Полномочия на управление учетными записями
Регистрировать и удалять пользователей, а также просматривать и редактировать учетные записи может только пользователь, наделенный соответствующими полномочиями по администрированию. Полномочиями для создания, удаления и изменения учетных записей пользователей в системе защиты обладают: суперадминистратор и пользователи (группы пользователей), указанные в списке разрешенных параметра «Учетные записи: Управление» на вкладке «Права пользователей». По умолчанию это администраторы.
Создание и удаление локальных пользователей
В рабочем окне основной вкладки «Учетные записи» выводится список учетных записей пользователей, зарегистрированных в системе защиты Dallas Lock 8.0. Информация о локальных пользователях, зарегистрированных только в операционной системе данного компьютера, здесь не просматривается.
Создание пользователей
Перед созданием новой учетной записи необходимо убедиться в том, что нужная учетная запись еще не создана в операционной системе. В таком случае, достаточно будет ее просто зарегистрировать, выбрав из списка, вызываемого кнопкой поиска.
Для создания нового пользователя в системе защиты необходимо:
1. Выделить категорию «Учетные записи» в оболочке администратора.
2. Нажать кнопку «Создать» в категориях «Действия» или выбрать соответствующую из контекстного меню, нажав правую кнопку мыши.
3. На экране появится окно создания новой учетной записи.
4. В поле «Размещение» необходимо выбрать значение «Локальный». 5. В поле «Логин» необходимо ввести логин (имя) регистрируемого пользователя. При вводе имени в системе существуют следующие правила:
µ максимальная длина имени - 20 символов;
µ имя может содержать латинские символы, символы кириллицы, цифры и специальные символы (кроме запрещенных ОС: " / \ [ ] : | < > + = ; , ? @ *);
µ разрешается использовать различные регистры клавиатуры, при этом регистр не учитывается, то есть заглавные и прописные буквы воспринимаются как одинаковые (User и user являются одинаковыми именами).
Кнопка поиска, расположенная рядом с полем логина, разворачивает список учетных записей пользователей, зарегистрированных в ОС данного ПК, и позволяет выбрать пользователя из уже существующих.
Также можно выделить несколько учетных записей, имеющихся в ОС, и зарегистрировать их одновременно.
5. После нажатия «OK» появится окно редактирования параметров учетной записи.
На вкладке «Общие» предлагается заполнить следующие учетные данные и параметры:
µ заполнить «Полное имя» пользователя;
µ в поле «Описание» ввести любой комментарий. Длина комментария не более 256 символов. Вводить комментарий и полное имя не обязательно.
Поле «Логин» и поле «Домен» остаются без возможности изменения (название домена для локального пользователя остается пустым)
µ политики «Отключена» и «Запретить работу при нарушении целостности» задаются при необходимости:
· Администратор имеет возможность отключить учетную запись любого пользователя, после чего пользователь не сможет войти на защищенный компьютер до тех пор, пока администратор не деактивирует эту опцию.
· Система защиты обеспечивает проверку целостности программно-аппаратной среды ПК, объектов ФС и реестра. Если для пользователя опция «Запретить работу при нарушении целостности» активизирована, то при обнаружении нарушения целостности выдается соответствующее предупреждение и вход в ОС блокируется. Если же эта опция не включена, то при обнаружении нарушения целостности будет отображено только предупреждение;
µ флажок в поле «Служебный пользователь» предоставляет данной учетной записи особый статус;
µ необходимо выбрать «Тип учетной записи». Для типа «Временный» обязательным условием является настройка расписания работы пользователя. По умолчанию тип учетной записи будет иметь значение «Не указан».
µ необходимо выбрать значение в поле «Число разрешенных сеансов»;
µ необходимо задать «Расписание работы» пользователя, выбрать период и время. Вне указанного периода пользователь не сможет зайти на защищенный ПК. Кроме того, по окончании времени работы ПК пользователя будет заблокирован при условии включения параметра безопасности «Принудительное завершение работы по расписанию» («Параметры безопасности» => «права пользователей»);
µ отмеченный параметр «Потребовать смену пароля при следующем входе» единовременно запросит смену пароля при входе;
µ поле «Запретить смену пароля пользователем»;
µ флажок в поле «Пароль без ограничения срока действия» отменяет действие политики входа «Максимальный срок действия паролей», распространяемой на всех пользователей.
Далее, в процессе создания или регистрации нового локального пользователя администратор имеет возможность включить его в определенную группу. В окне закладки «Группы» отображены названия групп, в которые включен пользователь. По умолчанию, каждый новый пользователь входит в группу «Пользователи».
6. Чтобы включить пользователя в определенную группу необходимо нажать «Добавить». Появится список всех групп пользователей, имеющихся в системе (кроме тех, в которые пользователь уже включен).
7. В поле «Размещение» необходимо оставить значение «Локальный». В списке групп нужно выбрать необходимую. Одновременно можно выделить несколько групп в списке.
8. Завершающей операцией по созданию учетной записи пользователя является назначение пароля. Назначение пароля предлагается системой защиты после заполнения всех необходимых параметров в окне создания учетной записи и нажатия кнопки «ОК».
При вводе пароля необходимо руководствоваться следующими правилами:
µ максимальная длина пароля 32 символа;
µ пароль может содержать латинские символы, символы кириллицы, цифры и специальные символы;
µ сложность пароля (наличие определенных символов, длина, срок действия и прочие) регулируется специальными политиками безопасности, которые устанавливаются администратором.
Для создания пароля, отвечающего всем установленным требованиям политик безопасности, можно воспользоваться помощью генератора паролей системы защиты. Для этого нажать кнопку с надписью «Генерация пароля». Система автоматически создаст случайный пароль, удовлетворяющий политикам сложности пароля, значение которого необходимо ввести в поля «Пароль» и «Подтверждение».
Также следует учесть, если учетная запись (в том числе в составе группы) отмечена в значении для параметра «Учетные записи: Принудительная двухфакторная аутентификация», то присвоение аппаратного идентификатора станет обязательным условием, иначе при завершении её регистрации или редактировании в СЗИ НСД появится предупреждение об ошибке. Это правило распространяется для вновь создаваемых учетных записей пользователей.
Удаление пользователей
Для удаления пользователя из системы защиты вне зависимости от того, какими средствами он создан или зарегистрирован в самой системе защиты, необходимо выделить его имя в списке главного окна программы, нажать кнопку «Удалить» или выбрать соответствующее действие из контекстного меню. Подтвердить операцию. Учетная запись будет удалена и из системы защиты и из операционной системы.
Следует отметить, что при удалении самой системы защиты Dallas Lock 8.0 с компьютера, учетные записи пользователей, созданные средствами системы защиты через оболочку администратора, остаются в операционной системе, как и учетные записи, созданные в ОС и зарегистрированные в системе защиты.