
допуска пользователей. В мягком режиме не
контролируются потоки конфиденциальной
информации. В жестком режиме выполняется
полный контроль.
Контроль целостности Отключен Если контроль целостности включен, то осуще-
Включен ствляется слежение за неизменностью объек-
тов контроля.

Табл. 24. Параметры в диалоге "Ресурс"


Параметры Комментарии
Ресурс Сетевой путь к ресурсу общего доступа.
Имя Имя логического диска, к которому подключен ресурс.
От имени Имя пользователя, осуществившего подключение сетевого ресур-
са. Имя пользователя содержит префикс в виде имени домена

135
Secret Net 2000. Автономный вариант. Руководство по администрированию

Элементы интерфейса и приемы работы. Терминология


В этом разделе приложения приводятся основные термины и понятия, используе-
мые для описания элементов интерфейса и типовых операций. При этом предпола-
гается, что пользователь имеет опыт работы с приложениями MS Windows, и
поэтому здесь обсуждаются только те термины, которые не являются общеприня-
тыми или используются в несколько ином значении.
Базовые понятия вводятся по мере рассмотрения основных элементов интерфейса и
описания приемов работы с ними. Учитывая, что интерфейс в основном рассчитан на
применение мыши, прежде всего приведем понятия, связанные с ее использованием.
Примечание. Следует помнить, что во многих случаях те же самые действия могут быть выполне-
ны и с помощью клавиатуры.

Термины, используемые для описания работы с мышью

Для того чтобы … Необходимо …


Навести курсор (указатель мыши) Подвести указатель мыши и совместить с объектом, а
затем удерживать его в этом положении, не нажимая
кнопок мыши.
Нажать мышью Подвести и совместить указатель (курсор) мыши с
(click, кликнуть, щелкнуть) или нужным объектом, а затем быстро нажать и отпустить
нажать с помощью мыши левую кнопку мыши.
Дважды нажать мышью Подвести и совместить указатель (курсор) мыши с
(double click) или дважды нажать с нужным объектом, а затем дважды с коротким проме-
помощью мыши жутком нажать и отпустить кнопку мыши.
Нажать и удерживать Совместить указатель мыши с объектом, нажать на
левую кнопку и удерживать ее в нажатом положении.
Выбрать (choose, выделить) Навести указатель мыши на объект, и нажать на ле-
вую кнопку.
Активировать Выбрать объект, сделав его активным.
Перетащить Совместить указатель мыши с объектом, нажать на
левую кнопку и, удерживая кнопку нажатой, перемес-
тить указатель мыши в нужное положение.
Вызвать контекстное меню Навести указатель мыши на объект, и нажать правую
кнопку.
Выбрать из контекстного меню Вызвать контекстное меню, связанное с объектом, а
далее установить указатель мыши на нужный пункт
меню и нажать левую кнопку мыши.

136
Приложение

Элементы интерфейса и типовые приемы работы


Ряд закладок.
Закладка – выступающий над
диалогом ярлык.
Выбирая закладку, мы делаем
На экран вызывается активным соответствующий
диалоговое окно, которое диалог
может состоять из
нескольких диалогов
Поля могут быть активными и
тогда они доступны для
редактирования. Когда поле
Поле выключателя неактивно, мы говорим, что
оно заблокировано или
недоступно для
редактирования
Список

Поле переключателя. Список с полосой прокрутки


В этом поле можно
установить отметку

Раскрывающийся список
"Счетчик"

Кнопки диалогового окна

Рис. 56. Элементы диалоговых окон


Текстовое поле (Text box, "Строка редактирования", "Поле ввода").

Для того чтобы указать нужное значение, активизируйте поле и введите значе-
ние с помощью клавиатуры.
Списки (List box)

137
Secret Net 2000. Автономный вариант. Руководство по администрированию

Список может использоваться для просмотра информации или содержать поля


для редактирования значений.
Раскрывающийся список (Combination box, "Поле ввода со списком").

Выберите значение из раскрывающегося списка или введите одно из входящих


в список значений с помощью клавиатуры.
Выключатель (Check box, "Независимые переключатели")

Для того чтобы установить отметку в поле выключателя, совместите с ним ука-
затель мыши и нажмите на левую кнопку мыши. Для того чтобы снять отметку,
повторно нажмите на поле выключателя.
Переключатель (Radio buttons, "Зависимые переключатели").

Для того чтобы установить отметку в поле переключателя, совместите с ним


указатель мыши и нажмите на левую кнопку мыши. Для того чтобы удалить
отметку, выберите другое значение.
Счетчик (Updown box, Spinner, Spin box).

Нужное значение можно установить, нажимая с помощью мыши на кнопки-


стрелки. Для того чтобы установить нужное значение с помощью клавиатуры,
активизируйте поле счетчика и введите нужное значение или установите его, по-
следовательно изменяя значение счетчика на единицу клавишами "стрелка
вверх" и "стрелка вниз".

138
Приложение

Специальные приемы работы


Работа с таблицами расписаний

Если нужно отметить одну ячейку, наведите на нее курсор и нажмите левую
кнопку мыши – ячейка приобретет зеленый цвет.
Если нужно отметить прямоугольную группу ячеек, сначала выделите ее. Для это-
го нажмите угловую ячейку группы и, удерживая нажатой левую кнопку мыши, пе-
ретащите курсор к противоположному углу группы. Выделенная группа окрасится
в синий цвет. Затем нажмите на клавишу пробел, и синий цвет сменится на зеле-
ный. Для того чтобы снять выделение, нужно повторить те же действия еще раз.

Заполнение полей, содержащих дату


Если необходимо отредактировать значение поля, содержащего дату, то это
можно сделать вручную, введя новое значение с помощью клавиатуры или вос-
пользоваться календарем. Для вызова календаря нажмите на стрелку раскры-
вающегося списка в поле даты, а затем следуйте инструкциям, приведенным
ниже на рисунке.

Выбрать год. Нажмите на текущее значение в заголовке и


выберите нужное из появившегося списка
Выбрать месяц. Нажмите на текущее значение и
выберите нужное из появившегося списка или …
… с помощью стрелок в заголовке
последовательно выберите месяц

Выбрать день. Нажмите на


соответствующее число в календаре

Так отмечен текущий день

Использование всплывающих информационных окон


В некоторых диалогах, содержащих таблицы, действует механизм автоматическо-
го вызова подсказки. Подсказка вызывается к тем значениям записи, которые не
умещаются целиком в отведенном для них столбце таблицы. Для получения под-
сказки необходимо навести курсор на запись. Через 1-2 секунды значение записи
будет целиком выведено на экран во всплывающем окне желтого цвета. Если
курсор мыши переместить в другое положение, всплывающее окно исчезнет.

139
Secret Net 2000. Автономный вариант. Руководство по администрированию

Терминологический справочник
А
Администратор Лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и
безопасности непрерывность соблюдения установленных административных мер защиты и осуществляю-
щих постоянную организационную поддержку функционирования применяемых физических и
технических средств защиты.

Аудит Совокупность мер, связанных с регистрацией и анализом событий, относящихся к работе


системы защиты.

Аутентификация Проверка подлинности регистрационной информации о пользователе.


Г
Группа ресурсов Список контролируемых ресурсов, объединенных общим заданием или набором заданий.
Д
Дополнительный Меры, обеспечивающие усиление защищенности журнала безопасности и регистрацию со-
аудит бытий, связанных с изменением привилегий и попытками доступа к основным объектам сис-
темы.
Ж
Журнал Файл с информацией о событиях, зарегистрированных в системе защиты, например, попыт-
ках использования ресурсов.
З
Задание Подробная инструкция по контролю защищаемых ресурсов. В задании указываются: тип кон-
тролируемой информации о ресурсе, алгоритм проведения и расписание контроля, реакция
системы на результаты контроля.

Замкнутая Режим работы системы защиты, при котором для каждого пользователя определяется пере-
программная чень доступных ему программ. Совокупность этих ресурсов и образует замкнутую среду ра-
среда боты пользователя. Замкнутая среда может контролироваться в "жестком" или "мягком"
режиме.
И
Инициализация Форматирование идентификатора, обеспечивающее возможность его применения с конкрет-
идентификатора ным аппаратным устройством. Необходимость в инициализации возникает в тех случаях, ко-
гда в идентификаторе по каким-либо причинам была нарушена структура данных или до
этого он использовался с другим устройством идентификации и аутентификации.
К
Консоль системы Диалоговое окно, содержащее сводную информацию о настройках системы, параметрах те-
защиты кущего сеанса и ресурсах, предоставленных в совместное использование. На консоли рас-
положены кнопки для выполнения часто используемых операций и вызова диспетчера задач.

Контроль Автоматическое слежение системы за целостностью защищаемых ресурсов (файлов, катало-


целостности гов, ключей реестра, значений реестра, совместно используемых ресурсов).

Контрольная Числовое значение, вычисляемое по специальному алгоритму и используемое для контроля


сумма неизменности данных.

Корректный Локальная группа администраторов.


владелец файла

140
Терминологический справочник

Л
Личный ключевой Дискета, выданная сотруднику администратором безопасности. На ней хранятся: идентифи-
диск сотрудника кационная информация сотрудника. Используется для организации доступа сотрудника к
компьютерам и системным ресурсам.

Локальное Управление работой Secret Net 2000, осуществляемое администратором безопасности ком-
управление пьютера.

Н
НСД Несанкционированный доступ.
О
Основание для Реквизиты документа, на основании которого клиент Secret Net удаляется с компьютера.
удаления Вводится вручную при удалении клиента и заносится в ЦБД.

Основание для Реквизиты документа, на основании которого клиент Secret Net устанавливается на компью-
установки тер. Вводится вручную при установке клиента.
П
Персональный Устройство, предназначенное для идентификации пользователя. Носителями персональной
идентификатор ключевой информации в системе Secret Net являются электронные идентификаторы (напри-
пользователя мер, Touch Memory, eToken или Smart Card).

Политика аудита Политика, определяющая перечень событий, регистрируемых в журнале.

Политика Документально зафиксированная совокупность принципов, правил и рекомендаций, опреде-


информационной ляющих порядок защиты информации в компании.
безопасности

Полномочный Разграничение доступа к информационным ресурсам, в соответствии со степенью конфи-


доступ денциальности содержащихся в них сведений и уровнем допуска пользователей к конфи-
денциальной информации.

Права Правила, ассоциированные с объектом, определяющие какие пользователи и каким спосо-


бом могут осуществлять доступ к этому объекту.

Привилегия Предоставляемая пользователю возможность выполнить определенное действие в системе.


Привилегия имеет приоритет перед правами.
Р
Режим входа в Один из 3-х способов входа в систему: стандартный (с помощью комбинации клавиш
систему <Ctrl>+<Alt>+<Del>), смешанный (с помощью комбинации клавиш <Ctrl>+<Alt>+<Del> или
персонального идентификатора) или строгий (только при предъявлении персонального
идентификатора).

Ресурс Любой компонент компьютера или сети, например, диск, принтер или память, который может
быть выделен выполняющейся программе или процессу и совместно использоваться в ло-
кальной сети.
С
Система защиты Комплекс специальных мер правового и административного характера, организационных ме-
роприятий, физических и технических (программных и аппаратных) средств защиты, а также
специального персонала, предназначенных для обеспечения безопасности информационной
системы.
Т
Технические Различные электронные устройства и специальные программы, которые выполняют (само-
(аппаратно- стоятельно или в комплексе с другими средствами) функции защиты информации (иденти-
программные) фикацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию
средства защиты событий, криптографические функции и т.д.).

141
Secret Net 2000. Автономный вариант. Руководство по администрированию

У
Устройство Дополнительное устройство, устанавливаемые на компьютер для повышения защиты на
аппаратной этапе идентификации и аутентификации пользователя в системе. В качестве таких устройств
поддержки в системе Secret Net используются Secret Net ROM BIOS, Secret Net Card, Secret Net Touch
Memory Card, eToken, электронный замок "Соболь".

Учетная Совокупность сведений, включающая в себя шаблон настроек компьютера, учетный номер
информация о компьютера и основание для установки клиента Secret Net. Вводится при установке клиента
компьютере Secret Net и упрощает процедуру настройки и администрирования компьютера в системе.

Учетный номер Инвентарный номер, присвоенный компьютеру в рамках учетной системы предприятия. Вво-
компьютера дится вручную при установке клиента Secret Net на компьютер.
Ш
Шаблон настроек Набор параметров и их значений, позволяющий управлять свойствами объектов системы
защиты. Хранится в БД системы защиты. Использование шаблонов позволяет упростить
процедуру настройки свойств объектов.
U
UEL (User Список программ, доступных пользователю для запуска в режиме замкнутой программной
Executables List) среды. Для каждого пользователя формируется свой UEL-файл.

142
Предметный указатель

Предметный указатель

А М
Аппаратные средства 55 Механизмы разграничения
Выбор режима входа в систему 56 доступа 82
Использование персональных
идентификаторов 58 П
Подключение 55
Персональный идентификатор 58
Б Запись пароля в идентификатор 60
Инициализация идентификатора 59
Блокировка компьютера 61 Предъявление идентификатора 58
Параметры блокировки 62 Присвоение идентификатора
пользователю 60
З
Полномочное управление
доступом 82
Замкнутая программная среда 89
Временное отключение 84
Правила разграничения доступа 89
Категория конфиденциальности
Режимы работы 89 ресурса 85
Формат UEL-файла 131 Контроль буфера обмена 83
Затирание данных 101 Контроль печати
конфиденциальных документов 83
Контроль потоков данных 83
К Режимы работы 82, 99

Консоль системы защиты


Назначение и использование 21
Р
Описание интерфейса 135
Разрешенное время работы 52
Контроль потоков
конфиденциальной Э
информации 83
Электронный замок "Соболь" 55

143