Меню Рубрики

Установка и настройка пак соболь

ПАК Соболь 3 — описание и установка

ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО «Код Безопасности».

Поставим на сервер HPE Proliant DL360 Gen10.

Ссылки

Зачем нужен

  • Защита информации от несанкционированного доступа.
  • Контроль целостности компонентов ИС.
  • Запрет загрузки ОС с внешних носителей.
  • Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
  • Повышение класса защиты СКЗИ.

Преимущества

Тут я списал с листовки, добавив свои комментарии.

  • Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
  • Усиленная (чем усиленная? — масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором).
  • Простота установки, настройки и администрирования.
  • Возможность программной инициализации без вскрытия системного блока.
  • Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.

Возможности

  • Контроль целостности программной среды. Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем: NTFS, FAT16, FAT32, UFS, UFS2, EXT2, EXT3, EXT4 в ОС семейства Linux и Windows. Поддерживаются операционные системы:
    • Windows
      • Windows 7/8/8.1/10
      • Windows Server 2008/2008 R2/2012/2012 R2
    • Linux
      • МСВС 5.0 х64
      • Альт Линукс 7.0 Кентавр x86/x64
      • Astra Linux Special Edition «Смоленск» 1.4 x64
      • CentOS 6.5 x86/x64
      • ContinentOS 4.2 x64
      • Debian 7.6 x86/x64
      • Mandriva РОСА «Никель» x86/x64
      • Red Hat Enterprise Linux 7.0 x64
      • Ubuntu 14.04 LTS Desktop/Server x86/x64
      • VMware vSphere ESXi 5.5 x64
    • Поддержка других операционных систем осуществляется по запросу в службу технической поддержки «Код Безопасности».
  • Идентификация и аутентификация.
    • Использование персональных электронных идентификаторов:
      • iButton
      • eToken PRO
      • eToken PRO (Java)
      • Rutoken
      • Rutoken RF
      • смарт-карты eToken PRO
    • Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного ЭИ.
  • Журналирование. Ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. В журнале фиксируются следующие события:
    • Факт входа пользователя и имя пользователя.
    • Предъявление незарегистрированного идентификатора.
    • Ввод неправильного пароля.
    • Превышение числа попыток входа в систему.
    • Дата и время регистрации событий НСД.
  • Контроль целостности реестра Windows. Контроль неизменности системного реестра Windows повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.
  • Аппаратный датчик случайных чисел. Повышение класса защиты СКЗИ и предоставление случайных чисел прикладному ПО.
  • Контроль конфигурации. Контроль неизменности конфигурации компьютера: PCI-устройств, ACPI, SMBIOS и оперативной памяти.
  • Запрет загрузки с внешних носителей. Обеспечение запрета загрузки операционной системы со съемных носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.).
  • Сторожевой таймер. Блокировка доступа к компьютеру с помощью механизма сторожевого таймера в случае, если управление при его включении не передано ПАК «Соболь».
  • Программная инициализация. Возможность инициализации ПАК «Соболь» программным способом, без вскрытия системного блока и удаления джампера на плате.

Принцип работы

Модельный ряд

  • PCI Express 57×80
  • Mini PCI Express
  • Mini PCI Express Half Size
  • M.2 A-E

Размышления админа

При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет — двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.

Обратил внимание на фразу «Простота администрирования». Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.

Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.

Случайная перезагрузка в результате сбоя ПО — поездка в ЦОД. Да, есть способы не ездить в ЦОД, но тогда смысл двухфакторки теряется. Ну, или сервер под столом держать.

Комплектация

Внешний вид

Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен — видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.

Установка

Подключаем внешний считыватель для iButton.

Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.

Сохраняемся — перезагружаем сервер.

Обнаружено новое устройство. Рекомендую ребутнуться второй раз.

Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.

Соболь перехватывает управление.

Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.

Снимаем джампер J0. Собираем всё.

Соболь перехватывает управление.

Соболь без джампера J0 переходит в режим инициализации. Выбираем «Инициализация платы».

Открывается окно «Общие параметры системы». Можно установить необходимые параметры. Нажимаем Esc.

Открывается окно «Контроль целостности». Можно установить необходимые параметры. Нажимаем Esc.

Ждём. Соболь любит тестировать датчик случайных чисел.

Производится первичная регистрация администратора. Да.

Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.

Предупреждение, что ключ отформатируется. Да.

Вы уверены? Винду напоминает. Да.

Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.

Нам говорят, чтобы мы перемычку вернули обратно. Ок. Сервер выключается.

Добираемся до платы соболя и ставим обратно джампер на J0.

Грузимся в Legacy. Соболь перехватывает управление.

Нас просят воткнуть ключ. Втыкаем.

Выбираем «Загрузка операционной системы». Enter.

И вот теперь загрузка ОС началась. И так будет каждый раз при перезагрузке сервера.

источник

4233 — Настройки BIOS для совместной работы с ПАК «Соболь»

Проблема

Решение

Ниже собраны параметры BIOS материнских плат, которые могут влиять на работу платы ПАК «Соболь» («всплытие» расширения BIOS платы «Соболь», поддержка USB-идентификаторов). Однако следует отметить, что наличие или отсутствие конкретного параметра и его влияние зависит от типа и версии BIOS Setup.
1. EFI/UEFI.
Для корректной работы платы ПАК «Соболь» в настройках системной BIOS отключить загрузку EFI-Shell (или других приложений стандарта EFI/UEFI) или как минимум поставить его не на первое место (т.е. первой должна загружаться какая-нибудь ОС). При таких настройках необходимо подключить и настроить сторожевой таймер.
1.1. UEFI Boot (Enabled, Disabled). Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Disabled. Иначе возможна загрузка приложений стандарта EFI/UEFI.
2. Настройки USB.
Исследовать настройки USB необходимо лишь в том случае, если планируется использование электронных идентификаторов типа USB, а при текущих настройках возникают ошибки работы в поддержке USB-идентификаторов.
2.1. USB 1.1 Controller (Enabled, Disabled). Опция отвечает за стандартный USB-контроллер чипсета. Значение Enabled позволяет задействовать этот контроллер, Disabled — отключить его. Для возможности включения поддержки USB-идентификаторов в ПАК «Соболь» параметр должен принимать значение Enabled.
2.2. USB 2.0 Controller (Enabled, Disabled). Опция позволяет указать версию спецификации, которую будет использовать USB-контроллер чипсета. При выборе Disabled контроллер будет работать в режиме USB 1.1, значение Enabled позволяет задействовать и современный режим USB 2.0. При выборе значения параметра Disabled пропадет возможность работать с USB-идентификаторами в режиме 2.0.
2.3. USB 2.0 Controller mode (FullSpeed, HiSpeed). Конфигурация USB-контроллера: HiSpeed – 480 Мбит/с (соответствует USB 2.0), FullSpeed – 12 Мбит/с (соответствует USB 1.1). При выборе параметра FullSpeed пропадет возможность работать с USB-идентификаторами в режиме 2.0.
2.4. USB Function (Enabled, Disabled). Enabled — позволяет работать с USB-контроллерами. Disabled — отключает шину USB.
2.5. Legacy USB Support (Auto, Enabled, Disabled). Позволяет поддерживать Legacy USB. Опция Auto запрещает поддержку Legacy, если не подключено USB-устройство. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled.
3. Сетевые настройки.
Перечисленные ниже указания по настройке носят рекомендательный характер. Иногда для того чтобы плата ПАК «Соболь» начала корректно работать, необходимо изменение сразу нескольких параметров BIOS Setup.
3.1. Boot to Network (Enabled, Disabled). Включает загрузку компьютера по сети. На некоторых платах определяет – будет ли инициализироваться устройство типа «сетевая плата». Поэтому если настройка неактивна, то расширение платы ПАК «Соболь» не всплывает. Если поставить Disabled, будет осуществляться загрузка компьютера без «всплытия» платы ПАК «Соболь». Поэтому параметр должен быть выставлен в Enabled.
3.2. Boot from LAN first (Enabled, Disabled). Включает загрузку компьютера по сети. При этом первоначально будет производиться попытка загрузить операционную систему с сервера, используя локальную сеть, и только если это невозможно, будет осуществляться загрузка с дисков компьютера. Выставление этого параметра в Enabled может привести к игнорированию загрузки платы ПАК «Соболь». Однако если мы хотим использовать плату в режиме загрузочного устройства (IPL), следует присвоить параметру значение Enabled.
3.3. PXE boot to LAN (Enabled, Disabled). Включает возможность загрузки с сетевой карты по стандарту PXE. Параметр аналогичен Boot to Network и должен быть выставлен в Enabled (чаще всего имеет значение при использовании платы в режиме загрузочного устройства (IPL)).
3.4. Slot Security (Enabled, Disabled). Состояние слота PCI/PCI-E. Если значение параметра установить в Disabled, то PCI/PCI-E слот будет отключен. Для корректной работы платы ПАК «Соболь» параметр соответствующего слота (в который установлена плата) должен быть выставлен в значение Enabled.
3.5. Launch PXE OpROM (Enabled, Disabled). Параметр аналогичен PXE boot to LAN. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Enabled.
3.6. PXE Boot Agent (Enabled, Disabled). Если плата ПАК «Соболь» не «всплывает», то изменение данного параметра может восстановить работу платы. Для этого попробуйте выставить данный параметр в значение Disabled для всех сетевых карт, кроме ПАК «Соболь».
3.7. Lan Option ROM (Enabled, Disabled). Эта опция позволяет разрешить (значение Enabled) или запретить (значение Disabled) сетевую загрузку компьютера посредством интегрированного сетевого адаптера. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled.
4. Порядок загрузочных устройств.
Для того чтобы использовать плату в режиме загрузочного устройства (IPL*), необходимо определить ее первым загрузочным устройством в BIOS Setup.
4.1. Boot Drive Order. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. В большинстве случаев при выборе этой опции (нажатием на ней клавиши ) вы попадаете в дополнительное меню, где можно уже непосредственно выбрать порядок опроса накопителей.
4.2. Boot Device Select. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.
4.3. Boot Sequence. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.

* Данная возможность доступна начиная с версии 3.0.3 (build141) только при наличии специального джампера на плате PCI-E или с отдельной версией прошивки на плате PCI.

5. Настройки HDD.
5.1. Hard Disk Write Protect (Enabled, Disabled). Включение данной опции (Enabled) запрещает запись на жесткие диски, установленные в компьютере. Достаточно сложно представить себе ситуацию, когда это потребовалось бы (даже операционная система во время своей работы постоянно «сбрасывает» на диск различную информацию), поэтому для корректной работы с шаблонами контроля целостности данная опция должна быть выключена (Disabled). Встречается нечасто.

источник

Программно-аппаратный комплекс. Соболь Версия 3.0. Руководство администратора RU

1 Программно-аппаратный комплекс Соболь Версия 3.0 Руководство администратора RU

2 Компания «Код Безопасности», Все права защищены. Все авторские права на эксплуатационную документацию защищены. Этот документ входит в комплект поставки изделия. На него распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании «Код Безопасности» этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью. Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании «Код Безопасности». Почтовый адрес: , г. Москва, ул. Сущевский Вал, дом 47, стр. 2, помещение 1 Телефон: (495) Факс: (495) Web: Последнее обновление:

3 Оглавление Список сокращений. 5 Введение. 6 Глава 1. Общие сведения. 7 Назначение. 7 Принципы функционирования. 7 Механизм идентификации и аутентификации. 8 Механизм блокировки загрузки операционной системы со съемных носителей. 9 Механизм контроля целостности. 9 Механизм сторожевого таймера Требования к оборудованию и программному обеспечению. 11 Варианты применения. 12 Специальные рекомендации. 12 Глава 2. Установка и удаление комплекса Установка комплекса. 16 Установка программного обеспечения комплекса Подготовка комплекса к инициализации Инициализация комплекса Подготовка комплекса к эксплуатации Обновление программного обеспечения. 31 Удаление комплекса. 31 Удаление программного обеспечения Изъятие платы комплекса из компьютера Глава 3. Настройка и эксплуатация комплекса Общий порядок настройки. 33 Настройка общих параметров. 36 Контроль целостности. 38 Управление пользователями. 39 Регистрация пользователя Настройка параметров учетной записи Удаление учетной записи пользователя Принудительная смена пароля и аутентификатора пользователя Смена пароля и аутентификатора администратора. 46 Контроль работоспособности комплекса. 50 Тест памяти платы Тест датчика случайных чисел Тест идентификатора Последовательное выполнение всех тестов Работа с журналом регистрации событий. 53 Просмотр записей журнала Очистка журнала Служебные операции. 54 Программная инициализация комплекса Создание резервной копии идентификатора администратора Глава 4. Настройка механизма контроля целостности Модель данных механизма контроля целостности. 56 Программа управления шаблонами контроля целостности. 57 Корректировка шаблонов контроля целостности. 58 Создание одиночных ресурсов Создание групп ресурсов Добавление объектов в задание на контроль целостности Удаление объектов из задания на контроль целостности Формирование отчета о контролируемых объектах Сохранение, импорт и экспорт модели данных. 69 Руководство администратора 3

4 Сохранение Экспорт Импорт Расчет эталонных значений контрольных сумм. 70 Приложение Сообщения комплекса «Соболь». 71 Информация, сообщаемая администратору при входе в систему Сведения о пользователе, отображаемые в списке пользователей Сообщения о событиях, приводящих к блокировке компьютера Предупреждающие и информационные сообщения Сообщения механизма контроля целостности Сообщения об ошибках при тестировании комплекса События, регистрируемые комплексом «Соболь». 81 Эксплуатация в режиме совместного использования. 82 Меню администратора Общие параметры Журнал регистрации событий Управление пользователями Расчет контрольных сумм Терминологический справочник Документация Предметный указатель Руководство администратора 4

5 Список сокращений АИП АПКШ ВТСС ДСЧ КПП КС КЦ НЖМД НСД ОЗУ ОС ПАК ПО ПСЗИ СЗИ УНП ЭВТ Аутентифицирующая информация пользователя Аппаратно-программный комплекс шифрования Вспомогательные технические средства и системы Датчик случайных чисел Ключ преобразования паролей Контрольная сумма Контроль целостности Накопитель на жестком магнитном диске Несанкционированный доступ Оперативное запоминающее устройство Операционная система Программно-аппаратный комплекс Программное обеспечение Программное средство защиты информации Средство защиты информации Уникальный номер платы Электронная вычислительная техника Руководство администратора 5

6 Введение Данное руководство предназначено для администраторов изделия «Программно-аппаратный комплекс «Соболь». Версия 3.0″ RU (далее комплекс «Соболь», комплекс). В нем содержатся сведения, необходимые для установки, настройки и эксплуатации комплекса «Соболь». Сведения об установке и настройке ПО комплекса на компьютерах, функционирующих под управлением ОС МСВС 3.0 и VMware ESX, приводятся в документах [ 2 ] и [ 3 ] соответственно. Структура руководства Сведения, необходимые пользователю комплекса «Соболь», содержатся в документе [ 4 ]. Материал руководства организован следующим образом: Глава 1 содержит общие сведения о функционировании защитных механизмов комплекса «Соболь»; в Главе 2 содержатся сведения об установке и удалении комплекса в среде ОС Windows; в Главах 3 и 4 содержится информация, относящаяся к настройке и эксплуатации комплекса; в Приложении приведена необходимая справочная информация. Условные обозначения Другие источники информации В руководстве для выделения некоторых элементов текста (примечаний и ссылок) используется ряд условных обозначений. Внутренние ссылки обычно содержат указание на номер страницы с нужными сведениями. Ссылки на другие документы или источники информации размещаются в тексте примечаний или на полях. Важная и дополнительная информация оформлена в виде примечаний. Степень важности содержащихся в них сведений отображают пиктограммы на полях. Так обозначается дополнительная информация, которая может содержать примеры, ссылки на другие документы или другие части этого руководства. Такой пиктограммой выделяется важная информация, которую необходимо принять во внимание. Эта пиктограмма сопровождает информацию предостерегающего характера. Исключения. Некоторые примечания могут и не сопровождаться пиктограммами. А на полях, помимо пиктограмм примечаний, могут быть приведены и другие графические элементы, например, изображения кнопок, действия с которыми упомянуты в тексте расположенного рядом абзаца. Сайт в Интернете. Если у вас есть доступ в Интернет, вы можете посетить сайт компании «Код Безопасности» ( или связаться с представителями компании по электронной почте и Учебные курсы. Освоить аппаратные и программные продукты компании «Код Безопасности» можно на курсах Учебного центра «Информзащита». Перечень курсов и условия обучения представлены на сайте Связаться с представителем учебного центра можно по электронной почте Руководство администратора 6

7 Глава 1 Общие сведения Назначение Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера. Комплекс «Соболь» реализует следующие основные функции: идентификация и аутентификация пользователей компьютера при их входе в систему с помощью персональных электронных идентификаторов ibutton, etoken PRO, ikey 2032, Rutoken S, Rutoken RF S (см. Табл. 1 на стр. 8); защита от несанкционированной загрузки операционной системы со съемных носителей дискет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB-устройств и др.; блокировка компьютера при условии, что после его включения управление не передано расширению BIOS комплекса «Соболь»; контроль целостности файлов, физических секторов жесткого диска, элементов системного реестра компьютера до загрузки операционной системы; контроль работоспособности основных компонентов комплекса датчика случайных чисел, энергонезависимой памяти, персональных электронных идентификаторов; регистрация событий, имеющих отношение к безопасности системы; совместная работа с АПКШ «Континент», СЗИ Secret Net, vgate, Security Studio Honeypot Manager, «Континент-АП» и «КриптоПро CSP». Комплекс «Соболь» может использоваться на территории Российской Федерации в качестве средства защиты от НСД к конфиденциальной информации, не содержащей сведения, составляющие государственную тайну, а также к информации, содержащей сведения, составляющие государственную тайну со степенью секретности «совершенно секретно» включительно. Принципы функционирования Действие комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты персональный идентификатор и пароль, то пользователь получает право на вход. При их отсутствии вход в систему данного пользователя запрещается. Пояснение. Пользователь получает допуск к компьютеру после регистрации его в списке пользователей комплекса «Соболь». Регистрация пользователей осуществляется администратором и состоит в присвоении пользователю имени, персонального идентификатора и назначении пароля. Регистрация администратора осуществляется при инициализации комплекса. В комплексе «Соболь» реализованы следующие основные защитные механизмы: идентификация и аутентификация пользователей; блокировка загрузки ОС со съемных носителей; контроль целостности файлов, секторов жесткого диска, элементов системного реестра компьютера; сторожевой таймер; регистрация событий, имеющих отношение к безопасности системы. Пояснение. Комплекс «Соболь» может функционировать как с использованием механизмов контроля целостности и сторожевого таймера, так и без них. Комплекс «Соболь» функционирует в двух режимах инициализации и эксплуатации (рабочем режиме). Режим инициализации предназначен для подготовки комплекса к эксплуатации. В комплексе «Соболь» реализованы два способа инициализации аппаратный и программный. Руководство администратора 7

8 Аппаратная инициализация выполняется до начала рабочего режима комплекса и заключается в реализации следующих основных процедур: переключение платы комплекса в режим инициализации (см. стр. 22), настройка общих параметров (см. стр. 24), настройка контроля целостности (см. стр. 26), регистрация администратора (см. стр. 26). Программная инициализация отличается от аппаратной тем, что она выполняется во время рабочего режима функционирования комплекса и не требует переключения платы в режим инициализации. Остальные процедуры реализуются аналогично. Механизм идентификации и аутентификации Механизм идентификации и аутентификации обеспечивает проверку полномочий пользователя на вход при попытке входа в систему. Идентификация (распознавание) и аутентификация (проверка подлинности) пользователей осуществляется при каждом входе пользователя в систему. Для идентификации пользователей в комплексе «Соболь» используются уникальные номера аппаратных устройств идентификаторов (см. Табл. 1). При аутентификации осуществляется проверка правильности указанного пользователем пароля с использованием аутентификатора пользователя. Пояснение. Аутентификатор структура данных, хранящаяся в персональном идентификаторе пользователя (в преобразованном виде), которая наравне с паролем пользователя участвует в процедуре аутентификации пользователя. Табл. 1. Идентификаторы, используемые в комплексе «Соболь» Идентификаторы USB-идентификаторы ibutton USB-ключи Смарт-карты DS1992 etoken PRO etoken PRO DS1993 DS1994 Rutoken S Rutoken RF S DS1995 ikey 2032 DS1996 В зависимости от типа предъявляемого идентификатора в комплексе «Соболь» поддерживаются двухфакторный (для ibutton, ikey 2032, Rutoken S, Rutoken RF S) и усиленный двухфакторный (для etoken PRO) способы аутентификации. При реализации двухфакторной аутентификации сначала предъявляется персональный идентификатор ibutton/ikey 2032/Rutoken S/Rutoken RF S, затем вводится пароль пользователя. При осуществлении усиленной двухфакторной аутентификации сначала предъявляется персональный идентификатор etoken PRO, затем вводятся его PIN-код и пароль пользователя. Для всех etoken PRO (как USB-ключей, так и смарт-карт) производителем устанавливается PIN-код по умолчанию , который обеспечивает при его предъявлении автоматический доступ к памяти идентификатора. Для повышения эффективности защиты информации от НСД администратор комплекса должен установить PIN-код, отличный от PIN-кода по умолчанию. В этом случае после предъявления etoken PRO комплекс обязательно запрашивает его значение. Необходимо ввести установленный PIN-код и нажать «Enter». Внимание. В случае установки администратором значения PIN-кода USB-идентификатора etoken PRO, отличного от PIN-кода по умолчанию, администратор обязан при выдаче пользователю идентификатора сообщить ему это значение. В случае предъявления персонального идентификатора, не зарегистрированного в системе: вход пользователя в систему запрещается; в журнале регистрации событий фиксируется попытка несанкционированного доступа к компьютеру. В случае ввода пароля, не соответствующего предъявленному идентификатору: вход пользователя в систему запрещается; Руководство администратора 8

9 счетчик неудачных попыток входа пользователя в систему увеличивается на единицу; Пояснение. В том случае, когда число неудачных попыток входа пользователя сравняется с максимально допустимым значением, заданным администратором, вход данного пользователя в систему блокируется. Если число неудачных попыток меньше максимально допустимого значения, то счетчик неудачных попыток сбрасывается (обнуляется) при первом успешном входе пользователя в систему. в журнале регистрации событий фиксируется попытка несанкционированного доступа к компьютеру. Служебная информация о регистрации пользователя (имя, номер присвоенного персонального идентификатора и т. д.) хранится в энергонезависимой памяти комплекса «Соболь». Комплекс «Соболь» предоставляет администратору следующие дополнительные возможности по управлению процедурой идентификации и аутентификации и процедурами смены пароля и аутентификатора пользователя: ограничение времени, отводящегося пользователю при входе в систему для предъявления персонального идентификатора и ввода пароля; ограничение времени действия пароля и аутентификатора пользователя, по истечении которого пользователь будет вынужден сменить свой пароль и аутентификатор; Пояснение. Эта возможность доступна только при использовании персональных идентификаторов ibutton DS1994. режим использования случайных паролей для процедур смены пароля пользователя и администратора и процедуры регистрации нового пользователя; ограничение минимально допустимой длины пароля пользователя. Внимание! В режиме совместного использования комплекса «Соболь» с другими системами защиты (например, СЗИ семейства Secret Net) управление паролями и аутентификаторами администратора и пользователя осуществляется средствами управления той системы защиты, совместно с которой функционирует этот комплекс. Механизм блокировки загрузки операционной системы со съемных носителей Блокировка несанкционированной загрузки операционной системы с внешних съемных носителей (дискет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB-устройств и др.) осуществляется путем блокирования доступа к указанным устройствам с момента включения компьютера и до завершения процесса загрузки штатной копии ОС. После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается. Запрет распространяется на всех пользователей компьютера, за исключением администратора. Администратор может разрешить отдельным пользователям компьютера выполнять загрузку операционной системы со съемных носителей. Механизм контроля целостности Механизм контроля целостности обеспечивает контроль целостности содержимого ресурсов компьютеров. Контроль целостности это функция, которая предназначена для слежения за изменением параметров заданных ресурсов. Используемый в комплексе «Соболь» механизм контроля целостности позволяет контролировать неизменность файлов, физических секторов жесткого диска, элементов системного реестра компьютера до загрузки операционной системы. Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями. Формирование списка подлежащих контролю объектов производится с помощью программы управления шаблонами контроля целостности. Программа вхо- Руководство администратора 9

Читайте также:  Установка пневмоподвеска на гелендваген

10 дит в комплект поставки комплекса. Списки контролируемых объектов и значения их контрольных сумм хранятся в виде файлов-шаблонов на жестком диске компьютера. Пути к файлам-шаблонам хранятся в защищенной памяти платы ПАК. Пояснение. Шаблоны КЦ представляют собой служебные файлы Bootfile.chk, Bootfile.nam, Bootsect.chk, Bootsect.nam, Bootreg.chk и Bootreg.nam. Эти файлы определяют местоположение каждого контролируемого объекта. Исходные шаблоны создаются при установке программы управления шаблонами. Возможность расчета контрольных сумм предоставляется только администратору комплекса «Соболь». При расчете значения контрольных сумм контролируемых объектов записываются в файлы-шаблоны. После этого рассчитываются контрольные суммы самих файлов-шаблонов и их значения сохраняются в защищенной памяти платы комплекса. Значения контрольных сумм рассчитываются по алгоритму ГОСТ в режиме выработки имитовставки. Проверка контрольных сумм контролируемых объектов осуществляется при входе пользователей в систему. Процедура контроля целостности сначала рассчитывает контрольные суммы файлов-шаблонов и сравнивает их со значениями, сохраненными в защищенной памяти платы ПАК. После этого рассчитываются и проверяются контрольные суммы всех контролируемых объектов. Механизм контроля целостности реализует два режима: «жесткий» и «мягкий». Режим работы устанавливается администратором для каждого пользователя компьютера индивидуально. В «жестком» режиме при обнаружении нарушений целостности файловшаблонов или контролируемых объектов вход пользователя в систему запрещается и компьютер блокируется. В журнале событий регистрируется событие «Ошибка при контроле целостности». В «мягком» режиме при обнаружении нарушений целостности файлов-шаблонов или контролируемых объектов вход пользователя в систему разрешается. В журнале событий регистрируется событие «Ошибка при контроле целостности». В комплексе «Соболь» процедуре контроля целостности файлов и секторов жестких дисков предшествует проверка содержимого журнала транзакций NTFS, EXT3. Если в журнале имеются сведения о незавершенных операциях, то контроль целостности не проводится и осуществляется блокировка компьютера. Механизм сторожевого таймера Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь». Блокировка доступа к компьютеру осуществляется путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Во избежание потери данных приложений, вызванной срабатыванием механизма сторожевого таймера во время выхода компьютера из ждущего режима, не используйте ждущий режим ОС Windows, если в параметрах BIOS включен энергосберегающий режим ACPI «S3» или «S4» (Suspend To RAM). В этих случаях рекомендуется вместо ждущего режима использовать в ОС Windows спящий режим или изменить энергосберегающий режим BIOS. Для использования данного механизма необходимо правильно подключить к плате комплекса «Соболь» кабель механизма сторожевого таймера (см. п. 4 процедуры на стр. 22). Если кабель не подключен механизм сторожевого таймера не действует. Руководство администратора 10

11 Требования к оборудованию и программному обеспечению Комплекс «Соболь» устанавливается на компьютеры, оснащенные 32- или 64- разрядными процессорами. Для подключения платы комплекса системная плата компьютера должна быть оснащена: либо шиной стандарта PCI Express (далее PCI-E) версии 1.0а и выше, на которой должен быть в наличии хотя бы один свободный разъем; либо шиной стандарта PCI версий 2.0/2.1/2.2/2.3 с напряжением питания 5 В или 3,3 В, на которой должен быть в наличии хотя бы один свободный разъем. На системной плате компьютера должен находиться разъем Reset, обеспечивающий возможность подключения кабеля механизма сторожевого таймера из комплекта поставки ПАК, подачу сигналов на который невозможно отключить из BIOS Setup или каким-либо другим образом. Комплекс «Соболь» поддерживает работу с идентификаторами ibutton (DS1992, DS1993, DS1994, DS1995, DS1996), USB-ключами etoken PRO, ikey 2032, Rutoken S, Rutoken RF S, смарт-картами etoken PRO. Работоспособность комплекса «Соболь» не зависит от типа используемой операционной системы, поэтому комплекс можно устанавливать на компьютеры, работающие под управлением различных операционных систем. Реализованный в комплексе механизм контроля целостности включает в свой состав программные компоненты, успешная работа которых зависит от операционной системы компьютера. Механизм функционирует в среде следующих ОС с файловыми системами FAT 16, FAT 32, NTFS, UFS2, UFS, EXT2, EXT3: Windows Server 2008/Server 2008 x64 Edition/Server 2008 R2; Windows 7/7 x64 Edition; Windows Vista (Enterprise, Business, Ultimate)/Vista (Enterprise, Business, Ultimate) x64 Edition; Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/ Server 2003 R2 x64 Edition; Windows XP Professional/XP Professional x64 Edition; Trustverse Linux XP Desktop 2008 Secure Edition; МСВС 3.0; VMware ESX 3.5/4.0. Механизм контроля целостности позволяет контролировать целостность файлов и секторов жестких дисков в среде ОС FreeBSD 5.3/6.2/ 6.3/7.2 с файловой системой UFS, UFS2. Однако программные компоненты, обеспечивающие управление шаблонами контроля целостности в среде ОС FreeBSD, в комплект поставки не включены. При использовании механизма контроля целостности необходимо соблюдать следующие требования: Запрещается использование на компьютере любых менеджеров загрузки ОС (boot manager), обеспечивающих функционирование нескольких ОС. Например, ОС Windows XP при использовании boot manager Windows XP. Невозможен контроль целостности файлов, преобразованных любыми другими программами, например, криптографии (BestCrypt и т. п.) или сжатия дисков (Drivespace и т. п.). Запрещается подвергать сжатию каталог, содержащий служебные файлы механизма контроля целостности. Применение механизма контроля целостности для логических дисков, являющихся наборами томов Windows XP/2003/Vista/7/2008 (volume set и stripe set), не поддерживается. Работа механизма КЦ характеризуется следующими особенностями: При задании пути к файлам шаблонов КЦ для FAT не поддерживается возможность задания путей в длинном виде. Не поддерживается контроль целостности файлов на дисках, размеченных как GUID Partition Table. Не поддерживается контроль целостности ресурсов на более чем 26 логических дисках. Руководство администратора 11

12 Не поддерживается возможность контроля целостности секторов, расположенных на диске за пределами 2 Тбайт. Не поддерживается контроль целостности файлов, расположенных на динамических дисках. Перед созданием автоматизированной системы в защищенном исполнении с применением ПАК «Соболь» целесообразно проведение работ по проверке совместимости ПАК и компьютеров, в составе которых предполагается его использование. Варианты применения Возможны следующие варианты применения комплекса «Соболь»: автономный комплекс, обеспечивающий защиту автономных компьютеров, а также рабочих станций и серверов, входящих в состав локальной вычислительной сети; комплекс, обеспечивающий защиту автономных компьютеров, рабочих станций сети и серверов в составе СЗИ семейства Secret Net; комплекс, обеспечивающий защиту от несанкционированного вмешательства посторонних лиц в работу криптографического шлюза АПКШ «Континент»; комплекс, функционирующий совместно со средствами защиты информации «Континент-АП», «КриптоПро CSP», Security Studio Honeypot Manager, vgate. Работа комплекса «Соболь» в составе СЗИ семейства Secret Net или АПКШ «Континент» осуществляется в режиме совместного использования. Ограничения этого режима рассматриваются на стр. 82. Специальные рекомендации Комплекс «Соболь» может быть использован в качестве средства защиты от НСД к техническим, программным и информационным ресурсам компьютеров, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну со степенью секретности до «совершенно секретно» включительно, при условии проведения проверки выполнения требований, изложенных в разделе «Требования к оборудованию и программному обеспечению» и в данном разделе, специализированной организацией с последующей экспертизой в войсковой части 43753, а также при условии выполнения следующих требований: соблюдение условий и правил эксплуатации, установленных в эксплуатационной документации комплекса и в Предписании на эксплуатацию компьютера с установленным ПАК; сохранение в тайне аутентификаторов и паролей администратора и пользователей, а также информации, записанной в энергонезависимую память платы комплекса «Соболь». Комплекс «Соболь» может быть использован в качестве средства защиты от НСД к техническим, программным и информационным ресурсам при запуске компьютеров, обрабатывающих конфиденциальную информацию, не содержащую сведений, составляющих государственную тайну, при условии выполнения следующих требований: соблюдение условий и правил эксплуатации, установленных в эксплуатационной документации комплекса; сохранение в тайне личных аутентификаторов и паролей администратора и пользователей, а также информации, записанной в энергонезависимую память платы комплекса «Соболь». При эксплуатации комплекса должны выполняться следующие требования: 1. На компьютере с установленным комплексом «Соболь» должны быть проведены исследования технических средств компьютера (в том числе исследования системной программы BIOS) на предмет отсутствия в их реализации аппаратно-программных механизмов, которые могут привести к нарушению правильности функционирования компьютера и комплекса или к утечке защищаемой информации. 2. Должны быть приняты организационно-технические меры по сохранению целостности корпуса компьютера, исключающие НСД к аппаратным средст- Руководство администратора 12

13 вам изделия и техническим средствам компьютера, расположенным внутри его системного блока. 3. Должны быть предусмотрены меры, препятствующие модификации (перепрограммированию) как системной программы BIOS, так и расширений BIOS в компьютере с установленным комплексом «Соболь». 4. Продолжительность сеанса работы изделия, то есть время между включением (перезагрузкой) компьютера и началом загрузки ОС, не должна превышать 24 часов. 5. Количество комплексов, инициализируемых и обслуживаемых одним администратором, не должно превышать Максимальный срок действия КПП и УНП не должен превышать 3 лет. Для выполнения этого требования необходимо не реже чем 1 раз в 3 года проводить инициализацию всех ПАК, обслуживаемых данным администратором, с первичной регистрацией администратора на первом комплексе. 7. При установке аппаратных компонентов комплекса обязательно подключение кабеля механизма сторожевого таймера, входящего в комплект поставки. 8. При использовании комплекса «Соболь» для защиты от НСД ресурсов компьютеров, обрабатывающих конфиденциальную информацию, не содержащую сведений, составляющих государственную тайну, администратор должен установить следующие значения параметров: «Версия криптографической схемы» «2.0»; «Автономный режим работы» «Да»; Пояснение. Значение «Нет» может быть установлено только при выполнении условия 17. «Контроль файлов и секторов» «Да»; Также необходимо настроить контроль целостности объектов ОС в составе, достаточном для ее гарантированной загрузки и контроля необходимых файлов пользователей. «Контроль журнала транзакций» «Да» (в случае контроля целостности файлов, расположенных на томах с файловой системой NTFS или EXT3); «Контроль элементов реестра» «Да»; «Число попыток тестирования ДСЧ» «1»; «Предельное число неудачных входов пользователя» не более «10»; «Ограничение времени на вход в систему» не более «5»; «Время ожидания сторожевого таймера» определяется автоматически на этапе инициализации комплекса или может быть выбрано таким образом, чтобы оно превосходило время появления приглашения на предъявление идентификатора не более чем на 10 секунд; «Период тестирования сторожевого таймера (дней)» «1»; «Режим контроля целостности» «Жесткий» для всех зарегистрированных пользователей, за исключением привилегированных; «Запрет загрузки с внешних носителей» «Да» для всех зарегистрированных пользователей. 9. При использовании комплекса «Соболь» для защиты от НСД ресурсов компьютеров, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну со степенью секретности до «совершенно секретно» включительно, администратор должен выполнить следующие требования: провести настройку комплекса в соответствии с условием 8, а также установить следующие значения параметров: «Использование случайных паролей» «Да»; «Минимальная длина пароля пользователя» не менее «8», при этом администратор должен использовать пароль длиной не менее 11 символов; «Предельное число неудачных входов пользователя» не более «8»; «Ограничение срока действия пароля» «Да» для всех зарегистрированных пользователей; Руководство администратора 13

14 Пояснение. При этом всем пользователям следует при регистрации присваивать персональные идентификаторы ibutton DS1994. «Замена аутентификатора при смене пароля» «Да» для всех зарегистрированных пользователей; «Максимальный срок действия пароля (дней)» не более «92» для всех зарегистрированных пользователей; Требование справедливо при условии, что количество попыток доступа зарегистрированного пользователя и администратора на всех комплексах, где они зарегистрированы с использованием одной и той же АИП (аутентификатора и пароля), не превосходит 10 раз за сутки или не более 920 раз за время действия АИП разрешается использовать персональные идентификаторы следующих типов: ibutton модификаций DS1992, DS1993, DS1994, DS1995, DS1996, а также USB-идентификаторы etoken PRO и Rutoken S/RF S; рекомендуется применять в качестве персональных идентификаторов пользователей носители типа ibutton DS1994; запрещается использовать в качестве персональных идентификаторов USB-идентификаторы ikey2032; администратор должен проводить смену собственного пароля и аутентификатора исходя из условия, что количество входов на все комплексы, которые он обслуживает, не должно превышать 920 (в среднем 10 входов в сутки), но не реже одного раза в 92 дня. Если используются персональные идентификаторы пользователей, отличные от ibutton типа DS1994, то администратор должен обеспечить смену паролей и личных аутентификаторов пользователей до истечения срока их действия, который определяется так же, как для администратора. Для выполнения этого требования должны быть разработаны организационные меры; запрещается регистрация пользователя с именем AUTOLOAD и присвоение параметру «Время ожидания автоматического входа в систему» значения, отличного от «0»; при эксплуатации комплекса в режиме совместного использования запрещается устанавливать режим ввода пароля с персонального идентификатора пользователя (при помощи внешнего по отношению к комплексу программного обеспечения) путем установки 5-го бита переменной поля Flags параметров пользователя в После блокирования учетной записи пользователя должно проводиться исследование причин блокирования. При выявлении попытки НСД или при невозможности установления причины блокирования учетные записи данного пользователя должны быть удалены на всех комплексах, в которых он был зарегистрирован, и проведена его перерегистрация (на первом комплексе должна быть проведена первичная регистрация) с вводом нового пароля. 11. При утере персонального идентификатора или компрометации его содержимого учетные записи данного пользователя должны быть удалены со всех комплексов, где он был зарегистрирован, и проведена его перерегистрация (на первом из комплексов перерегистрация должна проводиться в режиме первичной регистрации). 12. При утере персонального идентификатора администратора комплекса или компрометации его содержимого должна быть проведена инициализация всех комплексов, обслуживаемых данным администратором, при этом на первом из комплексов перерегистрация администратора должна проводиться в режиме первичной регистрации. 13. Периодичность просмотра администратором журнала регистрации событий должна быть определена из конкретных условий эксплуатации комплекса таким образом, чтобы исключить возможность бесконтрольной утери информации, вызванной переполнением журналов. 14. Должна быть обеспечена невозможность загрузки ОС с внешних устройств, то есть устройств, подключаемых к внешним интерфейсным разъемам компьютера, например, SATA, за исключением устройств, подключаемых через интерфейсы USB и IEEE Если BIOS компьютера не удовлетворяет требованиям спецификации Enhanced Disk Drive (EDD) версии 3.0, то должна Руководство администратора 14

15 быть обеспечена невозможность загрузки ОС с внешних устройств, то есть устройств, подключаемых к внешним интерфейсным разъемам компьютера. Проверка полноты реализации спецификации EDD версии 3.0 и, при необходимости, невозможности загрузки ОС с внешних устройств, подключаемых через интерфейс esata, должна проводиться при исследовании системной программы BIOS компьютера. Необходимо обеспечить невозможность загрузки ОС со всех загрузочных устройств, за исключением загрузочного системного НЖМД, после передачи управления ПАК программе загрузчику ОС, записанной в главной корневой записи (Master Boot Record) системного НЖМД. 15. При использовании комплекса «Соболь» в составе ПСЗИ необходимо обеспечить средствами ПСЗИ невозможность модификации или уничтожения файлов заданий на контроль целостности. 16. Комплекс «Соболь» может применяться в режиме совместного использования с внешними ПСЗИ при условии выполнения следующих требований: обеспечение невозможности доступа субъектов, не входящих в систему защиты, к конфигурационной и служебной информации комплекса; обеспечение смены паролей и аутентификаторов администратора и пользователей до истечения срока их действия. После истечения сроков действия пароля и/или аутентификатора пользователя в случае невозможности их смены учетные записи данного пользователя должны быть заблокированы или удалены на всех комплексах, где он зарегистрирован; при передаче по каналам связи обеспечение целостности данных комплекса с характеристиками не хуже, чем характеристики функции комплекса по контролю целостности программной среды; при передаче по каналам связи обеспечение недоступности данных комплекса или их конфиденциальности с характеристиками не хуже, чем характеристики функции комплекса по защите образцов для проведения идентификации/аутентификации пользователей. Выполнение перечисленных требований должно проверяться при проведении исследований работы комплекса совместно с ПСЗИ специализированной организацией с последующей экспертизой в войсковой части Перед выводом комплекса из эксплуатации должна быть проведена очистка энергонезависимой памяти платы комплекса путем проведения инициализации, при этом администратор должен быть зарегистрирован в режиме первичной регистрации. Персональный идентификатор, использованный для его регистрации, в дальнейшем может быть использован, при этом на первом комплексе он может применяться для регистрации администратора или пользователя только в режиме первичной регистрации. 18. Регламентные работы по техническому обслуживанию комплекса и компьютера должны проводиться не реже 1 раза в год. 19. Компьютер, в котором установлен комплекс «Соболь», должен быть аттестован в качестве объекта ЭВТ 2 или 3 категории в зависимости от степени секретности обрабатываемой информации или по требованиям нормативнометодического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержденного приказом Гостехкомиссии России 282 от г., и иметь соответствующее Предписание на эксплуатацию. При этом на расстоянии не менее 5 метров от ЭВТ 2 или 3 категории не допускается неконтролируемое размещение посторонних технических средств и кабелей. 20. Комплекс «Соболь» не налагает ограничений на возможность ведения секретных переговоров в помещениях, где он размещается. 21. При эксплуатации комплекса «Соболь» запрещается вносить изменения в его конструкцию и работать с открытой крышкой системного блока. Руководство администратора 15

16 Глава 2 Установка и удаление комплекса Установка комплекса Установка комплекса «Соболь» осуществляется в следующем порядке: установка программного обеспечения комплекса (см. ниже); подготовка комплекса к инициализации (см. стр. 22); инициализация комплекса (см. стр. 23); подготовка комплекса к эксплуатации (см. стр. 31). Порядок установки программного обеспечения комплекса «Соболь» в среде ОС МСВС 3.0 и VMware ESX рассмотрен в документах [ 2 ] и [ 3 ] соответственно. Установка программного обеспечения комплекса Программное обеспечение комплекса «Соболь» рекомендуется устанавливать до установки в компьютер платы комплекса. Установку ПО комплекса «Соболь» на компьютеры можно осуществить двумя способами: локально (см. ниже) или централизованно (см. стр. 18). Локальная установка Локальный способ заключается в установке администратором ПО комплекса непосредственно на каждом защищаемом компьютере. Для локальной установки программного обеспечения: 1. Поместите установочный компакт-диск в привод DVD/CD-ROM и запустите на исполнение файл Setup.exe. Программа установки выполнит подготовку к установке. После завершения подготовительных действий на экране появится стартовый диалог программы установки. 2. Ознакомьтесь с информацией, содержащейся в стартовом диалоге, и нажмите кнопку «Далее >» для продолжения установки. На экране появится диалог с текстом лицензионного соглашения. 3. Ознакомьтесь с содержанием лицензионного соглашения. Если вы согласны с условиями лицензионного соглашения, отметьте поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее >». На экране появится диалог с указанием пути размещения ПО комплекса. 4. Нажмите кнопку «Далее >». На экране появится диалог для выбора файла, в котором хранится список подлежащих контролю целостности объектов: Руководство администратора 16

17 По умолчанию исходный список подлежащих контролю целостности объектов содержится в файлах SICInstall.xml и SICInstall64.xml для 32- и 64-разрядных ОС соответственно. Файлы хранятся в каталоге %SystemDrive%\Program Files\Infosec\Sobol. Вы можете выбрать другие файлы. Для этого: отметьте поле «Использовать файл шаблонов» и нажмите кнопку «Обзор»; в появившемся диалоге выберите необходимый файл; нажмите кнопку «Открыть». 5. Нажмите кнопку «Далее >». На экране появится диалог, предлагающий начать процедуру установки. 6. Нажмите кнопку «Установить». Программа установки приступит к копированию файлов на жесткий диск компьютера. Ход процесса копирования отображается на экране в виде индикатора прогресса. В некоторых случаях на экране может появиться диалог со списком программ, использующих в данный момент системные файлы, которые должна обновить программа установки. Для обновления системных файлов без перезагрузки компьютера закройте перечисленные в списке программы, а затем нажмите в диалоге кнопку «Повторить». Для немедленного продолжения установки нажмите кнопку «Пропустить», но в этом случае по завершении установки вам, скорее всего, будет предложено перезагрузить компьютер. Затем программа установки регистрирует в системе драйвер платы комплекса «Соболь» и формирует шаблоны контроля целостности. После успешного выполнения процедуры установки на экране появится завершающий диалог программы установки: Руководство администратора 17

18 Отметьте поле для автоматического запуска программы управления шаблонами КЦ Для запуска программы управления шаблонами КЦ после установки ПО комплекса отметьте соответствующее поле. 7. Нажмите кнопку «Готово». Обычно перезагрузка компьютера после завершения установки не требуется. В результате установки: в главном меню Windows в подменю «Все программы» появится команда запуска программы управления шаблонами КЦ: Рис. 1. Команда запуска программы управления шаблонами КЦ в случае автоматического запуска на экране появится окно «Управление шаблонами КЦ». Централизованная установка Централизованный способ заключается в создании и реализации групповой политики автоматической установки ПО на компьютерах домена средствами ОС Windows. Централизованная установка комплекса «Соболь» осуществляется в следующем порядке: создание общедоступного сетевого ресурса с установочным дистрибутивом ПО комплекса (см. ниже); создание файла сценария установки (см. стр. 19); создание организационных подразделений (см. стр. 19); создание групповых политик для организационных подразделений (см. стр. 20); включение централизованной установки ПО комплекса (см. стр. 20). Для создания общедоступного ресурса: Далее имена каталогов, файлов, организационных подразделений и групповых политик, используемые в примерах, выделяются курсивом. 1. На сетевом ресурсе создайте каталог (например, Distrib) и откройте к нему общий доступ. Рекомендуется не размещать общедоступный сетевой ресурс на системном диске или контроллере домена. Руководство администратора 18

19 2. В созданный каталог скопируйте файлы Data1.cab, Sobol.msi, Sobolx64.msi, находящиеся в каталоге Setup установочного компакт-диска комплекса «Соболь». Вызовите диалоговое окно настройки свойств каждого скопированного файла и удалите отметку (если она присутствует) в поле «Атрибуты: Только чтение» вкладки «Общие». 3. В случае использования шаблонов КЦ, отличных от шаблона КЦ по умолчанию, создайте файлы-шаблоны (например, UserTemplate.xml и UserTemplate-x64.xml для 32- и 64-разрядных компьютеров соответственно) и скопируйте их в сформированный общедоступный каталог. Для создания командного файла сценария установки: Для компьютеров с 32- и 64-разрядной ОС Windows создаются отдельные сценарии с использованием соответствующих файлов-шаблонов КЦ (Sobol.msi/UserTemplate.xml и Sobol-x64.msi/ UserTemplate-x64.xml). 1. Откройте текстовый редактор, позволяющий сохранять текст в кодировке ASCII. 2. В зависимости от выбранного варианта установки (обновления) ПО комплекса «Соболь» введите, к примеру, следующие команды: для установки ПО комплекса «Соболь» на компьютер с 32-разрядной ОС Windows с шаблоном КЦ по умолчанию: start /wait msiexec /i «\\ \distrib\ Sobol.msi» /qn ALLUSERS=1 для установки ПО комплекса «Соболь» на компьютер с 32-разрядной ОС Windows с шаблоном КЦ, отличным от шаблона КЦ по умолчанию: start /wait msiexec /i «\\ \distrib\ Sobol.msi» /qn ALLUSERS=1 TEMPLATE_ACTUAL=»\\ \distrib\usertemplate.xml» для обновления ПО комплекса «Соболь» на компьютере с 32-разрядной ОС Windows с сохранением шаблона КЦ предыдущей версии: start /wait msiexec /i «\\ \distrib\ Sobol.msi» /qn ALLUSERS=1 REINSTALL=ALL REINSTALLMODE=vomus IS_MINOR_UPGRADE=1 для обновления ПО комплекса «Соболь» на компьютере с 32-разрядной ОС Windows с шаблоном КЦ, отличным от шаблона КЦ по умолчанию: start /wait msiexec /i «\\ \distrib\ Sobol.msi» /qn ALLUSERS=1 REINSTALL=ALL REINSTALLMODE=vomus IS_MINOR_UPGRADE=1 TEMPLATE_ACTUAL=»\\ \distrib\usertemplate.xml» Для установки и обновления ПО на компьютерах с 64-разрядной ОС Windows в соответствующих командах укажите файлы Sobol-x64.msi/UserTemplate-x64.xml. 3. Сохраните файл сценария c расширением cmd (например, Scrypt.cmd) в созданном общедоступном каталоге. Для создания организационных подразделений: 1. На контроллере домена откройте оснастку «Active Directory пользователи и компьютеры» («Start Administrative Tools Active Directory Users and Computers») и выберите в дереве объектов домен, для компьютеров которого необходимо настроить автоматическую установку ПО. 2. Вызовите контекстное меню выбранного домена и активируйте команду «Создать» l «Подразделение» («New Organizational Unit»). Создайте в домене отдельные организационные подразделения для компьютеров с установленной 32- и 64-разрядной ОС Windows (например, «AutosetupX32» и «AutosetupX64» соответственно). 3. Переместите в созданные подразделения компьютеры домена, на которых необходимо выполнить автоматическую установку ПО комплекса «Соболь». После выполнения автоматической установки ПО комплекса переместите компьютеры из созданных организационных подразделений обратно в исходные места домена. Руководство администратора 19

20 Для создания групповых политик: 1. На контроллере домена откройте оснастку «Active Directory пользователи и компьютеры» («Active Directory Users and Computers»), выберите сформированное организационное подразделение, на компьютерах которого будет проводиться автоматическая установка, и вызовите диалоговое окно настройки свойств организационного подразделения. 2. Перейдите на вкладку «Групповая политика» и нажмите кнопку «Создать». На контроллере домена на базе ОС Windows Server 2008 для создания групповой политики подразделения воспользуйтесь оснасткой «Управление групповой политикой» («Start Administrative Tools Group Policy Management»). Перейдите к сформированному организационному подразделению и выберите для него «Create a GPO in this domain, and link it here «. 3. Введите имя создаваемой политики (например, «AutosetupX32″/ «AutosetupX64») и нажмите клавишу . 4. Нажмите кнопку «Изменить» («Edit»). На экране появится окно редактора групповых политик. 5. В дереве объектов политики перейдите к разделу «Конфигурация компьютера» l «Конфигурация Windows» l «Сценарии» («Computer Configuration Policies Windows Settings Scripts (Startup/Shutdown)») и вызовите диалоговое окно настройки свойств параметра «Автозагрузка» («Startup»). 6. В диалоговом окне нажмите кнопку «Добавить» («Add»). На экране появится диалог «Добавление сценария». 7. Заполните поля диалога: в поле «Имя сценария» введите полное имя (с указанием пути) файла сценария, размещенного в общедоступном сетевом ресурсе (например, \\ \distrib\scrypt.cmd); в поле «Параметры сценария» введите сетевой путь к общедоступному каталогу (например, \\ \distrib). 8. Нажмите «ОК», затем в диалоговом окне настройки свойств последовательно нажмите кнопки «Применить», «ОК» и закройте остальные окна. Совет. Если для автоматической установки ПО используется несколько организационных подразделений, то создавать отдельные групповые политики для каждого подразделения необязательно. В остальных подразделениях можно добавить ссылку на созданную групповую политику первого подразделения (для этого используйте кнопку «Добавить» на вкладке «Групповая политика» в окне настройки свойств организационного подразделения). Для включения централизованной установки ПО комплекса: 1. На контроллере домена откройте оснастку «Active Directory пользователи и компьютеры» («Active Directory Users and Computers»), выберите организационное подразделение, на компьютерах которого будет проводиться автоматическая установка, и вызовите диалоговое окно настройки свойств организационного подразделения. 2. Перейдите на вкладку «Групповая политика», выберите политику автоматической установки ПО и нажмите кнопку «Изменить» («Edit»). На экране появится окно редактора групповых политик. На контроллере домена на базе ОС Windows Server 2008 для создания групповой политики подразделения воспользуйтесь оснасткой «Управление групповой политикой» («Start Administrative Tools Group Policy Management»). 3. В дереве объектов политики перейдите к разделу «Конфигурация компьютера» l «Административные шаблоны» l «Система» («Computer Configuration Policies Administrative Template System») и в зависимости от ОС контроллера домена установите значения параметров, приведенные ниже в таблицах. Руководство администратора 20

Читайте также:  Установка пластиковых карнизов на гипсокартон

21 Табл. 2. Параметры для ОС Windows Server 2003, Server 2008 Подраздел Параметр Значение Вход в систему (Logon) Всегда ожидать инициализации сети при загрузке и входе в систему (Always wait for the network at computer startup and logon) Включен Сценарии (Scripts) Групповая политика (Group policy) Асинхронное выполнение сценариев загрузки (Run startup scripts asynchronously) Обработка политики сценариев (Scripts policy processing) Не применять во время периодической фоновой обработки (Do not apply during periodic background processing) Обрабатывать, даже если объекты групповой политики не изменились (Process even if the Group Policy objects have not changed) Отключен Включен Поставить отметку Поставить отметку Пояснение. Механизм автоматической установки ПО комплекса «Соболь» начинает действовать на компьютерах после обновления групповых политик на этих компьютерах. Применение заданных групповых политик осуществляется на компьютерах автоматически в соответствии с установленным режимом обновления политик. Для немедленного применения групповых политик на отдельном компьютере используйте стандартные средства (например, локальная утилита gpupdate). Автоматическая установка осуществляется на этапе загрузки компьютера до входа пользователя в систему, поэтому для запуска процесса установки пользователю необходимо перезагрузить компьютер. Руководство администратора 21

22 Подготовка комплекса к инициализации Для подготовки к инициализации: 1. Переключите плату комплекса «Соболь» в режим инициализации. Для этого снимите перемычку, установленную на разъеме J0 платы (см. Рис. 2, 3). Разъем для подключения внутреннего считывателя ibutton Разъем RST для подключения кабеля, соединяющего плату комплекса с кнопкой Reset Разъем J0 для выбора режима работы комплекса Разъем для подключения кабеля механизма сторожевого таймера TM WD RST J0 Программируемая логическая интегральная схема (ПЛИС) Flash-память для хранения кода расширения BIOS Разъем для подключения внешнего считывателя ibutton Рис. 2. Расположение разъемов на плате комплекса «Соболь» для шины PCI-E Разъем для подключения внутреннего считывателя ibutton Разъем J0 для выбора режима работы комплекса Разъем RST для подключения кабеля, соединяющего плату с кнопкой Reset Разъем для подключения кабеля механизма сторожевого таймера TM WD J0 RST Программируемая логическая интегральная схема (ПЛИС) Flash-память для хранения кода расширения BIOS Разъем для подключения внешнего считывателя ibutton Рис. 3. Расположение разъемов на плате комплекса «Соболь» для шины PCI Руководство администратора 22

23 2. Выключите компьютер. 3. Вскройте корпус системного блока. 4. Для использования механизма сторожевого таймера: отключите штекер стандартного кабеля кнопки «Reset» от разъема Reset, расположенного на материнской плате; подключите штекер стандартного кабеля кнопки «Reset» к разъему RST платы комплекса «Соболь» (см. Рис. 2, Рис. 3 на стр. 22); подключите штекер кабеля механизма сторожевого таймера, входящего в комплект поставки, к разъему платы WD. Затем подключите другой штекер этого кабеля к разъему Reset, расположенному на материнской плате. 5. Выберите свободный слот системной шины PCI-E/PCI и аккуратно вставьте в него соответствующую плату комплекса «Соболь». 6. При необходимости подключите к плате считыватель ibutton: при использовании внешнего считывателя подключите его штекер к разъему платы, расположенному на задней панели системного блока; при использовании внутреннего считывателя подключите его штекер к разъему TM. 7. Закройте корпус системного блока. Инициализация комплекса Инициализация комплекса «Соболь» выполняется в следующем порядке: 1. Запуск процедуры инициализации (см. ниже) 2. Настройка общих параметров комплекса (см. стр. 24) 3. Настройка контроля целостности (см. стр. 26) 4. Регистрация администратора комплекса (см. стр. 26) 5. Расчет контрольных сумм (см. стр. 29) Внимание! Перед запуском процедуры инициализации отключите от USB-портов компьютера все устройства класса USB Mass Storage Device (flash-накопители, CD-, DVD-приводы и т. п.). Шаг 1. Запуск процедуры инициализации 1. Включите питание компьютера. На экране появится окно: Для выбора параметра используйте клавиши <> и <>. Для изменения значения выбранного параметра нажмите клавишу . Версия 3.0 Режим инициализации Инициализация платы Диагностика платы В строке сообщений отображаются сообщения, выдаваемые комплексом, а также справочная информация о выполняемом действии Enter — Выбрать пункт — Переместить курсор Руководство администратора 23

24 Если после включения питания компьютера управление не было передано модулю расширения BIOS комплекса, то окно, показанное на рисунке, на экране не появится. В этом случае необходимо в BIOS Setup разрешить загрузку операционной системы с модулей расширения BIOS сетевых плат. В центре окна располагается меню режима инициализации. Совет. Прежде чем приступить к инициализации, рекомендуется проверить работоспособность комплекса «Соболь». Для этого выберите в меню команду «Диагностика платы» и нажмите клавишу . В появившемся на экране меню выберите команду «Выполнить все тесты» и нажмите клавишу . После успешного завершения всех тестовых процедур нажмите клавишу . Подробные инструкции по проведению контроля работоспособности содержатся на стр Выберите в меню команду «Инициализация платы» и нажмите . Шаг 2. Настройка общих параметров На экране появится следующий диалог: Общие параметры системы Версия криптографической схемы Число попыток тестирования ДСЧ Тестирование ДСЧ для пользователя Показ статистики пользователю Минимальная длина пароля Да Нет 8 Предельное число неудачных входов пользователя Время ожидания сторожевого таймера (сек.) Период тестирования сторожевого таймера (дней) — 0 Поддержка USB-идентификаторов — Нет Рис. 4. Диалог настройки общих параметров (режим инициализации) Назначение общих параметров разъясняется в Табл. 3 на стр. 25, за исключением параметра «Версия криптографической схемы», настройка которого выполняется только при инициализации комплекса «Соболь» и является обязательной. Внимание! Администратор, обслуживающий несколько комплексов «Соболь», должен на всех обслуживаемых комплексах установить одинаковую версию криптографической схемы. Установите для параметра «Версия криптографической схемы» значение: «2.0» если не требуется обеспечивать совместимость с предыдущими версиями комплекса. Рекомендуется выбирать это значение параметра. Пояснение. В этом случае невозможна повторная регистрация администратора (см. ниже) и пользователей (см. стр. 39) данного комплекса «Соболь» на комплексах предыдущих версий. Также невозможна повторная регистрация администратора и пользователей комплексов предыдущих версий на данном комплексе «Соболь». «1.0» чтобы обеспечить совместимость с предыдущими версиями комплекса. 1. Для настройки параметра выберите клавишей <> или <> строку с его названием и нажмите клавишу . В зависимости от выбранного параметра: значение изменится на противоположное («Да» или «Нет»); появится диалог для ввода значения параметра. В этом случае введите значение с клавиатуры и нажмите клавишу ; Совет. При исправлении ошибок ввода используйте клавиши <> и <> для перемещения курсора, а клавиши или для удаления символа. Нажмите клавишу , чтобы отказаться от изменения значения. параметр «Поддержка USB-идентификаторов» может принимать три значения «Нет»/»2.0″/»1.1». 2. Выполнив настройку параметров, нажмите клавишу для сохранения изменений и переходу к настройке контроля целостности. Руководство администратора 24

25 Табл. 3. Общие параметры комплекса «Соболь» (режим инициализации) Число попыток тестирования ДСЧ Определяет число попыток тестирования правильности работы ДСЧ комплекса «Соболь», выполняемого при входе в систему пользователей. Параметр может принимать значения от 1 до 3. Тестирование ДСЧ выполняется до первой удачной попытки, после чего тестирование прекращается и считается завершившимся успешно. Работа комплекса продолжается. Если же число неудачных попыток тестирования ДСЧ достигло числа, заданного данным параметром, выдается сообщение об ошибке тестирования ДСЧ и компьютер блокируется для входа всех пользователей, включая администратора. Тестирование ДСЧ для пользователя Позволяет включить или отключить тестирование правильности работы ДСЧ комплекса «Соболь», выполняющееся при входе в систему пользователей. Тестирование ДСЧ при входе в систему администратора отключить нельзя, оно выполняется всегда. Параметр может принимать два значения: «Да» тестирование ДСЧ выполняется или «Нет» тестирование ДСЧ отключено. Показ статистики пользователю Позволяет разрешить или запретить вывод на экран информационного окна, содержащего статистические сведения о работе пользователя. Окно появляется на экране после успешной идентификации пользователя. Параметр может принимать два значения: «Да» разрешить вывод окна или «Нет» запретить вывод окна. Минимальная длина пароля Определяет минимальную длину пароля пользователя в символах. Пользователю нельзя назначить пароль, число символов в котором меньше числа, заданного этим параметром. Параметр может принимать значения от 0 до 16. Если значение этого параметра равно «0», пользователю можно назначить пустой пароль, разрешив ему входить в систему без указания пароля (запрос пароля на экране не появится). Если при увеличении значения этого параметра длина паролей некоторых пользователей окажется меньше нового значения параметра, при входе в систему им будет предложено сменить свой старый пароль, без чего они не смогут загрузить ОС. Предельное число неудачных входов пользователя Определяет, сколько раз пользователь может допустить ошибку при входе в систему, указав неверный пароль. Параметр может принимать значения от 0 до Значение «0» означает, что число неудачных попыток входа пользователей в систему не ограничено. Если число неудачных попыток входа пользователя в систему равно числу, заданному этим параметром, вход этого пользователя в систему будет автоматически блокирован. Если текущее число неудачных входов пользователя в систему меньше значения этого параметра и данный пользователь успешно вошел в систему, то значение счетчика неудачных попыток входа автоматически сбрасывается (приравнивается нулю). Время ожидания сторожевого таймера Определяет интервал времени в секундах, по истечении которого осуществляется автоматическая перезагрузка компьютера, при условии, что за это время управление не передано расширению BIOS комплекса «Соболь». Рекомендуемое время ожидания сторожевого таймера определяется автоматически на этапе инициализации комплекса. В дальнейшем администратор может корректировать значения от 6 до 512 секунд с дискретностью 2 секунды (6, 8, 10, 12 и т. д.). Для использования данного механизма необходимо правильно подключить к плате комплекса «Соболь» кабель механизма сторожевого таймера (см. п. 4 процедуры на стр. 23). Если кабель не подключен механизм сторожевого таймера не действует. Период тестирования сторожевого таймера Определяет периодичность, с которой будет выполняться процедура тестирования механизма сторожевого таймера. Параметр может принимать значения от 0 до 999 дней. Значение «0» означает, что тестирование механизма сторожевого таймера не выполняется. Процедура тестирования механизма сторожевого таймера выполняется при входе пользователя в систему с периодичностью, заданной данным параметром. Поддержка USB-идентификаторов Задает типы персональных идентификаторов. Параметр может принимать три значения: «Нет» вход в систему осуществляется только с помощью идентификаторов ibutton. «2.0» вход в систему может осуществляться с помощью идентификаторов ibutton, etoken PRO, ikey 2032, Rutoken S, Rutoken RF S. Рекомендуется выбирать это значение параметра. Если при входе произошла ошибка, в результате которой вход в систему невозможен, выберите значение «1.1». «1.1» вход в систему может осуществляться с помощью идентификаторов ibutton, etoken PRO, ikey 2032, Rutoken S, Rutoken RF S. При этом после входа в систему будет невозможна загрузка с USB-дисков. Рекомендуется выбирать это значение в случае, если невозможен вход в систему при значении параметра «2.0». Руководство администратора 25

26 Шаг 3. Настройка контроля целостности На экране появится следующий диалог: Контроль целостности Каталог с шаблонами КЦ — C:\SOBOL Контроль файлов и секторов — Да Контроль журнала транзакций — Нет Контроль элементов реестра — Да 1. Для настройки параметра выберите клавишей <> или <> строку с его названием и нажмите . В зависимости от выбранного параметра: появится диалог для ввода значения параметра. В этом случае введите значение с клавиатуры и нажмите клавишу ; значение изменится на противоположное («Да» или «Нет»). Файлы шаблонов КЦ хранятся: для ОС Windows и МСВС 3.0 в каталоге, имя и местоположение которого указывается в программе управления шаблонами КЦ в окнах «О программе» и «Информация» (см. документ [ 2 ]) соответственно; для VMware ESX в каталоге /boot/sobol (см. документ [ 3 ]). Если каталог c файлами шаблонов КЦ не найден или в этом каталоге отсутствуют файлы шаблонов ненулевой длины, то параметрам «Контроль файлов и секторов», «Контроль элементов реестра» присваивается значение «Нет». При попытке изменить значение параметра «Каталог с шаблонами КЦ» для указания точного пути к каталогу с файлами шаблонов на экране появится диалоговое окно. Введите путь к заданному каталогу, который отображается: в строке «BIOS платы» окна «О программе» для ОС Windows; в строке «BIOS платы» окна «Информация» для ОС МСВС 3.0; в результате выполнения команды scheck—ls-path для ОС VMware ESX и нажмите клавишу . Учитывайте, что для каталогов, размещающихся на дисках с файловой системой FAT16 и FAT32, длинные имена (более 8 символов) нужно указывать в краткой форме, например «progra

1″. Узнать краткую форму записи имени можно с помощью команды DIR или менеджеров файлов, например, Total Commander. При обнаружении заданного каталога и находящихся в нем файлов шаблонов КЦ параметры «Контроль файлов и секторов», «Контроль элементов реестра» примут значение «Да», иначе значение параметров не изменится и на экране появится сообщение «Отсутствуют файлы шаблонов контроля целостности либо неверно указан путь к файлам шаблонов в программно-аппаратном комплексе». 2. Выполнив настройку параметров, нажмите клавишу для продолжения инициализации комплекса. Начнется тестирование правильности работы ДСЧ. Если тестирование ДСЧ завершилось с ошибкой, в строке сообщений появится сообщение об этом. Для продолжения работы требуется перезагрузить компьютер нажмите любую клавишу. В строке сообщений появится дополнительное сообщение о необходимости перезагрузки. Нажмите еще раз любую клавишу. Компьютер будет перезагружен. Если тестирование ДСЧ завершено успешно (получен положительный результат), инициализация комплекса будет продолжена. Шаг 4. Регистрация администратора На экране появится запрос: Производится первичная регистрация администратора? Да Нет Руководство администратора 26

27 При регистрации администратора ему назначается пароль для входа в систему и присваивается персональный идентификатор. Процедура регистрации может выполняться в одном из двух вариантов: первичная (см. ниже) и повторная (см. стр. 29). Первичная регистрация администратора. При ее выполнении в персональный идентификатор администратора записывается новая служебная информация о регистрации. Если идентификатор содержит служебную информацию, например, записанную в идентификатор при инициализации другого комплекса «Соболь», она будет уничтожена и администратор не сможет управлять работой другого комплекса. Совет. Прежде чем приступить к первичной регистрации администратора, приготовьте нужное количество персональных идентификаторов, в том числе и для создания резервных копий персонального идентификатора администратора. Повторная регистрация администратора. При ее выполнении служебная информация, записанная в персональный идентификатор при первичной регистрации администратора, считывается из идентификатора без изменения, что позволяет администратору использовать один и тот же идентификатор для входа в систему на нескольких компьютерах, оснащенных комплексами «Соболь». Рекомендации. Если при регистрации администратора будут предъявлены идентификаторы Rutoken S / Rutoken RF S/iKey 2032/eToken PRO, ранее не использовавшиеся в комплексе «Соболь» и имеющие PIN-коды, отличные от PIN-кодов по умолчанию (для Rutoken S/Rutoken RF S , для ikey 2032 default SO password., для etoken PRO ), то на экране появится окно запроса на ввод PIN-кода идентификатора. Введите его PIN-код и нажмите «Enter». Если при регистрации администратора будет предъявлен неинициализированный идентификатор etoken PRO (USB-ключ, смарт-карта), то на экране появится окно с сообщением об отсутствии в нем файловой системы. Выполните инициализацию предъявленного etoken PRO стандартными программными средствами компании производителя идентификатора. Если при установке нескольких комплексов «Соболь» на первом из них выполняется первичная регистрация администратора, а на всех остальных повторная, то администратор сможет управлять всеми комплексами, используя один и тот же персональный идентификатор. При выполнении повторной инициализации находящегося в эксплуатации комплекса «Соболь» рекомендуется проводить повторную регистрацию администратора. Для первичной регистрации администратора: 1. Выберите вариант «Да» и нажмите клавишу . На экране появится диалог для ввода пароля администратора. 2. Введите с клавиатуры пароль администратора и нажмите клавишу . При вводе нового пароля соблюдайте следующие правила: пароль может содержать латинские символы, цифры и служебные символы; разрешается использовать различные регистры клавиатуры (например, «Dog» или «dog»). При этом помните, что заглавные и строчные буквы считаются различными («Dog» и «dog» это разные пароли); количество символов в пароле (длина пароля) не может быть меньше числа, заданного общим параметром «Минимальная длина пароля» (см. стр. 25), и не может превышать 16 символов. Если значение указанного параметра равно «0», можно назначить администратору пустой пароль. Для этого нажмите клавишу , оставив поле ввода пароля пустым. На экране появится диалог для подтверждения пароля администратора. 3. Повторно введите тот же пароль и нажмите клавишу . При обнаружении ошибок в строке сообщений появится сообщение об этом. Нажмите любую клавишу и повторите ввод нового пароля еще раз. Если оба значения пароля совпали и длина пароля не меньше заданной минимальной длины пароля, на экране появится запрос на предъявление персонального идентификатора. 4. Предъявите идентификатор, присваиваемый администратору комплекса. Руководство администратора 27

28 Если вы уверены в том, что данный идентификатор никем больше не используется, предъявите его, выберите вариант «Да» и нажмите клавишу Если идентификатор предъявлен неправильно, то окно запроса останется на экране. Повторите предъявление идентификатора. При присвоении персонального идентификатора в него записывается служебная информация. Если идентификатор регистрировался ранее на другом компьютере и уже содержит служебную информацию, на экране появится предупреждение: Возможно данный идентификатор зарегистрирован на одном из компьютеров. При первичной регистрации содержимое идентификатора перезаписывается заново. Продолжить? Да Нет Помните, что при записи информации в персональный идентификатор служебная информация, содержащаяся в его памяти, будет полностью утеряна без возможности восстановления. При этом пользователь, которому принадлежит этот идентификатор, не сможет больше воспользоваться им для входа в систему. Нажмите клавишу и повторите действие 4, используя другой персональный идентификатор. Если же структура данных персонального идентификатора нарушена или в нем недостаточно свободного места для записи служебной информации, на экране появятся соответствующие запросы на его форматирование: Структура данного персонального идентификатора нарушена. Персональный идентификатор необходимо переформатировать. Произвести форматирование? Да Нет или Не хватает свободного места для добавления новой записи. Персональный идентификатор необходимо переформатировать. Произвести форматирование? Да Нет При форматировании идентификатора ibutton вся информация, содержащаяся в его памяти, будет полностью утеряна без возможности восстановления. При форматировании USB-идентификатора будет утеряна только информация, относящаяся к ПАК «Соболь» и программам, его использующим. Для отказа от форматирования нажмите , на экране вновь появится запрос персонального идентификатора. Если вы уверены в том, что данный персональный идентификатор необходимо форматировать, выберите вариант «Да» и нажмите клавишу . На экране появится повторный запрос: Вся информация на идентификаторе будет уничтожена. Вы уверены, что собираетесь форматировать его? Да Нет Для выполнения форматирования выберите вариант «Да», предъявите идентификатор и нажмите клавишу . После того как администратору будет присвоен персональный идентификатор, на экране появится запрос, предлагающий создать резервную копию персонального идентификатора администратора: Руководство администратора 28

29 Если вы уверены в том, что создавать резервные копии не требуется, выберите вариант «Нет» и нажмите клавишу Создать резервную копию идентификатора администратора? Да Нет Рекомендуется создать как минимум одну резервную копию персонального идентификатора администратора. Созданные резервные копии могут использоваться администратором для экстренного входа в систему в тех случаях, когда оригинал испорчен или утерян. 5. Выберите вариант «Да» и нажмите клавишу . На экране появится запрос персонального идентификатора. 6. Предъявите персональный идентификатор, приготовленный для создания резервной копии идентификатора администратора. Пояснение. При появлении на экране запросов и сообщений действуйте в соответствии с инструкциями п. 4 данной процедуры. При успешном создании резервной копии на экране появится запрос, предлагающий создать еще одну резервную копию идентификатора. 7. Выберите вариант продолжения процедуры: Для создания очередной резервной копии еще раз выполните действия 5, 6. Если необходимое количество резервных копий уже создано, выберите вариант «Нет» и нажмите клавишу . Перейдите к выполнению заключительного этапа инициализации расчету контрольных сумм. Для повторной регистрации администратора: 1. Выберите в окне запроса вариант «Нет» и нажмите клавишу . На экране появится диалог для ввода пароля администратора. 2. Введите с клавиатуры пароль, назначенный администратору при его первичной регистрации на другом комплексе «Соболь», и нажмите клавишу . На экране появится запрос на предъявление идентификатора. 3. Предъявите персональный идентификатор, присвоенный администратору при его первичной регистрации на другом комплексе «Соболь». При успешном предъявлении идентификатора выполняется сопоставление введенного пароля с информацией, хранящейся в памяти идентификатора. Если введенный пароль указан неверно или предъявлен не принадлежащий администратору идентификатор, то в строке сообщений появится сообщение об ошибке. До тех пор пока USB-ключ находится в разъеме USB/идентификатор ibutton касается считывателя/смарт-карта находится в USB-считывателе, сообщение будет присутствовать на экране. После изъятия идентификатора на экране вновь появится запрос, предлагающий выбрать режим регистрации администратора. Если введенный пароль соответствует предъявленному идентификатору, выполняется считывание служебной информации из идентификатора и запись этой информации в энергонезависимую память комплекса. Шаг 5. Расчет контрольных сумм В том случае, если параметру «Контроль файлов и секторов» либо «Контроль элементов реестра» присвоено значение «Да» (см. стр. 26), на экране появится запрос, предлагающий рассчитать контрольные суммы: В каталоге C:\SOBOL обнаружены файлы шаблонов контроля целостности. Рассчитать контрольные суммы? Да Нет Чтобы отказаться от расчета контрольных сумм, выберите вариант «Нет» и нажмите клавишу Руководство администратора 29

30 1. Выберите вариант «Да» и нажмите клавишу . Начнется расчет эталонных значений контрольных сумм объектов, заданных исходными шаблонами КЦ, при этом на экране будет отображаться процесс расчета. Если при расчете контрольных сумм не найдены один или несколько файлов, секторов или элементов реестра, заданных шаблонами КЦ, по окончании процедуры расчета на экране появятся следующие запросы: Расчет контрольных сумм файлов и секторов завершился с ошибкой. Запретить контроль целостности файлов и секторов? Да Нет Расчет контрольных сумм элементов реестра завершился с ошибкой. Запретить контроль целостности элементов реестра? Да Нет Выберите вариант продолжения процедуры и нажмите клавишу : «Да» для отключения контроля целостности файлов и секторов, элементов реестра, выполняемого при входе пользователей в систему. Пояснение. В этом случае следует выполнить корректировку шаблонов КЦ (см. стр. 58), рассчитать эталонные значения контрольных сумм (см. стр. 70) и включить контроль целостности (см. стр. 26). «Нет» чтобы не отключать контроль целостности. Пояснение. В этом случае контроль целостности будет выполняться с ошибками, что приведет к невозможности входа пользователей в систему. Завершив инициализацию, обязательно выполните корректировку шаблонов КЦ (см. стр. 58), затем повторно рассчитайте эталонные значения контрольных сумм (см. стр. 70). По окончании инициализации на экране появится сообщение: Инициализация платы завершена. После выключения питания компьютера установите перемычку, переводящую плату в рабочий режим. Ok 2. Нажмите «OK». Компьютер выключится автоматически. Если выключение не произойдет, то в строке сообщений появится сообщение «Теперь компьютер можно выключить. «. Выключите компьютер самостоятельно. Далее переключите комплекс в режим эксплуатации. Руководство администратора 30

Читайте также:  Установка грм toyota carina

31 Подготовка комплекса к эксплуатации Для подготовки к эксплуатации: 1. Выключите компьютер. Вскройте корпус системного блока. 2. При наличии подключенного к плате комплекса «Соболь» считывателя ibutton отсоедините считыватель от платы: при использовании внешнего считывателя отключите его штекер от разъема платы, расположенного на задней панели системного блока; при использовании внутреннего считывателя отключите его штекер от разъема TM. 3. Аккуратно извлеките плату комплекса «Соболь» из разъема шины PCI-E/PCI. 4. Установите перемычку на разъеме J0 платы (см. Рис. 2, Рис. 3 на стр. 22). 5. Аккуратно вставьте плату комплекса «Соболь» в разъем системной шины PCI-E/PCI и закрепите планку крепления платы крепежным винтом. 6. При необходимости подключите к плате считыватель ibutton: при использовании внешнего считывателя подключите его штекер к разъему платы, расположенному на задней панели системного блока; при использовании внутреннего считывателя подключите его штекер к разъему TM. 7. Закройте корпус системного блока. Выполнив все указанные действия, включите компьютер и перейдите к настройке комплекса «Соболь» (см. стр. 33). На компьютерах, работающих под управлением ОС Windows XP/2003, при первом входе в систему после установки комплекса «Соболь» на экране появится начальный диалог мастера установки оборудования. Для завершения установки комплекса пройдите все шаги мастера оборудования, оставляя без изменения значения параметров, предлагаемые мастером по умолчанию. Обновление программного обеспечения Порядок обновления программного обеспечения комплекса «Соболь» в среде ОС МСВС 3.0, VMware ESX рассмотрен в документах [ 2 ] и [ 3 ] соответственно. Для обновления версии программного обеспечения комплекса «Соболь» выполните установку новой версии программного обеспечения так, как это описано на стр. 16. В процессе установки компоненты старой версии будут автоматически заменены компонентами новой версии. Для сохранения шаблонов КЦ предыдущей версии ПО комплекса отметьте поле «Учитывать шаблоны контроля целостности от предыдущей версии ПО» диалога «Параметры настройки шаблонов КЦ». Удаление комплекса Следует обратить внимание на то, что после удаления комплекса «Соболь» из компьютера вся служебная информация о настройке комплекса сохраняется в неизменном виде в его энергонезависимой памяти. Поэтому данный комплекс без повторной инициализации можно установить и эксплуатировать на данном или другом компьютере при условии сохранности регистрационной информации в персональных идентификаторах администратора и пользователей. В связи с этим после удаления комплекса администратор должен обеспечить условия хранения платы комплекса, исключающие возможность бесконтрольного доступа к ней. Для удаления служебной информации из памяти комплекса используйте процедуру инициализации в режиме первичной регистрации администратора (см. стр. 26). Удаление комплекса «Соболь» осуществляется в следующем порядке: удаление программного обеспечения (см. ниже); изъятие платы комплекса из компьютера (см. ниже). Руководство администратора 31

32 Удаление программного обеспечения Порядок удаления программного обеспечения комплекса «Соболь» в среде ОС МСВС 3.0, VMware ESX рассмотрен в документах [ 2 ] и [ 3 ] соответственно. Удаление ПО комплекса «Соболь» можно выполнить как с помощью программы установки, так и стандартными средствами операционных систем. Для удаления с помощью программы установки: 1. Поместите установочный компакт-диск в привод DVD/CD-ROM и запустите на исполнение файл Setup.exe. Программа установки выполнит подготовку к работе. После завершения подготовительных действий на экране появится стартовый диалог программы установки. 2. Нажмите кнопку «Далее >». На экране появится диалог, предлагающий начать процедуру удаления. 3. Нажмите кнопку «Удалить». Ход процесса удаления отображается на экране в виде индикатора прогресса. После успешного выполнения процедуры удаления на экране появится завершающий диалог программы установки. 4. Нажмите кнопку «Готово». Изъятие платы комплекса из компьютера Если после удаления программного обеспечения плата комплекса «Соболь» не извлечена из компьютера, то при каждой загрузке ОС Windows XP/2003/Vista/7/2008 на экране будет появляться сообщение об обнаружении неизвестного устройства. Для изъятия платы из компьютера: 1. Выключите компьютер (если он включен). 2. Вскройте корпус системного блока. 3. При наличии подключенного к плате комплекса «Соболь» считывателя ibutton отсоедините считыватель от платы: при использовании внешнего считывателя отключите его штекер от разъема платы, расположенного на задней панели системного блока; при использовании внутреннего считывателя отключите его штекер от разъема TM (см. Рис. 2, Рис. 3 на стр. 22). 4. Отверните винт, которым закреплена планка крепления платы, и аккуратно извлеките плату комплекса «Соболь» из разъема системной шины PCI-E/PCI. 5. Если использовался механизм сторожевого таймера, отключите кабель, обеспечивавший работу этого механизма, от разъема WD платы комплекса «Соболь» и от разъема Reset, находящегося на материнской плате. Затем отключите штекер кабеля кнопки «Reset» от разъема платы RST и подключите этот штекер к разъему Reset, находящемуся на материнской плате. 6. Закройте корпус системного блока. Руководство администратора 32

33 Глава 3 Настройка и эксплуатация комплекса При вводе комплекса в эксплуатацию администратору необходимо: настроить общие параметры комплекса (см. стр. 36); зарегистрировать пользователей комплекса (см. стр. 39); настроить параметры работы пользователей (см. стр. 44); настроить механизм контроля целостности (см. стр. 56). В процессе эксплуатации комплекса администратор может: управлять общими параметрами комплекса (см. стр. 36); управлять списком пользователей и параметрами их работы (см. стр. 39); менять свой пароль и аутентификатор (см. стр. 46); менять пароли и аутентификаторы других пользователей (см. стр. 45); просматривать записи журнала регистрации событий (см. стр. 53); управлять работой механизма контроля целостности (см. стр. 56); осуществлять ряд служебных операций (см. стр. 54). Общий порядок настройки Настройка комплекса «Соболь» выполняется в следующем порядке: 1. Вход в систему администратора (см. ниже). 2. Настройка комплекса (см. стр. 35). 3. Загрузка или выключение компьютера (см. стр. 35). Внимание! Перед входом в систему отключите от USB-портов компьютера все устройства класса USB Mass Storage Device (flash-накопители, CD-, DVD-приводы и т. п.). Шаг 1. Вход в систему 1. Включите питание компьютера или выполните перезагрузку компьютера. На экране появится окно с запросом персонального идентификатора:. Версия 3.0 А Индикатор режима работы комплекса: «А» автономный режим работы «С» режим совместного использования Предъявите идентификатор. Строка сообщений. В данном случае строка содержит счетчик времени, оставшегося пользователю для предъявления идентификатора и ввода пароля До окончания входа в систему: 1 мин. 20 сек. Руководство администратора 33

34 Обратите внимание на следующие особенности процедуры входа в систему. При включенном режиме ограничения времени, отводящегося пользователю на вход в систему (см. стр. 37, параметр «Ограничение времени на вход в систему»), в строке сообщений будет отсчитываться время в минутах и секундах, оставшееся пользователю для предъявления идентификатора и ввода пароля. Если пользователь не успел за отведенное время выполнить эти действия, на экране появится сообщение о завершении сеанса входа в систему. Чтобы повторить попытку входа, нажмите клавишу , а затем любую клавишу. При включенном режиме автоматического входа в систему (см. стр. 38, параметр «Время ожидания автоматического входа в систему») в строке сообщений будет отсчитываться время в секундах, оставшееся до загрузки операционной системы. 2. Предъявите персональный идентификатор администратора. После успешного считывания информации из идентификатора на экране появится диалог для ввода пароля: Введите пароль: 3. Введите пароль администратора. Все введенные символы отображаются знаком «». Если при вводе пароля допущены ошибки, вы можете исправить их. Используйте клавиши <> и <> для перемещения курсора, а клавиши или для стирания символа. Для отказа от ввода пароля нажмите клавишу , после чего на экране вновь появится запрос персонального идентификатора. 4. Нажмите клавишу . Если введенный пароль не соответствует предъявленному идентификатору, в строке сообщений появится сообщение: «Неверный персональный идентификатор или пароль». Нажмите любую клавишу и повторите еще раз действия 2 4. Используйте персональный идентификатор администратора и не допускайте ошибок при вводе пароля. При вводе правильного пароля начнется процедура тестирования датчика случайных чисел, а в строке сообщений появится сообщение об этом. Если тестирование датчика случайных чисел завершилось с ошибкой, то в строке сообщений появится соответствующее сообщение. Для продолжения работы нажмите любую клавишу. Для перезапуска компьютера еще раз нажмите любую клавишу. Если после перезапуска тестирование датчика случайных чисел вновь завершилось с ошибкой, обратитесь за помощью в службу технической поддержки поставщика комплекса. При успешном завершении тестирования на экране появится информационное окно, подобное следующему: Номер идентификатора Время текущего входа Имя последнего пользователя etoken PRO :43 05/06/2010 Иванов Номер идентификатора последнего пользователя DS E Время входа последнего пользователя 15:20 05/06/2010 Суммарное количество неудачных попыток входа 0 Разъяснение информации, содержащейся в этом окне, приводится на стр Для продолжения работы нажмите любую клавишу. На экране появится меню администратора: Руководство администратора 34

35 Администратор Загрузка операционной системы Список пользователей Журнал регистрации событий Общие параметры системы Контроль целостности Расчет контрольных сумм Смена пароля Смена аутентификатора Диагностика платы Служебные операции Рис. 5. Меню администратора Пояснение. При эксплуатации комплекса в режиме совместного использования часть команд меню будет недоступна. Об особенностях настройки комплекса в этом режиме читайте на стр. 82. Все действия, выполняемые администратором при настройке и эксплуатации комплекса «Соболь», осуществляются посредством этого меню. Совет. Во время работы с комплексом можно в любой момент запросить дополнительную техническую информацию о комплексе. Для этого нажмите клавишу . На экране появится информационное окно. Чтобы продолжить работу, нажмите любую клавишу. Шаг 2. Настройка комплекса 1. Выберите в меню администратора команду и нажмите клавишу : «Список пользователей» команда используется для управления пользователями комплекса (см. стр. 39); «Журнал регистрации событий» для просмотра записей журнала (см. стр. 53); «Общие параметры системы» для настройки общих параметров комплекса (см. стр. 36); «Контроль целостности» для настройки параметров функционирования механизма контроля целостности (см. стр. 38); «Расчет контрольных сумм» для расчета эталонных значений контрольных сумм объектов, заданных шаблонами КЦ (см. стр. 70); «Смена пароля» для изменения пароля администратора (см. стр. 46); «Смена аутентификатора» для смены аутентификатора администратора (см. стр. 46); «Диагностика платы» для проверки работоспособности комплекса (см. стр. 50); «Служебные операции» для создания резервной копии идентификатора администратора и реализации программной инициализации комплекса (см. стр. 54). 2. Выполните все действия, необходимые для настройки комплекса. Шаг 3. Загрузка операционной системы или выключение компьютера Выберите вариант завершения работы: Если продолжение работы на компьютере не требуется, завершите работу, выключив питание компьютера. Пояснение. Все внесенные изменения в этом случае также сохраняются. Если требуется продолжить работу на компьютере, выберите в меню администратора команду «Загрузка операционной системы» и нажмите клавишу . В том случае если режим контроля целостности включен, перед загрузкой ОС начнется проверка целостности заданных объектов. Руководство администратора 35

36 Процесс проверки можно прервать, нажав клавишу . При обнаружении ошибки процесс проверки останавливается и на экран выводится сообщение об ошибке. Изучите это сообщение. Для возобновления проверки нажмите любую клавишу. При обнаружении ошибок (не найден заданный файл, изменено содержимое файла, сектора, ключа реестра и т. д.) необходимо выяснить и устранить причины возникновения ошибок. После того как все выявленные недостатки устранены, необходимо заново рассчитать эталонные значения контрольных сумм для проверяемых объектов (см. стр. 70). Подробный список сообщений об ошибках содержится на стр. 76. По завершении процесса проверки целостности начнется загрузка ОС. Во время загрузки ОС МСВС 3.0 на экране может появиться сообщение консольной утилиты настройки оборудования об обнаружении сетевой платы. Нажмите кнопку «Игнорировать». В случае необходимости возврата к управлению комплексом после того, как осуществлена загрузка операционной системы, выполните действия, предусмотренные в ОС для перезагрузки компьютера, и вновь войдите в систему, предъявив идентификатор администратора. Настройка общих параметров После активации в меню администратора команды «Общие параметры системы» на экране появится следующий диалог: Автономный режим работы Общие параметры системы Число попыток тестирования ДСЧ Тестирование ДСЧ для пользователя Показ статистики пользователю Использование случайных паролей Минимальная длина пароля Максимальный срок действия пароля (дней) Предельное число неудачных входов пользователя — Да Да — Нет — Нет Ограничение времени на вход в систему (мин.) — 0 Время ожидания автоматического входа в систему (сек.) Время ожидания сторожевого таймера (сек.) Период тестирования сторожевого таймера (дней) — 0 Поддержка USB-идентификаторов — Нет Рис. 6. Диалог настройки общих параметров (режим эксплуатации) Назначение общих параметров разъясняется в Табл. 4 на стр. 37. Ряд общих параметров комплекса и их настройка в режимах эксплуатации и инициализации (см. Табл. 3 на стр. 25) идентичны. Для настройки параметров: 1. Выберите параметр, значение которого нужно изменить, и нажмите клавишу . В зависимости от выбранного параметра: значение меняется на противоположное («Да» или «Нет»); появится диалог для ввода значения параметра. В этом случае введите значение с клавиатуры и нажмите клавишу ; Совет. При исправлении ошибок ввода используйте клавиши <> и <> для перемещения курсора, а клавиши или для удаления символа. Нажмите клавишу , чтобы отказаться от изменения значения. параметр «Поддержка USB-идентификаторов» может принимать три значения «Нет»/»2.0″/»1.1». 2. Выполнив настройку параметров, нажмите клавишу для сохранения изменений и выхода из диалога. На экране вновь появится меню администратора. Руководство администратора 36

37 Табл. 4. Общие параметры комплекса «Соболь» (режим эксплуатации) Автономный режим работы Определяет режим работы комплекса «Соболь». Параметр может принимать два значения: «Да» автономный режим или «Нет» режим совместного использования. Автономный режим. Если комплекс функционирует в автономном режиме, любым внешним программам запрещен доступ к энергонезависимой памяти комплекса «Соболь». При этом управление общими параметрами, пользователями и журналом регистрации осуществляется администратором без ограничений. Режим совместного использования. Этот режим позволяет использовать комплекс «Соболь» совместно с другими средствами защиты. В этом случае внешним программам разрешен доступ к энергонезависимой памяти комплекса, но права администратора по управлению общими параметрами, пользователями и журналом регистрации ограничены (см. стр. 82). Параметр доступен для управления в любом режиме работы комплекса. Число попыток тестирования ДСЧ (см. стр. 25) Параметр доступен для управления как в автономном, так и в любом режиме работы комплекса. Тестирование ДСЧ для пользователя (см. стр. 25) Параметр недоступен для управления в режиме совместного использования. В этом режиме параметру автоматически присваивается значение «Да». Показ статистики пользователю (см. стр. 25) Параметр недоступен для управления в режиме совместного использования. В этом режиме параметру автоматически присваивается значение «Нет». Использование случайных паролей Позволяет включить или отключить режим использования случайных паролей при регистрации нового пользователя, смене пароля пользователя и администратора. Параметр может принимать два значения: «Да» режим включен или «Нет» режим отключен. Параметр доступен для управления в любом режиме работы комплекса, но доступ к нему блокируется при присвоении параметру «Минимальная длина пароля» значения, равного «0». Минимальная длина пароля (см. стр. 25) Параметр недоступен для управления в режиме совместного использования. Максимальный срок действия пароля Определяет период времени в днях, на протяжении которого действителен текущий пароль пользователя. Параметр может принимать значения от 0 до 999 дней. Значение «0» означает, что срок действия пароля неограничен. По истечении заданного периода времени текущий пароль пользователя перестает быть действительным и при входе в систему пользователю будет предложено сменить свой пароль, без чего он не сможет загрузить операционную систему. Если для пользователя включен режим замены аутентификатора при смене пароля (см. стр. 45), то в этом случае ограничение срока действия пароля распространяется и на аутентификатор пользователя. Данное ограничение действует только для тех пользователей, которым присвоены персональные идентификаторы DS1994, имеющие встроенный таймер, и у которых параметру «Ограничение срока действия пароля» присвоено значение «Да» (см. стр. 45). Параметр доступен для управления в любом режиме работы комплекса. Предельное число неудачных входов пользователя (см. стр. 25) Параметр недоступен для управления в режиме совместного использования. Ограничение времени на вход в систему Определяет интервал времени в минутах, отводящийся пользователям на вход в систему. Может принимать значения от 0 до 20 минут. Значение «0» означает, что время, отводящееся пользователям на вход в систему, не ограничено. При входе пользователя в систему в строке сообщений отсчитывается время, оставшееся ему для предъявления идентификатора и ввода пароля. Если пользователь не успел за отведенное время выполнить эти действия, на экране появится сообщение о завершении сеанса входа в систему. Параметр доступен для управления в любом режиме работы комплекса, но доступ к нему блокируется при присвоении параметру «Время ожидания автоматического входа в систему» значения, отличного от «0». Руководство администратора 37

38 Время ожидания автоматического входа в систему Определяет интервал времени в секундах, по истечении которого автоматически выполняется загрузка операционной системы компьютера. Может принимать значения «0» и от 5 до 40 секунд. Значение «0» означает, что автоматическая загрузка ОС без предъявления персонального идентификатора пользователя или администратора запрещена. Для организации автоматического запуска компьютера в списке зарегистрированных пользователей должен содержаться пользователь с именем AUTOLOAD. Если этот пользователь отсутствует в списке, то автоматическая загрузка ОС невозможна, данный параметр недоступен для управления и ему присвоено значение «0». Параметр доступен для управления в любом режиме работы комплекса, но доступ к нему блокируется при присвоении параметру «Ограничение времени на вход в систему» значения, отличного от «0». Время ожидания сторожевого таймера (см. стр. 25) Параметр доступен для управления в любом режиме работы комплекса. Период тестирования сторожевого таймера (см. стр. 25) Параметр доступен для управления в любом режиме работы комплекса. Поддержка USB-идентификаторов (см. стр. 25) Параметр доступен для управления в любом режиме работы комплекса. Звуковой сигнал Позволяет включить или выключить режим звукового сопровождения событий, необходимый для работы с криптографическим шлюзом АПКШ «Континент» без монитора. Параметр может принимать два значения: «Да» звуковое сопровождение событий включено или «Нет» звуковое сопровождение событий отключено. Параметр присутствует в диалоге только в случае эксплуатации комплекса «Соболь» в составе криптографического шлюза АПКШ «Континент». Контроль целостности После активации в меню администратора (см. Рис. 5 на стр. 35) команды «Контроль целостности» на экране появится следующий диалог: Каталог с шаблонами КЦ Контроль целостности C:\SOBOL Контроль файлов и секторов — Да Контроль журнала транзакций — Нет Контроль элементов реестра — Да — 1. Для настройки параметра выберите клавишей <> или <> строку с его названием и нажмите клавишу . В зависимости от выбранного параметра: появится диалог для ввода значения параметра. В этом случае введите значение с клавиатуры и нажмите клавишу ; значение изменится на противоположное («Да» или «Нет»). Особенности настройки параметров диалога «Контроль целостности» описываются в примечании на стр Выполнив настройку параметров, нажмите клавишу для сохранения изменений и настройки контроля целостности. На экране вновь появится меню администратора. Руководство администратора 38

39 Управление пользователями После активации в меню администратора (см. Рис. 5 на стр. 35) команды «Список пользователей» на экране появится следующий диалог:. Версия 3.0 A Зарегистрированные пользователи Сведения о выбранном пользователе Список параметров учетной записи выбранного пользователя и присвоенные им значения Имя пользователя: Номер идентификатора: Время последнего входа: Общее количество входов: Количество неудачных попыток входа: Текущий статус пользователя: Режим контроля целостности: Запрет загрузки с внешних носителей: Запрет смены пароля: Ограничение срока действия пароля: Замена аутентификатора при смене пароля: Иванов DS1994 1A E :43 05/06/ Не блокирован Жесткий Да Нет Нет Нет Строка сообщений содержит справочную информацию о назначении управляющих клавиш Иванов Петров AUTOLOAD Список пользователей. Если нет зарегистрированных пользователей, например, после инициализации комплекса, список пользователей будет пуст Enter Выбрать пункт Ins Добавить Del Удалить Tab Пароль Esc Выход Рис. 7. Окно «Зарегистрированные пользователи» Назначение сведений о пользователе разъясняется на стр. 71. Список пользователей недоступен для управления при эксплуатации комплекса «Соболь» в режиме совместного использования (см. стр. 37, параметр «Автономный режим работы»). В этом диалоге администратор может: зарегистрировать нового пользователя (см. ниже); изменить параметры учетной записи пользователя (см. стр. 44); удалить учетную запись пользователя (см. стр. 45); сменить пароль и аутентификатор пользователя (см. стр. 45). Выполнив все необходимые действия, нажмите клавишу для сохранения изменений и выхода из диалога. На экране вновь появится меню администратора. Регистрация пользователя При регистрации нового пользователя в списке пользователей комплекса «Соболь» ему присваиваются следующие атрибуты: имя; аутентификатор и пароль для входа в систему; персональный идентификатор. Служебная информация о пользователе сохраняется в энергонезависимой памяти комплекса «Соболь» создается учетная запись пользователя. Кроме того, в персональный идентификатор, присвоенный пользователю, записывается служебная информация о регистрации. Список пользователей может содержать не более 32 учетных записей. Руководство администратора 39

40 Процедура регистрации пользователя может выполняться в одном из двух вариантов: первичная (см. ниже) и повторная (см. стр. 43). Первичная регистрация пользователя, при выполнении которой в персональный идентификатор пользователя записывается новая служебная информация о регистрации. Если идентификатор уже содержит служебную информацию о регистрации пользователя на другом компьютере, оборудованном комплексом «Соболь», она будет уничтожена и пользователь не сможет работать на том компьютере. Совет. Прежде чем приступить к первичной регистрации пользователя, приготовьте персональный идентификатор для записи в него служебной информации о регистрации. Повторная регистрация пользователя, при выполнении которой служебная информация, записанная в персональный идентификатор при первичной регистрации пользователя на другом компьютере, считывается из идентификатора без ее изменения. В этом случае пользователь может использовать один и тот же идентификатор для входа в систему на нескольких компьютерах, оснащенных комплексами «Соболь». Для повторной регистрации необходимо присутствие самого пользователя, так как при выполнении этой процедуры запрашивается текущий пароль пользователя. Рекомендации. Если при регистрации пользователя будут предъявлены идентификаторы Rutoken S / Rutoken RF S/iKey 2032/eToken PRO, ранее не использовавшиеся в комплексе «Соболь» и имеющие PIN-коды, отличные от PIN-кодов по умолчанию (для Rutoken S/Rutoken RF S , для ikey 2032 default SO password., для etoken PRO ), то на экране появится окно запроса на ввод PIN-кода идентификатора. Введите его PIN-код и нажмите «Enter». Если при регистрации пользователя будет предъявлен неинициализированный идентификатор etoken PRO (USB-ключ, смарт-карта), то на экране появится окно с сообщением об отсутствии в нем файловой системы. Выполните инициализацию предъявленного etoken PRO стандартными программными средствами компании производителя идентификатора. При регистрации пользователя на нескольких компьютерах, оснащенных комплексами «Соболь», следуйте следующей схеме. На первом из них выполните первичную регистрацию пользователя, а на всех остальных повторную. В этом случае пользователь сможет входить в систему на всех этих компьютерах, используя один и тот же персональный идентификатор. Для первичной регистрации пользователя: 1. Находясь в списке пользователей окна «Зарегистрированные пользователи» (см. Рис. 7 на стр. 39), нажмите клавишу

Континент Версия 3.9. Руководство администратора Клиент аутентификации пользователя. Аппаратно-программный комплекс шифрования

Аппаратно-программный комплекс шифрования Континент Версия 3.9 Руководство администратора Клиент аутентификации пользователя RU.88338853.501430.022 90 8 Компания «Код Безопасности», 2018. Все права защищены.

источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *