Доверенная загрузка ОС. СЗИ НСД «Аккорд-АМДЗ» (3/3)

Настройка комплекса (продолжение). Режимы доступа к аппаратным ресурсам платы контроллера

Здравствуйте!

На прошлой лекции мы рассмотрели, как устанавливать средство защиты информации от несанкционированного доступа «Аккорд-АМДЗ», а также выполнять регистрацию его пользователей, назначение им идентификаторов, паролей и времени доступа. В этой лекции мы поговорим о дальнейших настройках комплекса – назначении списка аппаратуры, дисков, файлов, разделов реестра, контролируемых на целостность. Посмотрим, как ведется системный журнал комплекса. А также рассмотрим, какие бывают режимы доступа к аппаратным ресурсам платы контроллера.

Итак, следующий шаг настройки комплекса – назначение на контроль целостности аппаратуры, дисков, файлов, разделов реестра.

Для установки перечисленного на контроль необходимо в меню выбора объектов администрирования выбрать один из следующих пунктов:

• Аппаратура;
• Диски;
• Файлы или;
• Реестр.

Для настройки списков контроля целостности аппаратуры выберем «Аппаратура». На экран выводится окно контроля аппаратуры.

В данном окне содержится список классов контролируемых устройств, содержащий отдельные устройства и их параметры. На контроль можно установить процессор (CPU), BIOS, BIOS HASH, оперативную память (Memory), Media-устройства, PCI-устройства, USB-уcтройства и монитор. Установкой соответствующего флага можно включить/исключить в процедуру контроля любой класс или устройство.

Можно установить на контроль все группы сразу, для этого нужно нажать кнопку «Поставить/снять все группы». Нажмем ее и видим, что на контроль установлены все имеющиеся группы.

Внесенные изменения подтверждаются нажатием кнопки «Сохранить список оборудования» на панели инструментов. Нажмем ее.

В случае нарушения целостности имеется возможность пересчитать контрольные суммы оборудования в сохраненном списке, нажав на кнопку «Пересчитать список оборудования».

Нажмем кнопку «Поставить/снять все группы» еще раз, и все группы будут сняты с контроля. Затем также необходимо нажать «Сохранить список оборудования».

После регистрации в «Аккорд-АМДЗ» хотя бы одного пользователя контроль аппаратуры производится при каждом загрузке компьютера после идентификации/аутентификации пользователя. Если обнаруживается несовпадение параметров конфигурации, записанных в памяти контроллера, и текущих параметров системы, то выдается сообщение «Контроль не пройден», и для обычного пользователя загрузка компьютера блокируется. Необходимо обратится к администратору комплекса.

Здесь хотелось бы обратить внимание на один важный момент. Может встречаться ситуация, когда после перезагрузки «Аккорд-АМДЗ» сообщает, что есть ошибки в контрольной сумме BIOS и дополнительных параметров BIOS, хотя никаких изменений в настройках BIOS не выполнялось. В процедуре контроля аппаратуры видны ошибки, контрольные суммы не совпадают. Администратор обновляет данные, но после перезагрузки повторяется сообщение об ошибке контроля аппаратуры. Это означает, что в компьютере установлена «интеллектуальная» материнская плата или устройство с расширенным собственным BIOS. При каждой перезагрузке или выключении они записывают информацию в определенные области своих BIOS. Поскольку не имеет смысла каждый раз пересчитывать контрольные суммы того, что меняется при перезагрузке, то нужно исключить меняющиеся параметры из списка контролируемых объектов. После чего нажать кнопку «Сохранить список оборудования».

Теперь выберем объект администрирования «Диски». На экран выводится окно контроля служебных областей дисков. В рамках контроля поддерживаются файловые системы, список которых был приведен в самой первой лекции данной темы про «Аккорд-АМДЗ».

В окне контроля выводится дерево всех дисков, установленных на данном компьютере. Для включения области диска в список контролируемых объектов необходимо мышью поставить крестик около контролируемого параметра. Выберем второй диск и Раздел 1.

В список контролируемых можно вносить служебные области с любых дисков, установленных в компьютере, независимо от файловой системы. Для записи в память контроллера хэш-функций контролируемых областей нужно нажать кнопку «Сохранить список дисков».

Для снятия объекта с контроля нужно снять крестик и аналогично нажать кнопку «Сохранить список дисков».

Далее выберем объект администрирования «Файлы». На экран выводится окно контроля файлов. «Аккорд-АМДЗ» обеспечивает контроль целостности программ и данных до загрузки ОС, защиту от внедрения разрушающих программных воздействий.

В окне контроля файлов выводится список всех дисков, установленных в системе. Выберем второй диск и Раздел 4.

В правой части экрана можно выбрать конкретные файлы или каталоги, расположенные на этом разделе.

Сначала выберем каталог и добавим его в список контроля целостности. Для этого нажмем кнопку «Добавить в СКЦ».

В этом случае на экран выводится окно, в котором необходимо выбрать нужные атрибуты добавления каталога. Не будем ничего изменять и нажмем «Ок». Выбранный каталог будет добавлен в список контроля целостности.

Теперь выберем файл и добавим его в список контроля целостности. На экран выводится окно, в котором необходимо выбрать нужные атрибуты добавления файла. Опять не будем ничего изменять и нажмем кнопку «Ок». Выбранный файл также будет добавлен в список контроля целостности.

После добавления в список контролируемых файлов всех необходимых файлов и каталогов нажмем копку «Сохранить». Нужно обязательно нажать эту кнопку, чтобы данные были занесены в память контроллера.

При необходимости можно убрать отдельный каталог или файл из списка контролируемых. Для этого его нужно выбрать в списке контроля целостности и нажать кнопку «Убрать из СКЦ».

В случае нарушения целостности имеется возможность пересчитать контрольные суммы файлов и каталогов в сохраненном списке, нажав на кнопку «Пересчитать».

Хэш-функция контролируемых файлов пересчитывается при каждой загрузке компьютера с установленным контроллером «Аккорд-АМДЗ» и сравнивается с эталонным значением, записанным в памяти контроллера. Если обнаруживается несовпадение, пользователю выдается сообщение «Нарушена целостность» с указанием, на каком файле выявлена ошибка, и загрузка компьютера блокируется. Администратор может зайти в меню администрирования и проанализировать факт нарушения целостности. Также он может пересчитать КС при необходимости. 

Здесь хотелось бы обратить внимание на один момент - Количество файлов, которое можно установить на контроль, зависит от операционной системы и от длины пути к каталогу, где находятся файлы. Среднее количество составляет 1200-1500 файлов. Списки файлов различных ОС семейства Windows, рекомендуемых для контроля целостности на аппаратном уровне можно найти в методических рекомендациях к лекции – «руководстве администратора» на комплекс.

Далее рассмотрим контроль целостности разделов реестра.

Выберем объект администрирования «Реестр». На экран выводится окно со списком контролируемых реестров. В начальный момент этот список пуст. Для добавления записей в список следует нажать кнопку «Обзор» и в появившемся далее окне со списком логических разделов жесткого диска данного компьютера выбрать тот раздел, в котором установлена операционная система. У нас это второй диск, Раздел 4. Выберем его. В окне контроля целостности реестра появится дерево каталогов данного раздела.

Выберем произвольную ветку реестра, нажмем «Ок», и тем самым добавим ее в список контролируемых комплексом объектов. Для сохранения нужно нажать кнопку «Сохранить КЦ реестра».

В случае нарушения целостности какой-либо ветки реестра на вкладке «Реестр» все нарушения выделяются цветом.

Для перерасчета контрольных сумм списка контролируемых веток системного реестра нужно нажать кнопку «Пересчитать КЦ реестра».

После перерасчета контрольных сумм необходимо выполнить сохранение новых КС, нажав на кнопку «Сохранить КЦ реестра».

 Мы рассмотрели, как настраиваются списки контроля целостности. Теперь давайте поговорим еще об одном пункте меню администрирования – это «Журнал». Выберем его.

На экран выводится окно системного журнала. Он ведется в энергонезависимой памяти контроллера «Аккорд-АМДЗ». В журнал заносится информация о сеансах работы пользователей с указанием номера идентификатора и о всех попытках несанкционированного доступа к компьютеру.

Подробнее об основных параметрах, фиксируемых в журнале, и их обозначениях можно прочитать в методических материалах к лекции – «руководстве администратора» на комплекс.

Внизу окна отображается процент заполнения журнала.

Если необходимо очистить журнал, то нужно нажать кнопку <Очистить журнал> .

Размер энергонезависимой памяти, в которой размещается системный журнал, составляет 256 Кбайт. Такой объем памяти позволяет вместить в журнале не менее 1010 записей. При штатной работе «Аккорд-АМДЗ» (когда в системе отсутствуют серийные нарушения целостности файлов/реестра и не используется чрезмерно глубокая вложенность файлов в каталогах) количество записей в журнале может быть больше этого значения в десятки или сотни раз.

Если заполнение журнала превышает 85%, при загрузке компьютера выдается предупреждение, но загрузка продолжается. Если заполнение журнала превышает 95%, то загрузка для пользователя блокируется, и требуется вмешательство администратора.

После настройки администратором списков контроля целостности зарегистрированный в «Аккорд-АМДЗ» пользователь может приступать к работе на защищенном компьютере.

Попробуем загрузиться в ОС с использованием идентификатора и пароля пользователя.

Включим компьютер. При старте контроллера он запросит идентификатор и пароль. Предъявим идентификатор пользователя USER и введем его пароль. Если и/а и контроль целостности прошли успешно начнется запуск доверенной операционной системы. Как это происходит сейчас у нас.

Как я уже говорила, в случае несовпадения текущих контрольных сумм объектов, установленных на контроль с эталонными контрольными суммами, хранящимися в контроллере, появится окно, в котором будет указано контрольная сумма какого объекта не совпадает с эталонной. При этом загрузка в операционную систему для  пользователя будет  заблокирована. Необходимо вызвать администратора, которой разберется в возникшей ситуации.

Еще один вопрос, который мне бы хотелось осветить на данной лекции – эторежимы доступа к аппаратным ресурсам платы контроллера.

Контроллеры «Аккорд», входящие в состав комплекса, имеют два режима доступа к аппаратным ресурсам платы контроллера:

• режим 0 (стандартный) – доступ к области кода расширения BIOS только по чтению;
• режим 1 (специальный – технологический), в котором при старте компьютера код не исполняется, а области, защищенные при работе контроллера в режиме 0, становятся доступны по чтению/записи.

Для перехода из стандартного режима в технологический необходимо:

1. выключить компьютер и вынуть плату контроллера из разъема системной шины;
2. перевести контроллер в технологический режим – для разных вариантов контроллера Аккорд это делается по-разному (либо снять установочную металлическую планку, которая крепится к плате контроллера двумя винтами, снять джампер технологического режима при наличии, либо надеть джампер технологического режима при наличии и переключить микропереключатель на плате контроллера и т.д.). Подробности о том, как переводить каждый контроллер в технологический режим можно прочитать в методических материалах к лекции – «руководстве администратора» на комплекс.
3. затем нужно вставить плату в компьютер;
4. и загрузить компьютер.

Итак, в данной лекции мы поговорили о том, каким образом в средстве защиты информации от несанкционированного доступа «Аккорд-АМДЗ» выполняется назначение на контроль целостности списка аппаратуры, дисков, файлов и разделов реестра. Обсудили детали ведения системного журнала комплекса. А также рассмотрели режимы доступа к аппаратным ресурсам платы контроллера. На данном вопросе заканчивается рассмотрение комплекса СЗИ НСД «Аккорд-АМДЗ». Напомню, что он является аппаратной составляющей – РКБ – всех остальных комплексов, о которых мы будем говорить в следующих темах данного курса.

Спасибо за внимание, до встречи на следующей лекции!