18 января 2024
Статья 3. Обзор подключаемых функциональных компонентов Secret Net Studio (Часть 1)
Цикл «Знакомство с SNS и SN LSP»
Блок Secret Net Studio
Заключение по циклу «Знакомство с SNS и SN LSP»
- Обзор Secret Net Studio 8.10 и функциональные возможности продукта
- Механизмы базовой защиты Secret Net Studio
- Подключаемые функциональные компоненты Secret Net Studio (Часть1)
- Подключаемые функциональные компоненты Secret Net Studio (Часть2)
- Подключаемые функциональные компоненты Secret Net Studio (Часть3)
- Обзор Secret Net LSP 1.12 и функциональные возможности продукта
- Особенности управления, механизмы защиты и установка продукта
Заключение по циклу «Знакомство с SNS и SN LSP»
Приветствуем в третьей статье цикла «Знакомство с SNS и SN LSP». В данной части мы с вами проведем обзор следующих дополнительно подключаемых функциональных компонентов:
- Полномочное управление доступом
- Дискреционное управление доступом к ресурсам файловой системы
- Контроль печати
- Контроль устройств
- Замкнутая программная среда
Полномочное управление доступом
Механизм полномочного управления доступом предназначен для:
Пользователи могут иметь следующие привилегии:
- Разграничения доступа пользователей к ресурсам с назначенными категориями конфиденциальности;
- Контроля подключения и использования устройств с назначенными категориями конфиденциальности;
- Контроля потоков конфиденциальной информации в системе;
- Контроля использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
- Контроля печати конфиденциальных документов.
Пользователи могут иметь следующие привилегии:
- Управление категориями конфиденциальностиПользователь может изменять категории конфиденциальности файлов и каталогов в рамках своего уровня допуска, а также управлять режимом наследования категорий конфиденциальности каталогов
- Печать конфиденциальных документовПользователю разрешается выводить на принтер конфиденциальные документы
- Вывод конфиденциальной информацииПользователю разрешается выводить конфиденциальные документы на внешние носители
Настройка полномочного управления доступом осуществляется в следующем порядке:
1. Настройка категорий конфиденциальности
В групповой политике сервера безопасности необходимо задать количество категорий конфиденциальности и их названия. Эти параметры должны задаваться в одной общей групповой политике домена, организационного подразделения или сервера безопасности.
- Задать количество и названия категорий конфиденциальности;
- Назначить пользователям уровни допуска и привилегии;
- Присвоить ресурсам категории конфиденциальности;
- Настроить перечень регистрируемых событий;
- Включить и настроить режим маркировки для добавления маркеров в распечатываемые документы;
- Ограничить использование принтеров для печати документов с определенными категориями конфиденциальности;
- Включить режим скрытия конфиденциальных файлов;
- Включить и настроить режим контроля потоков.
Этапы настройки полномочного разграничения доступа в сетевом варианте
1. Настройка категорий конфиденциальности
В групповой политике сервера безопасности необходимо задать количество категорий конфиденциальности и их названия. Эти параметры должны задаваться в одной общей групповой политике домена, организационного подразделения или сервера безопасности.
В политике можно добавлять новые уровни, перемещать их, удалять, а также восстанавливать исходный набор категорий по умолчанию.
2. Определение для каждого пользователя уровня допуска и необходимых привилегий
Действия осуществляются в программе «Управление пользователями». В окне настройки свойств пользователя необходимо перейти к диалогу «Параметры безопасности» и выбрать группу «Доступ».
2. Определение для каждого пользователя уровня допуска и необходимых привилегий
Действия осуществляются в программе «Управление пользователями». В окне настройки свойств пользователя необходимо перейти к диалогу «Параметры безопасности» и выбрать группу «Доступ».
Для пользователя устанавливается нужный уровень допуска, а также выдаются необходимые привилегии. Параметры вступят в силу при следующем входе пользователя в систему.
3. Присвоение уровней конфиденциальности ресурсам
Для изменения категории конфиденциальности файла или каталога пользователю необходимо обладать привилегией «Управление категориями конфиденциальности». Если ее нет, то у пользователя есть возможность только повышать категории для файлов, но не выше своего уровня допуска или конфиденциальности сеанса.
Изменение категории конфиденциальности осуществляется с помощью программы «Проводник» ОС Windows.
В контекстном меню свойств каталога необходимо перейти на вкладку «Secret Net Studio», затем назначить нужную категорию конфиденциальности. Выбранная категория может автоматически присваиваться новым каталогам и файлам, для этого нужно установить отметки в соответствующих полях.
3. Присвоение уровней конфиденциальности ресурсам
Для изменения категории конфиденциальности файла или каталога пользователю необходимо обладать привилегией «Управление категориями конфиденциальности». Если ее нет, то у пользователя есть возможность только повышать категории для файлов, но не выше своего уровня допуска или конфиденциальности сеанса.
Изменение категории конфиденциальности осуществляется с помощью программы «Проводник» ОС Windows.
В контекстном меню свойств каталога необходимо перейти на вкладку «Secret Net Studio», затем назначить нужную категорию конфиденциальности. Выбранная категория может автоматически присваиваться новым каталогам и файлам, для этого нужно установить отметки в соответствующих полях.
Аналогичные операции следует провести с файлами, которые находятся в каталоге (если не включено автоматическое присваивание категории).
При открытии конфиденциального документа, если не включен режим контроля потоков, будет появляться запрос на повышение уровня конфиденциальности:
При открытии конфиденциального документа, если не включен режим контроля потоков, будет появляться запрос на повышение уровня конфиденциальности:
После сохранения документа категория конфиденциальности файла остается прежней при условии, что категория конфиденциальности каталога равна категории конфиденциальности документа и в свойствах каталога включен режим «Автоматически присваивать новым файлам».
4. Настройка регистрации событий
Для отслеживания событий, связанных с механизмом полномочного управления доступом, имеется возможность гибкой настройки регистрации событий. Через Центр управления в группе «Полномочное управление доступом» раздела «Регистрация событий» администратор может выборочно включить определенные типы событий.
4. Настройка регистрации событий
Для отслеживания событий, связанных с механизмом полномочного управления доступом, имеется возможность гибкой настройки регистрации событий. Через Центр управления в группе «Полномочное управление доступом» раздела «Регистрация событий» администратор может выборочно включить определенные типы событий.
5. Дополнительные настройки
При необходимости администратор безопасности может использовать режим скрытия конфиденциальных файлов.
При необходимости администратор безопасности может использовать режим скрытия конфиденциальных файлов.
Таким образом, пользователь не будет видеть файлы, категория конфиденциальности которых выше его уровня допуска.
При включенном режиме контроля потоков пользователь независимо от уровня допуска не увидит файлы, категория конфиденциальности которых выше уровня конфиденциальности текущей сессии.
Если предполагается использовать режим контроля потоков, то перед его включением необходимо:
При включенном режиме контроля потоков пользователь независимо от уровня допуска не увидит файлы, категория конфиденциальности которых выше уровня конфиденциальности текущей сессии.
Если предполагается использовать режим контроля потоков, то перед его включением необходимо:
- Назначить учетной записи администратора безопасности, наивысший уровень допуска к конфиденциальной информации, а также предоставить привилегию «Управление категориями конфиденциальности». Далее следует включить учетную запись в локальные группы администраторов компьютеров;
- На каждом компьютере создать профили пользователей, выполнить запуск используемых приложений и настроить параметры их работы;
- Для обеспечения функционирования механизма полномочного управления доступом в режиме контроля потоков на каждом из защищаемых компьютеров должна проводиться дополнительная настройка в программе «Настройка подсистемы полномочного управления доступом».
Она может осуществляться как перед включением режима контроля потоков, так и в процессе эксплуатации при добавлении новых пользователей, принтеров и программ. Настройка может выполняться автоматически и вручную.
Автоматическая настройка со значениями по умолчанию нужна для удаления текущей конфигурации и восстановления исходных значений параметров. Автоматическая настройка «Текущие значения» предназначена для повторного применения уже заданных параметров, а также добавления значений по умолчанию.
В ручной настройке можно изменять параметры работы механизма полномочного управления доступом и контроля печати с учетом особенностей программной среды пользователя.
При включении контроля потоков есть возможность настроить параметры автоматического назначения уровней конфиденциальности для сессий пользователей:
Автоматическая настройка со значениями по умолчанию нужна для удаления текущей конфигурации и восстановления исходных значений параметров. Автоматическая настройка «Текущие значения» предназначена для повторного применения уже заданных параметров, а также добавления значений по умолчанию.
В ручной настройке можно изменять параметры работы механизма полномочного управления доступом и контроля печати с учетом особенностей программной среды пользователя.
При включении контроля потоков есть возможность настроить параметры автоматического назначения уровней конфиденциальности для сессий пользователей:
- Строгий контроль терминальных подключений ограничивает выбор уровней конфиденциальности для терминальных подключений. Уровень конфиденциальной сессии равен уровню локальной сессии на терминальном клиенте (режим потоков должен быть включен на клиенте);
- Автоматический выбор максимального уровня сессии включает максимально возможный уровень конфиденциальности для сессий пользователей
Дискреционное управление доступом
Данный механизм, помимо разграничения доступа пользователей к каталогам и файлам, обеспечивает:
Настройка дискреционного разграничения доступа выполняется в следующем порядке:
1. Предоставление привилегии для изменения прав доступа к ресурсам
Привилегированным пользователям необходимо предоставить возможность изменять права доступа на любых каталогах и файлах локальных дисков. Выбранных пользователей нужно наделить привилегией «Учетные записи с привилегией управления правами доступа».
2. Назначение администраторов ресурсов
Пользователи с привилегией «Управление правами доступа» назначает администраторов ресурсов. Им будет разрешено изменять доступ для всех ресурсов, независимо от прав доступа к самим ресурсам. Администратором ресурса считается пользователь, для которого установлено разрешение на операцию «Изменение прав доступа» в параметрах доступа к ресурсу.
Для изменения прав доступа к ресурсу необходимо вызвать его контекстное меню и в свойствах перейти к диалогу «Secret Net Studio». Для ресурса может быть включен режим наследования прав доступа. Для задания явных прав следует убрать эту отметку.
В разрешениях можно добавить необходимых пользователей, установить разрешения и запреты на выполнение операций, а также назначить администраторов ресурсов.
- Контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
- Невозможность доступа к объектам в обход установленных прав доступа;
- Независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. Установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.
Настройка дискреционного разграничения доступа выполняется в следующем порядке:
1. Предоставление привилегии для изменения прав доступа к ресурсам
Привилегированным пользователям необходимо предоставить возможность изменять права доступа на любых каталогах и файлах локальных дисков. Выбранных пользователей нужно наделить привилегией «Учетные записи с привилегией управления правами доступа».
2. Назначение администраторов ресурсов
Пользователи с привилегией «Управление правами доступа» назначает администраторов ресурсов. Им будет разрешено изменять доступ для всех ресурсов, независимо от прав доступа к самим ресурсам. Администратором ресурса считается пользователь, для которого установлено разрешение на операцию «Изменение прав доступа» в параметрах доступа к ресурсу.
Для изменения прав доступа к ресурсу необходимо вызвать его контекстное меню и в свойствах перейти к диалогу «Secret Net Studio». Для ресурса может быть включен режим наследования прав доступа. Для задания явных прав следует убрать эту отметку.
В разрешениях можно добавить необходимых пользователей, установить разрешения и запреты на выполнение операций, а также назначить администраторов ресурсов.
3. Настройка регистрации событий и аудита операций с ресурсами
Далее следует настроить аудит событий. В разделе «Регистрация событий» в Центре управления необходимо найти группу «Дискреционное управление доступом» и настроить перечень регистрируемых событий.
Далее следует настроить аудит событий. В разделе «Регистрация событий» в Центре управления необходимо найти группу «Дискреционное управление доступом» и настроить перечень регистрируемых событий.
Также можно настроить регистрацию событий и аудит операций с конкретным ресурсом при изменении прав доступа к нему.
Контроль печати
Настраивать параметры контроля печати можно с применением как локальных, так и групповых политик. Для разграничения доступа к принтерам, а также настройкам прямой печати и маркировки документов необходимо в разделе «Политики» перейти к группе параметров «Контроль печати».
В разделе «Принтеры» необходимо включить саму политику, затем добавить разрешенные принтеры в групповую политику.
В разделе «Принтеры» необходимо включить саму политику, затем добавить разрешенные принтеры в групповую политику.
Для принтеров можно настроить полномочное разграничение доступа и теневое копирование.
Полномочное разграничение доступа позволяет ограничить печать конфиденциальных документов только определенными принтерами. Для этого в списке принтеров необходимо указать нужный уровень конфиденциальности в колонке «Категории конфиденциальности».
Политика позволяет настроить права пользователей для печати в колонке «разрешения». Пользователю можно установить запрет или разрешение на выполнение печати.
Полномочное разграничение доступа позволяет ограничить печать конфиденциальных документов только определенными принтерами. Для этого в списке принтеров необходимо указать нужный уровень конфиденциальности в колонке «Категории конфиденциальности».
Политика позволяет настроить права пользователей для печати в колонке «разрешения». Пользователю можно установить запрет или разрешение на выполнение печати.
Для ограничения использования принтеров в терминальных подключениях нужно перейти в раздел «Политики → Контроль RDP-подключений»
Доступны параметры:
- РазрешеноПользователи могут самостоятельно настраивать использование принтеров в параметрах удаленного подключени
- Запрещено подключать удаленные принтеры к компьютеруБлокируется использование принтеров на стороне терминального сервера
- Запрещено использовать принтеры компьютера удаленноБлокируется использование принтеров на стороне терминального клиента
- ЗапрещеноБлокируется перенаправление принтеров независимо от того, терминальный клиент это или сервер
- Определяется политиками WindowsПользователи могут настраивать использование принтеров в параметрах удаленного подключения, если эти действия разрешены в стандартных политиках перенаправления в ОС Windows
По умолчанию перенаправление принтеров в RDP-подключениях не запрещается.
Если требуется определить процессы, которым разрешен прямой вывод на печать, необходимо сформировать списки политики контроля прямой печати и добавить разрешения, указывающие полный путь к исполняемому файлу. При этом для процесса можно разрешить доступ ко всем устройствам или указать список разрешенных.
Если требуется определить процессы, которым разрешен прямой вывод на печать, необходимо сформировать списки политики контроля прямой печати и добавить разрешения, указывающие полный путь к исполняемому файлу. При этом для процесса можно разрешить доступ ко всем устройствам или указать список разрешенных.
Имеется возможность включения маркировки документов. В распечатываемые документы автоматически добавляются маркеры, содержащие учетные сведения о документе. Управлять режимом маркировки рекомендуется с помощью общих групповых политик.
Параметру «Маркировка документов» можно задать значения:
- Стандартная обработка: может использоваться во всех поддерживаемых приложениях;
- Расширенная обработка: используется при печати из приложений, с которыми реализована совместимость;
Настройка маркировки документов осуществляется в программе управления маркерами. Ее интерфейс состоит из ленты, панели выбора объектов, области редактирования и строки состояния.
Редактор маркировки содержит 4 раздела:
Редактор маркировки содержит 4 раздела:
- МаркерыФормируется список маркеров. Для каждого маркера указываются шаблоны оформления определенных страниц при печати документа
- АтрибутыПеременные с задаваемыми значениями (дата документа, уровень конфиденциальности, краткое содержание). В этом разделе формируется список атрибутов, которые будут использоваться при печати документов
- Категории конфиденциальностиВыбираются определенные маркеры для печати документов с категориями конфиденциальности
- Шаблоны страницФормируются списки шаблонов оформления, которые указываются в маркерах для определенных страниц
При печати документа появится диалог «Атрибуты документа», в который нужно ввести значения. Здесь также можно изменить гриф при необходимости.
Распечатанный документ будет выглядеть следующим образом:
В настройке параметров для принтеров доступна функция включения теневого копирования. Механизм предназначен для создания в системе дубликатов данных, которые сохраняются в специальном хранилище. Доступ к нему имеют пользователи с соответствующими привилегиями.
Само хранилище расположено в системной папке на локальном диске компьютера. Открытие основной папки хранилища осуществляется с помощью Локального центра управления. В разделе «Настройки» нужно выбрать ссылку «Открыть папку теневого хранилища».
Само хранилище расположено в системной папке на локальном диске компьютера. Открытие основной папки хранилища осуществляется с помощью Локального центра управления. В разделе «Настройки» нужно выбрать ссылку «Открыть папку теневого хранилища».
Если нужно выполнить быстрый переход к созданной теневой копии, то в Локальном центре управления можно сделать запрос к теневому хранилищу и сформировать новый журнал. В окне дополнительных сведений можно перейти к искомому файлу по имени или идентификатору копии в хранилище.
В общем случае настройка механизма теневого копирования выполняется в следующем порядке:
1. Предоставляются привилегии пользователям на просмотр и управление журналами
Для этого через Центр управления в политиках каждого компьютера необходимо перейти в группу параметров «Журнал».
1. Предоставляются привилегии пользователям на просмотр и управление журналами
Для этого через Центр управления в политиках каждого компьютера необходимо перейти в группу параметров «Журнал».
2. Настраиваются параметры хранилища теневого копирования для выбранных защищаемых компьютеров
Для каждого компьютера в разделе «Политики» необходимо перейти к группе параметров «Теневое копирование». В настройках устанавливается размер хранилища в процентах от дискового пространства, а также указывается поведение системы при переполнении хранилища.
Для каждого компьютера в разделе «Политики» необходимо перейти к группе параметров «Теневое копирование». В настройках устанавливается размер хранилища в процентах от дискового пространства, а также указывается поведение системы при переполнении хранилища.
3. На этих компьютерах определяются устройства, к которым будет применяться механизм теневого копирования
При настройке механизма контроля печати и теневого копирования необходимо включить регистрацию событий с помощью ссылки «Аудит».
При настройке механизма контроля печати и теневого копирования необходимо включить регистрацию событий с помощью ссылки «Аудит».
Контроль устройств
Управлять устройствами можно с применением локальных политик для каждого компьютера, либо централизованно с использованием групповых политик.
Для начала необходимо включить политику «Контроль устройств», выбрав объект сервера безопасности. Затем включить политики для отдельных групп устройств (в сетевом варианте). Перед выполнением настроек следует включить регистрацию событий «Подключение устройства» и «Запрет подключения устройств» для группы параметров «Контроль устройств». Это позволит выявить составные устройства.
Сами списки устройств формируются для каждого компьютера отдельно. Поэтому для централизованного управления нужно создать список устройств в групповой политике. Это можно сделать разными способами, например, добавить устройства из csv-файла, экспортировать сведения из списка устройств, добавить устройство по идентификатору и из журнала Secret Net Studio.
В настройке ниже устройство будет добавлено в групповую политику методом вставки из буфера обмена.
Для начала необходимо включить политику «Контроль устройств», выбрав объект сервера безопасности. Затем включить политики для отдельных групп устройств (в сетевом варианте). Перед выполнением настроек следует включить регистрацию событий «Подключение устройства» и «Запрет подключения устройств» для группы параметров «Контроль устройств». Это позволит выявить составные устройства.
Сами списки устройств формируются для каждого компьютера отдельно. Поэтому для централизованного управления нужно создать список устройств в групповой политике. Это можно сделать разными способами, например, добавить устройства из csv-файла, экспортировать сведения из списка устройств, добавить устройство по идентификатору и из журнала Secret Net Studio.
В настройке ниже устройство будет добавлено в групповую политику методом вставки из буфера обмена.
Помимо добавления устройств, их можно удалять из списков, копировать, сохранять параметры и политики группы устройств в файл, а также добавить модель на основе устройства с целью объединения по одним и тем же идентификационным кодам. Для некоторых групп возможно добавление устройства вручную.
Рассмотрим этапы настройки политики контроля устройств.
Для подключения только разрешенных устройств необходимо:
1. Подключить устройство.
Оно регистрируется в системе, ему назначаются права доступа и параметры контроля от вышестоящих объектов.
2. Определить, является ли это устройство составным.
Эту информацию можно получить из журнала Secret Net Studio с категорией «Разграничение доступа к устройствам». Если устройство является составным, то для его корректного функционирования следует выполнить однотипную настройку параметров для всех вариантов его представления в списке устройств.
3. Настроить политику контроля устройств
Политика может наследовать настройки контроля от родительского объекта. Таким образом, имеется возможность централизованного ее применения на все устройства. Помимо этого, политика может настраиваться с явно заданными параметрами.
В параметрах контроля необходимо выбрать нужное поле:
Для подключения только разрешенных устройств необходимо:
1. Подключить устройство.
Оно регистрируется в системе, ему назначаются права доступа и параметры контроля от вышестоящих объектов.
2. Определить, является ли это устройство составным.
Эту информацию можно получить из журнала Secret Net Studio с категорией «Разграничение доступа к устройствам». Если устройство является составным, то для его корректного функционирования следует выполнить однотипную настройку параметров для всех вариантов его представления в списке устройств.
3. Настроить политику контроля устройств
Политика может наследовать настройки контроля от родительского объекта. Таким образом, имеется возможность централизованного ее применения на все устройства. Помимо этого, политика может настраиваться с явно заданными параметрами.
В параметрах контроля необходимо выбрать нужное поле:
- Устройство не контролируетсяДля объекта отключен режим контроля
- Устройство постоянно подключено к компьютеруВключен режим контроля, при котором устройство должно быть постоянно подключено к компьютеру. Для усиления защиты имеется возможность дополнительного включения режима автоматического блокирования компьютера при изменении состояния устройства
- Подключение устройства разрешеноВключен режим контроля, при котором устройство разрешается подключать к компьютеру и отключать
- Подключение устройства запрещеноВключен режим контроля, при котором устройство запрещается подключать к компьютеру
4. Настроить полномочное разграничение доступа и механизм теневого копирования
В параметрах необходимо задать требуемую категорию конфиденциальности или оставить поле «Без учета категории». В этом случае устройство функционирует независимо от уровня допуска пользователя.
В параметрах необходимо задать требуемую категорию конфиденциальности или оставить поле «Без учета категории». В этом случае устройство функционирует независимо от уровня допуска пользователя.
Реализована также и настройка избирательного разграничения доступа к устройствам. В колонке «Разрешения» необходимо задать разрешение или запреты на выполнение операций с носителями.
Для сохранения теневых копий следует установить отметку в поле параметра «Теневое копирование».
1. При необходимости запрета перенаправления ограничить использование устройств в терминальных подключениях.
2. Отключить наследование параметров конкретных устройств от вышестоящих элементов списка, а также разрешающие права для соответствующих моделей, классов и групп.
Таким образом, пользователь может использовать только разрешенные устройства. Подключение других устройств будет запрещено. После подключения новых устройств сведения о них появятся в локальных политиках защищаемого компьютера. Администратор, загружая локальные политики в Центре управления может разрешить использование таких устройств.
Для отслеживания работы механизма в Центре управления необходимо настроить регистрацию событий в разделе «Контроль устройств». Для устройств также можно настроить аудит успехов и отказов в диалоге «Разрешения».
1. При необходимости запрета перенаправления ограничить использование устройств в терминальных подключениях.
2. Отключить наследование параметров конкретных устройств от вышестоящих элементов списка, а также разрешающие права для соответствующих моделей, классов и групп.
Таким образом, пользователь может использовать только разрешенные устройства. Подключение других устройств будет запрещено. После подключения новых устройств сведения о них появятся в локальных политиках защищаемого компьютера. Администратор, загружая локальные политики в Центре управления может разрешить использование таких устройств.
Для отслеживания работы механизма в Центре управления необходимо настроить регистрацию событий в разделе «Контроль устройств». Для устройств также можно настроить аудит успехов и отказов в диалоге «Разрешения».
Замкнутая программная среда
Настройка механизма замкнутой программной среды может осуществляться совместно с механизмом контроля целостности или отдельно от него, так как эти два механизма объединены в единую модель данных. Модель данных для замкнутой программной среды можно сформировать на основе сведений о запущенных программах из журнала Secret Net Studio. На их основании формируются задания для субъектов.
Механизм замкнутой программной среды контролирует и обеспечивает запрет использования следующих ресурсов:
1. Подготовка к построению модели данных
Для начала стоит провести анализ размещения ПО и данных на защищаемых компьютерах. Нужно определить, с какими программами будет разрешено работать пользователям. Если модель ЗПС будет создаваться на основе данных журнала Secret Net Studio, то следует включить регистрацию всех событий категории «Замкнутая программная среда» для компьютеров, на которых планируется использовать механизм ЗПС.
Механизм замкнутой программной среды контролирует и обеспечивает запрет использования следующих ресурсов:
- Файлов запуска программ и библиотек, не входящих в перечень разрешенных для запуска и не удовлетворяющих определенным условиям;
- Сценариев, не входящих в перечень разрешенных для запуска и не зарегистрированных в базе данных
- Пользователь обладает привилегией «Учетные записи, на которые не действуют правила замкнутой программной среды»;
- Включен мягкий режим ЗПС
1. Подготовка к построению модели данных
Для начала стоит провести анализ размещения ПО и данных на защищаемых компьютерах. Нужно определить, с какими программами будет разрешено работать пользователям. Если модель ЗПС будет создаваться на основе данных журнала Secret Net Studio, то следует включить регистрацию всех событий категории «Замкнутая программная среда» для компьютеров, на которых планируется использовать механизм ЗПС.
2. Формирование новой модели данных с настройкой контроля по умолчанию (этап, аналогичный настройке контроля целостности).
3. Добавление задач для использования в ЗПС и включение их в задания для ЗПС.
Формируем задание для ЗПС и добавляем в него задачи на основании данных журнала Secret Net Studio.
Для этого необходимо:
Включение замкнутой программной среды в мягком режиме осуществляется в категории «Субъекты управления» в свойствах выбранного компьютера или группы компьютеров.
3. Добавление задач для использования в ЗПС и включение их в задания для ЗПС.
Формируем задание для ЗПС и добавляем в него задачи на основании данных журнала Secret Net Studio.
Для этого необходимо:
- Включить механизм в мягком режиме;
- Осуществить сбор сведений в журнале Secret Net Studio;
- Добавить в задание задачи ЗПС, созданные по журналу.
Включение замкнутой программной среды в мягком режиме осуществляется в категории «Субъекты управления» в свойствах выбранного компьютера или группы компьютеров.
Далее нужно осуществить сбор сведений об используемых программах и скриптах в журнале Secret Net Studio. Перед этим можно провести очистку журнала, предварительно выполнив экспорт записей. По окончании сбора сведений осуществляется формирование задач ЗПС в модели данных. Ее основой служат сведения о запускаемых программах из журнала Secret Net Studio.
С помощью команды «Добавить задачи/группы → Новую группу по журналу» выбираем загружаемые модули, содержащие файлы, которые загружались во время работы приложений.
С помощью команды «Добавить задачи/группы → Новую группу по журналу» выбираем загружаемые модули, содержащие файлы, которые загружались во время работы приложений.
В ранее созданное задание ЗПС будет добавлена группа ресурсов, сформированная на основании данных журнала Secret Net Studio.
4. Настройка механизма ЗПС
На этом этапе сформированные задания ЗПС назначаются объектам. Необходимо выбрать субъект управления, с которым требуется связать задание, затем добавить задание с помощью команды «Добавить задания → Существующие».
Ресурсы должны иметь признаки «Выполняемый» и «Контролировать», а также входить в задание ЗПС. Присвоение этих признаков называется подготовкой ресурсов для ЗПС. При построении модели данных с помощью автоматизированных средств подготовка ресурсов включена в соответствующие процедуры и выполняется по умолчанию. При построении модели вручную и ее модификации подготовка ресурсов выполняется как отдельная процедура.
Подготовка ресурсов выполняется командой «Сервис → Ресурсы ЗПС».
4. Настройка механизма ЗПС
Установление связи заданий ЗПС с субъектами
На этом этапе сформированные задания ЗПС назначаются объектам. Необходимо выбрать субъект управления, с которым требуется связать задание, затем добавить задание с помощью команды «Добавить задания → Существующие».
Назначение ресурсов для контроля
Ресурсы должны иметь признаки «Выполняемый» и «Контролировать», а также входить в задание ЗПС. Присвоение этих признаков называется подготовкой ресурсов для ЗПС. При построении модели данных с помощью автоматизированных средств подготовка ресурсов включена в соответствующие процедуры и выполняется по умолчанию. При построении модели вручную и ее модификации подготовка ресурсов выполняется как отдельная процедура.
Подготовка ресурсов выполняется командой «Сервис → Ресурсы ЗПС».
Здесь можно проанализировать все ресурсы, которые есть в модели. Выбрать расширения файлов, для которых должен быть установлен признак «выполняемый», а также добавить зависимые модули.
Режим изоляции процессов предотвращает сторонний доступ к данным определенных исполняемых модулей
.
Контролируются операции:
В списке ресурсов заданий для ЗПС необходимо добавить исполняемые файлы процессов, которые будут изолированными.
Включение режима изоляции процессов
Режим изоляции процессов предотвращает сторонний доступ к данным определенных исполняемых модулей
.
Контролируются операции:
- Чтения данных из буфера обмена;
- Чтения данных в окне другого процесса;
- Записи данных в окно другого процесса;
- Перемещения данных между процессами методом drag-and-drop.
В списке ресурсов заданий для ЗПС необходимо добавить исполняемые файлы процессов, которые будут изолированными.
На вкладке «Дополнительно» в диалоге «Дополнительные свойства приложения» необходимо установить отметку в поле «Изолировать процесс».
5. Создание эталонов контролируемых ресурсов
Для заданий замкнутой программной среды рассчитываются эталоны ресурсов (аналогично настройке контроля целостности).
6. Включение механизма ЗПС
Установить привилегию «Учетные записи, на которые не действуют правила замкнутой программной среды» можно с применением как локальных, так и групповых политик. По умолчанию ей обладают пользователи, входящие в локальную группу администраторов.
5. Создание эталонов контролируемых ресурсов
Для заданий замкнутой программной среды рассчитываются эталоны ресурсов (аналогично настройке контроля целостности).
6. Включение механизма ЗПС
Предоставление привилегий пользователям
Установить привилегию «Учетные записи, на которые не действуют правила замкнутой программной среды» можно с применением как локальных, так и групповых политик. По умолчанию ей обладают пользователи, входящие в локальную группу администраторов.
Включение жесткого режима работы механизма ЗПС
Все предварительные настройки выполнены. В свойствах субъекта управления необходимо отключить мягкий режим ЗПС. В дальнейшем возможен запуск только разрешенных программ. Запуск других ресурсов блокируется, в журнале Secret Net Studio регистрируются события тревоги.
Авторы статьи: Влада Нестеренко, Николай Быстров
Системные инженеры TS Solution
Системные инженеры TS Solution