Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Структура и составные модули




СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Dallas Lock 8.0

Руководство по эксплуатации

 

 

RU.48957919.501410-02 92

 

 

Листов 210

 

 


Аннотация

Данное руководство по эксплуатации освещает вопросы по установке, настройке и сопровождению Системы защиты информации от несанкционированного доступа «Dallas Lock 8.0» и предназначено для лиц, ответственных за эксплуатацию системы.

Руководство подразумевает наличие у пользователя навыков работы в операционной среде Windows.

В руководстве представлены элементы графических интерфейсов системы защиты и операционной системы, которые соответствуют работе Системы защиты информации от несанкционированного доступа «Dallas Lock 8.0» в ОС Windows XP и Windows 7.

 


Содержание

Введение. 6

Условные обозначения. 6

1. НАЗНАЧЕНИЕ И ВОЗМОЖНОСТИ СИСТЕМЫ ЗАЩИТЫ.. 7

1.1. Общее описание системы. 7

1.2. Структура и составные модули. 8

1.3. Возможности. 9

2. УСТАНОВКА И УДАЛЕНИЕ СИСТЕМЫ ЗАЩИТЫ.. 13

2.1. Подготовка компьютера к установке. 13

2.1.1. Требования к аппаратному и программному обеспечению.. 13

2.1.2. Ограничения. 13

2.1.3. Предварительная подготовка. 14

2.2. Установка системы защиты. 15

2.3. Удаление системы защиты. 18

2.4. Вход на защищенный компьютер. 19

3. ОПИСАНИЕ СРЕДСТВ АДМИНИСТРИРОВАНИЯ. 23

3.1. Администрирование клиентской части. 23

3.2. Панель действий. 25

3.3. Контекстное меню объектов. 26

3.4. Сортировка списка параметров. 26

3.5. Значок блокировки на панели задач. 27

3.6. Полномочия пользователей на администрирование системы защиты. 28

3.6.1. Порядок предоставления полномочий. 28

3.6.2. Полномочия на управление параметрами безопасности. 30

3.6.3. Полномочия на управление дискреционным доступом. 30

3.6.4. Полномочия на управление мандатным доступом. 31

3.6.5. Полномочия на управление контролем целостности. 31

3.6.6. Разрешение и запрет интерактивного и удаленного входа в ОС. 31

3.6.7. Печать разрешена \ Печать запрещена. 31

3.6.8. Низкоуровневый доступ к диску. 32

3.6.9. Полномочия на деактивацию системы защиты. 32

4. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ.. 33

4.1. Управление учетными записями. 33

4.1.1. Полномочия на управление учетными записями. 34

4.1.2. Создание и удаление локальных пользователей. 34

4.1.3. Число разрешенных сеансов. 38

4.1.4. Создание и удаление групп. 39

4.1.5. Регистрация доменных пользователей. 40

4.1.6. Регистрация доменных учетных записей с помощью масок. 41

4.1.7. Назначение аппаратной идентификации. 42

4.1.8. Дополнительные возможности аппаратной идентификации. 44

4.1.9. Смена пароля пользователя. 47

4.2. Разблокировка пользователей. 48

4.3. Параметры входа в систему защиты. 49

4.3.1. Настройка параметров входа. 49

4.3.2. Настройка средств аппаратной идентификации. 54

4.4. Доверенная загрузка. 60

4.4.1. Включение модуля доверенной загрузки. 60

4.4.2. Создание Pin-кода пользователя. 61

4.4.3. Вход на компьютер при активном загрузчике. 63

4.4.4. Прозрачное преобразование дисков. 64

5. РАЗГРАНИЧЕНИЕ ДОСТУПА К ОБЪЕКТАМ.. 66

5.1. Дискреционный доступ к объектам. 66

5.1.1. Дескрипторы объектов. 66

5.1.2. Права доступа. 66

5.1.3. Механизм определения прав доступа пользователя к ресурсам. 68

5.1.4. Дискреционный доступ для глобальных параметров. 69

5.1.5. Дискреционный доступ для локальных объектов. 72

5.1.6. Дескрипторы по пути. 76

5.2. Мандатный доступ. 78

5.2.1. Переименование меток конфиденциальности. 78

5.2.2. Назначение меток конфиденциальности на объекты. 79

5.2.3. Механизм разделяемых папок. 79

5.2.4. Уровни доступа пользователей. 80

5.2.5. Текущий уровень доступа пользователя. 81

5.2.6. Механизм разграничения доступа. 82

5.2.7. Служебный пользователь. 82

5.2.8. Пример настройки мандатного доступа по сети. 83

5.3. Настройка мандатного доступа для корректной работы пользователя с ПО.. 84

5.3.1. Настройка с помощью механизма разделяемых папок. 84

5.3.2. Настройка с помощью утилиты и шаблонов. 85

5.4. Дополнительные режимы доступа. 86

5.4.1. « Мягкий» режим контроля доступа к ресурсам. 86

5.4.2. «Режим обучения». 87

5.4.3. Механизм замкнутой программной среды. 88

5.5. Блокировка работы с файлами по расширению.. 95

6. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА. 96

6.1. Средства аудита. 96

6.1.1. Параметры аудита. 96

6.1.2. Полномочия на управление параметрами аудита. 98

6.2. Аудит доступа к ресурсам. 99

6.2.1. Глобальные параметры аудита. 100

6.2.2. Аудит для объектов файловой системы. 101

6.3. Журналы. 103

6.3.1. Фильтры журналов. 106

6.3.2. Умный фильтр журналов. 107

6.4. Печать штампа на документы. 107

7. ОЧИСТКА ОСТАТОЧНОЙ ИНФОРМАЦИИ. 112

7.1. Очистка освобождаемого дискового пространства. 112

7.2. Очистка файла подкачки виртуальной памяти. 113

7.3. Очистка только конфиденциальных данных. 113

7.4. Количество циклов затирания. 113

7.5. Удаление файлов и зачистка остаточной информации по команде. 113

7.6. Запрет смены пользователя без перезагрузки. 114

7.7. Зачистка диска. 115

8. ПОДСИСТЕМА КОНТРОЛЯ ЦЕЛОСТНОСТИ. 116

8.1. Механизм контроля целостности. 116

8.1.1. Настройка параметров контроля целостности. 116

8.1.2. Контроль целостности для файлов. 118

9. УДАЛЕННЫЙ ДОСТУП. 121

9.1. Удаленный доступ к незащищенному компьютеру с защищенного. 121

9.2. Удаленный доступ к защищенному компьютеру с незащищенного. 121

9.3. Удаленный доступ к защищенному компьютеру с защищенного. 121

9.4. Ключи удаленного доступа. 122

9.5. Сетевое администрирование. 123

10. КОДИРОВАНИЕ ФАЙЛОВ И ПАПОК. 125

10.1. Кодирование объектов. 125

10.2. Декодирование объектов. 127

10.3. Использование внешних криптопровайдеров. 129

11. ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ. 131

11.1. Создание отчета о правах и конфигурации. 131

11.2. Создание паспорта программного обеспечения. 132

11.3. Сохранение резервной копии файлов системы. 133

11.4. Автоматическое тестирование функционала. 135

11.5. Возврат к настройкам по умолчанию.. 136

11.6. Работа с оболочкой Dallas Lock. 137

11.6.1. Включение и выключение оболочки. 137

11.6.2. Настройка оболочки. 139

12. СОХРАНЕНИЕ КОНФИГУРАЦИИ. 140

12.1. Сохранение конфигурации клиентской части. 140

12.2. Применение файла конфигурации клиентской части. 141

13. СЕРВЕР БЕЗОПАСНОСТИ. 142

13.1. Общие принципы работы Сервера безопасности. 142

13.1.1. Синхронизация. 142

13.2. Установка и удаление Сервера безопасности. 143

13.2.1. Установка СБ. 143

13.2.2. Удаление СБ с ПК. 146

13.3. Консоль сервера безопасности. 146

13.4. Клиенты и группы клиентов СБ. 148

13.4.1. Группа Default и клиент Default 148

13.4.2. Параметры безопасности для групп клиентов. 148

13.4.3. Параметры безопасности для клиентов. 149

13.5. Параметры Сервера безопасности. 154

13.5.1. Вкладка «Состояние». 154

13.5.2. Сигнализация. 156

13.5.3. Вкладка «Учетные записи». 158

13.5.4. Вкладка «Контроль доступа». 159

13.5.5. Вкладка «Журнал СБ». 160

13.5.6. Вкладка «Параметры безопасности домена». 160

13.5.7. Вкладка «Удаленная установка». 161

13.6. Ввод клиента в Домен безопасности. 167

13.6.1. Ввод клиента в ДБ в процессе активации СЗИ НСД. 167

13.6.2. Ввод защищенного компьютера в ДБ. 167

13.6.3. Вывод клиента из Домена безопасности. 170

13.7. Сохранение конфигурации Сервера безопасности. 170

13.8. Менеджер серверов безопасности. 172

13.8.1. Установка и удаление Менеджера серверов безопасности. 172

13.8.2. Централизованное применение параметров безопасности. 173

13.9. Удаленная установка системы защиты средствами Active Directory. 179

14. ВОССТАНОВЛЕНИЕ КОМПЬЮТЕРА ПРИ СБОЕ СИСТЕМЫ ЗАЩИТЫ.. 192

14.1. Аварийное декодирование областей жесткого диска. 192

14.2. Аварийное отключение Dallas Lock 8.0 в ручном режиме. 192

14.2.1. Порядок аварийного отключения для Windows XP/2003. 192

14.2.2. Порядок аварийного отключения для Windows Vista/2008/7/2008R2/8/2012 194

14.3. Аварийное отключение Dallas Lock 8.0 с помощью загрузочного диска восстановления 197

14.3.1. Отключение загрузчика и подмена системных файлов. 197

14.3.2. Очистка реестра. 197

15. РЕЗЕРВНОЕ ВОССТАНОВЛЕНИЕ ДИСКА. 199

15.1. Создание загрузочного диска Acronis. 199

15.2. Сохранение образа диска с помощью Acronis. 201

15.3. Восстановление образа диска с помощью Acronis. 205

Термины и сокращения. 209

 


 

Введение

Данное руководство предназначено для администратора Системы защиты информации от несанкционированного доступа «Dallas Lock 8.0» (далее по тексту – система защиты, СЗИ НСД или Dallas Lock 8.0).

В руководстве содержатся сведения, необходимые для получения общего представления о системе защиты, ее функциональных возможностях, а также для установки, настройки и управления работой в соответствии с требованиями безопасности.

В данном руководстве описание работы с системой носит процедурный характер, то есть основное внимание сосредоточено на порядке выполнения тех или иных действий.

Руководство состоит из 15-ти глав и содержит следующую структуру:

1. Глава 1 содержит общее описание назначения и возможностей системы.

2. В Главе 2 приводятся сведения, необходимые для установки (инсталляции), а также для ее удаления и входа на уже защищенный системой Dallas Lock 8.0 компьютер.

3. Глава 3 дает общее представление о пользовательском интерфейсе программы администрирования системы и принципах работы, необходимых непосредственно администратору системы.

4. Главы 4 ‑ 13 подробно описывают функциональные возможности основных подсистем, модулей, механизмов и настроек клиентской части системы защиты.

5. В Главе 13 описываются функциональные возможности модулей централизованного управления системы защиты «Сервер безопасности» и «Менеджер серверов безопасности».

6. В Главах 14 и 15 описывается восстановление ПК при сбое системы защиты и восстановление данных жесткого диска.

Если имеется доступ в интернет, можно посетить сайт компании–разработчика системы Dallas Lock 8.0 ООО «Конфидент» www.confident.ru или сайт самого продукта www.dallaslock.ru.

На сайте продукта можно получить информацию о системе защиты Dallas Lock 8.0, предыдущих версиях системы, а также заказать комплекс услуг по проектированию, внедрению и сопровождению продукта. Также, при необходимости можно обратиться в службу технической поддержки системы Dallas Lock 8.0 по электронному адресу: [email protected].

Условные обозначения

Система защиты Dallas Lock 8.0 имеет две редакции «К» и «С». Наличие того или иного функционала в редакциях обусловлено уровнем сертификата и требованиями к данному уровню.

Система защиты Dallas Lock 8.0 редакции «С» является расширением версии «К» и, согласно требованиям, имеет дополнительный функционал. В тексте руководства для выделения разделов, содержащих описание функций, относящихся только к редакции «С», используется условное обозначение:

— Только для Dallas Lock 8.0 редакции «С»

 


1. НАЗНАЧЕНИЕ И ВОЗМОЖНОСТИ
СИСТЕМЫ ЗАЩИТЫ

Общее описание системы

Система защиты информации от несанкционированного доступа «Dallas Lock 8.0» (далее по тексту – система защиты, СЗИ НСД или Dallas Lock 8.0) предназначена для предотвращения получения защищаемой информации заинтересованными лицами с нарушением установленных норм и правил и обладателями информации с нарушением установленных правил разграничения доступа к защищаемой информации.

Система Dallas Lock 8.0 представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.

Использование СЗИ НСД Dallas Lock 8.0 в проектах по защите информации позволяет привести автоматизированные системы в соответствие требованиям законодательства Российской Федерации.

Система предназначена для использования на персональных компьютерах, портативных компьютерах (ноутбуках), серверах (файловых, контроллерах домена и терминального доступа), также поддерживает виртуальные среды и технологию Windows To Go. Может функционировать как на автономных персональных компьютерах, так и на компьютерах в составе локальной вычислительной сети, в том числе под управлением контроллера домена.

СЗИ НСД Dallas Lock 8.0 обеспечивает защиту информации от несанкционированного доступа на ПК в ЛВС через локальный, сетевой и терминальный входы. Также обеспечивает разграничение полномочий пользователей по доступу к файловой системе и другим ресурсам компьютера. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.


Структура и составные модули

Система защиты Dallas Lock 8.0 состоит из следующих основных компонентов:

1. Драйвер защиты. Является ядром системы защиты и выполняет основные функции СЗИ НСД.

Драйвер защиты автоматически запускается на защищаемом компьютере при его включении и функционирует на протяжении всего времени работы. Драйвер осуществляет управление подсистемами и модулями системы защиты и обеспечивает их взаимодействие. Драйвер защиты выполняет следующие функции:

· обеспечивает мандатный и дискреционный режимы контроля доступа к объектам файловой системы;

· обеспечивает доступ к журналам, параметрам пользователей и параметрам СЗИ НСД в соответствии с правами пользователей;

· обеспечивает работу механизма делегирования полномочий;

· обеспечивает проверку целостности СЗИ НСД, объектов файловой системы и компьютера;

· драйвер осуществляет полную проверку правомочности и корректности администрирования СЗИ НСД.

С драйвером защиты взаимодействуют следующие защитные подсистемы:

2. Подсистема управления доступом. Включает в себя:

· подсистему входов. Обеспечивает идентификацию и аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе входа в операционную систему;

· подсистему аппаратной идентификации. Осуществляет работу с различными типами аппаратных идентификаторов;

· подсистему дискреционного доступа;

· подсистему мандатного доступа (только для редакции «С»).

3. Подсистема регистрации и учета. Включает в себя:

· подсистему аудита. Обеспечивает ведение аудита и хранение информации 6-ти категорий событий в журналах;

· подсистему очистки остаточной информации.

4. Подсистема контроля целостности. Обеспечивает целостность программ и данных, периодическое тестирование СЗИ НСД, наличие средств восстановления СЗИ НСД, контроль целостности программно-аппаратной среды.

5. Модуль доверенной загрузки (только для редакции «С»). Является опционным модулем, включается по команде администратора и может быть не активированным. Активный модуль отрабатывает до начала загрузки ОС. Обеспечивает начальную авторизацию, запуск подсистемы прозрачного преобразования.

6. Подсистема внедрения в интерфейс windows explorer («проводник»). Обеспечивает отображение пунктов в контекстном меню объектов, необходимых для назначения прав доступа к объектам ФС, вызова функции принудительной зачистки объектов ФС, создания кодированных файлов-контейнеров.

7. Подсистема локального администрирования. Обеспечивает все возможности по управлению СЗИ НСД, аудиту и настройке СЗИ НСД, просмотру, фильтрации и очистке журналов.

8. Подсистема удаленного администрирования. Позволяет выполнять настройку системы защиты с удалённого компьютера.

9. Подсистема преобразования информации. Обеспечивает кодирование и декодирование данных в файлах-контейнерах.

10. Подсистема печати. Обеспечивает разграничение доступа к печати, добавление штампа на документы, сохранение их теневых копий, регистрацию событий печати в подсистеме аудита.

11. Подсистема прозрачного преобразования дисков (только для редакции «С»). Позволяет осуществить преобразование информации, хранящейся на локальных дисках, что предотвращает доступ к данным, расположенным на жёстких дисках, в обход Dallas Lock 8.0.

12. Подсистема централизованного управления. Включает в себя основные компоненты:

· модуль «Сервер безопасности». Позволяет объединять защищенные компьютеры в домен безопасности для централизованного управления;

· модуль «Менеджер серверов безопасности». Позволяет объединить несколько Серверов безопасности в единую логическую единицу «Лес безопасности». С помощью этого модуля становится возможным централизованный сбор журналов со всех Серверов безопасности и применение политик.

Возможности

Система защиты информации Dallas Lock 8.0 предоставляет следующие возможности:

1. В соответствии со своим назначением, система защиты Dallas Lock 8.0 запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничить права пользователей при работе на компьютере (постороннее лицо, в данном контексте – человек, не имеющий своей учетной записи на данном компьютере). Разграничения касаются прав доступа к объектам файловой системы, доступа к сети, сменным накопителям, аппаратным ресурсам. Для облегчения администрирования возможно объединение пользователей в группы. Контролируются права доступа для локальных, доменных, сетевых и терминальных пользователей.

2. Для предотвращения утечки информации с использованием сменных накопителей (таких как CD-диск, USB-Flash-диск, внешний жесткий диск и прочие) система позволяет разграничивать доступ, как к отдельным типам накопителей, так и к конкретным экземплярам.

3. Система Dallas Lock 8.0 позволяет в качестве средства опознавания пользователей системы использовать электронные идентификаторы:

· USB-Flash-накопители;

· электронные ключи Touch Memory (iButton);

· USB-ключи Aladdin eToken Pro/Java;

· смарт-карты Aladdin eToken Pro/SC;

· USB-ключиRutoken (Рутокен) и Rutoken ЭЦП.

Примечание. В системе Dallas Lock 8.0 аппаратная идентификация не является обязательной.

4. Для решения проблемы «простых паролей» система имеет гибкие настройки сложности паролей. Можно задать минимальную длину пароля, необходимость обязательного наличия в пароле цифр, специальных символов, строчных и прописных букв, степень отличия нового пароля от старого и срок действия. Кроме того, для создания пароля, соответствующего всем установленным настройкам в системе реализован механизм генерации паролей.

5. Включение особого модуля доверенной загрузки позволяет авторизовать пользователя при входе на ПК до загрузки ОС. Загрузка операционной системы с жесткого диска осуществляется только после ввода особого Pin-кода загрузчика и его проверки в СЗИ НСД (только для редакции «С»).

6. Возможно ограничение круга доступных для пользователя объектов файловой системы (дисков, папок и файлов под FAT и NTFS). Применяется полностью независимый от ОС механизм. Используются два принципа контроля доступа:

· мандатный (только для редакции «С») - каждому пользователю присваивается уровень доступа и некоторым объектам файловой системы тоже присваивается уровень доступа (по умолчанию, все объекты имеют уровень доступа «открытые данные», но он может быть поднят до любого уровня из 7-ми доступных). Пользователь будет иметь доступ к объектам, уровень доступа которых не превышает его собственный.

· дискреционный - обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа (матрица доступа). В соответствии с содержимым списка вычисляются права на доступ к объекту для каждого пользователя (чтение, запись, выполнение и прочие).

7. В СЗИ НСД Dallas Lock 8.0 реализована система контроля целостности параметров компьютера. Она обеспечивает:

· контроль целостности программно-аппаратной среды при загрузке компьютера;

· контроль целостности файлов при загрузке компьютера;

· контроль целостности ресурсов файловой системы и программно-аппаратной среды по расписанию;

· контроль целостности ресурсов файловой системы и программно-аппаратной среды через заданные интервалы времени (периодический контроль);

· блокировку входа в ОС компьютера при выявлении изменений

· контроль целостности файлов при доступе.

Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.

8. СЗИ НСД Dallas Lock 8.0 включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных. Специальные политики определяют количество циклов зачистки: 1, 2 или 3, производится ли зачистка для всех или только конфиденциальных данных (для Dallas Lock 8.0 редакции «С»). Зачистка дискового пространства производится либо по команде пользователя, либо в автоматическом режиме. Подсистема позволяет:

· очищать файл подкачки виртуальной памяти;

· очищать освобождаемое дисковое пространство;

· принудительно зачищать определённые файлы и папки, используя соответствующий пункт в контекстном меню проводника (windows explorer);

· предотвращать вход пользователя без перезагрузки.

9. В системе реализована функция «Зачистка диска», которая позволяет полностью зачищать остаточные данные всего диска или его разделов. Это может быть полезно при снятии носителей с учета и необходимости полного удаления данных без возможности их восстановления по остаточной информации.

10. В СЗИ НСД Dallas Lock 8.0 реализовано ведение 6-ти электронных журналов, в которых фиксируются действия пользователей:

· журнал входов. В журнал заносятся все входы (или попытки входов с указанием причины отказа) и выходы пользователей ПК, включая как локальные, так и сетевые, в том числе терминальные входы и входы для удаленного администрирования;

· журнал доступа к ресурсам. В журнал заносятся обращения к объектам файловой системы, для которых назначен аудит. Можно гибко настраивать для каждого объекта, какие события нужно заносить в журнал, а какие нет;

· журнал процессов. В журнал заносятся события запуска и завершения процессов;

· журнал управления политиками безопасности. В журнал заносятся все события, связанные с изменением конфигурации СЗИ НСД. Также в этот журнал заносятся события запуска/завершения модулей администрирования и события запуска/завершения работы Dallas Lock 8.0;

· журнал управления учетными записями. В журнал заносятся все события связанные с созданием или удалением пользователей, изменением их параметров;

· журнал печати. В журнал заносятся все события, связанные с распечаткой документов на локальных или сетевых принтерах.

Для облегчения работы с журналами есть возможность фильтрации записей по определенному признаку и экспортирования журналов в различные форматы. При переполнении журнала, а также по команде администратора, его содержимое архивируется и помещается в специальную папку, доступ к которой есть, в том числе, и через средства удаленного администрирования. Этим обеспечивается непрерывность ведения журналов.

11. Подсистема перехвата событий печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, сохранять теневые копии распечатываемых документов, а также разграничивать доступ пользователей к печати.

12. Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и по желанию пользователя, аппаратный идентификатор. Распаковать такой контейнер можно на любом компьютере, защищенном Dallas Lock 8.0[1], при условии ввода верного пароля и наличии аппаратного идентификатора, используемых при преобразовании. Возможно использование встроенного алгоритма преобразования ГОСТ 28147‑89, либо подключение внешнего криптопровайдера, например, сертифицированного «КриптоПро».

13. При использовании нескольких защищенных СЗИ НСД Dallas Lock 8.0 компьютеров в ЛВС возможно удаленное администрирование. Средствами удаленного администрирования осуществляется изменение политик безопасности, создание, редактирование и удаление пользователей, назначение прав доступа к объектам файловой системы, просмотр журналов, управление аудитом и контролем целостности. Модуль удаленного администрирования входит в состав всех поставок, его не требуется приобретать отдельно.

14. При использовании нескольких защищенных СЗИ НСД Dallas Lock 8.0 компьютеров в ЛВС возможно централизованное управление ими. Это осуществляется с использованием специального модуля – «Сервер безопасности Dallas Lock». Этот модуль должен быть установлен на отдельный компьютер, защищенный СЗИ НСД Dallas Lock 8.0. Остальные компьютеры, введенные под контроль данного Сервера безопасности, станут его клиентами и образуют домен безопасности. С Сервера безопасности станет возможным централизованное управление политиками безопасности, просмотр состояния, автоматический сбор журналов, создание/удаление/редактирование параметров пользователей и другие операции по настройке и управлению клиентами. Кроме того, с помощью модуля «Менеджер серверов безопасности Dallas Lock» есть возможность объединить несколько Серверов безопасности в Лес безопасности (ЛБ).

Сервер безопасности Dallas Lock 8.0 редакции «С» позволяет объединять ПК, защищенные Dallas Lock 8.0 редакции и «К» и «С».

15. В системе защиты реализовано хранение авторизационной информации в аппаратном идентификаторе. Определенные настройки при назначении идентификатора в профиле учетной записи делают возможным вход пользователя на защищенный компьютер только по одному предъявлению идентификатора. Сохранение информации возможно или в защищённой памяти идентификатора, или в открытой. В случае если информация сохранена в защищённой памяти, должен запрашиваться Pin-код.

16. Возможно включение механизма блокировки компьютера пользователей при отключении назначенного аппаратного идентификатора.

17. Система позволяет настраивать «Замкнутую программную среду» (ЗПС), режим, в котором пользователь может запускать только программы, определенные администратором.

18. Для удобства администрирования, а также для облегчения настройки таких возможностей, как «Замкнутая программная среда» и «Мандатный доступ», существует:

· «мягкий режим» – режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал доступа заносится сообщение об ошибке;

· «режим обучения» - в этом режиме, при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права.

19. Для удобства работы, а также в дополнение к ЗПС в системе реализована возможность использования вместо стандартной графической оболочки пользователя Windows специальной защищенной оболочки Dallas Lock, программы, которая отвечает за создание рабочего стола, наличие на нем ярлыков программ, панели задач и меню «Пуск».

20. СЗИ НСД Dallas Lock 8.0 содержит подсистему самодиагностики основного функционала СЗИ НСД (тестирование).

21. Для удобства администрирования системы, возможно задание списка расширений файлов, работа с которыми будет блокирована. Это позволяет запретить пользователям работу с файлами, не имеющими отношения к их профессиональным обязанностям (mp3, avi и т.д.).

22. Для проверки соответствия настроек СЗИ НСД есть возможность создания отчета по назначенным правам и конфигурациям на объекты файловой системы, а также отчета со списком установленного ПО: «Паспорта ПО».

23. Предусматривается ведение резервных копий программных средств защиты информации, их периодическое обновление и контроль работоспособности. А также возможность возврата к настройкам по умолчанию.

24. При необходимости переноса настроек клиентской части Dallas Lock 8.0 и Сервера безопасности (политики, пользователи, группы, права доступа к ресурсам ФС и т.д.) на другие компьютеры, либо для сохранения настроек при переустановке системы, существует возможность создания файла конфигурации, который будет содержать выбранные администратором параметры. Файлы конфигурации могут быть применены: в процессе установки СЗИ НСД, или на уже защищенный компьютер локально или средствами СБ.

25. Выбор значения «Число разрешенных сеансов» позволяет осуществлять проверку количества интерактивных сессий для данной учетной записи пользователя в настоящий момент в сети: если число больше разрешенного – вход пользователя на ПК запрещается.

26. Для ускорения внедрения СЗИ НСД Dallas Lock 8.0 в крупных сетях может использоваться механизм удаленной установки средствами Сервера безопасности, либо средствами групповых политик Active Directory с использованием сформированного на СБ msi‑файла.


Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...