Начать показ слайдов
Для настройки механизма разграничение доступа к устройствам необходимо:
1. Создать политику разграничения доступа и назначить права доступа пользователей к устройствам.
2. Настроить регистрацию событий и аудита.
3. Включить нужный режим работы механизма.
После настройки функции администратора безопасности сводятся к поддержке работы механизма:
• корректировке прав доступа в соответствии с изменениями в политике безопасности и с добавлением в систему новых устройств и новых пользователей;
• настройке регистрации событий и анализу нарушений;
• управлению режимом работы механизма.
Политика разграничения к устройствам создается с помощью оснастки "Групповая политика". При этом следует учитывать — в рамках какой групповой политики она создается (доменная политика по умолчанию, политика организационного подразделения и т.д.). Ниже приводится процедура создания политики разграничения доступа в рамках политики домена по умолчанию.
Создание политики разграничения доступа к устройствам
Для создания политики:
1. Вызовите оснастку "Групповая политика", раскройте узел "Параметры Secret Net" и выберите папку "Устройства". В правой части окна появится сообщение, что политика не определена:
2. Вызовите контекстное меню папки "Устройства" и активируйте в нем команду "Политика | Создать".
3. Нажмите на панели инструментов кнопку переключения режимов просмотра. Для переключения режимов просмотра можно использовать команду меню "Вид | Показывать все группы устройств". В правой части консоли появится список групп и классов устройств, к которым можно разграничить доступ пользователей:
Все устройства, как было сказано выше, разделены на 3 группы. Внутри каждой группы устройства разделены на классы. Для каждой группы (класса) заданы права доступа пользователей и параметры контроля, установленные по умолчанию.
4. Для сохранения вновь созданной политики нажмите кнопку на панели инструментов.
Просмотр списка устройств Для настройки прав доступа (как централизованными средствами управления, так и локальными) используется список устройств. Для того чтобы установить права доступа к отдельному устройству, устройство должно быть включено в список.
• Вызовите оснастку "Групповая политика" (при локальном управлении используется оснастка "Локальная политика безопасности", см. стр. 17). Раскройте узел "Параметры Secret Net" и выберите папку "Устройства".
Для просмотра списка устройств:
Как в локальном, так и централизованном управлении при просмотре списка устройств предусмотрено 2 режима отображения:
• просмотр полного списка элементов — выводятся все возможные группы, классы и устройства (в централизованном управлении — только группы и классы), независимо от наличия
• просмотр актуального списка элементов — выводятся только те группы и классы, в состав которых входят использующиеся устройства.
При открытии папки "Устройства" действует режим просмотра актуального списка элементов. Если список не содержит отдельных устройств, то он будет пуст. В этом случае для просмотра списка классов и групп нажмите кнопку переключения режимов просмотра.
включенных в них устройств;
На рисунке (см. рис. выше) представлен список всех групп и входящих в них классов устройств, сформированный при создании политики. Как упоминалось ранее, при формировании списка автоматически устанавливаются права доступа 3-х групп пользователей к группам устройств. По умолчанию для всех групп устройств устанавливаются разрешения на все операции (полный доступ), запреты — не определены. Права доступа для групп устройств заданы явно. В списке это отображается отметкой красного цвета, стоящей перед наименованием группы (отметки зеленого цвета используются в механизме контроля аппаратной конфигурации). В системе поддерживается механизм наследования разрешений. Для всех классов устройств по умолчанию включен признак наследования разрешений. Поэтому пользователям, входящим в 3 указанные группы, по умолчанию разрешен полный доступ ко всем классам устройств. Если изменить права доступа для класса, перед его наименованием в списке появится отметка красного цвета.
В списке представлены только те устройства, которые были обнаружены системой при формировании списка и зафиксированы в локальной базе данных. Если какое-либо устройство в данный момент отключено, его наименование будет зачеркнуто (см. рисунок). Из рисунка видно, что в локальной базе данных зафиксированы устройства, входящие в группу "Локальные устройства", и идентификатор eToken, входящий в группу "Устройства USB".
1. Выберите в списке объект (группу, класс или устройство), вызовите контекстное меню и активируйте команду "Свойства". Или наведите курсор на название устройства и дважды нажмите левую кнопку мыши. Появится диалоговое окно для настройки свойств устройства:
Назначение прав доступа пользователей к устройствам
Для изменения параметров доступа к устройствам:
По умолчанию режим наследования параметров от родительского объекта отключен и действуют параметры, заданные явно.
2. Если требуется включить наследование параметров, установите отметку в поле "Наследовать настройки контроля от родительского объекта". После этого будут доступны параметры подключения и отключения устройства.
3. Удалите или установите отметки в параметрах подключения и отключения и перейдите к диалогу "Разрешения".
Следует иметь в виду что диалог "Разрешения" у некоторых устройств (таких как, например, процессор, оперативная память и т.п.), а также у всех устройств, относящихся к группам USB и PCMCIA, отсутствует. Исключение составляют USB-устройства, относящиеся к классу "Хранение данных", в свойствах которых диалог "Разрешения" имеется. Кроме того, управление разрешениями для системного диска запрещено.
На рисунке представлен диалог "Разрешения" для группы:
В верхней части диалога расположен список пользователей, для которых выполняется настройка прав доступа к данной группе устройств (на рисунке показан случай, когда в списке присутствуют только 3 стандартные группы пользователей). В нижней части диалога приведены параметры доступа для групп пользователей, установленные системой Secret Net 5.0 по умолчанию. На следующем рисунке показан диалог для дочернего объекта — класса. Для класса установлен признак наследования от группы, поэтому изменить права доступа в данном случае можно только с помощью запретов. Можно изменить права доступа для родительского объекта (для группы) и затем, используя принцип наследования, применить их к классу.
4. Для изменения параметров доступа выберите в списке группу пользователей или пользователя и затем расставьте разрешения для каждой операции. Для отключения или включения режима переноса наследуемых разрешений нажмите кнопку "Дополнительно" и в открывшемся диалоге удалите или установите отметку в поле "Наследовать от родительского объекта…".
Если требуется назначить права доступа к данному устройству другим пользователям или группам, отсутствующим в списке верхней части диалога, их следует добавить в список (см. следующую процедуру).
6. В диалоге настройки свойств объекта (группы, класса, устройства) нажмите кнопку "OK". Диалог закроется.
7. Если требуется изменить параметры доступа и контроля для другого устройства, найдите его в списке и повторите шаги 1 — 6.
8. Для сохранения изменений нажмите на панели инструментов кнопку "Сохранить настройки политики контроля устройств".
5. Нажмите кнопку "Применить".
Практическая часть
Создайте политику разграничения доступа к устройствам и выполните её конфигурирование.
Результат: Выполнив работу, вы научитесь разграничивать доступ к устройствам.
Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:
Email: Нажмите что бы посмотреть
Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно хранить и делиться своими презентациями с другими пользователями.
