автономный вариант системы защиты Secret Net 2000 версии 4.00.43.0
Данный документ содержит описание новых возможностей системы версии 4.00.43.0 по сравнению с версией 4.00.39.0, а также особенностей и ограничений, которые необходимо учитывать при эксплуатации системы.
Комплект поставки
Автономный вариант системы Secret Net 2000 поставляется на CD-ROM:
\Setup\ - дистрибутив Secret Net 2000 \Documentation\ - комплект документации в формате PDF \Tools\ - вспомогательные утилиты
Как узнать номер версии системы
Полный номер версии установленной системы Secret Net 2000 (например, 4.00.43.0) отображается в заголовке окна “О системе”. Для вызова окна используйте команду "О системе" в меню логотипа Secret Net, размещающегося на панели задач.
Изменения и новые возможности
1. Контролируются и запрещаются попытки добавления в списки ресурсов для контроля целостности
ресурсов, находящихся на сменных носителях. 2. Внесены изменения в алгоритмы работы Secret Net 2000 с политиками паролей, блокировки учетной записи и аудита. Также изменены алгоритмы работы с привилегиями пользователей и групп. Подробную информацию об этом смотри в документе "Дополнения к Release Notes.doc". 3. При установке системы файлам БД подсистемы контроля целостности присваиваются права доступа, разрешающие доступ к ним только пользователям, входящим в группу локальных администраторов. 4. В программе локального управления появилась возможность вызова для редактирования шаблона грифа конфиденциальности. 5. Запрещено управление ограничениями по времени работы доменных пользователей с помощью шаблонов настройки. 6. Разрешено управление регистрацией событий категории "Вход и выход" в окне настройки общих параметров системы. 7. Разрешается добавлять в UEL-список сетевые ресурсы, содержащие в описании пути имена логических дисков компьютера. При сохранении UEL-списка такой путь будут автоматически преобразован к полному сетевому пути. 8. Если при удалении системы защиты невозможно проверить привилегию текущего пользователя на выполнение этой операции, удаление будет разрешено при условии, что пользователь входит в группу локальных администраторов. 9. Решены следующие проблемы: теперь можно менять параметры пользователя и его пароль в тех случаях, когда текущий пароль пользователя не удовлетворяет ограничениям, накладываемым политикой паролей; устранены проблемы, связанные с использованием ПО для eToken версии 3.0 и выше; теперь выполняется регистрация в журнале безопасности событий “Запуск хранителя экрана”; устранены проблемы, связанные с контролем целостности ярлыков программ (lnk-файлов); исправлена ошибка обработки переменной окружения PATH в autoexec.bat; оптимизирована процедура синхронизации параметров Secret Net 2000 и ЭЗ “Соболь” при загрузке компьютера; устранена проблема, связанная с установкой системы защиты на компьютер, жесткий диск которого содержит разделы, параметры которых нельзя определить функциями Win32 API; устранены случаи дублирования имени домена в списке доменов диалога "Вход в систему". Основные особенности и ограничения
1. При использовании Active Directory в режиме Native Mode не поддерживается управление
универсальными группами пользователей - Universal User Group. Рекомендации: Для управления универсальными группами используйте стандартные средства управления доменом Windows 2000. 2. Не поддерживается работа Terminal Services. Так же не поддерживается установка на компьютеры, организованные в кластеры средствами Windows 2000 Advanced Server. Рекомендации: Не используйте Terminal Services. Не устанавливайте Secret Net 2000 на компьютерах, образующие кластеры. 3. Не рекомендуется использовать групповые политики, отличные от принятых в системе по умолчанию (Default Domain Policy, Default Domain Controller Policy). Рекомендации: Подробные сведения об управлении групповыми политиками смотри в документе "Дополнения к Release Notes.doc". 4. Средства администрирования Secret Net 2000 управляют только локальной политикой безопасности рабочей станции. Если в домене Windows 2000 пользователям предоставляются привилегии средствами управления доменной политикой безопасности, эти привилегии будут иметь приоритет перед привилегиями локальной политики безопасности. Рекомендации: Для того чтобы использовать схему управления привилегиями, принятую в Secret Net 2000, необходимо отказаться от управления привилегиями пользователей на уровне доменной политики безопасности в домене Windows 2000 (Group Policy Objects и Default Domain Policy). 5. При переименовании пользователя (группы) средствами Secret Net 2000 в ОС меняется параметр Pre-Windows2000 name. Это обстоятельство приводит к тому, что при создании нового пользователя ему нельзя присвоить имя, которое было присвоено другому пользователю до его переименования. 6. Если на компьютере установлено ПО, заменяющее стандартный для Windows 2000 модуль входа в систему (Gina.dll), то после установки Secret Net 2000 этот модуль будет заменен аналогичным модулем из комплекта поставки Secret Net 2000 (SnGina.dll), что может привести к проблемам в функционировании стороннего ПО. 7. При работе с файлом, длина полного имени которого близка к максимально допустимой длине (~250 символов), в журнале может быть зарегистрировано событие, содержащее неполный путь к файлу. В этом случае путь будет обрезан от начала строки (для того чтобы в журнале было зафиксировано имя модуля). В результате этого, например, при построении UEL по журналу, этот неполный путь попадет в UEL-список, что приведет к запрету запуска программы. Рекомендации: В такой ситуации путь должен быть откорректирован вручную при редактировании UEL-списка администратором. 8. Если права на доступ к системному диску текущего пользователя соответствуют значению "Чтение и выполнение" (Read|Execute), то при запуске программы просмотра журнала происходит ее аварийное завершение. Рекомендации: Предоставьте пользователю права доступа к системному диску “Полный доступ”. 9. Если включен режим контроля печати конфиденциальных документов, вывод документа на печать с помощью команд контекстного меню программы Проводник запрещен. Рекомендации: Для того чтобы распечатать конфиденциальный документ, его надо сначала открыть в MS Word. 10. Для настройки параметров замкнутой программной среды (в том числе, и для корректировки UEL- списка) пользователь должен не только обладать привилегиями на администрирование системы защиты, но и входить в группу локальных администраторов. Рекомендации: Включите в группу локальных администраторов пользователя, в обязанности которого входит настройка замкнутой среды для других пользователей компьютера. 11. В Secret Net 2000 не используется режим замкнутой программной среды “Контролировать загрузку только NE-файлов”. 12. В жестком режиме работы замкнутой программной среды для запуска DOS-программы при помощи механизма Shortcut необходимо, чтобы UEL-список пользователя содержал и DOS-программу, и соответствующий PIF-файл. Рекомендации: Добавьте в UEL-списки пользователей PIF-файлы, использующиеся для запуска DOS-приложений. 13. Если пароль пользователя хранится в персональном идентификаторе, то после смены пароля стандартными средствами Windows 2000 новый пароль не будет записан в идентификатор. Рекомендации: Используйте для смены пароля пользователя только средства Secret Net. 14. Не обнаруживается изъятие устройства аппаратной поддержки Secret Net TM Card ISA. 15. Если в системе установлен режим входа "Только по идентификатору" и в качестве устройства аппаратной поддержки используется Secret Net TM Card ISA, то после изъятия этого устройства из компьютера вход в систему будет возможен только в административном режиме. 16. Не поддерживается работа Doctor Web 4.29 в режиме полномочного разграничения доступа. Рекомендации: Не используйте (отключите) механизм полномочного разграничения доступа. Проблема должна быть решена с выходом Doctor Web 4.30. 17. В среде специализированных программ для записи информации на CD-R и CD-RW не поддерживается разграничение доступа к устройствам и полномочное разграничение доступа. Рекомендации: Не используйте данные программные средства на защищаемых компьютерах или ограничьте доступ пользователей к этим программам.
ЗАО НИП "ИНФОРМЗАЩИТА"
Почтовый адрес: 127018, Москва, а/я 55 Телефон: (7-095) 937-33-85 Факс: (7-095) 219-31-88 e-mail: hotline@infosec.ru Web: http: // www.infosec.ru
