SecretNet_29

10.На ARM1 проведите локальную настройку ЗПС. Для этого запустите программу "Контроль программ и данных" в локальном режиме и, используя описание пп. 3–5 лабораторной работы №4 лабораторного модуля №3, сформируйте новую модель данных. В окне программы управления КЦ-ЗПС появится новая структура объектов, содержащая сформированное по умолчанию заданиеконтроля ресурсов самой SNS и ОС Windows.

11.В категории "Субъекты управления" появилась вновь созданная структура "BUILTIN\Пользователи". Используя описание пп. 6–9 лабораторной работы №4 лабораторного модуля №3, создайте для нее новое задание с произвольным именем, а затем для субъекта управления "ARM1"включите мягкий режим работы ЗПС. Перезагрузите ВМ и авторизуйтесь под УЗ dadminsns1.

12.Используя описание пп. 10–15 лабораторной работы №4 лабораторного модуля №3, выполните следующие операции:

экспортируйте (в локальном центре управления) журнал Secret NetStudioво внешний файл;

перезагрузите ОС и авторизуйтесь под УЗ user2;

последовательно запустите все разрешенные в дальнейшем программы: Проводник,

WordPad, MSWord, MSExcel, Корзина;

переавторизуйтесь на ВМ ARM1под учетной записьюdadminsns1;

к созданному ранее заданию ЗПС добавьте задачи на основании данных из журнала Secret Net Studio.

13.Используя описание пп. 16–17 лабораторной работы №4 лабораторного модуля №3, выполните следующие действия:

установите режим изоляции процессов для приложений WordPad и MS Word;

включите жесткий режим работы ЗПС.

14.Чтобы запретить доменному пользователю user1авторизацию на ВМ ARM2, проведите на этой ВМ настройку механизма ЗПС следующим образом:

доменного пользователя user2добавьте в группу привилегированных, для которых не действует механизм ЗПС (см. выше, п. 9);

на ВМ ARM2запустите программу "Контроль программ и данных" в локальном режиме и, не создавая никакой модели данных, отключите для объекта ARM2"мягкий" режим работы ЗПС.

15.Для того чтобы ограничить пользователю user2 возможность вывода из ARM2 конфиденциальной информации на внешние носители или на печать, следует использовать настроенные ранее механизмы полномочного управления доступом, контроля устройств и печати при включенном

режиме контроля потоков. Запустите программу"Пуск /Все программы /Код Безопасности /SecretNetStudio /Настройка подсистемы полномочного управления доступом" ипроведите дополнительный настройки:

запустите настройку для программ Microsoft Office. Для этого в разделе настроек выберите "Вручную /Программы /Microsoft Office" и нажмите кнопку "Настроить";

будет выполнена настройка перенаправления файлов. Дождитесь завершения этого процесса. После создания правил перенаправления появится окно с информацией об успешном проведении настройки;

проведите аналогичную настройку для пользователей в разделе "Вручную /Пользователи".

16.

17. Закройте окно "Настройка подсистемы полномочного управления доступом" и перезагрузите ОС

на ВМ ARM2.

18.Включите режим контроля потоковна ВМ ARM2. Для этого:

в окне программы "Центр управления" выберите объект сервера безопасности и на вкладке его настроек раскройте раздел "Политики /Локальная защита / Полномочное управление доступом";

убедитесь, что в групповой политике "Режим работы" выбранаопция "Контроль потоков отключен". Выключите данную политику и примените настройки;

выберите объект ARM2, примените для него групповые политики, а затем в разделе его настроек "Политики /Локальная защита /Полномочное управление доступом" в политике "Режим работы" установите переключатель "Контроль потоков включен";

примените сделанные настройки. Теперь возможность доступа к конфиденциальным файлам, использованияустройств и печати на ВМ ARM2 будет определяться уровнемконфиденциальности сессии, который выберет пользователь при входе в систему.

19.Для того чтобы изолировать ВМ ARM2, но разрешить обращение к СБ и контроллеру домена, следует настроить политики межсетевого экрана на этой ВМ. В программе "Центр управления" выберите объект ARM2,раскройте панель его свойств и на вкладке "Настройки" выберите раздел "Политики / Сетевая защита / Персональный межсетевой экран".

20.Для взаимодействия программы управления и клиента SNSна ВМ ARM2 с сервером безопасности и контроллером домена (см. рис. 5 и таблицу в разделе "Способы развертывания компонентов Secret Net Studio" главы 1) добавьте разрешающие правила доступа (см. описание пп. 6–12 лабораторной работы №1 лабораторного модуля №4).При этом, если необходимо, добавьте соответствующие сетевые сервисы (см. пп. 2–5 лабораторной работы №1 лабораторного модуля №4):

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи портам 3268 и 389 для всех пользователей на удаленный IP-адрес 192.168.254.1 (DC);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколам TCP, UDPи портам 135 – 139 для всех пользователей на удаленный IP-адрес 192.168.254.1(DC);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи порту 443 для всех пользователей на удаленный IP-адрес 192.168.254.2 (ServerSNS);

разрешить входящие на 192.168.254.22 (ARM2) по протоколу TCPи порту 443 для всех пользователей с удаленного IP-адреса 192.168.254.2 (ServerSNS);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи портам 50000 – 50003 для всех пользователей на удаленный IP-адрес 192.168.254.2 (ServerSNS);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи порту 445 для всех пользователей на удаленный IP-адрес 192.168.254.2 (ServerSNS);

разрешить входящие на 192.168.254.22 (ARM2) по протоколу TCPи порту 445 для всех пользователей с удаленного IP-адреса 192.168.254.2 (ServerSNS);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи портам 21326, 21327 для всех пользователей на удаленный IP-адрес 192.168.254.2 (ServerSNS);

разрешить входящие на 192.168.254.22 (ARM2) по протоколу TCPи портам 21326, 21327 для всех пользователей с удаленного IP-адреса 192.168.254.2 (ServerSNS);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи порту 42100 для всех пользователей на удаленный IP-адрес 192.168.254.2 (ServerSNS);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи портам 42088, 42464, 42200 для всех пользователей на удаленный IP-адрес 192.168.254.2 (ServerSNS);

разрешить входящие на 192.168.254.22 (ARM2) по протоколу TCPи портам 42088, 42464, 42200 для всех пользователей с удаленного IP-адреса 192.168.254.2 (ServerSNS);

разрешить исходящие с 192.168.254.22 (ARM2) по протоколу TCPи порту 43443 для всех пользователей на удаленный IP-адрес 192.168.254.2 (ServerSNS);

разрешить входящие на 192.168.254.22 (ARM2) по протоколам TCP, UDPи портам 135 – 139

для всех пользователей с удаленного IP-адреса 192.168.254.2 (ServerSNS).

21. Добавьте запрещающие правила доступа (если необходимо, опишите соответствующие сетевые сервисы):

запретить входящие на 192.168.254.22 (ARM2) по протоколу TCPи всем портам для всех пользователей и IP-адресов;

RDP(используйте описание пп. 16–17 лабораторной работы №1 лабораторного модуля №4);

прикладное правило, запрещающее доступ к общедоступной папке "user_files" на ВМ ARM2(192.168.254.22)с любого компьютера (используйте описание пп. 18–19 лабораторной работы №1 лабораторного модуля №4).