6. Возможна блокировка клавиатуры на время загрузки компьютера. Это позволяет избежать выбора альтернативных вариантов загрузки ОС (“Safe Mode” и т.д.).
7. Возможно ограничение круга доступных для пользователя объектов файловой системы (дисков, папок и файлов под FAT и NTFS). Применяется полностью независимый от ОС механизм.
Используются два принципа контроля доступа:
- дискреционный - обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа. В соответствии с содержимым списка вычисляются права на доступ к объекту для каждого пользователя (открытие, запись, чтение, удаление, переименование, запуск, копирование).
- мандатный - каждому пользователю присваивается уровень доступа (открытий, конфиденциальный, строго конфиденциальный) и некоторым объектам файловой системы тоже присваивается уровень доступа (По-умолчанию, все объекты имеют уровень доступа «открытые данные», но он может быть поднят до конфиденциального или строго конфиденциального). Пользователь будет иметь доступ к объектам, уровень доступа которых не превышает его собственный.
8. В СЗИ реализована система контроля целостности параметров компьютера. Она обеспечивает:
- контроль целостности BIOS
- контроль целостности Boot сектора
- контроль целостности CMOS-памяти компьютера
- контроль целостности MBR
- контроль целостности файлов и папок при загрузке компьютера
- контроль целостности файлов при доступе
- блокировку загрузки компьютера при выявлении изменений
- блокировку запуска программ при выявлении изменений
Для контроля целостности используются цифровые подписи, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.
9. СЗИ Dallas Lock 7.5 включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
Подсистема позволяет:
- очищать освобождаемую память
- очищать файл подкачки виртуальной памяти
- очищать освобождаемое дисковое пространство (эта возможность работает не только при удалении файлов, но и при их перемещении или уменьшении (происходит «затирка» освобождаемой части)
- очищать определенные папки при выходе пользователя из системы
- принудительно зачищать определённые файлы и папки, используя соответствующий пункт в контекстном меню проводника (windows explorer)
10. В СЗИ реализовано ведение 5 электронных журналов, в которых фиксируются действия пользователей:
- Журнал входов. В журнал заносятся все входы (или попытки входов с указанием причины отказа) и выходы пользователей ПЭВМ, включая как локальные, так и сетевые, в том числе, терминальные входы и входы для удаленного администрирования
- Журнал доступа к ресурсам. В журнал заносятся обращения к объектам файловой системы, для которых назначен аудит. Можно гибко настраивать для каждого объекта, какие события нужно заносить в журнал, а какие нет
- Журнал управления политиками безопасности. В журнал заносятся все события связанные с изменением конфигурации СЗИ
- Журнал управления учетными записями. В журнал заносятся все события связанные с созданием или удалением пользователей, изменением их параметров
- Журнал печати. В журнал заносятся все события, связанные с распечаткой документов на локальных или сетевых принтерах
Для облегчения работы с журналами есть возможность фильтрации записей по определенному признаку и экспортирования журналов в формат EXCEL. При переполнении журнала, его содержимое автоматически компрессируется и помещается в специальную папку, доступ к которой есть, в том числе, и через средства удалённого администрирования. Этим обеспечивается непрерывность ведения журналов.
|