Краткие теоритические сведения
Функциональный контроль подсистем
Функциональный контроль предназначен для обеспечения гарантии того, что к
моменту входа пользователя в ОС (т. е. к моменту начала работы пользователя)
все ключевые защитные подсистемы загружены и функционируют.
В случае успешного завершения функционального контроля этот факт регистри-
руется в журнале SecretNetStudio.
При неуспешном завершении функционального контроля в журнале SecretNet
Studio регистрируется событие с указанием причин (это возможно при условии
работоспособности ядра SecretNetStudio). Вход в систему разрешается только
пользователям, входящим в локальную группу администраторов компьютера.
Одной из важных задач функционального контроля является обеспечение
защиты ресурсов компьютера при запуске ОС в безопасном режиме (Safemode).
Безопасный режим запуска не является штатным режимом функционирования
для системы SecretNetStudio, однако при необходимости администратор может
его использовать для устранения неполадок. Поскольку в безопасном режиме не
действуют некоторые функции системы защиты, функциональный контроль в
этих условиях завершается с ошибкой. В результате блокируется вход любых
пользователей, кроме администраторов. Поэтому при надлежащем соблюдении
правил политики безопасности, когда никто из обычных пользователей не
обладает полномочиями администратора, доступ к ресурсам компьютера в обход
механизмов защиты невозможен.
Блокировка компьютера
Средства блокировки компьютера предназначены для предотвращения несанк-
ционированного использования компьютера. В этом режиме блокируются
устройства ввода (клавиатура и мышь) и экран монитора.
Защита входа в систему
Защита входа в систему обеспечивает предотвращение доступа посторонних лиц
к компьютеру. К механизму защиты входа относятся следующие средства:
• средства для идентификации и аутентификации пользователей;
• средства блокировки компьютера;
• аппаратные средства защиты от загрузки ОС со съемных носителей.
Идентификация и аутентификация пользователей
Идентификация и аутентификация пользователя выполняются при каждом
входе в систему. Штатная для ОС Windows процедура входа предусматривает
ввод имени и пароля пользователя или использование аппаратных средств,
поддерживаемых операционной системой.
В системе SecretNetStudio идентификация пользователей может выполняться в
следующих режимах:
• "По имени" — для входа в систему пользователь может ввести свои учетные
данные (имя и пароль) или использовать аппаратные средства,
поддерживаемые ОС;
• "Смешанный" — для входа в систему пользователь может ввести свои учет-
ные данные (имя и пароль) или использовать персональный идентификатор,
поддерживаемый системой SecretNetStudio;
• "Только по идентификатору" — каждый пользователь для входа в систему
должен обязательно использовать персональный идентификатор,
поддерживаемый системой SecretNetStudio.
В качестве персональных идентификаторов в SecretNetStudio применяются
средства идентификации и аутентификации на базе идентификаторов eToken,
Rutoken, JaCarta, ESMART илиiButton. Чтобы использовать эти устройства, необ-
ходимо зарегистрировать их в системе защиты (присвоить пользователям).
Аутентификация пользователей может выполняться в усиленном режиме с
дополнительной проверкой пароля пользователя системой SecretNetStudio. В
режиме усиленной аутентификации пароли пользователей проверяются на
соответствие требованиям политики паролей как в операционной системе, так и
в SecretNetStudio.
Дополнительно для защиты компьютеров в SecretNetStudio предусмотрены
следующие режимы:
• разрешение интерактивного входа только для доменных пользователей — в
этом режиме блокируется вход в систему локальных пользователей (под
локальными учетными записями);
• запрет вторичного входа в систему — в этом режиме блокируется запуск
команд и сетевых подключений с вводом учетных данных другогопользо-
вателя (не выполнившего интерактивный вход в систему).
Дискреционное управление доступом к ресурсам файловой
Системы
В состав системы SecretNetStudio входит механизм дискреционного управления
доступом к ресурсам файловой системы. Этот механизм обеспечивает:
• разграничение доступа пользователей к каталогам и файлам на локальных
дисках на основе матрицы доступа субъектов (пользователей, групп) к объек-
там доступа;
• контроль доступа к объектам при локальных или сетевых обращениях, вклю-
чая обращения от имени системной учетной записи;
• невозможность доступа к объектам в обход установленных прав доступа
(если используются стандартные средства ОС или прикладные программы
без собственных драйверов для работы с файловой системой);
Принципы построения
• независимость действия от встроенного механизма избирательного разгра-
ничения доступа ОС Windows. То есть установленные права доступа к
файловым объектам в системе SecretNetStudio не влияют на аналогичные
права доступа в ОС Windows и наоборот.
Затирание данных
Система SNSпозволяет предотвратить восстановление удаленных файлов, если для пользователя включен режим автоматического затирания удаляемой информацией в этом случае области диска, где были записаны удаленные файлы, автоматические затираются случайной числовой последовательностью.
Контроль устройств
ВSNSреализован контроль подключения и изменения устройств, а также разграничение доступа устройств. Таким образом, отслеживается неизменность аппаратной конфигурации ПК и контролируется использование отчуждаемых носителей, что позволяет обеспечить защиту от утечек конфиденциальной информации.
Замкнутая программная среда
Механизм замкнутой программной среды позволяет определить для любого
пользователя компьютера индивидуальный перечень программного обес-
печения, разрешенного для использования. Система защиты контролирует и
обеспечивает запрет использования следующих ресурсов:
• файлы запуска программ и библиотек, не входящие в перечень разрешенных
для запуска и не удовлетворяющие определенным условиям;
• сценарии, не входящие в перечень разрешенных для запуска и не
зарегистрированные в базе данных.
Примечание.
Сценарий (называемый также скрипт) представляет собой последовательность исполняемых
команд и/или действий в текстовом виде. Система SecretNetStudio контролирует выполнение
сценариев, созданных по технологии ActiveScripts.
Попытки запуска неразрешенных ресурсов регистрируются в журнале как собы-
тия тревоги.
На этапе настройки механизма составляется список ресурсов, разрешенных для
запуска и выполнения. Список может быть сформирован автоматически на
основании сведений об установленных на компьютере программах или по запи-
сям журналов (журнал безопасности или журнал SecretNetStudio), содержащих
сведения о запусках программ, библиотек и сценариев.
Для файлов, входящих в список, можно включить проверку целостности с исполь-
зованием механизма контроля целостности. По этой причине меха-
низм замкнутой программной среды и механизм контроля целостности
используют единую модель данных.
Механизм замкнутой программной среды не осуществляет блокировку
запускаемых программ, библиотек и сценариев в следующих случаях:
• при наличии у пользователя привилегии "Замкнутая программная среда: Не
действует" (по умолчанию привилегия предоставлена администраторам ком-
пьютера) — контроль запускаемых пользователем ресурсов не осущес-
твляется;
• при включенном мягком режиме работы подсистемы замкнутой программной
среды — в этом режиме контролируются попытки запуска программ,
библиотек и сценариев, но разрешается использование любого ПО. Этот
режим обычно используется на этапе настройки механизма.