Настройка параметров входа системы защиты
После установки системы защиты, прежде всего, целесообразно произвести ее настройку. Под настройкой системы защиты понимается установка значений параметров системы защиты, удовлетворяющих требованиям безопасности. Для этого выберите пункт Параметры безопасности.
Рассмотрим параметры входа в систему. Настройки, касающиеся входа в систему, регулирующие атрибуты пароля, производятся из пункта Политика входов в систему.
Автоматический вход в ОС. Если активизировано значение Выключен, то система защиты запросит пароль дважды: первый раз при входе на защищенный компьютер и второй раз при загрузке ОС, т.е. будет проверяться право входа на компьютер и право загрузки ОС.
Любому пользователю (кроме супервизора) можно разрешить загрузку компьютера, но запретить вход в ОС). Настроить систему, таким образом, целесообразно, например, если доступ к защищенному компьютеру осуществляется по сети, или система защиты установлена на сервере. Пользователь включит компьютер, но работать на нем не сможет, т.к. доступ к ОС для него будет запрещен.
Возможно и обратное: пользователь не имеет права входа на защищенный компьютер, но может загрузить ОС. Такая ситуация возникнет, если только один ответственный сотрудник обладает правом на включение компьютеров.
Таким образом, вход на компьютер может осуществить один пользователь, а загрузить ОС другой. Каждый при этом вводит свое имя и пароль. Именно поэтому пароль запрашивается дважды.
Блокировать учетную запись при ошибках. Учетная запись является элементом матрицы доступа, в котором хранится информация о пользователе (имя пользователя, пароль, расписание, параметры загрузки компьютера и др.). Значение, установленное для блокирования учетной записи, регламентирует, сколько раз пользователь имеет право ошибаться при вводе пароля.
Время блокировки учетной записи. Эта опция позволяет указать, сколько времени учетная запись будет заблокирована после того, как пользователь ввел неверный пароль больше допустимого числа раз. В этот временной интервал пользователь не сможет загрузить компьютер и ОС, даже при верном вводе пароля.
Время регистрации пользователя при загрузке. Значение, установленное для этой опции, определяет время, отведенное пользователю для ввода пароля при входе на защищенный компьютер.
Заносить неверные пароли в журнал. Эта опция позволяет зафиксировать все неверно введенные пароли в журнале входов.
Аппаратная идентификация. В файле конфигурации, предлагаемом по умолчанию, аппаратная идентификация отключена. Если вы предполагаете использовать аппаратную идентификацию в дальнейшем, то установите аппаратную часть, предварительно выключив компьютер.
Механизм разграничения доступа
Разграничение доступа к конфиденциальным ресурсам осуществляется следующим образом. Когда пользователь (программа, запущенная пользователем) осуществляет попытку доступа к конфиденциальному ресурсу, система защиты определяет уровень секретности данного объекта. Затем уровень секретности объекта сопоставляется с уровнем допуска к конфиденциальной информации текущего пользователя. Если текущий пользователь не превышает свой уровень допуска, система защиты санкционирует доступ к ресурсу. Иначе система защиты блокирует доступ к объекту. В одном сеансе работы (до ближайшей перезагрузки или завершения сеанса работы) пользователь может открывать на чтение, запускать и удалять объекты всех уровней секретности не выше текущего, выбранного при загрузке.
Если для некоторого объекта явно указана классификационная метка, то его уровень секретности соответствует этой метке. Все вложенные объекты, при отсутствии явно заданной классификационной метки, имеют уровень секретности родительского объекта. Если для объекта верхнего уровня (фиксированного диска, удаленного диска, сменного диска), явно не задан уровень секретности, то все вложенные объекты (любого уровня вложенности), для которых также явно не задана классификационная метка и родительские объекты которых не обладают явно заданной классификационной меткой, имеют уровень секретности «Открытые данные». Таким образом, наследование уровня секретности происходит сверху вниз.
Механизм замкнутой программной среды
Этот механизм [1] позволяет ограничить доступ пользователей к исполняемым файлам только теми программами, которые действительно необходимы ему для выполнения своих служебных обязанностей. Программы, разрешенные и запрещенные для запуска, определяются индивидуально для каждого пользователя.
Для того чтобы задействовать механизм замкнутой программной среды, необходимо для данного пользователя установить глобальный запрет на выполнение всех программ, а потом разрешить выполнение только определенных программ, необходимых этому пользователю для работы.
3. Оборудование
Персональный компьютер с установленной ОС Windows 2000 или ХР, установочный диск DL 7.0, документация комплекса.
4. Задание на работу:
4.1 Произвести в соответствии с руководством по эксплуатации установку пакета программ ПАК защиты информации.
4.2 Создать на жестком диске объекты с разным уровнем доступа
4.3 Зарегистрировать в системе пользователей с разными полномочиями и убедиться в различии их прав доступа к объектам.
4.4 Зафиксировать структуру рабочего каталога CЗИ и изучить порядок работы с журналами комплекса.