Особенности защиты систем терминального доступа с использованием ПАК СЗИ НСД «Аккорд-Win64» (1/2)

Установка комплекса на терминальном сервере

Здравствуйте!

В данной лекции мы поговорим об особенностях защиты систем терминального доступа с помощью программно-аппаратного комплекса защиты информации от НСД «Аккорд-Win64» (TSE) производства компании ОКБ САПР. Мы рассмотрим перечень поддерживаемых серверных ОС, особенности установки, настройки и администрирования комплекса на терминальном сервере.

Программное обеспечение комплекса СЗИ НСД «Аккорд-Win64» содержит модули, которые обеспечивают выполнение защитных функций при работе терминального сервера. Поддерживаются серверные ОС, перечень которых приведен на слайде. При этом серверное ПО может использоваться как в стандартной конфигурации, так и с установленным Citrix Metaframe.

Установка программного обеспечения на жесткий диск выполняется стандартным образом. Режим работы комплекса (в терминальном режиме или нет)  определяется ключом лицензии (Accord.key). Момент установки мы подробно рассматривали на лекциях в предыдущей теме. Здесь все по аналогии.

После установки ПО необходимо зайти в программу «Настройка комплекса Аккорд». В меню «Параметры» в данном случае отображается дополнительный пункт «Terminal Server». Выберем этот пункт. Откроется окно настроек сессий терминального доступа  - «Опции Terminal Server».

Для начала  необходимо выбрать протокол виртуального канала, по которому будет осуществляться связь с терминалами. Комплекс поддерживает протокол RDP для Windows Terminal Server и ICA для Citrix Metaframe. Необходимо выбрать хотя бы один протокол, но также возможна работа одновременно по двум протоколам.

Параметр «Тайм-аут» определяет время отклика идентификатора, подключенного к клиенту (в секундах). Если по истечении данного времени устройство не успело ответить, запрос клиенту посылается повторно.

Следующий раздел данного окна - «Режим удаленной сессии». Он определяет варианты взаимодействия с клиентскими терминалами. Можно установить следующие флаги:

«Контроль отключения идентификатора» – этот флаг определяет режим работы сессии пользователя при извлечении идентификатора. При установке данного флага в программе «Редактор прав доступа» необходимо задать поведение компьютера при извлечении идентификатора.

Далее идет флаг «Только одна удаленная сессия для пользователя» – это вариант работы, когда удаленный пользователь не может одновременно открыть несколько удаленных сессий к терминальному серверу с разных рабочих мест. Следует отметить, что в современных операционных системах локальные сессии также учитываются: если пользователь включил компьютер, на нем появляется так называемая нулевая сессия от имени этого пользователя (в ней работают системные службы и тому подобное), а любая попытка войти в систему представляет собой уже вторую сессию. В этом случае ПАК «Аккорд» не предоставит доступ к операционной системе ни локально, ни удаленно.

Следующий флаг - «Автоматический логин сессии пользователя». Он определяет режим работы пользовательского терминала, при котором результаты идентификации/аутентификации пользователя передаются от клиентской части комплекса «Аккорд» программному обеспечению на сервере, которое обрабатывает начало сессии удаленного пользователя.

Если локальные учетные данные пользователя корректны с точки зрения комплекса  «Аккорд» на терминальном сервере, терминальная сессия пользователя начинается автоматически без запроса дополнительных данных от пользователя. В противном случае ПО «Аккорд» на терминальном сервере выводит сообщение об ошибке и завершает терминальную сессию.

Следующий флаг – «Усиленная проверка станции пользователя». Этот флаг включает режим проверки не только идентификационных параметров пользователя, но также и идентификационных параметров удаленного терминала на основе информации, которая хранится в энергонезависимой памяти контроллера «Аккорд-АМДЗ».

Затем следует флаг «Разрешена работа только с флеш-дисками СОН». Он доступен только для 64-битных ОС Windows Server 2008 и выше. Этот флаг определяет режим работы с ПАК «Секрет Особого Назначения» (это защищенная флешка). Если флаг установлен, то в режиме терминальной сессии разрешена работа только с ПАК «Секрет Особого Назначения», доступ к остальным съемным устройствам запрещен. Если флаг не установлен, то разрешена работа со всеми съемными устройствами, подключенными к рабочей станции.

Следующий флаг –  «Разрешено быстрое переключение пользователей». Этот флаг определяет режим работы пользовательского терминала, при котором возможно переключение между пользователями терминального сервера с сохранением активных сессий ранее работавших на терминальном сервере пользователей (аналогично функции «Сменить пользователя» в операционной системе Windows). Кнопка «Сменить пользователя» в ОС Windows при установленном этом флаге не блокируется – как следствие, могут быть открыты несколько одновременных локальных сессий.

Далее идет флаг «Изменить тайм-аут авторизации сессии». Этот флаг определяет возможность настройки тайм-аута для ожидания авторизации удаленной сессии.

Мы рассмотрели все возможные флаги. В реальной системе администратор выбирает те флаги, которые требуются. После выбора нужных опций необходимо нажать «Принять», затем выйти из программы настройки с сохранением. После чего выполнить перезагрузку терминального сервера, чтобы изменения вступили в силу.

Все остальные настройки правил разграничения доступа на сервере не отличаются от стандартных. Администратор создает пользователей, регистрирует их идентификаторы, назначает пароль и правила доступа к ресурсам, которые находятся на жестком диске терминального сервера.

Особенность администрирования на терминальном сервере заключается в том, что терминальные пользователи должны регистрироваться в отдельной группе СПО «Аккорд», которая будет синхронизироваться не только с группой «Пользователи», но и с группой «Пользователи удаленного рабочего стола».

Если пользователи уже зарегистрированы в контроллере домена, то возможен вариант, когда синхронизация с базой «Аккорд-АМДЗ» и базой операционной системы отключается, а список сохраняется только в базе СПО «Аккорд».

Соответствие группы пользователей СПО «Аккорд» группам в составе ОС устанавливается в программе «Редактор прав доступа».  Необходимо выбрать группу и нажать кнопку справа от поля «NT группы». Открывается окно выбора из списка существующих групп в составе операционной системы. Справа в окне мы видим все группы, а слева те, с которыми будет синхронизирована выбранная нами группа в СПО «Аккорд». В нашем случае мы должны выбрать в правой части окна группу «Пользователи» и добавить кнопкой «стрелочка» ее в левую часть окна - «NT группы», а затем аналогично добавить  группу «Пользователи удаленного рабочего стола».

Для завершения процедуры с сохранением нажмем кнопку «Ок». В поле «NT группы» теперь мы видим группы операционной системы, с которыми синхронизирована наша группа в СПО «Аккорд».

Итак, мы поговорили об особенностях установки, настройки и администрирования комплекса разграничения доступа «Аккорд-Win64» (TSE) на терминальном сервере. На следующей лекции мы поговорим об установке клиентского ПО данного комплекса на удаленном терминале.

Спасибо за внимание, до встречи на следующей лекции!