 |
Создание и удаление локальных пользователей
|
|
|
|
В рабочем окне основной вкладки «Учетные записи» выводится список учетных записей пользователей, зарегистрированных в системе защиты Dallas Lock 8.0. Информация о локальных пользователях, зарегистрированных только в операционной системе данного компьютера, здесь не просматривается.
| Примечание. Регистрировать и удалять пользователей, а также просматривать и редактировать учетные записи может только пользователь, наделенный соответствующими полномочиями по администрированию. |
Перед созданием новой учетной записи необходимо убедиться в том, что нужная учетная запись еще не создана в операционной системе. В таком случае, достаточно будет ее просто зарегистрировать, выбрав из списка, вызываемого кнопкой поиска.
Для создания нового пользователя в системе защиты необходимо:
1. Выделить категорию «Учетные записи» на одноименной вкладке оболочки администратора.
2. Нажать кнопку «Создать» в категориях «Действия» или выбрать соответствующую из контекстного меню, нажав правую кнопку мыши.
На экране появится окно создания новой учетной записи (рис. 28).
Рис. 28. Окно создания учетной записи
3. В поле «Размещение» необходимо выбрать значение «Локальный».
4. В поле «Логин» необходимо ввести логин (имя) регистрируемого пользователя. При вводе имени в системе существуют следующие правила:
максимальная длина имени - 32 символа;
имя может содержать латинские символы, символы кириллицы, цифры и специальные символы;
разрешается использовать различные регистры клавиатуры, при этом регистр не учитывается, то есть заглавные и прописные буквы воспринимаются как одинаковые (User и user являются одинаковыми именами).
Нажатие кнопки поиска, расположенной рядом с полем логина, разворачивает список учетных записей пользователей, зарегистрированных только в ОС данного компьютера (рис. 29).
|
|
|
Рис. 29. Учетные записи, зарегистрированные в ОС компьютера
Это позволяет выбрать необходимого пользователя из уже существующих в операционной системе. Для поиска необходимой записи можно воспользоваться сортировкой или ввести первые буквы логина и нажать кнопку поиска. Для сортировки полей в алфавитном порядке нужно нажать на поле с названием столбца и со значком сортировки (треугольник).
5. После нажатия кнопки «OK» появится окно редактирования параметров учетной записи (рис. 30).
Рис. 30. Окно редактирования параметров новой учетной записи
На вкладке «Общие» предлагается ввести следующие параметры:
поле «Логин» и поле «Домен» остаются без возможности изменения (название домена для локального пользователя остается пустым);
полное имя пользователя;
в поле «Описание» можно ввести любой комментарий. Длина комментария не должна составлять более 256 символов. Вводить комментарий не обязательно.
В поле «Параметры» следует отметить:
политики «Отключена» и «Блокировать при нарушении целостности» задаются в соответствии с требованиями администратора.
флажок в поле «Служебный пользователь» предоставляет данной учетной записи особый статус (см. раздел «Служебный пользователь»);
необходимо выбрать максимальный уровень мандатного доступа (только в Dallas Lock 8.0 редакции «С»), под которым пользователь сможет работать[8];
необходимо выбрать значение в поле «Число разрешенных сеансов» (см. подробнее ниже).
В поле задания параметров паролей в соответствии с требованиями безопасности можно отметить следующие параметры:
отмеченный параметр «Потребовать смену пароля при следующем входе» единовременно запросит смену пароля при входе;
поле «Запретить смену пароля пользователем»;
|
|
|
флажок в поле «Пароль без ограничения срока действия» отменяет действие политики входа «Максимальный срок действия паролей», распространяемой на всех пользователей.
Администратор имеет возможность отключить учетную запись любого пользователя, после чего пользователь не сможет войти на защищенный компьютер до тех пор, пока администратор не деактивирует эту опцию.
Система защиты обеспечивает проверку целостности программно-аппаратной среды компьютера, а также проверку целостности объектов ФС в случае установки соответствующих параметров. Если для пользователя данная опция активизирована, то при обнаружении нарушения целостности параметра выдается соответствующее сообщение и вход в ОС блокируется. Если же, это опция не включена, то при обнаружении нарушения целостности будет отображено предупреждение, но вход в ОС будет разрешен.
Далее, в процессе создания или регистрации нового локального пользователя администратор имеет возможность включить его в определенную группу. В окне закладки «Группы» отображены названия групп, в которые включен пользователь (рис. 31). По умолчанию, каждый новый пользователь входит в группу «Пользователи».
Рис. 31. Окно редактирование групп пользователя
6. Чтобы включить пользователя в определенную группу необходимо нажать «Добавить».
Появится список всех групп пользователей, имеющихся в системе (кроме тех, в которые пользователь уже включен) (рис. 32).
Рис. 32. Окно выбора групп
7. В поле «Размещение» необходимо оставить значение «Локальный». В списке групп нужно выбрать необходимую.
Кнопка поиска в данном диалоговом окне помогает найти необходимые группы по названию или его части. Возможна сортировка по алфавиту списка групп нажатием на поле с названием и со значком сортировки (треугольник).
8. Завершающей операцией по созданию учетной записи пользователя является назначение пароля. Назначение пароля предлагается системой после заполнения всех необходимых параметров в окне создания учетной записи и нажатия кнопки «ОК» (рис. 33).
Рис. 33. Форма ввода пароля
При вводе пароля необходимо руководствоваться следующими правилами:
максимальная длина пароля 32 символа;
|
|
|
пароль может содержать латинские символы, символы кириллицы, цифры и специальные символы;
сложность пароля (наличие определенных символов, длина, срок действия и прочие) регулируется специальными политиками безопасности, которые устанавливаются администратором (подробное описание политик сложности паролей в разделе «Настройка параметров входа»).
Для создания пароля, отвечающего всем установленным требованиям политик безопасности, можно воспользоваться помощью генератора паролей системы защиты. Для этого нажать кнопку с надписью «Генерация пароля». Система автоматически создаст случайный пароль, удовлетворяющий политикам сложности пароля, значение которого необходимо ввести в поля «Пароль» и «Подтверждение».
Если в системе защиты регистрируется пользователь, учетная запись которого имеется на локальном компьютере, то его пароль для входа в ОС автоматически становится паролем для входа в систему защиты, поэтому операция по назначению пароля не предлагается. Окно для смены пароля будет содержать аналогичные поля.
|
| Примечание. После того, как пользователь зарегистрирован, менять его имя средствами ОС не рекомендуется. В противном случае, зайти этим пользователем на защищенный системой компьютер возможности не будет. |
Для удаления пользователя из системы защиты вне зависимости от того, какими средствами он создан в системе защиты, необходимо выделить его имя в списке имен, расположенном на панели главного окна программы, нажать кнопку «Удалить» или выбрать соответствующее действие из контекстного меню, нажав правую кнопку мыши. Подтвердить операцию.
Следует отметить, что при удалении системы защиты Dallas Lock 8.0 с компьютера, учетные записи пользователей, созданные средствами системы защиты через оболочку администратора, остаются в операционной системе, как и учетные записи, созданные в ОС и зарегистрированные в системе защиты.
Число разрешенных сеансов
При настройке свойств учетной записи имеется возможность определить число разрешенных сеансов для данной учетной записи.
|
|
|
При установленном значении для каждой учетной записи (локальной или доменной) будет проверяться количество интерактивных и сетевых сессий. Если число больше установленного – вход пользователя на ПК запрещается. Если стоит ограничение для учетной записи по маске, ограничение будет действовать на каждого доменного пользователя индивидуально.
Следует помнить, что при смене пользователя (возможность Windows Vista и более новых ОС) интерактивная сессия пользователя, инициирующего смену, не завершается. Если после этого выполнить авторизацию под тем же самым пользователем, ОС Windows выполнит попытку создания новой интерактивной сессии до уничтожения старой. Соответственно это приведет к временному (несколько секунд пока старая сессия не завершится) увеличению числа сессий на единицу. Поэтому, например, если ограничить число сеансов пользователя единицей, данный пользователь не сможет выполнить «смену пользователя», и войти опять под своими учетными данными (временно создать две сессии не разрешит данная настройка Dallas Lock).
Создание и удаление групп
Группы предназначены для объединения пользователей, у которых права безопасности могут быть схожими. Такое объединение может упростить работу администратора, при выполнении настроек СЗИ НСД.
Группы безопасности упрощают управление доступом к ресурсам. Можно добавлять пользователей к группам безопасности, а затем предоставлять этим группам права доступа, и удалять их оттуда в соответствии с потребностями этих пользователей.
Среди групп безопасности, локальных для домена и компьютера, в системе Dallas Lock 8.0 имеется ряд предварительно сконфигурированных групп в операционной системе Windows, в которые можно включать пользователей.
Для просмотра и редактирования списка групп системы безопасности в оболочке администратора системы необходимо выбрать категорию «Группы» на вкладке «Учетные записи».
|
| Примечание. В данные локальные группы, сформированные в системе защиты Dallas Lock 8.0, можно добавить только локальных пользователей. Доменные пользователи добавляются в группы на контроллере домена. Также при настройке параметров безопасности при добавлении групп появляется возможность выбора или локальных групп или групп пользователей, расположенных на контроллере домена. |
В главном окне оболочки администратора вкладка «Группы» имеет следующий вид (рис. 34):
Рис. 34. Общий вид закладки «Группы»
Для создания новой группы необходимо:
1. В разделе «Группы» на основной вкладке «Учетные записи» выбрать и нажать кнопку «Создать» на панели действий;
|
|
|
2. или нажать правой кнопкой мыши в любом месте списка групп, вызвав контекстное меню, и выбрать необходимое действие. Откроется окно, содержащее два поля: «Группа», «Описание» (рис. 35).
Рис. 35. Окно создания новой группы
3. В поле «Группа» следует ввести название группы, в поле «Описание» - назначение группы или комментарий (необязательное поле). Нажать «ОК».
Изменить описание группы можно, используя кнопку «Изменить» на панели «Действия» или выбрав данное действие из контекстного меню.
Назначить все необходимые политики безопасности для созданной группы можно, редактируя параметры безопасности различных категорий параметров.
Для удаления группы необходимо выделить группу, которую следует удалить, нажать кнопку «Удалить» на панели «Действия» или выбрать данное действие в контекстном меню. На экране отобразится подтверждение на удаление.
|
|
|
