Secret net studio инструкция администратора - Kompot.top

Администрирование аттестованных объектов информатизации — автоматизированных рабочих мест. Практика

Уровень сложностиПростой

Время на прочтение7 мин

Количество просмотров16K

В рамках предыдущей статьи мы в теории разобрали, что необходимо делать администратору. В этой же изучим вопрос на практике.

Администрирование аттестованного АРМ

Администрирование аттестованного АРМ сводится к следующим шагам:

Знакомство с Актом классификации.
Знакомство с Разрешительной системой доступа.
Настройка системы и администрирование СЗИ от НСД.
Поддержание АРМ в актуальном состоянии, в соответствии с разрешительной системой доступа.

Знакомство с Актом классификации

Шаблонов в интернете много, поэтому не будем его детально расписывать, подчеркнем суть из него. В Акте классификации указано, что объект информатизации – автоматизированная система «АРМ-1» классифицирована по классу 1В в соответствии с РД АС. Ссылка на РД АС.

Знакомство с Разрешительной системой доступа

Я придумал нечто следующее (пример РСД), на основе её будем настраивать систему и СЗИ от НСД. Из документа мы получаем всё необходимое:

Наименование всех учётных записей, которые должны быть на ПК, а также их роли.
Перечень информационных ресурсов, их расположение, их гриф.
Перечень разрешенного оборудования, участвующего в обработке информации.
Матрицу доступа, содержащую подробную информацию, какой пользователь, к какому информационному ресурсу/оборудованию, под каким грифом имеет доступ.

Настройка системы и администрирование СЗИ от НСД

Пришло время настроить нашу систему согласно исходным данным. Рекомендованный порядок настройки СЗИ от НСД такой:

Настройка самого СЗИ от НСД
Настройка пользователей
Настройка ресурсов
Настройка приложений

Начнём с СЗИ от НСД Secret Net Studio. Вот рекомендации по настройке.

Secret Net Studio — C

Настройка самого СЗИ от НСД

Заходим в «Локальный центр управления»

Кратко по меню:

Если горит зеленый квадратик, то всё работает хорошо.
Если серый, то модуль отключен.
Если красный, произошли изменения которые необходимо подтвердить администратору. Или же произошёл сбой.

В меню «Настройки» можно задать нужные параметры с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД» Dallas Lock. Это руководство от другой СЗИ, но основные параметры одинаковые, так что заострять внимание на этом не будем, упомянем только основное.

В «Базовая защита» это:

В других СЗИ от НСД, требования парольной политики по содержанию символов настраивается более гибко, тут же, только вот этим параметром.

В «Локальная защита» это:

Создадим необходимый перечень мандатных уровней:

В данной СЗИ от НСД менее трёх быть не может. Вы же поняли, почему?

Не включайте сразу параметр «Контроль потоков включен» он включается в самый последний момент, когда уже всё настроено.

В «Контроль устройств» рекомендуется отключить все, что не используется в обработке информации. USB-устройства — разрешаете подключение для конкретных, и потом для родительского объекта запрещаете подключение, чтобы кроме разрешенного пользователи ничего подключить не смогли.

В «Контроль печати» нужно добавить принтер, МФУ, на котором будете печатать, и с помощью шестеренки разрешить доступ «Все», после чего выбрать «Настройка по умолчанию» и для него уже запретить «Все».

Настройка пользователей

В Secret Net Studio есть свой аналог меню по созданию учетных записей – «Управление параметрами безопасности пользователей». Создаём учетные записи в соответствии с разрешительной системой доступа:

Важно помнить, что колонку «Имя» изменить уже не получится. А всё остальное можно. В меню «Параметры безопасности» выставляем уровень допуска и выбираем то, что он может делать с грифованными данными. «Управление категориями конфиденциальности» должен быть только у администратора.

Настройка ресурсов

Следующий шаг – создать информационные ресурсы. В разрешительной системе доступа указываются и их наименования и их расположение. Делаем как в документе.

Ресурсы мы создали, а теперь нужно настроить дискреционные и мандатные полномочия пользователей на этих каталогах, как в матрице доступа, находящейся в РСД. Заходим в «Свойства» каталога Документы, далее во вкладку «Secret Net Studio» и настраиваем мандатный уровень для папки. Суть этого разделения в том, что мы можем контролировать, под каким уровнем мандатной сессии пользователи смогут открыть её. Так как у нас в папке «Документы» находятся папки разных грифов, то на самой папке мы ставим самый меньший уровень. А вот на папке «Конфиденциально» и «Не_конфиденциально» ставим нужные уровни.

Дискреционное разграничение определяет права доступа пользователей к каталогам, то есть кто и куда может зайти. Если оставить галку «Наследовать настройки доступа от родительского объекта», то папка примет настройки от родительского объекта.

Важно, в данной СЗИ от НСД при настройке каждого каталога необходимо добавлять администратора, иначе он не сможет настраивать эту папку.

Для папки «Документы» это диск C:\, а для других, что внутри этой папки – сама папка «Документы». Снимаем галку, и ставим всё как матрице доступа разрешительной системы доступа. По правам для пользователей для родительского объекта ставим разрешить «Чтение» «Запись» «Выполнение», запрещаем «Удаление» и «Изменение прав доступа». Правами на изменение прав доступа обладает только администратор.

По поводу удаления: так как у нас регламентированы папки, которые должны быть в папке «Документы» («Конфиденциально» и «Не_конфиденциально») то удалять их нельзя, но в самих уже этих папках можно свободно действовать.

В каталогах на USB-устройствах настроить в большинстве случаев можно только дискреционное разграничение, так как для мандатного разграничения может не соответствовать файловая система.

Настройка приложений

Самый трудоёмкий пункт. Для настройки работы приложений в ненулевой сессии администратору необходимо настроить «Подсистема полномочного управления доступом». Для этого выполните во вкладке «Автоматически» процесс настройки «По умолчанию» После чего можно настроить все приложения.

Суть в том, что для каждого приложения, чтобы оно работало в ненулевых мандатных сессиях (например, «Конфиденциально») необходимо сделать разделяемой папку, содержащую временные файлы этого приложения. Для большинства популярных приложений есть шаблоны программ, доступные на вкладке «Программы».

Если там нет, добавьте вручную. Для этого в вкладке «Вручную» -> «Общие» -> «Перенаправления» необходимо добавить пути до этих каталогов. Для этого в папке пользователя «AppData» -> Local, Roaming, LocalLow необходимо скопировать адрес до папки приложения.

И вставить в новое правило. Чтобы правило работало для ещё не существующих пользователей, удалите ту часть, которая указывает на папку конкретного пользователя:

После того, как настроите все необходимые приложения, вернитесь в «Локальный центр управления» и включите

После чего нужно перезагрузиться.

После перезагрузки при попытке войти под пользователем после ввода логина и пароля система спросит, под какой сессией вы хотите зайти. Зайдите под пользователем, чтобы проверить, что все приложения работают как надо, все папки открываются.

FAQ

Если система зависает на этом моменте и бесконечно грузится, жмите Ctrl+Shift+Esc. Вы пропустите проверку системы, компьютер будет заблокирован для всех, кроме администраторов. После исправления ошибок в локальном центре проведите проверку функционального контроля/

Dallas Lock 8.0-C

Настройка самого СЗИ от НСД

В меню «Параметры безопасности» можно задать нужные настройки с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД Dallas Lock». Заострять внимание на этом документе не будем, упомянем только основное.

Во вкладке «Мандатный доступ» установим всё как в нашем примере РСД

Во вкладке «Контроль целостности «Программно-аппаратной среды»» выставляются алгоритмы и рассчитываются контрольные суммы в самом конце.

Контроль устройств находится в «Контроль ресурсов» «Устройства». Оставляем не запрещённым только то, что участвует в обработке данных.

Настройка пользователей

Добавляются пользователи во вкладке «Учетные записи», если учетная запись уже создана в системе, можно нажать на лупу и выбрать её. Поля заполнятся автоматически.

У каждой учетной записи не забывайте выставить «Мандатный доступ» в соответствии с РСД .

Важно! У обычных пользователей должна стоять галка «Запретить работу при нарушении целостности», у администратора этой галки стоять не должно. О том, что означает этот функционал, поговорим позже. Также не забывайте, что поле “Логин” изменить нельзя, а все остальные поля можно.

Настройка ресурсов

Настраиваются с помощью вкладки «Права доступа». Всё делается так же, как и с предыдущей СЗИ от НСД. Настраивается «Дискреционное разграничение» (какая учетная запись имеет доступ в какую папку) и «Мандатное разграничение» (под какой сессией пользователи смогут зайти в папку).

У пользователей выставляется стандартное «чтение», «запись», «выполнение», остальное в запрет на родительский объект. На дочерние, которые находятся внутри папки «Документы», выставляется в соответствии с РСД, то есть разрешается ещё удаление.

Важное различие между предыдущей СЗИ от НСД в плане дискреционного доступа заключается в том, что если в Secret Net Studio мы задаём, какие учетные записи будут иметь доступ и обязательно добавляем администратора, то в этой программе добавлять администратора не нужно, а все остальные пользователи по умолчанию контролируются сущностью «Все».

Каталоги на USB носителях настраиваются как обычные папки на компьютере.

Настройка приложений

Вот тут дела обстоят абсолютно по-другому, если сравнивать с предыдущей СЗИ от НСД.

Чтобы настроить приложения, которые будут запускаться под уровнем сессии выше нулевой, администратору необходимо сначала зайти под каждым пользователем по разу (а лучше по два) и запустить каждое используемое в обработке информации программное обеспечение. После чего зайти под администратором, и выполнить настройку шаблоном мандатного доступа (для тех, у которых имеется).

Находится во вкладке «Конфигурация»

А для тех, у которых этого нет, необходимо зайти в папку AppData каждого пользователя. После запуска приложения создадут в папке свои каталоги для временных файлов, ищем их. Когда нашли, делаем эти каталоги разделяемыми:

После настройки, зайдите под пользователем и проверьте, что всё работает.

Если всё хорошо, заходим под администратором и настраиваем контрольные суммы

После выбора алгоритма для расчета, нажмите кнопку “Пересчитать”. Система рассчитает уникальные значения для всего, для чего установлен алгоритм, и будет проверять их на моменте ввода логина и пароля. Если эти суммы на момент ввода логина и пароля не совпадут с теми, что были на момент пересчёта, то компьютер будет заблокирован, и вход будет разрешен только тем учетным записям, у которых не стоит галка «Запретить работу при нарушении целостности».

Пример: на момент нажатия кнопки «пересчитать» у вас был подключен принтер. Смотрим по параметрам, «Контроль целостности прогр. апп.среды (Принтеры)», для параметра рассчитаны суммы. После перезагрузки компьютера принтер сгорает и после ввода логина/пароля от учетной записи, когда система начнёт сравнивать текущие значения в эталонными, они не совпадут, так как на момент расчёта принтер был. Компьютер заблокирован.

Возможные неисправности после настройки

Не печатает принтер – удалите из контроля папку «spool\PRINTERS», данная ошибка возникает из за неправильного шаблона Adobe Reader, разработчики никак починить не могут этот баг

Нарушение контроля программно-аппаратной среды (чего-то конкретно) – Зайти под администратором и пересчитать. Описано в настройках приложений.

Спасибо за внимание! Ваш Cloud4Y.

Что ещё интересного есть в блоге Cloud4Y

→ Спортивные часы Garmin: изучаем GarminOS и её ВМ MonkeyC

→ NAS за шапку сухарей

→ Взлом Hyundai Tucson, часть 1, часть 2

→ Взламываем «умную» зубную щётку

→ 50 самых интересных клавиатур из частной коллекции

Источник

18 января 2024

Цикл «Знакомство с SNS и SN LSP»

Полномочное управление доступом
Дискреционное управление доступом
Контроль печати
Контроль устройств
Замкнутая программная среда

Приветствуем в третьей статье цикла «Знакомство с SNS и SN LSP». В данной части мы с вами проведем обзор следующих дополнительно подключаемых функциональных компонентов:

Полномочное управление доступом
Дискреционное управление доступом к ресурсам файловой системы
Контроль печати
Контроль устройств
Замкнутая программная среда

Полномочное управление доступом

Механизм полномочного управления доступом предназначен для:

Разграничения доступа пользователей к ресурсам с назначенными категориями конфиденциальности;
Контроля подключения и использования устройств с назначенными категориями конфиденциальности;
Контроля потоков конфиденциальной информации в системе;
Контроля использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
Контроля печати конфиденциальных документов.

Категорию конфиденциальности можно назначить для локальных физических дисков (кроме диска с системным логическим разделом), каталогов, файлов, а также для любых устройств, включаемых в группы устройств USB, PCMCIA, IEEE1394 или Secure Digital.

Пользователи могут иметь следующие привилегии:

Управление категориями конфиденциальности

Пользователь может изменять категории конфиденциальности файлов и каталогов в рамках своего уровня допуска, а также управлять режимом наследования категорий конфиденциальности каталогов
Печать конфиденциальных документов

Пользователю разрешается выводить на принтер конфиденциальные документы
Вывод конфиденциальной информации

Пользователю разрешается выводить конфиденциальные документы на внешние носители

Настройка полномочного управления доступом осуществляется в следующем порядке:

Задать количество и названия категорий конфиденциальности;
Назначить пользователям уровни допуска и привилегии;
Присвоить ресурсам категории конфиденциальности;
Настроить перечень регистрируемых событий;

При необходимости:

Включить и настроить режим маркировки для добавления маркеров в распечатываемые документы;
Ограничить использование принтеров для печати документов с определенными категориями конфиденциальности;
Включить режим скрытия конфиденциальных файлов;
Включить и настроить режим контроля потоков.

Этапы настройки полномочного разграничения доступа в сетевом варианте

1. Настройка категорий конфиденциальности
В групповой политике сервера безопасности необходимо задать количество категорий конфиденциальности и их названия. Эти параметры должны задаваться в одной общей групповой политике домена, организационного подразделения или сервера безопасности.

В политике можно добавлять новые уровни, перемещать их, удалять, а также восстанавливать исходный набор категорий по умолчанию.

2. Определение для каждого пользователя уровня допуска и необходимых привилегий
Действия осуществляются в программе «Управление пользователями». В окне настройки свойств пользователя необходимо перейти к диалогу «Параметры безопасности» и выбрать группу «Доступ».

Для пользователя устанавливается нужный уровень допуска, а также выдаются необходимые привилегии. Параметры вступят в силу при следующем входе пользователя в систему.

3. Присвоение уровней конфиденциальности ресурсам
Для изменения категории конфиденциальности файла или каталога пользователю необходимо обладать привилегией «Управление категориями конфиденциальности». Если ее нет, то у пользователя есть возможность только повышать категории для файлов, но не выше своего уровня допуска или конфиденциальности сеанса.

Изменение категории конфиденциальности осуществляется с помощью программы «Проводник» ОС Windows.

В контекстном меню свойств каталога необходимо перейти на вкладку «Secret Net Studio», затем назначить нужную категорию конфиденциальности. Выбранная категория может автоматически присваиваться новым каталогам и файлам, для этого нужно установить отметки в соответствующих полях.

Аналогичные операции следует провести с файлами, которые находятся в каталоге (если не включено автоматическое присваивание категории).

При открытии конфиденциального документа, если не включен режим контроля потоков, будет появляться запрос на повышение уровня конфиденциальности:

После сохранения документа категория конфиденциальности файла остается прежней при условии, что категория конфиденциальности каталога равна категории конфиденциальности документа и в свойствах каталога включен режим «Автоматически присваивать новым файлам».

4. Настройка регистрации событий
Для отслеживания событий, связанных с механизмом полномочного управления доступом, имеется возможность гибкой настройки регистрации событий. Через Центр управления в группе «Полномочное управление доступом» раздела «Регистрация событий» администратор может выборочно включить определенные типы событий.

5. Дополнительные настройки
При необходимости администратор безопасности может использовать режим скрытия конфиденциальных файлов.

Таким образом, пользователь не будет видеть файлы, категория конфиденциальности которых выше его уровня допуска.

При включенном режиме контроля потоков пользователь независимо от уровня допуска не увидит файлы, категория конфиденциальности которых выше уровня конфиденциальности текущей сессии.

Если предполагается использовать режим контроля потоков, то перед его включением необходимо:

Назначить учетной записи администратора безопасности, наивысший уровень допуска к конфиденциальной информации, а также предоставить привилегию «Управление категориями конфиденциальности». Далее следует включить учетную запись в локальные группы администраторов компьютеров;
На каждом компьютере создать профили пользователей, выполнить запуск используемых приложений и настроить параметры их работы;
Для обеспечения функционирования механизма полномочного управления доступом в режиме контроля потоков на каждом из защищаемых компьютеров должна проводиться дополнительная настройка в программе «Настройка подсистемы полномочного управления доступом».

Она может осуществляться как перед включением режима контроля потоков, так и в процессе эксплуатации при добавлении новых пользователей, принтеров и программ. Настройка может выполняться автоматически и вручную.

Автоматическая настройка со значениями по умолчанию нужна для удаления текущей конфигурации и восстановления исходных значений параметров. Автоматическая настройка «Текущие значения» предназначена для повторного применения уже заданных параметров, а также добавления значений по умолчанию.

В ручной настройке можно изменять параметры работы механизма полномочного управления доступом и контроля печати с учетом особенностей программной среды пользователя.

При включении контроля потоков есть возможность настроить параметры автоматического назначения уровней конфиденциальности для сессий пользователей:

Строгий контроль терминальных подключений ограничивает выбор уровней конфиденциальности для терминальных подключений. Уровень конфиденциальной сессии равен уровню локальной сессии на терминальном клиенте (режим потоков должен быть включен на клиенте);
Автоматический выбор максимального уровня сессии включает максимально возможный уровень конфиденциальности для сессий пользователей

Дискреционное управление доступом

Данный механизм, помимо разграничения доступа пользователей к каталогам и файлам, обеспечивает:

Контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
Невозможность доступа к объектам в обход установленных прав доступа;
Независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. Установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.

Настройка дискреционного разграничения доступа выполняется в следующем порядке:

1. Предоставление привилегии для изменения прав доступа к ресурсам
Привилегированным пользователям необходимо предоставить возможность изменять права доступа на любых каталогах и файлах локальных дисков. Выбранных пользователей нужно наделить привилегией «Учетные записи с привилегией управления правами доступа».

2. Назначение администраторов ресурсов
Пользователи с привилегией «Управление правами доступа» назначает администраторов ресурсов. Им будет разрешено изменять доступ для всех ресурсов, независимо от прав доступа к самим ресурсам. Администратором ресурса считается пользователь, для которого установлено разрешение на операцию «Изменение прав доступа» в параметрах доступа к ресурсу.

Для изменения прав доступа к ресурсу необходимо вызвать его контекстное меню и в свойствах перейти к диалогу «Secret Net Studio». Для ресурса может быть включен режим наследования прав доступа. Для задания явных прав следует убрать эту отметку.
В разрешениях можно добавить необходимых пользователей, установить разрешения и запреты на выполнение операций, а также назначить администраторов ресурсов.

3. Настройка регистрации событий и аудита операций с ресурсами
Далее следует настроить аудит событий. В разделе «Регистрация событий» в Центре управления необходимо найти группу «Дискреционное управление доступом» и настроить перечень регистрируемых событий.

Также можно настроить регистрацию событий и аудит операций с конкретным ресурсом при изменении прав доступа к нему.

Настраивать параметры контроля печати можно с применением как локальных, так и групповых политик. Для разграничения доступа к принтерам, а также настройкам прямой печати и маркировки документов необходимо в разделе «Политики» перейти к группе параметров «Контроль печати».

В разделе «Принтеры» необходимо включить саму политику, затем добавить разрешенные принтеры в групповую политику.

Для принтеров можно настроить полномочное разграничение доступа и теневое копирование.

Полномочное разграничение доступа позволяет ограничить печать конфиденциальных документов только определенными принтерами. Для этого в списке принтеров необходимо указать нужный уровень конфиденциальности в колонке «Категории конфиденциальности».

Политика позволяет настроить права пользователей для печати в колонке «разрешения». Пользователю можно установить запрет или разрешение на выполнение печати.

Для ограничения использования принтеров в терминальных подключениях нужно перейти в раздел «Политики → Контроль RDP-подключений»

Разрешено

Пользователи могут самостоятельно настраивать использование принтеров в параметрах удаленного подключени
Запрещено подключать удаленные принтеры к компьютеру

Блокируется использование принтеров на стороне терминального сервера
Запрещено использовать принтеры компьютера удаленно

Блокируется использование принтеров на стороне терминального клиента
Запрещено

Блокируется перенаправление принтеров независимо от того, терминальный клиент это или сервер
Определяется политиками Windows

Пользователи могут настраивать использование принтеров в параметрах удаленного подключения, если эти действия разрешены в стандартных политиках перенаправления в ОС Windows

По умолчанию перенаправление принтеров в RDP-подключениях не запрещается.

Если требуется определить процессы, которым разрешен прямой вывод на печать, необходимо сформировать списки политики контроля прямой печати и добавить разрешения, указывающие полный путь к исполняемому файлу. При этом для процесса можно разрешить доступ ко всем устройствам или указать список разрешенных.

Имеется возможность включения маркировки документов. В распечатываемые документы автоматически добавляются маркеры, содержащие учетные сведения о документе. Управлять режимом маркировки рекомендуется с помощью общих групповых политик.

Параметру «Маркировка документов» можно задать значения:

Стандартная обработка: может использоваться во всех поддерживаемых приложениях;
Расширенная обработка: используется при печати из приложений, с которыми реализована совместимость;

Настройка маркировки документов осуществляется в программе управления маркерами. Ее интерфейс состоит из ленты, панели выбора объектов, области редактирования и строки состояния.

Редактор маркировки содержит 4 раздела:

Маркеры

Формируется список маркеров. Для каждого маркера указываются шаблоны оформления определенных страниц при печати документа
Атрибуты

Переменные с задаваемыми значениями (дата документа, уровень конфиденциальности, краткое содержание). В этом разделе формируется список атрибутов, которые будут использоваться при печати документов
Категории конфиденциальности

Выбираются определенные маркеры для печати документов с категориями конфиденциальности
Шаблоны страниц

Формируются списки шаблонов оформления, которые указываются в маркерах для определенных страниц

При печати документа появится диалог «Атрибуты документа», в который нужно ввести значения. Здесь также можно изменить гриф при необходимости.

Распечатанный документ будет выглядеть следующим образом:

В настройке параметров для принтеров доступна функция включения теневого копирования. Механизм предназначен для создания в системе дубликатов данных, которые сохраняются в специальном хранилище. Доступ к нему имеют пользователи с соответствующими привилегиями.

Само хранилище расположено в системной папке на локальном диске компьютера. Открытие основной папки хранилища осуществляется с помощью Локального центра управления. В разделе «Настройки» нужно выбрать ссылку «Открыть папку теневого хранилища».

Если нужно выполнить быстрый переход к созданной теневой копии, то в Локальном центре управления можно сделать запрос к теневому хранилищу и сформировать новый журнал. В окне дополнительных сведений можно перейти к искомому файлу по имени или идентификатору копии в хранилище.

В общем случае настройка механизма теневого копирования выполняется в следующем порядке:

1. Предоставляются привилегии пользователям на просмотр и управление журналами
Для этого через Центр управления в политиках каждого компьютера необходимо перейти в группу параметров «Журнал».

2. Настраиваются параметры хранилища теневого копирования для выбранных защищаемых компьютеров
Для каждого компьютера в разделе «Политики» необходимо перейти к группе параметров «Теневое копирование». В настройках устанавливается размер хранилища в процентах от дискового пространства, а также указывается поведение системы при переполнении хранилища.

3. На этих компьютерах определяются устройства, к которым будет применяться механизм теневого копирования
При настройке механизма контроля печати и теневого копирования необходимо включить регистрацию событий с помощью ссылки «Аудит».

Управлять устройствами можно с применением локальных политик для каждого компьютера, либо централизованно с использованием групповых политик.

Для начала необходимо включить политику «Контроль устройств», выбрав объект сервера безопасности. Затем включить политики для отдельных групп устройств (в сетевом варианте). Перед выполнением настроек следует включить регистрацию событий «Подключение устройства» и «Запрет подключения устройств» для группы параметров «Контроль устройств». Это позволит выявить составные устройства.

Сами списки устройств формируются для каждого компьютера отдельно. Поэтому для централизованного управления нужно создать список устройств в групповой политике. Это можно сделать разными способами, например, добавить устройства из csv-файла, экспортировать сведения из списка устройств, добавить устройство по идентификатору и из журнала Secret Net Studio.

В настройке ниже устройство будет добавлено в групповую политику методом вставки из буфера обмена.

Помимо добавления устройств, их можно удалять из списков, копировать, сохранять параметры и политики группы устройств в файл, а также добавить модель на основе устройства с целью объединения по одним и тем же идентификационным кодам. Для некоторых групп возможно добавление устройства вручную.

Рассмотрим этапы настройки политики контроля устройств.

Для подключения только разрешенных устройств необходимо:
1. Подключить устройство.
Оно регистрируется в системе, ему назначаются права доступа и параметры контроля от вышестоящих объектов.
2. Определить, является ли это устройство составным.
Эту информацию можно получить из журнала Secret Net Studio с категорией «Разграничение доступа к устройствам». Если устройство является составным, то для его корректного функционирования следует выполнить однотипную настройку параметров для всех вариантов его представления в списке устройств.
3. Настроить политику контроля устройств
Политика может наследовать настройки контроля от родительского объекта. Таким образом, имеется возможность централизованного ее применения на все устройства. Помимо этого, политика может настраиваться с явно заданными параметрами.

В параметрах контроля необходимо выбрать нужное поле:

Устройство не контролируется

Для объекта отключен режим контроля
Устройство постоянно подключено к компьютеру

Включен режим контроля, при котором устройство должно быть постоянно подключено к компьютеру. Для усиления защиты имеется возможность дополнительного включения режима автоматического блокирования компьютера при изменении состояния устройства
Подключение устройства разрешено

Включен режим контроля, при котором устройство разрешается подключать к компьютеру и отключать
Подключение устройства запрещено

Включен режим контроля, при котором устройство запрещается подключать к компьютеру

4. Настроить полномочное разграничение доступа и механизм теневого копирования
В параметрах необходимо задать требуемую категорию конфиденциальности или оставить поле «Без учета категории». В этом случае устройство функционирует независимо от уровня допуска пользователя.

Реализована также и настройка избирательного разграничения доступа к устройствам. В колонке «Разрешения» необходимо задать разрешение или запреты на выполнение операций с носителями.

Для сохранения теневых копий следует установить отметку в поле параметра «Теневое копирование».

1. При необходимости запрета перенаправления ограничить использование устройств в терминальных подключениях.
2. Отключить наследование параметров конкретных устройств от вышестоящих элементов списка, а также разрешающие права для соответствующих моделей, классов и групп.

Таким образом, пользователь может использовать только разрешенные устройства. Подключение других устройств будет запрещено. После подключения новых устройств сведения о них появятся в локальных политиках защищаемого компьютера. Администратор, загружая локальные политики в Центре управления может разрешить использование таких устройств.

Для отслеживания работы механизма в Центре управления необходимо настроить регистрацию событий в разделе «Контроль устройств». Для устройств также можно настроить аудит успехов и отказов в диалоге «Разрешения».

Замкнутая программная среда

Настройка механизма замкнутой программной среды может осуществляться совместно с механизмом контроля целостности или отдельно от него, так как эти два механизма объединены в единую модель данных. Модель данных для замкнутой программной среды можно сформировать на основе сведений о запущенных программах из журнала Secret Net Studio. На их основании формируются задания для субъектов.

Механизм замкнутой программной среды контролирует и обеспечивает запрет использования следующих ресурсов:

Файлов запуска программ и библиотек, не входящих в перечень разрешенных для запуска и не удовлетворяющих определенным условиям;
Сценариев, не входящих в перечень разрешенных для запуска и не зарегистрированных в базе данных

Блокировка ресурсов не осуществляется, если:

Пользователь обладает привилегией «Учетные записи, на которые не действуют правила замкнутой программной среды»;
Включен мягкий режим ЗПС

Настройка механизма замкнутой программной среды выполняется в следующем порядке:

1. Подготовка к построению модели данных
Для начала стоит провести анализ размещения ПО и данных на защищаемых компьютерах. Нужно определить, с какими программами будет разрешено работать пользователям. Если модель ЗПС будет создаваться на основе данных журнала Secret Net Studio, то следует включить регистрацию всех событий категории «Замкнутая программная среда» для компьютеров, на которых планируется использовать механизм ЗПС.

2. Формирование новой модели данных с настройкой контроля по умолчанию (этап, аналогичный настройке контроля целостности).

3. Добавление задач для использования в ЗПС и включение их в задания для ЗПС.
Формируем задание для ЗПС и добавляем в него задачи на основании данных журнала Secret Net Studio.

Для этого необходимо:

Включить механизм в мягком режиме;
Осуществить сбор сведений в журнале Secret Net Studio;
Добавить в задание задачи ЗПС, созданные по журналу.

В мягком режиме замкнутой программной среды пользователи могут запускать любые программы. При этом, если они не входят в список разрешенных, в журнале Secret Net Studio регистрируются события тревоги.

Включение замкнутой программной среды в мягком режиме осуществляется в категории «Субъекты управления» в свойствах выбранного компьютера или группы компьютеров.

Далее нужно осуществить сбор сведений об используемых программах и скриптах в журнале Secret Net Studio. Перед этим можно провести очистку журнала, предварительно выполнив экспорт записей. По окончании сбора сведений осуществляется формирование задач ЗПС в модели данных. Ее основой служат сведения о запускаемых программах из журнала Secret Net Studio.

С помощью команды «Добавить задачи/группы → Новую группу по журналу» выбираем загружаемые модули, содержащие файлы, которые загружались во время работы приложений.

В ранее созданное задание ЗПС будет добавлена группа ресурсов, сформированная на основании данных журнала Secret Net Studio.

4. Настройка механизма ЗПС

Установление связи заданий ЗПС с субъектами

На этом этапе сформированные задания ЗПС назначаются объектам. Необходимо выбрать субъект управления, с которым требуется связать задание, затем добавить задание с помощью команды «Добавить задания → Существующие».

Назначение ресурсов для контроля

Ресурсы должны иметь признаки «Выполняемый» и «Контролировать», а также входить в задание ЗПС. Присвоение этих признаков называется подготовкой ресурсов для ЗПС. При построении модели данных с помощью автоматизированных средств подготовка ресурсов включена в соответствующие процедуры и выполняется по умолчанию. При построении модели вручную и ее модификации подготовка ресурсов выполняется как отдельная процедура.
Подготовка ресурсов выполняется командой «Сервис → Ресурсы ЗПС».

Здесь можно проанализировать все ресурсы, которые есть в модели. Выбрать расширения файлов, для которых должен быть установлен признак «выполняемый», а также добавить зависимые модули.

Включение режима изоляции процессов

Режим изоляции процессов предотвращает сторонний доступ к данным определенных исполняемых модулей
.
Контролируются операции:

Чтения данных из буфера обмена;
Чтения данных в окне другого процесса;
Записи данных в окно другого процесса;
Перемещения данных между процессами методом drag-and-drop.

В списке ресурсов заданий для ЗПС необходимо добавить исполняемые файлы процессов, которые будут изолированными.

На вкладке «Дополнительно» в диалоге «Дополнительные свойства приложения» необходимо установить отметку в поле «Изолировать процесс».

5. Создание эталонов контролируемых ресурсов

Для заданий замкнутой программной среды рассчитываются эталоны ресурсов (аналогично настройке контроля целостности).

6. Включение механизма ЗПС

Предоставление привилегий пользователям

Установить привилегию «Учетные записи, на которые не действуют правила замкнутой программной среды» можно с применением как локальных, так и групповых политик. По умолчанию ей обладают пользователи, входящие в локальную группу администраторов.

Включение жесткого режима работы механизма ЗПС

Все предварительные настройки выполнены. В свойствах субъекта управления необходимо отключить мягкий режим ЗПС. В дальнейшем возможен запуск только разрешенных программ. Запуск других ресурсов блокируется, в журнале Secret Net Studio регистрируются события тревоги.

Авторы статьи: Влада Нестеренко, Николай Быстров
Системные инженеры TS Solution

Источник

1. Введение

2. Механизмы централизованного управления системой

2.1. Централизованное развертывание и настройка Secret Net Studio

2.1.1. Управление дистрибутивами в репозитории Secret Net Studio

2.1.2. Централизованная установка Secret Net Studio

2.1.3. Контроль задач и процессов в Secret Net Studio

2.2. Централизованное управление

2.2.1. Структура управления в Secret Net Studio

2.2.2. Типы управления в Secret Net Studio

2.2.3. Управление групповыми политиками в Secret Net Studio

2.3. Централизованный мониторинг в Secret Net Studio

2.3.1. Общее состояние системы

2.3.2. События тревоги

2.3.3. Централизованные журналы событий в Secret Net Studio

2.3.4. Формирование отчетов в Secret Net Studio

3. Выводы

Введение

Чтобы защитить одну или несколько рабочих станций, можно использовать автономные средства защиты информации (далее — СЗИ), которые предусматривают только локальное управление. Когда же необходимо защитить множество серверов и рабочих станций, объединенных в одну локальную вычислительную сеть (или территориально распределенную сеть), использование и администрирование автономных СЗИ становится проблематичным, а в большинстве случаев — невозможным. Поэтому одной из важных функций СЗИ является возможность организации централизованного управления системой.

Помимо основных защитных функций в первой части обзора Secret Net Studio 8.1 были упомянуты также механизмы централизованного управления, которые будут рассмотрены ниже.

Механизмы централизованного управления системой

Единый интерфейс управления и мониторинга Secret Net Studio 8.1 существенно упрощает администрирование системы. При этом работа СЗИ незаметна пользователю, и администраторам не нужно производить локальные настройки.

В системе Secret Net Studio централизованное управление компьютерами и синхронизация параметров защиты базируются на концепции доменов безопасности. Домены безопасности формируются из объектов, включенных в определенные контейнеры Active Directory.

Для реализации централизованного управления при использовании СЗИ Secret Net Studio должен быть установлен сервер безопасности и подчиненные ему сетевые клиенты на всех защищаемых компьютерах (более подробная информация об архитектуре сетевого варианта Secret Net Studio приводилась в первой части обзора).

Сервер безопасности является основным элементом в сетевой структуре системы Secret Net Studio и обладает следующими функциями:

получение информации от агентов на защищаемых компьютерах о текущем состоянии рабочих станций и сессиях работы пользователей;
оперативное получение и передача сведений о событиях тревоги на защищаемых компьютерах;
отправка команд управления на защищаемые компьютеры;
получение информации о состоянии защитных подсистем на компьютерах;
отправка команд на изменение состояния защитных подсистем;
получение и передача на защищаемые компьютеры параметров групповых политик, заданных в программе управления системы Secret Net Studio;
получение локальных журналов с защищаемых компьютеров и передача содержимого журналов в базу данных сервера безопасности;
контроль действия лицензий на использование компонентов системы Secret Net Studio;
обработка запросов к базе данных сервера безопасности;
архивирование содержимого централизованных журналов и восстановление архивов в базе данных сервера безопасности;
протоколирование обращений к серверу.

Таким образом, сервер безопасности контролирует работу подчиненных ему компьютеров. Кроме того, может быть создано несколько серверов безопасности с подчинением по иерархическому принципу.

Компьютеры, на которые может быть установлено СЗИ Secret Net Studio 8.1 и которые могут контролироваться сервером безопасности, должны быть включены в домен Active Directory и иметь следующие операционные системы:

Windows 10;
Windows 8/8.1;
Windows 7 SP1;
Windows Vista SP2;
Windows Server 2012/Server 2012 R2;
Windows Server 2008 SP2/Server 2008 R2 SP1.

Для осуществления централизованного управления необходимо использовать компонент «Центр управления», с помощью которого производится подключение к серверу безопасности. В указанном компоненте администратору безопасности доступны следующие возможности:

централизованное развертывание системы;
настройка параметров защиты и управление компьютерами;
мониторинг состояния системы;
конфигурирование сетевой структуры системы Secret Net Studio;
работа с централизованными журналами;
создание отчетов.

Ниже более подробно рассмотрим механизмы централизованного управления, которые позволяют выполнять централизованное развертывание, управление и мониторинг, а также создание отчетов.

Центраизованное развертывание и настройка Secret Net Studio

При развертывании Secret Net Studio через «Центр управления» автоматически выполняются заданные действия по установке или удалению на рабочих станциях клиентской программы, ее компонентов или обновлений.

Управление дистрибутивами в репозитории Secret Net Studio

Для централизованного развертывания СЗИ Secret Net Studio необходимо добавить в список централизованно устанавливаемого ПО комплект (комплекты) установочных файлов. Комплект может быть создан на основе установочного диска системы Secret Net Studio или специального набора файлов с обновлениями.

Рисунок 1. Управление дистрибутивами в репозитории в СЗИ Secret Net Studio

Централизованная установка Secret Net Studio

Управление централизованным развертыванием СЗИ Secret Net Studio осуществляется в единой консоли, где представлена информация о структуре управления и приведен список компьютеров со сведениями о наличии ПО и его статусе.

Рисунок 2. Централизованное развертывание СЗИ Secret Net Studio

С помощью данного функционала можно формировать задания на установку, обновление или удаление СЗИ на компьютерах. При этом предоставляется возможность детальной настройки параметров задания (версия устанавливаемого ПО, папка для установки ПО, лицензии на использование компонентов, список устанавливаемых компонентов, учетные данные локального администратора).

Рисунок 3. Настройка задания на установку СЗИ Secret Net Studio

Задания определяют списки компьютеров, на которых в автоматическом режиме будут выполняться требуемые действия.

Контроль задач и процессов в Secret Net Studio

Для контроля процесса развертывания СЗИ администратор безопасности может просматривать список заданий, где выводятся сведения о времени и статусе их выполнения, и управлять этими заданиями (отменять или удалять).

Рисунок 4. Управление заданиями по развертыванию СЗИ Secret Net Studio

Централизованное управление

СЗИ Secret Net Studio дает возможность управлять компьютерами из одной консоли. Администратору безопасности предоставляется диаграмма сети в виде структуры подчинения серверов и рабочих станций, которые доступны для управления из единой консоли.

Рисунок 5. Диаграмма управления в СЗИ Secret Net Studio

Структура управления в Secret Net Studio

СЗИ Secret Net Studio поддерживает интеграцию с Active Directory и иерархию серверов безопасности. Средства централизованного управления позволяют применять политики безопасности в масштабах всей организации, в том числе в организациях с большим количеством филиалов. Для удобства управления компьютеры в сети делятся на группы по их принадлежности к организационным подразделениям в Active Directory. Отдельным компьютерам может быть установлен приоритет, который влияет на уровень угрозы событий тревоги, происходящих на этом компьютере.

Кроме того, компьютеры можно объединить в группы наблюдения, после чего они будут отображаться на экране «Начало» (см. рисунок 10), и администратор безопасности сможет контролировать возникновение тревог на выбранных компьютерах.

Структура на диаграмме управления выводится в виде схемы элементов, соответствующих доменам, организационным подразделениям, серверам безопасности и защищаемым компьютерам. Схема базируется на структуре доменов и организационных подразделений в Active Directory.

Для централизованного управления в составе структуры СЗИ Secret Net Studio должны присутствовать серверы безопасности и защищаемые компьютеры. Операции добавления объектов в структуру управления и исключения из нее могут выполняться автоматически при установке или удалении СЗИ Secret Net Studio на компьютерах, а также вручную в программе управления путем добавления и удаления объектов в структуре.

Рисунок 6. Редактирование структуры управления в СЗИ Secret Net Studio

Типы управления в Secret Net Studio

В СЗИ Secret Net Studio предусмотрено два типа управления:

управление настройками параметров безопасности;
оперативное управление.

При выборе конкретного компьютера администратору доступно управление его параметрами безопасности, в рамках которого могут быть настроены различные защитные механизмы. При выборе сервера безопасности (организационного подразделения или всего домена) администратору доступно управление групповыми политиками безопасности системы защиты.

Рисунок 7. Управление настройками параметров безопасности в СЗИ Secret Net Studio

Кроме того, администратору безопасности здесь доступны функции просмотра сведений о состоянии контролируемых компьютеров.

Рисунок 8. Управление механизмами защиты на компьютерах в СЗИ Secret Net Studio

Оперативное управление позволяет:

блокировать и разблокировать компьютеры;
перезагружать и выключать компьютеры;
обновлять групповые политики на компьютерах;
утверждать изменения аппаратной конфигурации;
управлять функционированием механизмов защиты на компьютерах.

Рисунок 9. Оперативное управление в СЗИ Secret Net Studio

Управление групповыми политиками в Secret Net Studio

Для централизованной настройки и применения параметров безопасности на защищаемых компьютерах с установленным клиентом Secret Net Studio используются групповые политики.

По умолчанию параметры заданы только в локальной политике, которая имеет наименьший приоритет. В дополнение к параметрам локальной политики могут быть заданы параметры в политиках доменов, организационных подразделений и серверов безопасности.

Перечисленные политики применяются в следующей последовательности:

локальная политика;
политика домена;
политика организационного подразделения — применяется на всех компьютерах, входящих в него;
политика, заданная для сервера безопасности — применяется на всех компьютерах, подчиненных этому серверу безопасности.

Гранулярная настройка групповых политик позволяет применять на компьютерах различных подразделений как общие параметры, так и специфичные для данной группы.

Централизованный мониторинг в Secret Net Studio

СЗИ Secret Net Studio централизованно собирает сведения об атаках и их источниках, а также позволяет наблюдать за общим состоянием системы и работать с различными журналами, собранными с защищаемых компьютеров в базу данных серверов безопасности (журналы Secret Net Studio, журналы приложений, журналы безопасности и системы).

Кроме того, в системе предусмотрены отдельные привилегии оперативного управления. Например, аудитору можно предоставить привилегию на просмотр журналов и архивов, проведение аудита политик безопасности и прав доступа без возможности их изменения. Таким образом, расследование инцидентов могут осуществлять независимые специалисты.

Общее состояние системы

Представленная в СЗИ Secret Net Studio графическая панель, отображающая состояние системы, позволяет осуществлять общий мониторинг защищенности системы.

Сведения об общем состоянии системы содержат информацию о количестве событий тревоги в системе, а также о состоянии групп наблюдений.

Рисунок 10. Общее состояние СЗИ Secret Net Studio и панель событий системы

События тревоги

Для событий безопасности особой важности в СЗИ Secret Net Studio предусмотрен отдельный тип сообщений — тревоги, они регистрируются в специальном журнале. События тревоги различаются по уровню угрозы, который определяется степенью значимости самого события и уровнем важности того компьютера, на котором они произошли. Сервер безопасности накапливает сведения о событиях тревоги в отдельном журнале, который формируется из уведомлений, направляемых серверу от защищаемых компьютеров. Состав отслеживаемых событий может редактироваться посредством создания правил фильтрации на основе уведомлений о событиях тревоги.

Администратор безопасности оповещается о тревогах с помощью уведомлений в панели мониторинга или по e-mail. Также для оповещения могут использоваться звуковые сигналы.

Для обработки полученных оповещений администратору безопасности доступна функция квитирования событий, которая позволяет подтверждать получение информации с описанием принятых мер.

Рисунок 11. Журнал событий тревоги в СЗИ Secret Net Studio

Для выборочного просмотра журнала тревог возможно создать запрос и в нем при помощи конструктора определить параметры фильтрации.

Рисунок 12. Создание запроса для журнала событий тревоги в СЗИ Secret Net Studio

Централизованные журналы событий в Secret Net Studio

На сервере безопасности осуществляется централизованное хранение журналов событий. В базе данных сервера безопасности накапливаются следующие журналы:

журнал событий тревоги, объединяющий все записи о событиях тревоги со всех управляемых компьютеров;
журнал событий, объединяющий журнал Secret Net Studio и штатные журналы ОС Windows со всех управляемых компьютеров;
журнал сервера безопасности.

Информацию из этих журналов можно загружать частично или полностью через механизм создания запросов.

Рисунок 13. Журнал событий в СЗИ Secret Net Studio

Расширенная система регистрации событий и возможность построения удобных и подробных отчетов позволяют собрать обширные данные для расследования инцидентов безопасности: отследить атаки и каналы распространения вредоносных программ, действия инсайдеров.

Формирование отчетов в Secret Net Studio

В Secret Net Studio 8.1 реализована возможность создания отчетов, содержащих учетную информацию о компьютере и установленном на нем ПО, а также сведения о ресурсах, объектах и параметрах компьютеров. Отчеты сохраняются в отдельные файлы.

Рисунок 14. Отчет «Паспорт ПО» в СЗИ Secret Net Studio

Рисунок 15. Отчет «Ресурсы АРМ» в СЗИ Secret Net Studio

Выводы

Комплексное СЗИ Secret Net Studio 8.1 способно обеспечить безопасность рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. При этом продукт защищает не только от внешних атак, но и от внутренних, в частности от несанкционированного доступа к данным (НСД).

Secret Net Studio 8.1 обладает следующими ключевыми преимуществами:

управление 20 защитными механизмами в едином интерфейсе;
риск-ориентированный подход к безопасности;
встроенная система корреляции и приоритизации событий ИБ;
единый агент безопасности с интуитивно понятным интерфейсом;
снижение нагрузки на защищаемые компьютеры;
сокращение издержек на администрирование СЗИ и обучение персонала;
высокая масштабируемость, поддержка распределенных инфраструктур;
единая точка обращения для расследования инцидентов.

Из явных недостатков в настоящее время можно выделить следующее:

поддерживается работа только с компьютерами под операционной системой Microsoft Windows (не поддерживаются Linux и MacOS).

Secret Net Studio 8.1 можно рассматривать как полноценную защиту класса Endpoint Security — решение способно конкурировать с известными зарубежными и российскими аналогами, в том числе и на уровне централизованного администрирования.

По сравнению с другими решениями класса Endpoint Security СЗИ Secret Net Studio выделяется за счет специфичных для российского рынка функций, необходимых для соблюдения требований регуляторов. По этой причине рассматриваемое решение можно сравнивать с двумя типами СЗИ, обладающими подобным функционалом:

комплексные антивирусные решения (которые помимо антивирусной защиты могут включать в себя функционал межсетевого экранирования, системы обнаружения/предотвращения вторжений, контроль подключаемых устройств и т. д.);
системы защиты информации от несанкционированного доступа (СЗИ от НСД).

В отличие от других комплексных антивирусных решений СЗИ Secret Net Studio обладает обширным функционалом СЗИ от НСД. Если же продукт сравнивать с другими СЗИ от НСД, то главным отличием является модуль антивирусного решения по технологии ESET NOD 32, который также входит в состав Secret Net Studio.

Кроме того, наличие сертификата ФСТЭК дает возможность использовать продукт для защиты государственных информационных систем до К1 включительно, информационных систем персональных данных до УЗ1 включительно и автоматизированных систем до класса 1Б включительно, что означает возможность применения Secret Net Studio для защиты государственной тайны с пометкой «совершенно секретно».

В целом создание такого комплексного решения является логичным развитием рынка СЗИ класса Endpoint Security. Secret Net Studio имеет сбалансированный набор защитных механизмов, которые обеспечивают безопасность информации на рабочих станциях и серверах как от внешних, так и от внутренних угроз. Механизмы централизованного развертывания, управления и мониторинга СЗИ Secret Net Studio упрощают работу с системой и позволяют применять продукт для защиты компьютеров в государственных и коммерческих организациях федерального масштаба.

О защитных механизмах вы можете почитать в первой части обзора.

Источник

Добавил:

Вуз:

Предмет:

Файл:

Лаба 4.docx

Скачиваний:

Добавлен:

10.04.2023

Размер:

1.21 Mб

Скачать

В состав компонентов SNS, используемых
для локального управления, входят
следующие программные средства:

значок
Secret Net Studio в области
трея Windows;
дополнительная
вкладка «Secret Net Studio» в диалоговом
окне настройки свойств ресурса (файла,
папки или устройства);
программа
настройки подсистемы полномочного
управления доступом;
диалоговое
окно «Управление Secret Net Studio» в
Панели управления Windows;
программа
«Локальный центр управления»
(устанавливается в составе клиента
Secret Net Studio);
программа
управления пользователями (для настройки
параметров локальных пользователей);
программа
«Контроль программ и данных» в
локальном режиме работы;
дополнительные
программные средства, описание работы
с которыми приводится в руководстве
администратора.

К локальным журналам относятся журнал
Secret Net Studio и штатные журналы ОС Windows
(журнал приложений, системный журнал и
журнал безопасности). Программа «Локальный
центр управления» позволяет
просматривать хранящиеся на компьютере
штатные журналы Windows и журнал SNS. Последний
может просматриваться только средствами
Secret Net Studio.

Откройте консоль ВМ StartSNS и авторизуйтесь
в гостевой ОС под учетной записью
администратора «adminsns».
Откройте программу управления в
локальном режиме: «Пуск / Все программы
/ Код Безопасности / Secret Net Studio / Локальный
центр управления». Откроется окно
центра управления в автономном режиме.

Рис 5. Окно центра управления

На панели управления «Компьютер»
выберите вкладку «Настройки». В
левой части окна вы увидите список
настроек по разделам. В разделе «Политики
/ Базовая защита» выберите группу
параметров «Вход в систему». В
центральной части окна вы увидите
текущие параметры выбранной группы.

Рис 6. Текущие параметры настроек

Для политик группы «Вход в систему»
установите следующие значения:

«Максимальный
период неактивности до блокировки
экрана» – 15 минут (настройка применяется
после следующего входа в систему);
«Запрет
вторичного входа в систему» –
«Включить» (для применения данной
настройки необходима перезагрузка
компьютера);
«Реакция
на изъятие идентификатора» – оставьте
значение по умолчанию «Не блокировать»;
«Количество
неудачных попыток аутентификации»
– 5 (настройка применяется после
следующего входа в систему);
«Режим
идентификации пользователя» – «По
имени» (настройка применяется после
следующего входа в систему);
Режим
аутентификации пользователя» –
«Стандартная аутентификация»
(изменение настройки применяется после
следующего входа в систему).

Настройте
регистрацию событий, относящихся к
работе политик группы «Вход в систему».
Для этого:

в
правой части заголовка группы нажмите
ссылку «Аудит». Обратите внимание,
что в левой части окна теперь выбрана
группа «Вход в систему» раздела
«Регистрация событий», а в центральной
части отображаются настройки этой
группы;

Рис 7. Настройка регистрации событий

по
умолчанию включена регистрация всех
событий. С помощью значка

ознакомьтесь с описаниями событий. В
рамках данной лабораторной работы не
выключайте регистрацию событий.

В левой части окна в категории «Политики
/ Базовая защита» выберите группу
«Журнал». Установите следующие
параметры:

«Максимальный
размер журнала системы защиты» –
4096 Кб;
«Политика
перезаписи событий» – «Затирать
события по мере необходимости».

Рис 8. Установка параметров журнала

В категории «Политики / Базовая
защита» выберите группу «Теневое
копирование». Установите следующие
параметры:

«Размер
хранилища» – 15 %;
«Автоматически
перезаписывать старые данные…» –
убедитесь, что в данном поле установлен
флажок.

Рис 9. Установка параметров теневого
копирования.

Используя описание п. 7 данной лабораторной
работы, просмотрите перечень типов
регистрируемых событий группы «Теневое
копирование».

Рис 10. Регистрируемые события группы
«Теневое копирование»

Чтобы активировать новые установленные
значения параметров политик безопасности
на вкладке «Настройки», нажмите
кнопку «Применить»

.
Дождитесь завершения операции сохранения
изменений и обратите внимание на
появившуюся запись об изменении политик
в панели событий. Перезагрузите ВМ
StartSNS и вновь запустите программу
управления.
Просмотрите содержимое локальных
журналов в программе управления Secret
Net Studio. Для этого:

в
окне программы управления Secret Net Studio в
панели навигации выберите «Журналы»

.
Вы увидите перечень доступных для
просмотра локальных журналов;

Рис 11. Перечень доступных для просмотра
локальных журналов

для
того чтобы просмотреть полное содержимое
любого из журналов, достаточно выбрать
его двойным щелчком мыши. Выберите
журнал приложений. Обратите внимание,
что открылась вкладка просмотра записей
и в правой части окна появились кнопки,
позволяющие распечатать или сохранить
журнал в файл на диске;

Рис 12. Содержимое локального журнала

в
случае необходимости получить более
конкретную выборку записей журнала
можно составить запрос на формирование
выборки по определенным условиям.
Нажмите в правой части окна кнопку
«Запрос»

и в раскрывшейся панели с помощью кнопки
«Добавить правило» добавьте
следующие правила: «Дата» –
«Интервал» – «За последние 24
часа» и «Агент» – «Содержит»
– «Secret Net Studio»;

Рис 13. Настройки выборки журнала событий

нажмите
кнопку «Применить запрос локально»,
закройте панель настройки запроса,
нажав в правой части окна кнопку «Запрос»

,
и просмотрите полученный результат;
подсистема
запросов позволяет формировать выборки
по более развернутым условиям, включая
записи из любых локальных журналов. На
панели инструментов нажмите кнопку
«Новый»

,
установите произвольные правила
фильтра, нажмите кнопку «Получить
журнал» и просмотрите результат;
последовательно
просмотрите журналы безопасности и
Secret Net Studio.

Изменены некоторые локальные политики,
установлен максимальный размер журнала
системы защиты Secret Net Studio, показана
возможность выбора регистрируемых в
нем событий и в программе управления
SNS проведен просмотр локальных журналов.

Вывод: приобретены практические навыки
инсталляции и настройки программно-аппаратных
средств защиты от НСД к информации,
хранимой в ПЭВМ, инсталляции и настройки
электронных замков.

Источник

Программное обеспечение системы защиты информации Secret Net Studio поставляются на установочном компакт диске. В корневом каталоге данного диска размещается исполняемый файл программы для работы с диском. Запустить установку Secret Net Studio можно как с помощью программы автозапуска, так и непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Client\Setup\Client\x64\SnSetup.ru-RU.exe.

Установку компонентов Secret Net Studio можно выполнять при работе на компьютере как в локальной сессии, так и в терминальной. Установка любого компонента должна выполняться пользователем, входящим в локальную группу администраторов компьютера.

Для установки клиента:

Вставьте в привод установочный диск системы Secret Net Studio. Дождитесь появления окна программы автозапуска (см. стр.10) и запустите установку с помощью команды «Защитные компоненты». На экране появится диалог принятия лицензионного соглашения.
Ознакомьтесь с содержанием лицензионного соглашения и нажмите кнопку «Принимаю». На экране появится диалог для выбора режима работы компонента.

Картинка с сайта: www.itworkroom.com

В поле «Режим работы» укажите режим функционирования клиента — автономный («Автономный режим»).
Нажмите кнопку «Далее >». На экране появится диалог для выбора лицензий и формирования списка устанавливаемых защитных подсистем.

В диалоге укажите метод получения лицензий:

чтобы загрузить лицензии из файла (в частности, при установке клиента в автономном режиме функционирования) — установите отметку в поле «ввести новую лицензию».

Если строите систему защиты в ЦОД, рассмотрите вариант размещения сервера в стойке в компании «Микс Телеком». Требуйте скидку при переезде из другого ЦОД!

Нажмите кнопку «Выбрать». Если указан метод получения лицензий из файла, выберите нужный файл в появившемся диалоге. После загрузки данных в диалоге появятся сведения о лицензиях.
Отметьте в списке устанавливаемые подсистемы, для которых имеются свободные лицензии (установку компонента «Базовая защита» отключить нельзя). При наличии нескольких групп лицензий для компонента, можно выбрать нужную группу в раскрывающемся списке.
Нажмите кнопку «Далее >». На экране появится диалог для выбора папки установки клиента и настройки параметров подключений.
В поле «Установить в папку» оставьте заданную по умолчанию папку установки клиента или укажите другую папку назначения.
Используйте ссылки в разделе «Дополнительно» для выполнения следующих действий:

чтобы сохранить заданные параметров установки в файле — выберите ссылку «Сохранить сценарий установки». Файл сценария установки можно использовать для автоматизации процесса установки клиентского ПО на других компьютерах;
чтобы ввести сведения о компьютере для учета — выберите ссылку «Учетная информация компьютера».

По окончании настройки параметров нажмите кнопку «Готово».

Начнется процесс установки защитных подсистем в соответствии с заданными параметрами.

После завершения всех операций установки нажмите кнопку «Далее».

На экране появится завершающий диалог со сведениями о выполненных операциях и предложением перезагрузить компьютер.

Проверьте состав подключенных к компьютеру устройств. Если подключены устройства, которые в дальнейшем должны быть запрещены к использованию, — отключите их.

Внимание!
При первой загрузке компьютера после установки клиентского ПО текущая аппаратная конфигурация автоматически принимается в качестве эталонной. Поэтому до перезагрузки необходимо отключить те устройства, которые должны быть запрещены к использованию на данном компьютере.

Перезагрузите компьютер и дождитесь загрузки системы.

Настройка программного обеспечение системы Secret Net Studio будет организованна согласно требованиям, к настройкам политик безопасности, приведенной в таблице 1.

Таблица 1.

Настройки подсистем
Политика	Параметр безопасности
Вход в систему: Запрет вторичного входа в систему	отключен
Вход в систему: Количество неудачных попыток аутентификации	5 попыток
Вход в систему: Максимальный период неактивности до блокировки экрана	10 минут
Вход в систему: Реакция на изъятие идентификатора	блокировать станцию при изъятии любого идентификатора
Вход в систему: Режим аутентификации пользователя	стандартная аутентификация
Вход в систему: Режим идентификации пользователя	смешанный
Журнал: Максимальный размер журнала системы защиты	4096 кБ
Журнал: Политика перезаписи событий	затирать по необходимости
Затирание данных: Количество циклов затирания конфиденциальной информации	3
Затирание данных: Количество циклов затирания на локальных дисках	3
Затирание данных: Количество циклов затирания на сменных носителях	3
Контроль печати: Маркировка документов	стандартная обработка
Контроль печати: Теневое копирование	определяется настройками устройства
Контроль устройств: Теневое копирование	определяется настройками устройства
Полномочное управление доступом: Названия уровней конфиденциальности	Неконфиденциально, Конфиденциально, Строго конфиденциально
Полномочное управление доступом: Режим работы	контроль потоков отключен
Теневое копирование: Размер хранилища	размер: 20%, автоматическая перезапись отключена
Политика паролей
Политик	Параметр безопасности
Макс. срок действия пароля	90 дней
Мин. длина пароля	8 символов
Мин. срок действия пароля	0 дней
Пароль должен отвечать требованиям сложности	Включен

К группе локальной защиты относятся подсистемы, реализующие применение

следующих механизмов защиты:
контроль устройств;
контроль печати;
замкнутая программная среда;
полномочное управление доступом;
дискреционное управление доступом к ресурсам файловой системы;
затирание данных;
защита информации на локальных дисках;
шифрование данных в криптоконтейнерах.

Все настройки Secret Net Studio производятся в локальном центре управления (Пуск -> Код Безопасности -> Локальный центр управления). Локальный центр управления – это плиточная панель настроек.

Для настроек базовых параметров нажмите на плитку: Вход в систему (помечен оранжевой единицей) -> Перейдите по ссылке: Перейти к настройкам подсистемы. В открывшемся окне, установите значения общих политик и парольной политике согласно таблице 1.

настройка входа в систему secret net studio

Настройки параметров парольной политики:

Параметры журналирования:

Параметры блокировок и реакции на извлечение идентификатора:

Настройки политик журналирования и оповещения:

После внесения изменений нажмите кнопку применить:

На данном этапе базовая настройка программного обеспечения системы защиты информации Secret Net Studio закончена. В следующем материале будет рассмотрена сетевая установка Secret Net Studio, средствами сервера безопасности и расширенная настройка политик безопасности.

Источник