Особенности защиты систем терминального доступа с использованием ПАК СЗИ НСД «Аккорд-Win64» (1/2)

Установка и настройка клиентского ПО комплекса на удаленном терминале

Здравствуйте!

В данной лекции мы поговорим об установке и настройке клиентского ПО программно-аппаратного комплекса защиты информации от НСД «Аккорд-Win64» (TSE) на удаленном терминале. Рассмотрим, как происходит установка и настройка клиентского ПО комплекса на удаленном терминале, как происходит подключение удаленного терминального клиента к терминальному серверу с установленным и настроенным комплексом и как осуществляется работа удаленного пользователя на терминальном сервере. Также поговорим о том, как выполнить установку и настройку клиентского ПО на удаленном ТК при помощи команд, разберем пример такой установки. А затем посмотрим, как выполнить регистрацию идентификаторов на терминальном сервере без физического наличия самих идентификаторов.

Итак, для работы с серверной частью комплекса «Аккорд» на удаленном терминале необходимо выполнить установку клиентского ПО комплекса – «Аккорд-ТК».

Для этого на удаленном терминале нужно запустить установщик клиентского ПО и установить его. У меня данное ПО уже установлено. После его установки необходимо выполнить настройку терминального клиента СЗИ «Аккорд». 

Для этого запустим программу настройки из Пуск-Программы-Аккорд-TC- «Настройка терминального клиента».

В главном окне программы в разделе «Выберите протокол» необходимо выбрать один, или оба протокола в зависимости от того, какой планируется использовать. Выберем, например, RDP.

Далее нужно выбрать тип используемого на терминале персонального идентификатора. Если компьютер, на котором установлено клиентское ПО, допускает установку плат расширения, то можно установить контроллер «Аккорд -АМДЗ» и использовать ТМ-идентификаторы (АМДЗ).

Если на удаленном терминале нет никаких разъемов для установки плат расширения, а допускается только подключение USB-устройств, то в поле «Основной идентификатор» нужно выбрать в качестве идентификатора одно из таких устройств. Например, ТМ-идентификатор (USB) или устройство ШИПКА.

Как смешанный вариант возможно использование и тех, и других идентификаторов, например, в качестве основного можно установить «ТМ-идентификатор» (USB), появится сообщение об отсутствии синхронизации с контроллером.  А в качестве дополнительного идентификатора выбрать – ШИПКА или любой другой из списка. При этом важно помнить правило: «Один пользователь – один уникальный идентификатор».

Выберем в качестве основного идентификатора TM-идентификатор (USB), а в качестве дополнительного - ШИПКа.

После выбора параметров для активирования службы терминального клиента СЗИ «Аккорд» нужно нажать кнопку «Активировать», нажмем ее. На экране появится сообщение, что «Система успешно установлена». Нажмем «Ок».

На этом установка и настройка удаленного терминального клиента завершена.

Обращу внимание, что перед выполнением процесса удаления клиентского ПО СЗИ «Аккорд» с удаленного терминала необходимо снова запустить программу настройки из Пуск-Программы-Аккорд-ТС-«Настройка терминального клиента» и в ней нажать кнопку «Снять».

После этого привычная процедура подключения к терминальному серверу слегка видоизменяется. После запуска программы mstsc (Microsoft Terminal Server Client) можно обычным образом выбрать сервер, или его IP-адрес, как показано на слайде.

Но после нажатия кнопки «Подключить» выполняется дополнительная процедура идентификации. Значение таймера на предъявление идентификатора при подключении к терминальному серверу фиксировано и составляет 20 секунд (по истечении этого времени окно терминального клиента закрывается). После предъявления идентификатора необходимо выполнить процедуру аутентификации пользователя, то есть в появившемся окне необходимо ввести пароль.

Результаты И/А передаются на сервер в защищенном виде, и уже серверная часть СЗИ «Аккорд» ищет учетную запись в своей базе данных. Если пользователь успешно провел процедуру идентификации/аутентификации, то для него открывается сессия с тем набором правил разграничения доступа (ПРД), который установил администратор безопасности на терминальном сервере.

Хочу обратить внимание, что при выполнении процедуры подключения к терминальному серверу с использованием протокола ICA следует в СЗИ «Аккорд» указывать имя пользователя, пароль и имя домена, используемые при логине в ферму Citrix. Существуют еще некоторые особенности работы с Citrix, которые подробно описаны в методических рекомендациях к лекции –  документе «Руководство по установке» на комплекс, сейчас мы не будем подробно останавливаться на этом вопросе.

При подключении к нескольким опубликованным приложениям в рамках сессии пользователя процедуру И/А необходимо выполнять только при подключении к первому приложению (Citrix (сытрикс) создает одну сессию для всех опубликованных приложений). Следует учитывать, что в рамках одного сеанса недопустимо одновременное использование сессий RDP (ардипи) и Citrix (сытрикс).

На терминальном сервере монитор безопасности СЗИ «Аккорд» функционирует в многопользовательском и многозадачном режиме, т.е. для каждого сеанса терминального пользователя выполняется индивидуальная политика работы с ресурсами сервера, основанная на механизмах дискреционного и мандатного доступа. В том случае, когда сформирована изолированная программная среда (ИПС), то и набор исполняемых модулей жестко регламентирован для каждого пользователя. Реализованная в СЗИ «Аккорд» процедура динамического контроля целостности существенно усиливает стойкость защиты, т.к. исполняемый модуль, включенный в список контроля, проверяется непосредственно перед каждым запуском, что гарантирует неизменность среды во время всего сеанса работы.

Установка и настройка клиентского ПО на удаленном терминале возможна также посредством команд, выполняемых в командной строке, со следующими ключами (порядок и регистр ключей не важен).

 Например, для установки клиентского ПО и активации его с протоколами RDP/ICA и основным идентификатором Рутокен можно воспользоваться командами со следующими ключами. Для установки:

AccordSetupTC.exe /quiet

Установка занимает несколько минут. После установки из каталога с Аккорд-ТК (Accord.TC) нужно выполнить команду настройки:

AcSetupTCx64.exe /install /rdp /ica /rutoken /shipka

В этом случае первый идентификатор (/rutoken) будет считаться основным (Рутокен), а второй (/shipka) – дополнительным (ШИПКА).

Для снятия следует выполнить команду со следующим ключом:

AcSetupTCx64.exe /remove

По ключу /remove удаляются все ключи.

Обращу внимание, что по ключу /install всегда сначала автоматически выполняется ключ /remove.

Встречаются случаи, когда нет возможности использовать при регистрации на терминальном сервере физические идентификаторы пользователей. Например, когда сами персональные идентификаторы уже переданы пользователям и пользователи находятся территориально удаленно от терминального сервера.

В этом случае необходимо зайти в утилиту «Редактор прав доступа» на терминальном сервере, выбрать пользователя, нажать на кнопку рядом с полем «Идентификатор» и в окне «Операции с ключом пользователя» выбрать пункт «Из файла», нажать «Далее». Будет предложено выбрать файл хранящий описание идентификаторов. Поддерживается два формата файлов: *.amz - стандартная база пользователей Аккорд и *.atf - файл описания идентификаторов.

Для формирования файла с расширением *.atf на удаленном терминале  используется программа «Регистрация идентификаторов Аккорд» из состава клиентского ПО. Пользователь, находящийся удаленно от терминального сервера, может создать такой файл и передать его администратору терминального сервера (например, по электронной почте) для добавления в комплекс любым удобный способом. 

Запустим эту утилиту из Пуск-Программы-Аккорд-ТС-«Регистрация идентификаторов Аккорд».

В главном окне программы для создания файла с расширением *.atf необходимо нажать кнопку «Новый идентификатор». Нажмем ее. Затем нужно подсоединить идентификатор. После чего выполняется проверка, есть ли в идентификаторе ключ пользователя. Если его нет, то будет сформирован новый ключ. Если он есть, как у нас, то на экране появляется окно с вопросом о его использовании. Необходимо нажать кнопку «Да», если планируется использовать старый ключ, или кнопку «Нет», если нужно создать новый ключ. Нажмем «Да». Далее на экране появляется окно, в котором можно ввести описание идентификатора. Введем произвольное описаниеи нажмем кнопку «Oк».

В главном окне программы мы видим серийный номер идентификатора и его заданное нами описание.

По умолчанию, утилита работает с файлом TmId.atf. Если нужно работать с другим файлом, то необходимо использовать кнопку «Открыть файл». Нажмем ее. При на экране появляется окно выбора файла, в котором нужно выбрать соответствующий файл *.atf и нажать кнопку «Открыть».

В результате регистрации идентификатора создается файл, содержащий хэш-функцию от ключа пользователя, номера идентификатора и служебных данных. Далее, как я уже говорила, этот файл необходимо переслать администратору безопасности информации терминального сервера любым удобным способом.

Некоторые подробности работы с файлом с расширением *.atf описаны в методических материалах к лекции – документе «Руководство по установке» на комплекс.

Итак, мы поговорили об особенностях установки и настройки клиентского ПО программно-аппаратного комплекса защиты информации от НСД «Аккорд-Win64» (TSE) на удаленном терминале. На этом заканчивается тема «Особенности защиты систем терминального доступа с использованием ПАК СЗИ НСД «Аккорд-Win64» (TSE)». На следующей лекции мы перейдем к обсуждению темы «Сетевое администрирование комплексов СЗИ НСД семейства «Аккорд».

Спасибо за внимание, до встречи на следующей лекции!