 |
Настройка ЗПС с использованием неактивного режима
|
|
|
|
Режим обучения
В Dallas Lock 8.0 реализован особый механизм контроля доступа к ресурсам – «режим обучения». Он позволяет одновременно фиксировать события о запрете доступа и автоматически назначать права на ресурсы, к которым доступ блокируется.
Чтобы включить режим обучения, необходимо нажать кнопку основного меню и в списке дополнительных функций выбрать «Настройка режимов работы» => «Включить режим обучения».
Появится окно подтверждения включения данного режима.
После включения режима обучения появится окно дескриптора доступа, в котором необходимо указать, какие параметры безопасности и какому пользователю должны быть автоматически назначены на ресурсы, к которым блокируется доступ. В процессе работы на необходимые для работы объекты ФС будет происходить назначение тех дескрипторов, которые настроены при включении режима обучения, тем самым определяется настройка ЗПС. Для включения/выключения режима обучения пользователь должен быть наделен правами на деактивацию системы защиты (вкладка «Параметры безопасности» => «Права пользователей» => параметр «Деактивация системы защиты»).
Событие включения (выключения) режима обучения фиксируется в журнале управления политиками.
Неактивный режим
В Dallas Lock 8.0 реализован особый механизм контроля доступа к ресурсам – «неактивный режим». Его суть заключается в полном отключении подсистем СЗИ НСД Dallas Lock 8.0.
Чтобы включить и настроить неактивный режим, необходимо нажать кнопку основного меню и в списке дополнительных функций выбрать «Настройка режимов работы» => «Настроить неактивный режим».
Появится окно настройки неактивного режима, в котором необходимо определить, контроль каких подсистем отключить, а каких оставить.
|
|
|
В неактивном режиме Dallas Lock 8.0 минимально влияет на работу ОС. Включение данного режима может быть полезно для упрощения диагностики несовместимости Dallas Lock 8.0 со сторонним программным или аппаратным обеспечением, инфраструктурой сети и т.д. Для включения/выключения неактивного режима пользователь должен быть наделен правами на деактивацию системы защиты (вкладка «Параметры безопасности» => «Права пользователей» => параметр «Деактивация системы защиты»).
Мягкий режим
Включение и настройка мягкого режима производится посредством неактивного режима, поэтому для того чтобы включить и настроить «мягкий режим», необходимо нажать кнопку основного меню и в списке дополнительных функций выбрать «Настройка режимов работы» => «Настроить неактивный режим». Далее откроется окно «Настройка неактивного режима», где в правом нижем углу расположена кнопка «Мягкий режим». Она позволяет включать комбинацию настроек, при которых при обращении к ресурсам, доступ к которым запрещён, доступ всё равно разрешается, но в журнал ресурсов заносится сообщение об ошибке.
События включения и выключения неактивного режима фиксируются в журнале управления политиками.
2. Замкнутая программная среда
На одной рабочей станции может быть несколько пользователей, которые, в соответствии с политиками безопасности, могут работать с разными программами. Для усиленных мер безопасности в системе Dallas Lock 8.0 существует механизм «Замкнутой программной среды», ЗПС, (иногда говорят «Изолированная программная среда» – ИЗС), который позволяет явно указать с какими программами пользователь может работать (со всеми же остальными программами пользователь работать соответственно не может). Для реализации механизма замкнутой программной среды необходимо произвести ряд настроек. Общий смысл настроек состоит в том, чтобы установить глобальный запрет на выполнение всех программ, а потом разрешить запуск только тех приложений, которые необходимы данному пользователю для работы. Для организации ЗПС используются механизмы дискреционного контроля доступа. А конкретно право «Выполнение». Для создания замкнутой программной среды рекомендуется все права назначать не для конкретного пользователя, а для специально созданной группы. В этом случае, если создать нового пользователя с теми же ограничениями на использования программ, достаточно будет добавить его в ту же самую группу, а не выполнять все настройки заново. Первый вход только что созданного пользователя должен осуществляться без ограничений ЗПС, так как при первом входе в системной папке создается профиль пользователя. Таким же образом, если на компьютере установлен Microsoft Office, то, войдя первый раз новым пользователем до включения ограничений ЗПС, нужно запустить какое-либо приложение офиса, так как он производит локальную установку в профиль. Только после того, как профиль пользователя создан, нужные приложения установлены и инициализированы, можно начинать настройку ЗПС (либо добавлять пользователя в группу с ЗПС-ограничениями). Нужно помнить, что исполняемыми файлами считаются не только файлы с расширениями *.exe, но и все другие файлы, которые открываются с флагами на выполнение. Это, прежде всего, *.dll, *.sys, *.scr и прочие. Таким образом, если необходимо разрешить пользователю работать с Microsoft Word, то недостаточно будет ему разрешить запускать файл WINWORD.EXE. Ведь WINWORD.EXE использует также множество *.dll файлов, которые тоже нужно разрешить данному пользователю для запуска.
|
|
|
Ниже приведены описания настройки ЗПС различными способами. Одним из альтернативных способов настройки может быть следующий: после глобального запрета запуска всего в глобальных параметрах, для пользователя (группы) необходимо разрешить запуск всего из папки C:WINDOWS. Главное – отключить возможность для этого пользователя (группы) менять содержимое этой папки. В папке Windows находятся важные системные файлы, доступ к которым необходим для корректной работы ОС. При этом способе настройки ничто не мешает отдельно запретить запуск некоторых файлов из папки Windows.
|
|
|
Настройка ЗПС с использованием неактивного режима
Для настройки ЗПС с использованием неактивного режима в системе защиты Dallas Lock 8.0 существует дополнительный механизм «Права для файлов». Пример такой настройки ЗПС описан ниже:
Пусть пользователь, для которого нужно организовать ЗПС, уже создан и инициализирован (к примеру, он называется zps). Далее для настройки ЗПС, необходимо выполнить следующие шаги по настройке:
1. Необходимо создать специальную группу, например, ZPS-gr, и включить пользователя zps в группу ZPS-gr.
2. Для группы ZPS-gr в глобальных настройках запретить запуск всего (вкладка «Контроль ресурсов» => «Глобальные» => «Параметры ФС по умолчанию»).
3. В дескрипторе «Параметры ФС по умолчанию» включить полный аудит отказов.
4. Далее необходимо настроить неактивный режим работы СЗИ НСД (пункт меню кнопки основного меню «Настройка режимов работы» => «Настроить неактивный режим»). В окне настройки необходимо включить «мягкий режим» контроля доступа.
5. Отправить компьютер в перезагрузку.
6. Осуществить вход в ОС под учетной записью пользователя zps. Запустить все те приложения, с которыми пользователь имеет право работать (но, не запускать ничего лишнего). Следует помнить, что не для всех приложений является достаточным просто их запуск. Некоторые сложные приложения на своем старте загружают не все исполняемые модули, а только необходимые, остальные модули они подгружают динамически, в процессе работы. Поэтому после запуска приложения лучше выполнить все основные действия приложения для работы. На этом этапе в журнале доступа к ресурсам формируется список файлов, которые нужны данному пользователю для работы.
7. Далее следует осуществить смену пользователя и войти под учетной записью администратора безопасности. Запустить оболочку администратора СЗИ НСД, открыть журнал ресурсов.
8. Настроить и применить фильтр журнала доступа к ресурсам: пользователь – «zps», результат – «ошибка».
|
|
|
9. Далее необходимо выделить поле с записями журнала и выбрать на панели действий «Права для файлов» (или нажать эту кнопку в появившемся отдельном окне выбранной записи журнала или выбрать из контекстного меню).
10. В появившемся окне редактирования дескриптора безопасности назначить дискреционные права для группы ZPS-gr «только чтение» и нажать «ОК».
После нажатия кнопки «ОК» система защиты попросит пользователя выбрать еще одно действие для настройки параметров безопасности:
11. В этом случае, если назначаются права на доступ к ресурсам для группы ZPS-gr впервые, то параметры безопасности будут созданы независимо от выбранного значения «Да» или «Нет». Если же необходимо добавить параметр (например, право запускать еще какую-либо программу), то в этом случае следует нажать кнопку «Да», чтобы добавить параметр и не потерять существующие. Таким образом, замкнутая программная среда организована. Теперь необходимо отключить «мягкий режим» и зайти пользователем zps. Этот пользователь сможет работать только с необходимыми программами. Следует помнить, что вполне вероятна ситуация, когда не все нужные для работы пользователя исполняемые файлы занеслись в список. Так как некоторые приложения вызывают какие-либо другие исполняемые файлы только при активизации определенных функций. Если после включения ЗПС у пользователя zps какое-либо приложение стало работать неправильно – это можно сразу же увидеть в журнале доступа к ресурсам. Скорее всего, для какого-то еще исполняемого файла необходимо добавить право на исполнение (действие «Права для файлов» => «Только чтение») для данного пользователя (группы).
|
|
|
