Горбатов Аттестационные испытания автоматизированных систем от 2014
.pdf
–идентификация и аутентификация пользователей;
–блокировка загрузки ОС со съемных носителей;
–контроль целостности файлов и секторов жесткого диска;
–сторожевой таймер;
–регистрация событий, имеющих отношение к безопасности системы.
Процедура идентификации оператора (пользователя). Перед входом в систему отключите от USB-портов компьютера все устройства класса USB Mass Storage Device (flash-накопители, кардридеры, съемные жесткие диски и т. п.).
После включения ПЭВМ на экране появится окно с запросом персонального идентификатора (рис. 8.10).
Рис. 8.10. Приглашение для идентификации
Если идентификатор предъявлен неправильно, то окно запроса останется на экране.
Процедура аутентификации. После успешного считывания информации из идентификатора на экране появится диалог для ввода пароля: пароль (рис. 8.11). Этот диалог не появится на экране в том случае, когда пароль имеет нулевую длину (пустой пароль) или содержится в персональном идентификаторе.
181
Рис. 8.11. Приглашение для аутентификации
Если введенный пароль не соответствует предъявленному идентификатору, в строке сообщений появится сообщение: «Неверный персональный идентификатор или пароль».
При успешном завершении тестирования на экране появится информационное окно, подобное рис. 8.12.
Рис. 8.12. Информационное окно пользователя
Системный журнал
После входа в систему под администратором после информационного окна на экране появится меню администратора (рис. 8.13).
Рис. 8.13. Меню администрирования
182
В меню администратора выберите команду «Журнал регистрации событий» и нажмите клавишу <Enter>.
На экране появится окно, фрагмент которого представлен на рис. 8.14.
Рис. 8.14. Фрагмент журнала регистрации событий
Обозначения в журнале событий приведены в табл.8.2.
|
Таблица 8.2 |
|
|
|
|
1 |
Время регистрации события (в формате «ча- |
|
|
сы : минуты») |
|
2 |
Дата регистрации события (в формате «день / |
|
|
месяц / год») |
|
3 |
Имя пользователя, действия которого приве- |
|
|
ли к регистрации события. Для администра- |
|
|
тора, а также для пользователей, не зарегист- |
|
|
рированных на данном компьютере, указыва- |
|
|
ется тип и номер предъявленного при входе |
|
|
персонального идентификатора. После уда- |
|
|
ления учетной записи пользователя в записях |
|
|
журнала, относящихся к его работе, вместо |
|
|
имени этого пользователя указывается тип и |
|
|
номер принадлежавшего ему персонального |
|
|
идентификатора |
|
4 |
Описание событий |
|
Записи о событиях, регистрируемых комплексом «Соболь» во время своей работы, хранятся в журнале регистрации событий, который размещается в специальной области энергонезависимой памяти комплекса. Размер этой области памяти ограничен и позволяет хранить не более 80 записей.
183
При заполнении всей области памяти, отведенной для хранения журнала, новые записи помещаются на место уже существующих записей, затирая их. Если журнал полностью заполнен (содержит 80 записей), то следующая запись заменит запись, помещенную в журнал раньше всех других, т.е. самую старую запись.
Порядок выполнения работы
1.Проверить наличие установленных СЗИ от НСД «Аккорд» или «Соболь» в зависимости от варианта задания.
2.Установить модель СЗИ от НСД. Указать модель в отчете.
3.Включить питание ПЭВМ.
4.Предъявить системе по запросу оба идентификатора. Выяснить, какой из них не зарегистрирован в системе.
5.Для зарегистрированного идентификатора выяснить, какой из паролей является верным.
6.Зайти под логином администратора в системный журнал СЗИ от НСД, зафиксировать неудачные попытки идентификации и аутентификации.
7.Составить отчет, в котором должны содержаться – модель СЗИ в варианте, метка верного идентификатора, верный пароль, снимок системного журнала с попытками НСД.
Задача 2. ПРОВЕРКА И НАСТРОЙКА СТОЙКОСТИ ПАРОЛЕЙ В СЗИ «АККОРД» И «СОБОЛЬ»
Цель: проверка стойкости паролей, установленных в СЗИ от НСД.
Рабочее задание
1.Войти в систему администрирования СЗИ от НСД от лица администратора.
2.Убедиться, что настройки паролей отвечают необходимым требованиям по уровню стойкости – минимум 8 символов, срок жизни – 30 дней.
3.Установить необходимые настройки, если значения не отвечают заданным требованиям безопасности.
184
Описание используемых средств защиты информации от несанкционированного доступа
Основная информация о комплексах СЗИ от НСД «Аккорд» и Соболь» представлена в задаче № 1 данной работы.
Параметры пароля СЗИ «Аккорд»
В меню администрирования (рис. 8.15) для отдельных пользователей можно регулировать следующие параметры пароля:
Рис. 8.15. Меню администрирования – настройки паролей
−Кто может менять пароль – установка этого параметра позволяет пользователю самому менять пароль после истечения времени действия, или смену пароля может осуществлять только администратор.
−Минимальная длина – параметр определяет минимальную длину пароля.
−Время действия (дни) – определяет период смены пароля.
185
− Попыток для смены – параметр устанавливает число попыток для смены пароля (для выполнения смены пароля необходимо ввести старый пароль, а затем дважды новый).
Смена пароля
Смена пароля выполняется в случае, когда время «жизни» пароля превысило отведенный интервал времени действия данного пароля. По решению администратора БИ оператору (пользователю) может предоставляться право самостоятельной смены пароля. В случае, когда пользователь не имеет права на смену пароля, то при вводе просроченного пароля на экран выводится сообщение (рис. 8.16).
Рис. 8.16. Сообщение об истечении срока жизни пароля
Если оператору (пользователю) предоставлено право самостоятельной смены пароля, то при вводе просроченного пароля на экран выводится сообщение (рис. 8.17), где N – количество попыток для смены пароля, определяемое и устанавливаемое администратором при регистрации оператора (пользователя).
Рис. 8.17. Приглашение на смену пароля
Если длина вводимого пароля меньше заданного администратором количества символов, то выводится сообщение об ошибке.
Не допускается ввод в качестве пароля последовательностей типа: '123456…' или 'qwerty…'. При вводе подобных последовательностей символов выдается сообщение об ошибке.
186
Параметры пароля СЗИ «Соболь»
После входа в систему под администратором после информационного окна на экране появится меню администратора (рис. 8.18).
Рис. 8.18. Меню администрирования
После активации в меню администратора команды «Общие параметры системы» на экране появится следующий диалог (рис. 8.19).
Рис. 8.19. Окно общих настроек системы
187
Минимальная длина пароля определяет минимальную длину пароля пользователя в символах. Пользователю нельзя назначить пароль, число символов в котором меньше числа, заданного этим параметром. Параметр может принимать значения от 0 до 16. Если значение этого параметра равно «0», пользователю можно назначить пустой пароль, разрешив ему входить в систему без указания пароля (запрос пароля на экране не появится). Если при увеличении значения этого параметра длина паролей некоторых пользователей окажется меньше нового значения параметра, при входе в систему им будет предложено сменить свой старый пароль, без чего они не смогут загрузить операционную систему.
Максимальный срок действия пароля определяет период времени в днях, на протяжении которого действителен текущий пароль пользователя. Параметр может принимать значения от 0 до 999 дней. Значение «0» означает, что срок действия пароля не ограничен. По истечении заданного периода времени текущий пароль пользователя перестает быть действительным и при входе в систему пользователю будет предложено сменить свой пароль, без чего он не сможет загрузить операционную систему.
По истечении времени действия пароля пользователя на экран выводится сообщение об ошибке (рис. 8.20).
Рис. 8.20. Сообщение об истечении срока жизни пароля
Если установлена настройка для самоличной смены пароля пользователем, необходимо выполнить процедуру смены пароля. На экране появится меню пользователя (рис. 8.21).
Рис. 8.21. Меню пользователя
188
После выбора пункта «смена пароля» появится диалог (рис. 8.22).
Рис. 8.22. Запрос старого пароля для смены
После ввода старого пароля на экране появится один из диалогов для ввода нового пароля.
Если включен режим использования случайных паролей – диалог для ввода пароля примет следующий вид (рис. 8.23).
Рис. 8.23. Окно генерации случайного пароля
Если пользователю разрешено самостоятельно менять пароль, и он введет пароль меньше установленной длины, то выведется сообщение об ошибке (рис. 8.24).
Рис. 8.24. Сообщение об ошибке
189
Порядок выполнения работы
1а. Проверить наличие установленных СЗИ от НСД «Аккорд» или «Соболь» в зависимости от варианта задания.
1б. Установить модель СЗИ от НСД. Указать модель в отчете.
2.Включить питание ПЭВМ.
3.Предъявить идентификатор администратора, ввести пароль.
4.Зайти в настройки пользователей и проверить настройки парольной политики. Минимальная длина пароля должна быть установлена на восемь символов, срок действия – 30 дней. Если настройки отличаются, установить необходимые.
5.Составить отчет, в котором должны содержаться – модель СЗИ в варианте, установленные парольные настройки до вмешательства, если таковое проводилось, информация о его совершении
ипричина (слишком длинный срок жизни и\или слишком маленькая длина).
Задача 3. СОЗДАНИЕИПРОВЕРКАМОДЕЛИПРАВ ДОСТУПАВПРОГРАММНЫХ ПРОДУКТАХ
«НКВД2.2» И«НКВД2.3»
Цель: получение навыков работы с программными продуктами «НКВД 2.2» и «НКВД 2.3» – средствами автоматизации проверки соответствия полномочий предоставляемых пользователям системой защиты информации аттестуемой АС по доступу к объектам доступа АРМ полномочиям пользователей, указанным в модели системы разграничения доступа (СРД), разработанной на основе анализатора уязвимостей «НКВД 2.3».
Рабочее задание
1.Создание списка пользователей АРМ в программе «НКВД
2.3».
2.Сканирование объектов доступа АРМ в программе «НКВД
2.3».
3.Определение прав доступа к объектам доступа в программе
«НКВД 2.3».
4.Проверка и анализ в АРМ реальных полномочий пользователя к объектам доступа в программе «НКВД 2.2».
190