Замкнутая программная среда
Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам только теми программами, которые необходимы им для работы.
При использовании этого механизма действуют следующие правила:
1. Пользователь может работать только с теми программами, запуск которых разрешен в UEL-списке (список разрешенных для запуска программ, User Executable List), Этот список формируется индивидуально для каждого пользователя.
2. Замкнутая программная среда может быть включена выборочно для отдельных пользователей.
3. Замкнутая программная среда может использоваться в одном из двух режимов работы: «мягком» или «жестком».
В «мягком» режиме пользователю разрешается запускать любые программы, а не только входящие в UEL-список. При этом в журнале безопасности регистрируются соответствующие события несанкционированного доступа (НСД).
В «жестком» режиме запуск программы разрешатся, если:
1. информация о программе содержится в UEL-списке;
2. файл программы недоступен текущему пользователю на изменение;
3. файл не находится на сменном носителе;
4. правильно настроена MS-DOS среда для MS-DOS программ;
5. владельцем файла является локальная группа администраторов (это ограничение является дополнительным и может не использоваться).
Для настройки механизма замкнутой программной среды пользователь должен не только обладать привилегиями на администрирование системы защиты, но и входить в группу локальных администраторов.
Порядок настройки
Особенности настройки механизма замкнутой программной среды связаны со следующими обстоятельствами. Чтобы правильно настроить замкнутую среду, следует четко установить индивидуальный перечень исполняемых файлов, необходимых в работе каждому пользователю. Это может быть непростой задачей, тем более, если каждый пользователь работает со своим набором программ.
Для облегчения этой задачи в системе используется следующий подход. Сначала замкнутая среда включается в «мягком» режиме, когда пользователю разрешается запускать любые программы, а все действия, связанные с запуском программ, фиксируются в журнале безопасности в течение определенного периода времени. Затем на основании данных журнала автоматически может быть сформирован список разрешенных для запуска программ, который может быть откорректирован автоматически или вручную. После этого замкнутая среда переводится в «жесткий» режим работы.
При автоматическом формировании UEL-списка в него сначала добавляются программы из «списка по умолчанию», который формируется при установке системы Secret Net 2000 на компьютер, и включает в себя исполняемые файлы из системного каталога и каталога установки системы защиты.
В дальнейшем, в процессе эксплуатации замкнутой программной среды целесообразно периодически анализировать записи журнала безопасности и корректировать UEL-список, а также права владения и доступа для файлов, добавляемых в списки.
При необходимости механизм замкнутой программной среды может быть временно отключен сразу для всех пользователей компьютера. При этом все индивидуальные настройки механизма сохраняются без изменений. Затем механизм может быть включен повторно.
Детальный порядок настройки замкнутой программной среды на компьютере:
Включение механизма
1. Включите механизм замкнутой программной среды на компьютере Подготовка к регистрации
2. Настройте для пользователей регистрацию событий, связанных с запуском программ.
3. Настройте журнал безопасности
4. Включите и настройте «мягкий» режим работы замкнутой программной среды для пользователей компьютера.
Регистрация и сбор данных
5. Продолжительность периода сбора данных должна быть достаточной, чтобы каждый из пользователей поработал со всем необходимым ему программным обеспечением.
Формирование списков программ
6. На основании данных журнала безопасности сформируйте автоматически или вручную для каждого пользователя список разрешенных для запуска программ.
7. Ознакомьте каждого из пользователей со списком разрешенных для запуска программ.
Включение жесткого режима
8. Включите для пользователей «жесткий» режим замкнутой программной.
Для включения режима замкнутой среды на компьютере:
1. Откройте окно управления общими параметрами и перейдите к диалогу «Дополнительно» (см. рис.).
2. Установите отметку в поле выключателя «Замкнутая среда» и нажмите кнопку «ОК» или «Применить».
Для того чтобы установленные параметры вступили в силу, необходимо перезагрузить компьютер.
Рис. 79. Диалог «Дополнительно».
Для настройки перечня регистрируемых событий:
1. В программе «Проводник» выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу «Регистрация».
2. Отметьте события Secret Net 2000, которые необходимо регистрировать для настройки замкнутой среды:
• В группе «События расширенной регистрации»: «Запуск программы»;
• В группе «События НСД»: «Запрет запуска программы».
3. Нажмите кнопку «ОК» или «Применить».
Для включения дополнительных механизмов контроля:
1. Вызовите на экран окно настройки общих параметров работы компьютера и перейдите к диалогу «Компьютер»:
Рис. 80. Диалог «Компьютер».
2. Откройте группу параметров «Замкнутая среда» и отметьте необходимые из них:
«Контролировать загрузку только NE-файлов»
В текущей реализации системы Secret Net 2000 не используется. «Контролировать владельца файла на санкционированность».
При запуске программы из UEL-списка проверяется корректность владельца файла программы. Корректным владельцем считается локальная группа администраторов.
Корректность владельца файлов программ не проверяется.
3. Нажмите кнопку «ОК» или «Применить».
Для настройки режима работы замкнутой среды для пользователя:
1. В программе «Проводник» выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу «Режимы»:
Рис. 81. Диалог «Режимы».
2. Включите замкнутую программную среду и установите режим работы:
- Установите отметку в поле «Замкнутая программная среда», чтобы включить этот механизм для выбранного пользователя.
При первом включении для пользователя замкнутой программной среды автоматически создается UEL-файл пользователя, в который добавляется список программ по умолчанию. При последующих выключениях и включениях замкнутой среды UEL-файл сохраняется неизменным. Удаляется UEL-файл только после удаления пользователя.
- Установите отметку в поле «Мягкий режим для списка программ», если необходимо включить «мягкий» режим замкнутой программной среды. Если необходим «жесткий» режим работы, удалите отметку из этого поля.
3. Нажмите кнопку «ОК» или «Применить».
Формирование списка разрешенных для запуска программ
Список разрешенных для запуска программ формируется индивидуально для каждого пользователя. Существуют два способа формирования этих списков:
- автоматическое формирование списка на основании информации о запуске программ, содержащейся в журнале безопасности;
- редактирование вручную списка программ с использованием текстового редактора SnEdit.
Для автоматического формирования UEL-списка пользователя:
1. В программе «Проводник» выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу «Режимы» (см. рис.).
2. Нажмите кнопку «Программы».
UEL-список выбранного пользователя будет открыт в окне программы SnEdit.
Рис. 82. Просмотр UEL-файла в окне редактора SnEdit.
3. Выберите «Список программ | Построить по журнал/» в меню основного окна программы SnEdit для вызова на экран диалога для указания параметров анализа:
Для того чтобы пользователь мог в «жестком» режиме замкнутой среды запускать DOS-приложение с помощью ярлыка, размещенного на рабочем столе, в UEL-список кроме самого файла программы должен быть добавлен его pif-файл.
4. Укажите необходимые значения параметров:
Таблица 30. Значения параметров.
Параметры |
Назначение |
1 |
2 |
Интервал |
Эта группа полей используется для указания периода времени, за который должен быть проведен анализ событий, зарегистрированных в журнале |
1 |
2 |
События всех пользователей |
Установите отметку, чтобы при построении UEL-списка учитывались события, связанные с работой всех пользователей компьютера |
События НСД |
Установите отметку, чтобы вместе с событиями запуска программ анализировались и события НСД – «запрет запуска программ» |
Только события НСД |
Установите отметку, чтобы анализировались только события НСД – «запрет запуска программ» |
5. Нажмите кнопку «ОК».
Будет проведен анализ записей журнала безопасности. В секцию [Auto] будет добавлен сформированный по журналу список программ.
6. Просмотрите список программ, измените при необходимости его содержание.
При ручном редактировании секции [Auto] разрешается удалять строки целиком (выделить и нажать клавишу <Del>) и вставлять в первую позицию строки префикс «!» (запрет запуска конкретной программы). Все другие действия запрещены.
При работе с файлом, длина полного имени которого близка к максимально допустимой (около 250 символов), в журнале безопасности может быть зарегистрировано событие, содержащее неполный путь к файлу, путь будет «обрезан» от начала строки. Неполный путь попадет в формируемый UEL-список, что приведет к запрету запуска этой программы. В таких случаях администратору необходимо откорректировать UEL-список вручную, указав для файла полный путь, длина которого в UEL-списке не ограничена.
Сохраните список и закройте окно редактора SnEdit.
7. Нажмите кнопку «ОК» или «Применить» в окне настройки свойств пользователя.
Для ручной корректировки списка программ:
1. В программе «Проводник» выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу «Режимы» (Рис. 81).
2. Нажмите кнопку «Программы».
UEL-файл, относящийся к выбранному пользователю, будет открыт в окне редактора SnEdit (Рис. 82).
3. Добавьте в секцию [Manual] нужные строки, разрешающие или запрещающие пользователю запуск тех или иных программ.
4. Сохраните изменения и закройте окно редактора.
5. Нажмите кнопку «ОК» или «Применить» в окне настройки свойств пользователя.
Для автоматической корректировки параметров:
1. В программе «Проводник» выберите пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу «Режимы» (Рис. 81).
2. Нажмите кнопку «Программы».
UEL-список выбранного пользователя будет открыт в окне программы SnEdit.
3. Выберите «Список программ | Настроить» в меню основного окна программы SnEdit. На экране появится диалог для коррекции параметров замкнутой среды:
Рис. 83. Настройка и корректировка параметров замкнутой среды.
4. Укажите необходимые значения параметров:
Таблица 31. Значения параметров.
Установите отметку в поле |
Для того чтобы |
Права доступа к ресурсам |
Корректировать права доступа и владения для перечня ресурсов, заданных в UEL-файле |
Автоматически настроить для всех ресурсов |
Автоматически выполнить корректировку прав доступа и владения, не выполняя предварительно проверку корректности прав и не запрашивая разрешение перед выполнением операции. При включении этого режима корректировка выполняется быстрее, т.к. не проводится проверка прав доступа, которая требует значительного времени |
Зависимости от других модулей |
Добавить в список другие файлы, необходимые для работы файлов, уже указанных в списке |
Повторяющиеся строки |
Удалить из UEL-файла повторяющиеся строки |
Обрабатывать катапот |
Выполнить корректировку файлов из каталогов, указанных в UEL-файле. Иначе такие строки будут игнорироваться |
Обрабатывать ресурсы, заданные при помощи масок |
Выполнить корректировку файлов, заданных при помощи маски. Иначе такие строки будут игнорироваться |
Запрашивать подтверждение перед выполнением операций |
Потребовать выводить запрос перед выполнением указанных в диалоге операций по настройке и корректировке параметров замкнутой среды |
5. Нажмите кнопку «Начать».
•- Если система обнаружит в UEL-файле ошибочные (некорректные) строки, они будут исключены из обработки и выделены цветом. Для таких строк используются следующие цветовые индикаторы:
Цвета используется для выделения ошибочных элементов:
Красный - Пути к каталогам и файлам (заданным без использования масок), которые не обнаружены на локальном диске компьютера или являются некорректными строками (т.е. строками с некорректным описанием ресурсов или секций)
Темно-красный - Пути к файлам (заданным без использования масок), атрибуты доступа к которым не соответствуют требованиям замкнутой среды
Синий - Пути к каталогам и файлам, совпадающие с описаниями в других секциях данного файла
- В некоторых случаях система сама может разрешить противоречия в соответствии с правилами, изложенными в приложении.
- Если автоматический режим настройки не используется, а перед выполнением операции запрашивается подтверждение, то на экране будет появляться диалог:
Таблица 32. Диалог.
Кнопки |
Используются |
1 |
2 |
Исправить, Исправить все |
Для запуска процедуры автоматического исправления текущей или текущей и всех последующих аналогичных проблемных строк |
Пропустить, Пропустить все |
Для пропуска текущей или текущей и всех последующих аналогичных проблемных строк |
1 |
2 |
Удалить, Удалить все |
Для удаления текущей или текущей и всех последующих аналогичных проблемных строк |
Отмена |
Для прекращения процедуры корректировки и закрытия данного диалогового окна |
- При автоматическом режиме настройки подтверждение не запрашивается, а после успешного завершения корректировки указанных параметров на экране появится сообщение об этом.
В результате в окне программы SnEdit будет отображен откорректированный UEL-список выбранного пользователя.
6. Сохраните изменения и закройте окно редактора.
7. Нажмите кнопку «ОК» или «Применить» в окне настройки свойств пользователя.
Для изменения прав владения и доступа вручную:
1. Откройте журнал безопасности.
2. Просмотрите в колонке «Событие» все записи, содержащие значение «Запрет запуска программы» (причина запрета запуска в окне дополнительной информации или во всплывающей подсказке к колонке «Событие»).
Проверьте права доступа и владения для всех файлов программ, полные пути к которым содержатся в колонке «Объект». Выясните причину запрета запуска программ и выявите файлы с некорректными правами владения и доступа. Составьте список таких файлов.
3. Закройте журнал безопасности.
4. Присвойте корректные права доступа и владения файлам программ из составленных списков, руководствуясь следующими правилами:
- владельцем файла должна быть группа локальных администраторов;
- файл должен быть недоступен на изменение (запись) для пользователя компьютера, для которого включена замкнутая программная среда.