Доверенная загрузка ОС. СЗИ НСД «Аккорд-АМДЗ» (2/3)

Установка и настройка комплекса

Здравствуйте!

В данной лекции мы поговорим об обеспечении доверенной загрузки операционных систем и о средстве защиты информации  от  несанкционированного доступа – «Аккорд-АМДЗ» производства компании ОКБ САПР. Рассмотрим последовательность шагов, необходимых для установки и настройки комплекса, и поговорим о деталях их выполнения.

Итак, установка и настройка комплекса СЗИ НСД «Аккорд-АМДЗ» производится в следующей последовательности:

1. сначала выполняетсяустановка платы контроллера в свободный слот компьютера;
2. затем подсоединение контактного устройства (съемника информации);
3. далее - выполняется установка параметров учетной записи «Гл. Администратор» и настройка комплекса в соответствии с конфигурацией технических средств компьютера;
4. после этого осуществляетсярегистрация пользователей, назначение пользователям персональных идентификаторов, паролей и времени доступа;
5. и наконец -назначение списка дисков, файлов, разделов реестра, контролируемых на целостность.

Начнем с установки платы контроллера.

Для установки контроллера комплекса необходимо:

1. отключить питание компьютера;
2. вскрыть корпус системного блока СВТ, при необходимости удалить заглушку на задней панели блока и выбрать свободный слот на материнской плате для установки контроллера комплекса;
3. установить контроллер в соответствующий слот на материнской плате СВТ. При этом важно убедиться, что он установлен ровно, плотно и без изгибов. При необходимости зафиксировать его стопорным винтом к задней панели корпуса.

Как понять какой контроллер Аккорд устанавливать? Выбирать контроллер нужно, исходя из того, какой свободный слот имеется на материнской плате Вашего СВТ. Если это PCI-Express слот, то это может должен быть контроллер, имеющий соответствующий PCI-Express шинный интерфейс и так далее. Какой именно контроллер Аккорд какой интерфейс имеет мы рассматривали на прошлой лекции. Подробности также можно узнать из методических материалов лекции – в документе «Руководство по установке» на данный комплекс.

После установки контроллера необходимо подключить контактное устройство (съемник информации). Он требуется, если будут использоваться персональные идентификаторы не подключаемые напрямую в USB-порт СВТ.  

Установка съемника информации должна производиться только при выключенном питании компьютера.

Подсоединение внешнего контактного устройства осуществляется со стороны задней планки контроллера или к соответствующему порту СВТ с помощью:

• разъема RJ-11 (подобного телефонному разъему);
• USB-разъема
• разъема mini-USB.

Внутренний съемник подсоединяется к плате контроллера внутри корпуса системного блока компьютера.

Общая схема подсоединения внутреннего съемника приведена на слайде.

Расположение разъемов для съемников информации на различных платах контроллеров «Аккорд» можно посмотреть в методических материалах к лекции материале – в «Руководстве по установке» на комплекса.

После установки контроллера и подсоединения съемника информации (в случае его использования) нужно включить питание компьютера.

В процессе загрузки управление передается контроллеру «Аккорд», и выполняется начальная инициализация. Определяется состав аппаратных средств компьютера, и данные заносятся в энергонезависимую память контроллера. Далее производится форматирование базы данных пользователей и внутреннего журнала.

После завершения инициализации на экран выводится главное окно администрирования комплекса.  И первое, что мы видим – это сообщение о необходимости настройки параметров этого «Главного администратора». Нажмем «Ок».

При инициализации контроллера в базе данных создается учетная запись «Гл. Администратор» - это учетная запись пользователя, имеющего особый статус и абсолютные полномочия в среде администрирования комплекса. Ему будут полностью доступны все функции администрирования «Аккорд-АМДЗ».

Для установки параметров учетной записи нужно в списке пользователей выбрать мышью пользователя «Гл.Администратор». Как видно, для данного пользователя не установлены параметры учетной записи.

Прежде чем их устанавливать, давайте посмотрим параметры данной учетной записи Можно выполнить настройки следующих параметров:

• параметры пароля (минимальная длина, время действия пароля, количество попыток для смены, кто может менять пароль, алфавит пароля);
• время действия (определяются даты, в которые пользователю разрешено работать на данном компьютере).
• атрибуты доступа (редактирование настроек, управление журналом, редактирование пользователей, редактирование контроля - для «Гл. Администратора» установлены сразу все из этих аттрибутов);
• результаты ИА (то есть какая информация о пользователе, полученная в результате процесса идентификации/аутентификации, будет передаваться из контроллера в программную подсистему разграничения доступа (если такая установлена на компьютере). Это необходимо для синхронизации базы данных пользователей в контроллере и в подсистеме разграничения доступа.

Настройка данных параметров не является обязательной, и она может быть выполнена в любой момент после завершения процедуры настройки обязательных параметров учетной записи.

Перейдем к настройке обязательных параметров для учетной записи «Гл.Администратор». Для этого поднимемся выше в поле «Персональные параметры». Здесь мы можем задать:

• персональный идентификатор
• и пароль «Гл.Администратора».

Для регистрации идентификатора на правой панели в строке «Идентификатор» нужно нажать кнопку <Сменить>. Нажмем ее. На экран выводится окно, в котором требуется указать, какой секретный ключ будет использоваться. При этом, если идентификатор использовался ранее и секретный ключ уже был сгенерирован, можно оставить существующий секретный ключ и выбрать «Использовать существующий». Или же можно  сгенерировать новый и тогда нужно выбрать «Сгенерировать».

Секретный ключ уникален для каждого пользователя и записывается во внутреннюю память регистрируемого идентификатора.

Выберем «Генерировать» и нажмем кнопку <Далее>. На экране появится окно с запросом идентификатора. Если идентификатор еще не предъявлен, поле «Идентификатор» пустое. Предъявим идентификатор и дождемся момента, пока в поле появится его серийный номер.

После этого нужно подтвердить завершение операции. Для этого нажмем кнопку <ОК>.

После корректного выполнения описанной последовательности действий номер идентификатора появляется в поле «Идентификатор».

Далее необходимо перейти к процедуре назначения пароля. Перед выполнением данной процедуры нужно сначала установить необходимые параметры пароля, об этом мы уже говорили ранее. По умолчанию установлена минимальная длина пароля – 8 символов, значит, назначаемый пароль должен быть длиной 8 и более символов. Также в настройках по умолчанию не выбран никакой алфавит пароля, это значит, что он может состоять из букв, цифр и специальных символов.

Для назначения пароля необходимо нажать кнопку <Сменить> в строке «Пароль». На экран выводится окно ввода пароля. Необходимо ввести новый пароль и подтвердить ввод пароля во второй строке.

Имеется возможность выбора процедуры генерации пароля случайным образом (кнопка <Сгенерировать пароль>). Нажмем ее. В этом случае пароль генерируется таким образом, чтобы в нем обязательно присутствовал хотя бы один символ из набора, заданного в параметре «Алфавит пароля». После генерации новый пароль выводится в строке «Введите новый пароль», и пользователь должен его ввести с клавиатуры в поле «Подтвердите пароль».

Если же мы хотим задать свой пароль, то его необходимо ввести вручную в поле «Задать новый пароль». Удалим сгенерированный. И введем свой  пароль длиной 8 символов, состоящий из цифр и букв. Вводимые символы на экране отображаются точками. В поле «Подтвердите пароль» повторим введенный пароль. Нажмем «Ок».

После успешного выполнения процедуры установки (или генерации) нового пароля значение параметра в поле «Пароль» меняется на «Установлен».

После выполнения процедуры установки параметров учетной записи «Гл.Администратор» необходимо нажать кнопку «Применить». Главный администратор зарегистрирован. Изменения вступят в силу после перезагрузки.

Настройка комплекса в соответствии с конфигурацией технических средств СВТ выполняется в разделе «Настройки» - «Данные конфигурации». Мы не будем на этом останавливаться. При необходимости с данным моментом можно ознакомиться в методических материалах к лекции – в «Руководстве по установке» или в «Руководстве администратора» на комплекс.

После успешного выполнения процедуры установки параметров учетной записи «Гл. Администратор» нужно перезагрузить компьютер. Для этого вернемся на закладку «Пользователи», нажмем кнопку «Выход». Затем нажмем «Перезагрузить», и дождемся перезагрузки. Это занимает некоторое время. В процессе загрузки появляется сообщение «Предъявите идентификатор».  Предъявим зарегистрированный идентификатор «Гл. Администратора» и введем его пароль. Нажмем «Ок».

 После успешного прохождения процедур идентификации и аутентификации выводится стартовое меню администратора, в котором можно попасть в среду администрирования, либо продолжить загрузку в ОС. Зайдем снова в среду администрирования и продолжим настройку комплекса.

Перейдем к регистрации пользователей. Обратим внимание, что при инициализации контроллера были созданы две зарезервированные группы пользователей – «Администраторы» и «Обычные». Эти две группы нельзя ни переименовать, ни удалить. Для каждой из групп можно задать общие параметры, которые будут устанавливаться по умолчанию при создании пользователя в группе. Для каждого зарегистрированного пользователя можно изменить данные параметры при индивидуальной настройке. Такие же правила будут выполняться и для любой другой группы, созданной администратором.

Для редактирования общих параметров группы пользователей необходимо в главном окне среды администрирования выбрать из списка нужную группу пользователей. Для этого нужно мышью установить курсор на строке заголовка группы.

Если для работы с комплексом нужно зарегистрировать еще администраторов, то нужно выбрать группу «Администраторы» и нажать кнопку «Добавить пользователя». В появившемся окне нужно задать имя пользователя. Зададим его. И нажмем «Ок». Для администраторов можно задать атрибуты доступа, то есть те права, которыми они будут наделены (Редактирование настроек, Управление журналом, Редактирование пользователей, Редактирование контроля). Например, снимем данному администратору галочку «Редактирование пользователей». Это значит, что он не сможет редактировать параметры пользователей в данной среде администрирования, но сможет выполнять все остальные действия, разрешенные атрибутами. После этого нужно выполнить настройку параметров учетной записи созданного администратора, назначить ему идентификатор и пароль. Это все делается аналогично тому, как мы это сделали для «Гл.администратора». Поэтому не будем регистрировать данного пользователя. Принцип понятен.

Для регистрации пользователей нужно выбрать группу «Обычные». Либо можно создать новую группу и зарегистрировать в ней пользователей. Для создания новой группы используется кнопка «Добавить группу».

Мы выберем группу «Обычные». И создадим нового пользователя. Нажмем на кнопку «Добавить пользователя». Введем его имя, нажмем «Ок».

Для пользователей в группе «Обычные» можно задать параметры авторизации:

• режим блокировки пользователя, при котором пользователю будет запрещен вход в систему,
• и временные ограничения на вход в систему с точностью до 30 минут в любой день недели.

Настройка остальных параметров учетной записи созданного пользователя выполняется аналогично предыдущему рассмотренному случаю. Повторно рассматривать этот вопрос мы не будем.

Если необходимо удалить пользователя или группу, то мы можем это сделать при помощи соответствующих кнопок на панели инструментов – «Удалить пользователя» и «Удалить группу».

Необходимо отметить, что для «Аккорд-АМДЗ», работающего на основе контроллеров, выпускаемых по различным техническим условиям, некоторые параметры учетных записей администраторов и пользователей могут отличаться. Подробности об этом можно узнать в методических материалах к лекции – из «Руководства администратора» на комплекс.

Итак, в данной лекции мы о том, как устанавливать средство защиты информации от несанкционированного доступа «Аккорд-АМДЗ», а также о том, как выполнять регистрацию его пользователей, назначение им идентификаторов, паролей и времени доступа. В следующей лекции мы поговорим о дальнейших настройках комплекса.

Спасибо за внимание, до встречи на следующей лекции!