Критерии обзора Планируя этот обзор, мы предварительно внимательно ознакомились с рядом продуктов управления доступом и определили группу типовых свойств, которыми должны обладать продукты данного класса. Проводя анкетирование, мы попытались установить свойства предлагаемых продуктов. Мы добавили в анкету некоторые вопросы по тем аспектам, где продукты, по нашему мнению, могли проявить себя с лучшей стороны и предложить нам какие-то дополнительные возможности. Мы пытались создать пространный перечень измеряемых свойств, по которым могли бы сопоставляться рассматриваемые продукты. Возможно, мы опустили некоторые хорошие вопросы. Например, мы не предусмотрели вопрос о перерасходе памяти, требующейся любым продук ам, выполненным в виде TSR-программы, независимо от того, загружаются ли они в CONFIG.SYS или AUTOEXEC.BAT (первое потенциально безопаснее), предлагают ли они мультизадачную блокировку клавиатуры (блокировку клавиатуры, при которой должна выполняться любая из операций, связанных с клавиатурой, например резервирование на ленту или модемная передача). В центре внимания покупателя при выборе продукта управления доступом должна быть простота использования и прозрачность, но это сложная область для количественной оценки. Вы должны критически оценивать заверения поставщиков о том, что их продукт "очень прост и легок в применении". Управление доступом к системе Здесь представлены 15 основных свойств, которыми, на наш взгляд, должны обладать продукты управления доступом. Уровни управления доступом Продукт должен обеспечивать, как минимум, два уровня управления доступом администратора. Он должен также обеспечивать управление доступом пользователя с помощью пароля пользователя и кода аутентификации идентификатора пользователя и обслуживать, как минимум, десять конечных пользователей. Ответы по этому аспекту защиты для всех включенных в обзор продуктов представлены в табл. 12.1. Таблица 12.1. Итоги по уровням управления доступом Продукт Комментарии дддддддддддбдддддддддддддддддддддддддддддддддддддддддддддддддддддддд ACCESSGuardЁДопускает единственного пользователя. Может привести к Ё Ёзначительной перегрузке специалиста по обслуживанию Ё Ёпри установке в больших масштабах Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд APO ЁДопускает наличие одного главного пользователя и до Ё Ёвосьми пользователей с ограниченными правами. Не под Ё Ёдерживает двух уровней доступа Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Certus ЁИмеет три уровня доступа, которые используют только па Ё Ёроли, и поддерживает неограниченное число пользовате Ё Ёлей Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд COMLOCK ЁОбеспечивает два уровня управления: администратора и Ё Ёобычного пользователя. Запрашивает как идентификатор Ё Ёпользователя, так и пароль. Поддерживает 12 пользова Ё Ётелей Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд CRYPTOLock ЁДопускает до 32 пользователей на одном PC. Обеспечива Ё Ёет избирательный доступ к данным посредством пароль Ё Ёного доступа к SAFEDrawer и парольного доступа к фай Ё Ёлам данных. Запрещает доступ специалиста по обслужи Ё Ёванию к данным пользователя, а пользователи не могут Ё Ёполучить доступ к административным функциям специали Ё Ёста по обслуживанию Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Data ЁПредлагает три уровня управления доступом: главного адмиЁ Security Ёнистратора, местного администратора и восьми бюдже Ё Plus Ётов обычных пользователей. Главный администратор мо Ё Ёжет конфигурировать и блокировать любой конфигурируе Ё Ёмый доступ и процедуры парольного доступа. В числе Ё Ёэтих процедур - определение минимальной длины паро Ё Ёля, проверка повторного использования пароля, опреде Ё Ёление числа допустимых попыток открытия сеанса, раз Ё Ёрешение изменения пароля, истечение срока действия Ё Ёпароля, предотвращение записи на гибкие диски, пре Ё Ёдотвращение копирования COM- и EXE-файлов, отмена Ё Ё и . Местный администратор может Ё Ёизменить любой незакрытый для него аспект управления Ё Ёв целях улучшения администрирования. Обычный пользо Ё Ёватель не может управлять конфигурацией модулей защи Ё Ёты. Встроенная проверка целостности гарантирует, что Ё Ёсредства защиты не могут быть удалены обычным пользо Ё Ёвателем. Модуль управления доступом шифрует загрузоч Ё Ёный сектор и главный загрузочный сектор жесткого дис Ё Ёка, предотвращая обход средств безопасности при за Ё Ёгрузке с гибкого диска и модификацию этих секторов. Ё ЁМодулем защиты обеспечивается одноразовый пароль, Ё Ёчто позволяет пользователям, забывшим свои пароли, Ё Ёполучить одноразовый доступ. Этот процесс требует со Ё Ёдействия администратора и не может выполняться конеч Ё Ёным пользователем самостоятельно Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower I ЁПредлагает два уровня управления доступом: администрато Ё Ёра безопасности и зарегистрированного пользователя. Ё ЁНа Mac можно определить неограниченное количество Ё Ёпользователей каждого типа. Только администраторы Ё Ёбезопасности могут изменять режимы обеспечения безо Ё Ёпасности и добавлять или удалять пользователей. Толь Ё Ёко администраторы безопасности имеют специальные пол Ё Ёномочия на добавление или удаление пользователей. Ё ЁТолько администраторы безопасности имеют специальные Ё Ёпривилегии перегрузки/деблокировки, что позволяет им Ё Ёразблокировать защищенные тома, если зарегистрирован Ё Ёные пользователи случайно сами себя заблокировали. Ё ЁОба типа пользователей должны регистрироваться кор Ё Ёректной комбинацией - имя пользователя/пароль - для Ё Ётого, чтобы получить доступ к Mac. В качестве допол Ё Ёнительной меры безопасности администраторы безопасно Ё Ёсти могут также объявлять себя зарегистрированными Ё Ёпользователями и использовать другой пароль с приви Ё Ёлегиями низкоуровневого доступа Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower IIЁОбеспечивает все, что указано для *Empower I. Дополни Ё Ётельно предоставляет привилегии доступа для "гостей" Ё Ёи "групп" пользователей. Администраторы безопасности Ё Ёмогут при желании разрешать регистрацию гостей на Ё ЁMac и позволять им доступ к любым незащищенным дан Ё Ёным. Администраторы безопасности могут также опреде Ё Ёлять "группы" (продажи, маркетинга, проекта и др.), Ё Ёназначая пользователей в каждую группу и устанавли Ё Ёвая привилегии доступа на уровне папки (folder- Ё Ёlevel) ("просмотреть файлы", "просмотреть папки" и Ё Ё"произвести изменения") для каждой группы. Каждому Ё Ёпользователю в группе присваивается имя пользователя Ё Ёи пароль. Для того чтобы получить доступ к Mac, он Ё Ёдолжен регистрироваться с корректной их комбинацией. Ё ЁПосле корректной регистрации участник группы может Ё Ёполучить доступ к любым незащищенным данным или фай Ё Ёлам и папкам, которые предназначены для использова Ё Ёния определенной группой Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower ЁОбеспечивает все, указанное в *Empower I и *Empower II. Ё Remote ЁКроме того, обеспечивает привилегии доступа для уда Ё Ёленных администраторов, созданных администратором Ё Ёбезопасности. Удаленные администраторы должны регист Ё Ёрироваться с корректным именем и паролем, как и дру Ё Ёгие пользователи, чтобы получить доступ к локальному Ё ЁMac. После того как имя удаленного администратора бу Ё Ёдет скопировано на другие Mac в данной сети, удален Ё Ёный администратор может выполнять дистанционное адми Ё Ёнистрирование и управлять безопасностью этих Mac с Ё Ёлюбой рабочей станции, на которой он расположен. Уда Ё Ёленные администраторы не могут иметь доступ к защи Ё Ёщенным данным или изменять режимы обеспечения безо Ё Ёпасности локальных Mac, если они не назначены админи Ё Ёстраторами безопасности на этих Mac Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд HardDrive ЁС помощью различных административных средств, предна Ё Lockup Ёзначенных для любого пользователя, поддерживается до Ё Ё16 пользователей. Есть также главный пользователь, Ё Ёимеющий доступ ко всем административным функциям. В Ё Ёдополнение к паролям пользователя можно присвоить па Ё Ёроли любому элементу меню Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Passproof ЁПоддерживается 256 пользователей, обязателен один уро Ё Ёвень, необязателен второй пароль/пользователь Ё PC/DACS ЁПредлагает три класса пользователей: главный администра Ё Ётор, локальный администратор и пользователь. Не огра Ё Ёничивает число идентификаторов, которые можно ассо Ё Ёциировать с каждым классом. Требует, чтобы перед по Ё Ёлучением доступа все пользователи идентифицировались Ё Ёс помощью идентификатора и пароля Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд PCSS ЁОбеспечивает защиту доступа с помощью интеллектуальных Ё Ёкарт (smart card). Поддерживает одного менеджера Ё Ёбезопасности и допускает определение до девяти поль Ё Ёзовательских ресурсов. С каждым ресурсом может быть Ё Ёсвязано любое необходимое количество интеллектуаль Ё Ёных карт. Интеллектуальные карты защищаются от поте Ё Ёри с помощью PIN. Каждая интеллектуальная карта мо Ё Ёжет ассоциироваться с двумя бюджетами (профайлами), Ё Ёпозволяя пользователю выбирать один из них при входе Ё Ёв систему Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд SAFE ЁОбеспечивает настройку на пользователей уровня админист Ё Ёратора и обычных пользователей, а также предлагает Ё Ёдля использования главный идентификатор, вторичный Ё Ёидентификатор, идентификатор пароля, идентификатор Ё Ёпроекта и гостевой вход в систему Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд StopLight ЁОбеспечивает три уровня управления доступом: главный ад Ё Ёминистратор, местный администратор и пользователь. Ё ЁГлавный администратор может использовать вход в сис Ё Ётему с диска или восьмисимвольный пароль. На каждом Ё Ёкомпьютере может поддерживаться до 15 пользователей Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд SureKey/2 ЁДва уровня паролей безопасности: пароль администратора Ё Ёбезопасности (главного) и пароль пользователя. Под Ё Ёдерживается только один пароль пользователя Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд TriSpan ЁНе ограничивается число поддерживаемых пользователей Ё Ёна одной машине Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Trusted ЁТри уровня привилегий для работы с программой. Третий Ё Access Ёуровень дает администратору системы/безопасности пол Ё Ёные привилегии для работы с программой. Второй уро Ё Ёвень (необязательный) дает руководителям отдела при Ё Ёвилегии, достаточные для ежедневного администрирова Ё Ёния программой. Первый уровень предназначен для ко Ё Ёнечных пользователей. При таком назначении админист Ё Ёратор системы может делегировать ежедневное админист Ё Ёрирование локальному уровню 2. Очевидно, что большин Ё Ёство "неприятных" вызовов (добавление новых пользова Ё Ётелей, удаление пользователей, обработка забытых па Ё Ёролей и др.) будут обрабатываться на уровне 2. Все Ё Ёпользователи, невзирая на уровень привилегий, должны Ё Ёвходить в систему с идентификатором пользователя и Ё Ёпаролем. Пользователи уровня 2 ограничены, они не мо Ё Ёгут видеть пользователей уровня 3 в списке пользова Ё Ётелей, пользователь уровня 2 не может повысить свой Ё Ёстатус или статус другого пользователя того же уров Ё Ёня до статуса уровня 3. Программа не позволит уда Ё Ёлить последнего пользователя на уровне 3. Не ограни Ё Ёчено число пользователей, поддерживаемых в одной сис Ё Ётеме Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁПоддерживается только один уровень администрирования Ё Ёсистемой. Однако пользователям могут быть даны два Ё Ёразличных пароля (главный и альтернативный), и допус Ё Ёкается использовать любой из них или оба. На одном Ё Ёмикрокомпьютере может поддерживаться любое количест Ё Ёво последовательных пользователей. В дополнение к па Ё Ёролям пользователя могут присваиваться пароли облас Ё Ётям (каталогам) и избранным потенциально опасным ути Ё Ёлитам. Кроме того, если вы приобретете необязатель Ё Ёную программу Keymaster, можете создать "главный ад Ё Ёминистратор системы", который имеет право восстанав Ё Ёливать потерянные ключи администратора системы Ё Watchdog ЁТо же, что и для Watchdog Ё Armor Ё Ё дддддддддддадддддддддддддддддддддддддддддддддддддддддддддддддддддддды