Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (5/11)

Права доступа пользователей комплекса

Здравствуйте!

В данной лекции мы продолжим работать с программной «Разграничение доступа пользователей» программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64». Рассмотрим, как выполняется регистрация идентификатора пользователя, установка параметров и задание пароля, установка детальности протокола работы пользователя и установка режима блокировки экрана.

Итак, первый параметр - «Полное имя», он не является обязательным параметром, задается по желанию администратора, и может использоваться для идентификации пользователя в операционной системе, если в программе настройки комплекса установлен параметр «Использовать полное имя в учетных записях NT». Обычно полное имя используется, если необходимо задать имя более 12 символов. Если установить символ @ или /, то комплекс не будет синхронизировать имя с локальной базой Windows.

В поле «Идентификатор» отображается информация об идентификаторе выделенного пользователя. Пока пользователю не назначен идентификатор, в окне редактирования недоступны для изменения другие параметры. У нас идентификатор пользователя был назначен на прошлых лекциях при настройке  «Аккорд-АМДЗ», и после синхронизации баз его серийный номер отображается в данном поле. Нажмем кнопку справа от поля  «Идентификатор». На экране появится окно «Операции с ключом пользователя».

Ключ пользователя генерируется с использованием датчика случайных чисел (ДСЧ), установленного на плате контроллера «Аккорд-АМДЗ», и записывается в энергонезависимую память идентификатора.

Возможны четыре варианта работы с ключами пользователей. По умолчанию выбран пункт «Уже записан в Идентификатор», к нему мы вернемся позднее. Сначала рассмотрим другие пункты.

1) Следующий вариант - «Сгенерировать».

В этом случае, при нажатии кнопки «Далее», генерируется новый ключ и выдается запрос на считывание идентификатора. Происходит регистрация идентификатора и запись в него ключа пользователя.

2) Следующий вариант - «Из файла».

Данная опция позволяет получить номер идентификатора и ключ пользователя из выбранного файла, который подготовлен на другом компьютере с помощью специальной утилиты. Этот вариант регистрации необходим для системы терминального доступа, когда уже существующие идентификаторы пользователей защищенных рабочих станций нужно зарегистрировать на терминальном сервере.

3) И последний вариант - «Идентификатор потерян».

В этом случае после нажатия кнопки «Далее» поле «Идентификатор» данного пользователя примет значение «Не назначен». Все остальные правила доступа останутся неизменными. Администратор таким способом может временно отключить доступ данного пользователя на время разбора конфликтной ситуации, а потом быстро восстановить его, назначив новый идентификатор.

4) Вернемся к первому варианту - «Уже записан в Идентификатор».

Ключ может быть уже записан в идентификаторе, например, при перерегистрации пользователя, который был уже зарегистрирован в составе комплекса «Аккорд» на другой рабочей станции, или ключ уже был сгенерирован при регистрации пользователя в контроллере «Аккорд-АМДЗ» из состава комплекса, как в нашем случае.

Нажмем «Далее». Выдается запрос на считывание серийного номера идентификатора. Нужно присоединить идентификатор пользователя к контактному устройству считывателя информации. В этот момент происходит регистрация предъявленного идентификатора.

В поле «Идентификатор» появляется его серийный номер.

Обращу внимание, что при регистрации некоторых типов идентификаторов необходимо предварительно подготовить эти идентификаторы к работе в соответствии с документацией на них.

Следующее, что необходимо сделать – это установить параметры пароля. Для этого нужно нажать мышкой кнопку рядом с полем «Параметры пароля». Выводится окно, в котором мы видим какие параметры пароля можно настроить.

Первый параметр «Минимальная длина пароля». По умолчанию установлена длина – 8 символов. Минимальная длина может быть установлена в диапазоне от 0 до 12 символов. При нулевом значении пароль пользователю задавать не обязательно.

«Дни действия» - время действия пароля до смены: от 0 (нет смены пароля) до 366 дней.

«Попыток для смены» - количество попыток смены пароля: от 0 (то есть бесконечное количество попыток) до 5.

«Кто может менять пароль» - установка прав на смену пароля (только администратор или администратор и пользователь).

 «Алфавит для пароля» - определяет набор символов, из которых может состоять пароль пользователя. Если установлен флаг в одном, или нескольких полях, то наличие хотя бы одного символа данной последовательности обязательно при вводе пароля. При установке флага «Только генерировать» пароль будет генерироваться случайным образом из символов заданного алфавита.

Для выхода из режима редактирования с сохранением измененных параметров нужно нажать кнопку «Сохранить», без сохранения – «Отмена». Если устраивают параметры по умолчанию, то можно ничего не менять и нажать «Отмена».

Далее необходимо назначить пароль пользователя в соответствии с заданными параметрами. В поле «Пароль» мы видим, назначен или нет пароль данному пользователю. В нашем случае он «не назначен», так как мы при регистрации идентификатора работали с флагом «Идентификатор потерян» (до этого он был назначен при регистрации пользователя в Аккорд-АМДЗ). Для задания пароля нажмем на кнопку справа в поле «Пароль». На экран выводится окно «Ввод пароля». Необходимо его ввести и подтвердить.

Также мы видим кнопку «Сгенерировать». В нашем случае она не активна. Она становится активной, если при настройке параметров пароля установить флаг «Только сгенерировать». При использовании данной кнопки полученная последовательность символов автоматически вводится в первое поле пароля, а в нижней части окна выводится значение пароля и требуется его повторный ввод для подтверждения.

Мы же введем свой пароль, учитывая установленные ранее параметры, и затем подтвердим его. Нажмем «Ок». Видим, что в поле «Пароль» значение изменилось на «Назначен».

Следующее, что необходимо сделать – это установить детальность протокола работы пользователя.

Нажмем мышью на кнопку справа от поля «Детальность журнала».

Доступны следующие значения:

• «Нет» - регистрация только входа/выхода из системы и событий НСД.
• «Низкая» - регистрация входа/выхода из системы, попыток несанкционированного доступа, запуска исполняемых модулей, событий СЗИ.
• «Средняя» - то же, что при низкой детальности, плюс операции доступа к файлам и каталогам.
• «Высокая» - то же, что и при средней детальности плюс все файловые операции, включая параметры команд.
• «Сбор статистики» - то же, что и при высокой детальности журнала, кроме того для пользователя не действуют установленные правила разграничения доступа.

Во время каждого сеанса работы пользователя ведется журнал регистрации событий, в котором отображаются действия пользователя, прикладного и системного ПО. Администратору рекомендуется в текущей работе использовать низкую детальность ведения журнала. Среднюю и высокую детальность следует использовать при изучении работы вновь используемых задач с целью определения особенностей задачи, а именно: создание новых постоянных и временных каталогов и файлов, используемых устройств и так далее.

Выберем «Низкая». Данное значение отображается в поле «Детальность журнала».

Следующая настройка - установка режима блокировки экрана.

Блокировка экрана используется для временного отключения экрана и доступа к клавиатуре и мыши по истечении установленного интервала «неактивности» пользователя  по нажатию комбинации горячих клавиш «Гашение». По умолчанию установлена комбинация <Ctrl+F12>. Вернуться в рабочий режим можно только при помощи того идентификатора пользователя, который начал данный сеанс работы.

Для редактирования параметров гашения экрана нажмем кнопку «Назначение параметров Screen Saver (хранителя экрана)». Выводится окно «Параметры Screen Saver».

Необходимо сначала установить галочку «Используется». Затем, если необходимо, нужно установить дополнительные параметры:

В поле «Клавиши Гашение» можно установить комбинацию клавиш принудительного включения хранителя экрана. По умолчанию установлена комбинация <Ctrl+F12>.

Предусмотрена установка комбинации клавиш «Отключения паузы». По умолчанию установлена комбинация <Alt+F12>. При нажатии данной комбинации отключается режим срабатывания хранителя экрана по времени.

В поле «Пауза в минутах» устанавливается время в минутах, через которое произойдет блокировка клавиатуры и мыши. Если установить значение «0», то блокировки мыши и клавиатуры не произойдет. Если установить значение, отличное от нуля, то блокировка клавиатуры и мыши произойдет через указанное время. По умолчанию установлено 5 минут.

В нижнем правом углу окна настроек Screen Saver находится кнопка со стрелкой. При нажатии на эту кнопку открывается поле дополнительных параметров блокировки. Эти параметры определяют специальные режимы блокировки при извлечении идентификаторов, подключаемых к USB-портам компьютера. Настройки дополнительных параметров позволяют задавать поведение компьютера при извлечении идентификатора из USB-порта.

Что означает каждый параметр можно узнать из методических материалов к лекции – в документе «Установка правил разграничения доступа на комплекс».

Для выхода с сохранением установленных параметров необходимо нажать кнопку «Сохранить», для выхода без сохранения – кнопку «Отмена».

В локальной версии комплекса есть еще несколько параметров, которых нет в терминальной версии. Здесь они заменены надписью «В версии TSE возможна только блокировка компьютера».

Давайте поговорим об этих параметрах. На данном слайде приведен скриншот аналогичного окна для локальной версии комплекса.

Параметр «Световая индикация» - устанавливает мигание индикаторов <Num Lock>, <Caps Lock> и <Scroll Lock> во время работы экранной заставки.

Следующий параметр - «Звуковая индикация» - означает наличие звуковых сигналов в режиме гашения.

Параметр «Не выключать монитор» - устанавливает режим, при котором заставка экрана не включается.

Параметр «Защита паролем» означает, что для выхода из хранителя экрана необходимо помимо предъявления идентификатора еще ввести и пароль пользователя.

Подведем итог, в данной лекции мы поговорили о настройке некоторых параметров прав доступа пользователей программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64». Рассмотрели, как выполняется регистрация идентификатора пользователя, установка параметров и задание пароля, установка детальности протокола работы пользователя и установка режима блокировки экрана. На следующей лекции мы рассмотрим остальные параметры.

Спасибо за внимание, до встречи на следующей лекции!