Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (4/11)

Учетные записи пользователей комплекса

Здравствуйте!

В данной лекции мы продолжим начатый на прошлой лекции разговор об установке программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64». Рассмотрим, как происходит запуск программы разграничения доступа пользователей, как осуществляется создание/удаление/переименование в ней пользователей и групп, как найти соответствующего пользователя по идентификатору или по имени, как выполняется синхронизация параметров пользователя и группы. Посмотрим, какие привилегии существуют у пользователей и как их настраивать. Также поговорим о печати параметров пользователей и сохранении всех выполненных настроек.

Итак, установка правил разграничения доступа (ПРД) для пользователей осуществляется Администратором БИ с использованием программы «Редактор прав пользователей» (ACED32.EXE).

Запустим ее из «Пуск - Аккорд-Win64 - Редактор прав доступа». При запуске программы выполняется синхронизация базы данных редактора прав доступа с базой данных пользователей «Аккорда-АМДЗ».

На экран выводится окно идентификации пользователей.  Необходимо предъявить идентификатор пользователя, входящего в группу «Администраторы», зарегистрированного в «Аккорд-АМДЗ». В Аккорд-АМДЗ на предыдущих лекциях из администраторов мы зарегистрировали «Гл. администратора», предъявим его идентификатор. Далее необходимо ввести пароль его учетной записи, введем его.

Если процедура идентификации/аутентификации прошла успешно, т.е. пользователь, который предъявил идентификатор и ввел правильный пароль, входит в группу «Администраторы», то на экран выводится главное окно программы.

В случае если Администратор БИ не является Администратором ОС Windows, то  он может также запустить редактор прав доступа, но необходимо будет выполнить некоторые дополнительные действия, которые описаны в методических материалах к лекции – в документе «Установка правил разграничения доступа на комплекс».

В главном окне программы слева мы видим список пользователей комплекса. Сейчас в нем отображаются те пользователи, которые были зарегистрированы в «Аккорд-АМДЗ». Напомню – это  «Гл. администратор» и пользователь «USER». Можно завести новых пользователей или создать новые группы пользователей, если это необходимо.

Для создания нового пользователя в группе нужно выделить мышью группу, а затем нажать кнопку «Создать нового пользователя или группу». На экран выводится окно, предлагающее выбрать тип создаваемого объекта. Выберем строку «Создание пользователя» (она уже выбрана по умолчанию) и введем имя нового пользователя.

Имя пользователя можно ввести с клавиатуры или выбрать из состава пользователей, уже зарегистрированных в операционной системе. Для этого нужно нажать кнопку, расположенную справа от поля ввода имени пользователя. Открывается окно списка существующих пользователей ОС.

Существуют некоторые особенности добавления пользователей, зарегистрированных в Active Directory на контроллере домена. Эти особенности можно узнать из методических материалов к лекции – в документе «Установка правил разграничения доступа на комплекс». Нажмем «Отмена».

Также можно создавать не только пользователей, но и группы пользователей.

Создание группы может понадобиться в следующем случае. Например, комплекс установлен на терминальном сервере, и мы хотим добавить в него пользователей, которые территориально удаленны от этого сервера. Нюансы этого вопроса мы рассмотрим позже, в теме «Особенности защиты систем терминального доступа с использованием ПАК «Аккорд-Win64» (TSE)».

Нажмем «Отмена» и выйдем из окна создания пользователей и групп.

Для удаления пользователя необходимо его выбрать пользователя и нажать кнопку «Удалить пользователя или группу». Нажмем ее. Программа выдаст запрос: «Вы действительно хотите удалить пользователя <с указанием имени пользователя>?» Подтвердите или отмените удаление. Нажмем «Нет». Аналогично можно поступить с группой.

Обращу внимание, что нельзя удалить группы «Администраторы» и «Обычные», а также пользователя «Гл.администратор».

Если необходимо переименовать пользователя, то его нужно сначала выбрать, потом щелкнуть на нем правой кнопкой мыши и из всплывающего меню выбрать пункт «Переименование». Переименуем пользователя, назовем его иначе и нажмем «Ок». Видим, что теперь пользователь имеет новое заданное нами имя.

Существует возможность поиска соответствующего пользователя по идентификатору или по имени. Для этого нужно нажать кнопку «Поиск пользователя». На экран выводится окно, где можно выбрать «Поиск пользователя по идентификатору» или «Поиск по имени». Если выбрать «Поиск пользователя по идентификатору», то появится запрос идентификатора. Предъявим идентификатор зарегистрированного ранее пользователя. После чего в списке выделяется пользователь, которому принадлежит данный идентификатор. Аналогично можно искать пользователей по имени. Поиск является очень полезным, когда база пользователей достаточно большая.

В программе существует возможность синхронизации параметров пользователя с параметрами группы. Синхронизация может понадобиться при изменении параметров группы и последующем присвоении этих параметров одному или нескольким пользователям.

Синхронизация параметров может быть выполнена двумя способами:

1. Синхронизация параметров одного пользователя с параметрами группы.

В списке пользователей выделяем пользователя, параметры которого хотим синхронизировать, щелкаем на нем правой кнопкой мыши, во всплывающем меню выбираем пункт «Синхронизировать».

На экран выводится окно «Выбор параметров синхронизации». Необходимо установить те параметры пользователя, которые будут синхронизированы. Нажмем кнопку «Синхронизация» и все выбранные параметры будут синхронизированы. Например, был выбран флаг «Параметры пароля» и мы видим, что данные параметры являются одинаковыми для пользователя и группы. Для остальных флагов устанавливается по аналогии.

2. Второй вариант – Синхронизация параметров группы с параметрами одного или нескольких пользователей.

С помощью мыши выделим группу, параметры которой хотим синхронизировать, щелкнем на ней правой кнопкой мыши и выберем «Синхронизировать».

В появившемся окне выберем из списка пользователей, с параметрами которых необходимо синхронизировать параметры группы, и нажмем «Далее».

На экран выводится окно «Выбор параметров синхронизации». Нужно установить те параметры группы, которые будут синхронизированы для выбранных пользователей. Для выполнения синхронизации нужно нажать кнопку «Синхронизация», для отмены – «Отмена». Нажмем «Отмена».

Теперь давайте рассмотрим настройки привилегий пользователей.

Все пользователи из группы «Администраторы» по умолчанию обладают привилегиями, изменять которые может только главный Администратор. Для задания данных привилегий необходимо выбрать мышью администратора, параметры которого мы хотим установить. Выберем «Гл. администратора» и нажмем на кнопку «Привилегии администраторов». В появившемся окне мы видим следующие флаги:

• «Редактирование пользователей» – позволяет создавать и удалять пользователей и группы пользователей, а также редактировать параметры пользователей (имя пользователя, идентификатор, пароль, параметры пароля);
• «Редактирование контроля» – позволяет устанавливать списки аппаратуры, файлов, системных областей диска для контроля целостности;
• «Управление журналом» – позволяет выполнять процедуры архивации и разархивации журналов, формировать правила разграничения доступа на основе информации в журнале регистрации событий;
• «Редактирование настроек» – позволяет устанавливать необходимые настройки с помощью утилиты «Настройка комплекса Аккорд», которую мы рассмотрим позднее;
• «Контролер» – позволяет контролировать доступ пользователей к рабочим станциям. Задача пользователя с привилегией «Контролер» – контролировать запуск пользователя с установленным флагом «Подконтрольный»: для входа в учетную запись «подконтрольному» пользователю помимо своего идентификатора и пароля потребуется предъявление идентификатора и пароля пользователя с привилегией «Контролер».
• «Оператор НШР» - может выполнять выход из Хранителя экрана других пользователей.

Для «Гл. администратора» первые четыре флага установлены по умолчанию и их нельзя изменить. Для остальных администраторов комплекса можно снять одну или несколько галочек и тем самым ограничить его права.

Привилегии «Контролер» и «Оператор НШР» могут быть установлена как для пользователя группы «Администраторы», так и для пользователя группы «Обычные».

Пользователь с привилегией «Контролер» может выполнять вход в операционную систему, если это не запрещено настройками ПРД.

Выйдем из данного окна.

Для хранения и учета параметров пользователей необходимо выбрать Файл-Печать. Выбрать куда печатать и информацию о чем печатать. Не будем останавливаться на этом моменте, подробности можно посмотреть в методических материалах к лекции – в документе «Установка правил разграничения доступа на комплекс». Нажмем «Отмена».

Для того, чтобы сохранить все выполненные настройки необходимо нажать кнопку «Сохранить базу» и согласится на сохранение настроек в базе. Затем нужно подождать некоторое время пока оно выполняется.

Подведем итог, в данной лекции мы поговорили о том, как запускать программу разграничения доступа СЗИ от НСД «Аккорд-Win64», работать с пользователями, синхронизировать параметры пользователя и группы, назначать привилегии пользователям. На следующей лекции мы продолжим обсуждать настройку прав доступа пользователей.

Спасибо за внимание, до встречи на следующей лекции!