Лабораторный практикум по НСД 2013

191

записывается во внутреннюю память регистрируемого идентификатора. Этот секретный ключ используется в мониторе правил разграничения доступа ACRUN, который позволяет каждому пользователю создать изолированную программную среду (ИПС) и персональный набор файлов, контролируемых на целостность. Кроме того, этот параметр позволяет надежно защищать данные о пользователе в энергонезависимой памяти контроллера, так как в качестве уникального признака используется результирующая хеш-функция от номера идентификатора, пароля и секретного ключа.

Внимание! Идентификатор, в котором не записан секретный ключ, воспринимается как недопустимый в процессе идентификации/аутентификации пользователя, даже если его номер высвечивается в строке «Идентификатор».

Рис. 16.7. Генерация секретного ключа пользователя.

Выберите опцию <Новый> и <OK>. На запрос идентификатора подключите идентификатор к контактному устройству.

Примечание: Секретный ключ может быть уже записан в идентификаторе

вследующих случаях:

∙при перерегистрации пользователя;

∙при регистрации одного пользователя на нескольких компьютерах с установленной системой «Аккорд».

Генерировать секретный ключ следует только при первой регистрации, т.к. каждая новая генерация затирает предыдущее значение ключа, и идентификатор не будет читаться на других компьютерах.

В этом случае выберите опцию <Существующий> и <OK>. На запрос идентификатора подключите идентификатор к контактному устройству.

192

Для назначения пароля пользователя в окне «Параметры пользователя» (рис.16.4) выберите строку «Пароль» и нажмите <Enter>. На экран выводится окно ввода пароля (рис.16.8). Введите новый пароль. Повторите ввод пароля во второй строке. Пароль может состоять из букв, цифр и специальных символов. Вводимые символы на экране отображаются точками. При несовпадении введенных последовательностей выводится сообщение об ошибке. В этом случае операцию придется повторить. Символы могут вводиться как в верхнем, так и в нижнем регистре. Будьте внимательны! Длина пароля должна быть не меньше параметра, установленного в строке «Минимальная длина» в разделе «Параметры пароля» (рис.16.9). Если длина введенного пароля меньше, выводится сообщение об ошибке. Не допускается ввод в качестве пароля последовательностей типа: '123456'или 'qwerty'.При вводе подобных последовательностей символов выдается сообщение об ошибке.

Можно выбрать процедуру генерации пароля случайным образом (кнопка «Сгенерировать»). В этом случае пароль генерируется таким образом, чтобы в нем обязательно присутствовал хотя бы один символ из набора, заданного в параметре «Алфавит пароля» (рис.16.9).

Рис. 16.8. Окно ввода пароля.

После генерации новый пароль выводится в строке «Новый пароль» и пользователь должен его ввести с клавиатуры в поле «Еще раз».

193

Рис. 16.9. Параметры пароля.

Для сохранения параметров пользователя «Гл. Администратор» и выхода в окне «Параметры пользователя» выберите команду <Запись> (клавиша <F2>).

После сохранения параметров пользователя «Гл. Администратор» нужно выйти из процедуры редактирования списка пользователей по клавише <Esc> и повторным нажатием этой клавиши из программы администрирования. Выполняется рестарт внутреннего ПО контроллера, и на экран выводится запрос идентификатора и пароля пользователя. После предъявления идентификатора и ввода пароля пользователя «Гл. Администратор» появляется меню, в котором уже доступны все пункты, в частности выбор вариантов загрузки ОС.

Создание и редактирование пользователя.

Установите в списке пользователей курсор на заголовке группы «Обычные». Выберите команду <Новый>, или нажмите клавишу <Insert>. На экран выводится окно ввода имени пользователя. Введите имя нового пользователя. Администратор должен присвоить каждому пользователю уникальное в данной вычислительной среде (отдельный компьютер или локальная сеть) имя. Рекомендуется использовать в качестве имени фамилию пользователя. На экран выводится окно ввода-вывода «Параметры пользователя». Зарегистрируйте идентификатор и пароль пользователя. При вводе нового пользователя общие параметры, установленные для группы, присваиваются ему по умолчанию, но в окне «Параметры пользователя» их можно изменить. Если администратор безопасности изменяет общие параметры группы, то установить их для всех пользователей группы можно по команде <Синхр.> (Синхронизировать).

194

В режиме «Редактирование параметров пользователя» администратор производит изменение параметров доступа пользователя к объектам СЗИ. В подменю списка пользователей выберите имя пользователя, параметры которого необходимо отредактировать, нажмите клавишу <Enter>. На экран выводится окно (рис.16.10). Произведите изменения в окне ввода/вывода «Параметры пользователя».

Рис. 16.10. Режим редактирования пользователя

Назначьте персональный идентификатор и пароль, таким образом, как это было описано выше. Теперь перейдем к настройке общих параметров пользователя.

Для группы «Обычные» (пользователи) установлены следующие общие параметры (рис.16.10):

∙параметры пароля;

∙временные ограничения;

∙режим «Блокирован»;

∙загрузка ОС;

∙доступ к устройствам;

∙результаты ИА (идентификации/аутентификации пользователя).

Режим Блокировки: При установке флага «Блокирован» в состояние «Да» все параметры пользователя сохраняются в базе данных, но вход в систему и работа данного пользователя будут запрещены. Данный флаг можно использовать для временной блокировки пользователя. После того, как администратор снимет блокировку, работа пользователя восстановится со всеми установленными на-

195

стройками. Для изменения состояния данного флага достаточно установить курсор в строку «Блокирован» и нажать клавишу <Enter>.

Временные ограничения: Администратор может устанавливать для пользователя ограничения на вход в систему с точностью до 30 минут в любой день недели. Выберите пункт «Временные ограничения» и нажмите <Enter>. На экран выводится окно «Временные ограничения» (рис.16.11).

Клавишами «стрелка» можно перемещаться по матрице времени входа в систему. Клавиша <Пробел> меняет знак + на – и обратно, т.е. разрешает или запрещает загрузку компьютера данному пользователю в данный временной интервал.

Загрузка ОС: В контроллере «Аккорд-АМДЗ» предусмотрена возможность управления режимом загрузки Windows 95/98 и загрузкой различных конфигураций ПО с использованием меню в файле CONFIG.SYS. Для Microsoft Windows XP управление загрузкой ОС невозможно, поэтому мы не будем рассматривать этот пункт.

Рис. 16.11. Временные ограничения.

Доступ к устройствам. Этот параметр будет рассмотрен в одной из предстоящих лабораторных работ настоящего практикума.

Атрибуты доступа. При выборе параметра «Атрибуты доступа» открывается окно (рис.16.12), в котором Гл. Администратор может установить набор функций администрирования, доступных «подчиненным» администраторам.

196

Рис. 16.12. Выбор атрибутов доступа администратора к функциям управления. Нужно заметить, что в правилах настройки СЗИ «Аккорд-АМДЗ» нет огра-

ничений на число пользователей, зарегистрированных в той, или иной группе. Существует только лимит на общее количество записей (128) в базе данных пользователей.

Результаты ИА. В разделе «Результаты ИА» устанавливается, какая информация о пользователе, полученная в результате процесса идентификации/аутентификации, будет передаваться из контроллера в программную подсистему разграничения доступа (если таковая установлена на компьютере). Для успешного выполнения процедуры «Автологин», т.е. когда пользователь авторизуется на аппаратном уровне, а программная часть автоматически подгружает его профиль доступа, необходимо включить первые пять флагов «Результатов ИА». Установки по умолчанию (рис.16.13) предполагают использование только контроллера АМДЗ.

Рис. 16.13. Результаты ИА.

197

Выход из программы администрирования выполняется по клавише <Esc>, когда Вы находитесь в главном меню. После этого на экране снова появляется стартовое меню администратора. Администратор может выбрать вариант загрузки или перезагрузить компьютер. При корректном входе в систему зарегистрированным идентификатором пользователя меню не выводится, а выполняется обычная загрузка установленной операционной системы.

При необходимости получения информации по остальным функциям комплекса обращаться к руководству администратора комплекса «Аккорд-АМДЗ» (Руководство администратора (11443195.4012-006 90 04)).

Назначение и краткая характеристика комплекса «Соболь» v.2.0.

Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера.

Комплекс «Соболь» обеспечивает:

∙регистрацию пользователей и назначение им персональных идентификаторов и паролей для входа в систему;

∙идентификацию и аутентификацию пользователей при их входе в систе-

му;

∙управление параметрами процедуры идентификации пользователя, такими как число неудачных попыток входа, ограничение времени на вход в систему и др.;

∙регистрацию событий, имеющих отношение к безопасности системы;

∙контроль целостности файлов на жестком диске;

∙контроль целостности физических секторов жесткого диска;

∙защиту от несанкционированной загрузки операционной системы со съемных носителей – дискет, CD-ROM, ZIP-устройств, магнитооптических дисков, USB-устройств и др.;

∙блокировку компьютера при условии, что после включения компьютера управление не передано расширению BIOS комплекса «Соболь»;

∙диагностику состояния основных компонентов комплекса – датчика случайных чисел, энергонезависимой памяти, считывателя персональных идентифи-

каторов iButton (TM);

∙возможность совместной работы с системами защиты семейства Secret Net и АПКШ «Континент».

Действие комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты – персональный

198

идентификатор и пароль, пользователь получает право на вход. При их отсутствии вход в систему данного пользователя запрещается.

Пояснение. Пользователь получает допуск к компьютеру после регистрации его в списке пользователей комплекса «Соболь». Регистрация пользователей осуществляется администратором и состоит в присвоении пользователю имени, персонального идентификатора и назначении пароля.

Регистрация администратора осуществляется при инициализации комплек-

са.

Комплекс «Соболь» включает в свой состав следующие защитные подсистемы и механизмы:

∙механизм идентификации/аутентификации пользователей;

∙подсистема контроля целостности;

∙подсистема запрета загрузки ОС со съемных носителей;

∙механизм сторожевого таймера;

∙механизм регистрации событий, имеющих отношение к безопасности системы.

Установка ПАК «Соболь» v.2.0.

Установка программного обеспечения и подготовка к инициализации комплекса.

Программное обеспечение комплекса «Соболь» рекомендуется устанавливать до установки в компьютер платы комплекса.

Поместите установочный компакт-диск в привод CD-ROM и запустите на исполнение файл Setup.exe. При появлении на экране сообщения, предупреждающего об отсутствии в компьютере платы комплекса «Соболь», нажмите клавишу <Enter> для продолжения установки.

Программа установки выполнит подготовку к установке. После завершения подготовительных действий на экране появится стартовый диалог программы установки. Нажмите кнопку <Далее > для продолжения установки. На экране появится диалог с текстом лицензионного соглашения. Отметьте поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку <Далее >. На экране появится диалог выбора каталога для размещения файлов. Нажмите кнопку <Далее>.

В некоторых случаях на экране может появиться диалог со списком программ, использующих в данный момент системные файлы, которые должна обновить программа установки.

199

∙Для обновления системных файлов без перезагрузки компьютера закройте перечисленные в списке программы, а затем нажмите в диалоге на кнопку «Повторить».

∙Для немедленного продолжения установки нажмите на кнопку «Пропустить», но в этом случае по завершении установки вам, скорее всего, будет предложено перезагрузить компьютер.

Затем программа установки регистрирует в системе драйвер платы комплекса «Соболь» и формирует шаблоны для контроля целостности. После успешного выполнения процедуры установки на экране появится завершающий диалог программы установки. Нажмите кнопку «Готово».

Для инициализации комплекса проделайте следующее:

1)Переключите плату комплекса «Соболь» в режим инициализации. Для этого снимите перемычки, установленные на разъемах платы J0-J1 (рис.16.14).

2)Выключите компьютер.

3)Вскройте корпус системного блока.

4)Выберите свободный слот системной шины PCI (разъем для плат расширения) и аккуратно вставьте в него плату комплекса «Соболь».

5)Подключите к плате считыватель.

6)Закройте корпус системного блока.

Рис. 16.14. Расположение разъемов на плате комплекса «Соболь»

200

Инициализация и настройка общих параметров, регистрация администратора

Процедура инициализации.

Включить питание компьютера. На экране появится окно (рис.16.15), если после включения питания компьютера управление не было передано модулю расширения BIOS комплекса, то окно, показанное на рисунке, на экране не появится.

Рис. 16.15. Окно инициализации.

В этом случае необходимо в BIOS Setup разрешить загрузку операционной системы с модулей расширения BIOS сетевых плат.

Совет. Прежде чем приступить к инициализации рекомендуется проверить работоспособность комплекса «Соболь». Для этого выберите в меню команду «Диагностика платы» и нажмите клавишу <Enter>. В появившемся на экране меню выберите команду «Выполнить все тесты» и нажмите клавишу <Enter>. После успешного завершения всех тестовых процедур нажмите клавишу <Esc>.

После активации в меню администратора команды «Диагностика платы» на экране появится следующее меню (рис.16.16):

Рис. 16.16. Окно диагностики платы

Команды этого меню запускают процедуры проверки компонентов комплекса.