 |
Настройка ЗПС с использованием режима обучения
|
|
|
|
Пусть пользователь, для которого нужно организовать замкнутую программную среду, уже создан и инициализирован (к примеру, он называется zaps). Далее для настройки ЗПС, необходимо выполнить следующие шаги по настройке:
1. Как и в примере по настройке ЗПС с использованием «мягкого» режима (описано выше), необходимо создать специальную группу, например, ZPS, включить пользователя zaps в группу ZPS и для группы ZPS в глобальных настройках запретить запуск всего (рис. 102).
2. В дополнительном меню кнопки 
необходимо включить «режим обучения».
3. Далее, в появившемся окне дискреционного доступа назначить для выбранной группы параметр безопасности «только чтение». Это просто сделать, нажав саму кнопку «только чтение» (рис. 109).
Рис. 109. Настройка прав доступа для режима обучения
4. Теперь необходимо перезагрузить компьютер и осуществить вход под учетной записью пользователя zaps.
5. Поработать немного под этим пользователем, запустив необходимые приложения. В процессе работы в «режиме обучения» на запущенные приложения назначается дескриптор в соответствии с произведенной настройкой при включении режима.
6. В период пока включен «режим обучения» пользователю zaps становятся доступны для запуска все необходимые приложения.
7. Чтобы выключить режим обучения для пользователя, необходимо завершить его сеанс, зайти под учетной записью администратора и выбрать в дополнительном меню пункт «Выключить режим обучения». После выключения - доступ к приложениям будет определяться в соответствии с назначенными правами: и администратором безопасности, и в процессе «режима обучения».
Блокировка работы с файлами по расширению
В системе защиты Dallas Lock 8.0 реализована функция блокировки доступа к файлам по их расширению. Эта функция может быть полезна, к примеру, для того чтобы запретить сотрудникам работу с файлами, не имеющими отношения к их профессиональным обязанностями (mp3, avi и т.д.).
|
|
|
Для того чтобы добавить расширение на которое распространяется запрет, необходимо:
1. Запустить оболочку администратора и на вкладке «Параметры безопасности» зайти в категорию «Блокируемые расширения» (рис. 110).
Рис. 110. Категория Блокируемые расширения
Окно программы состоит из поля со списком запрещенных расширений файлов (последовательности символов, добавляемых к имени файла и предназначенных для идентификации формата файла), комментария, и панели действий, содержащей инструменты по добавлению, удалению или редактированию свойств необходимых блокируемых администратором расширений.
2. Нажать кнопку «Добавить», в результате чего выведется окно «Заблокированные расширения файлов» (рис. 111).
Рис. 111. Окно задания блокировки расширения
3. В данном окне нужно ввести необходимое расширение, комментарий к нему и нажать кнопку «OK». В результате, в разделе «Блокируемые расширения» добавиться указанное расширение.
Функция «Блокируемые расширения» будет распространяться на всех пользователей, кроме пользователя, выполнившего установку СЗИ НСД, суперадминистратора. При попытке пользователя открыть файл с заблокированным расширением, появится соответствующее предупреждение (рис. 112).
Рис. 112. Пример запрета доступа к файлу с расширением mp4
| Внимание!Добавление в список блокируемых расширений: exe, dll, sys - может привести к неработоспособности системы (исключение составит работа под учетной записью суперадминистратора). |
ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА
Средства аудита
Важным средством обеспечения безопасности является механизм протоколирования. Система защиты информации от несанкционированного доступа должна фиксировать все события, касающиеся безопасности.
|
|
|
В процессе работы системы защиты Dallas Lock 8.0 события, происходящие на компьютере и связанные с безопасностью системы, регистрируются в журналах. Ведение журналов в свою очередь регулируется параметрами аудита, задаваемыми пользователями с правами на управление аудитом. Система защиты позволяет осуществлять гибкую настройку аудита и выбирать, какие действия пользователя по отношению к каким ресурсам необходимо регистрировать. Кроме того, можно протоколировать все действия, касающиеся администрирования системы защиты.
Просмотр и редактирование политик и параметров аудита возможно с помощью кнопок «Аудит» и «Права пользователей» на одной из основных вкладок оболочки администратора «Параметры безопасности».
Параметры аудита
С помощью подсистемы аудита в СЗИ НСД Dallas Lock 8.0 происходит регистрация и группировка всех событий, в зависимости от типов событий, подлежащих протоколированию, задается степень детализации аудита и других факторов.
Категория «Аудит» вкладки «Параметры безопасности» имеет следующую структуру:
Таблица 2. Настраиваемые параметры безопасности подсистемы аудита
| Параметр | Назначение | ||
 Аудит входа в систему
| Протоколирование всех событий, связанных со входом, выходом, разблокировкой пользователей на ПК в Журнале входов, включая как локальные, так и сетевые, в том числе терминальные входы и выходы. Параметр может принимать значение «вкл» или «выкл» | ||
 Аудит доступа к ресурсам
| Позволяет регистрировать события по доступу к ресурсам файловой системы в Журнале доступа к ресурсам.Возможен аудит действий пользователей, как с локальными ресурсами файловой системы, так и с сетевыми ресурсами и со сменными накопителями. Сюда же заносятся события по управлению доступом к ресурсам ФС (и не только доступом, когда на объект «вешается» любой дескриптор – событие заносится). Параметр может принимать значение «вкл» или «выкл» | ||
 Аудит управления политиками безопасности
| Дает возможность протоколировать все действия по настройке параметров системы защиты и по изменению прав пользователей в Журнале управления политиками безопасности. Параметр может принимать значение «вкл» или «выкл» | ||
 Аудит управления учетными записями
| Позволяет вести учет всех действий по созданию, удалению, редактированию учетных записей пользователей в Журнале управления учетными записями. Параметр может принимать значение «вкл» или «выкл» | ||
 Аудит печати
| Позволяет осуществлять учет печати пользователем на локальных и сетевых принтерах в Журнале печати. Параметр может принимать значение «вкл» или «выкл» | ||
| Внимание! При включенном Аудите печати в данной версии Dallas Lock 8.0 из приложения Acrobat Reader 10 печать файлов не осуществляется | ||
 Аудит запуска/завершения процессов
| Позволяет протоколировать все события запусков/завершения процессов в Журнале процессов. Параметр может принимать значение «вкл» или «выкл» | ||
 Фиксировать в журнале входов неправильные пароли
| Включение данной политики позволяет фиксировать значение неверно введенных паролей в Журнале входов. Параметр может принимать значение «вкл» или «выкл» | ||
 Аудит доступа: Заносить в журналы ошибки Windows
| Позволяет вести учет всех ошибок доступа ОС Windows в Журнале доступа к ресурсам. Так как Dallas Lock 8.0 не подменяет механизмы контроля доступа к ресурсам операционной системы, а добавляет свои механизмы, то любое действие над файловой системой вначале попадает для проверки в драйвер защиты СЗИ НСД, и если этот драйвер разрешает данное действие, оно передается дальше операционной системе. И операционная система может отказать уже по своим причинам – как раз эти отказы и заносятся в журнал, при включении данной опции. В большинстве случаев аудит этих ошибок не нужен. Параметр может принимать значение «да» или «нет» | ||
| Аудит доступа: Заносить в журналы все ошибки при включенном «мягком» режиме
| Позволяет сформировать в Журнале доступа к ресурсам список попыток доступа к запрещенным пользователю операциям при включенном «мягком» режиме. Параметр может принимать значение «да» или «нет» | ||
 Заносить в журнал события запуска и остановки ОС
| Позволяет протоколировать события связанные с запуском/завершением работы операционной системы в Журнале управления политиками. Сюда заносятся события: «запуск ядра защиты DL», «запуск оболочки администратора», причем данные события заносятся при включенной политике «Аудит доступа к ресурсам» | ||
 Заносить в журнал события запуска и остановки модулей администрирования DL
| Позволяет протоколировать все события, связанные с запуском/завершением работы модулей администрирования Dallas Lock 8.0 в Журнале процессов | ||
 Аудит доступа/запуска: Вести аудит системных пользователей
| Включение параметра позволяет вести учет действий системных пользователей (SYSTEM, LOCAL SERVICE, NETWORK SERVICE и пр.) в Журнале доступа к ресурсам. В большинстве случаев, аудит этих пользователей не требуется | ||
 Печать штампа
| Включение и настройка параметров данной политики аудита позволяет на всех распечатываемых документах добавлять штамп (подробнее в разделе «Печать штампа на документы») | ||
 Создавать теневые копии распечатываемых документов
| После включения данной политики аудита (значение «да») при распечатке документов копии этих документов будут сохраняться в специальной папке С:\DLLOCK80\Logs\PrintCopy. В данной папке при каждой печати будут создаваться подпапки, названия которых состоят из времени печати и имени печатающего устройства. Доступ к данной папке устанавливается для пользователей с помощью политики «Аудит: Просмотр теневых копий распечатанных документов» на вкладке «Права пользователей». Возможность просмотреть созданную таким образом копию документа можно, кликнув мышью соответствующую запись в журнале печати, и в окне свойств записи нажать кнопку просмотра | ||
| Примечание. При включенной политике «Создавать теневые копии распечатываемых документов» вывод на печать файлов формата PDF будет осуществляться в виде пустых файлов. Это является особенностью защиты от копирования самого формата и не является ошибкой | ||
 Разрешить печать из под уровней доступа
| При выборе изменения данной политики в появившемся дополнительном окне можно выбрать уровни мандатного доступа, работая под которыми, пользователи могут осуществлять печать документов | ||
 Добавлять штамп при печати под уровнями
| При выборе изменения данной политики в появившемся окне можно выбрать уровни мандатного доступа пользователей, при работе под которыми на распечатываемые документы будет добавляться штамп, который настроен политикой «Добавлять штамп» | ||
Для настройки аудита доступа к ресурсам недостаточно просто установить этому параметру значение «Включен» в окне редактирования параметров безопасности. Необходимо указать, какие именно операции и по доступу к каким именно ресурсам должны быть запротоколированы.
|
|
|
|
|
|
Аудит доступа к ресурсам нужно настраивать очень внимательно, так как в системе постоянно происходит множество событий по доступу к ресурсам файловой системы. К примеру, в процессе загрузки операционной системы, происходит несколько тысяч таких событий. И, если назначить аудит всех событий файловой системы, то журналы будут переполняться очень быстро, и в полученных журналах будет крайне сложно разобраться. Кроме того, будет заметно замедление работы ПК. Поэтому, рекомендуется назначать аудит только для тех ресурсов, которые необходимы, и только нужных событий.
|
|
|
|
|
|
