Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (3/11)

Установка комплекса

Здравствуйте!

В данной лекции мы поговорим о том, как происходит установка программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64». Рассмотрим последовательность установки комплекса, поговорим о первых четырех этапах этой последовательности - установке в СВТ аппаратной части комплекса, то есть «Аккорда-АМДЗ», установке в составе ОС драйвера для контроллера «Аккорд-АМДЗ», установке на ж/д СПО разграничения доступа с дистрибутивного носителя и о копировании ключевого файла лицензии.

Итак, установка программно-аппаратного комплекса СЗИ НСД «Аккорд-Win64» включает следующие этапы:

1. Установка в СВТ аппаратной части комплекса – комплекса СЗИ НСД «Аккорд-АМДЗ». При этом также выполняется его настройка с учетом конфигурации технических и программных средств, в том числе, регистрация администратора безопасности информации (или нескольких администраторов).
2. Следующий этап – это Установка в составе ОС драйвера для контроллера «Аккорд-АМДЗ».
3. Далее идет – Установка на жесткий диск специального программного обеспечения разграничения доступа с дистрибутивного носителя и настройка идентификаторов комплекса.
4. Затем необходимо выполнить копирование с идентификатора ключевого файла лицензии.
5. Назначение правил разграничения доступа (ПРД) для пользователей СВТ в соответствии с политикой информационной безопасности, принятой в организации.
6. И последний этап – это Активизация подсистемы разграничения доступа.

Рассмотрим поочередно каждый из этапов, кроме первого. Как происходит установка и настройка «Аккорд-АМДЗ» в СВТ мы подробно рассматривали в предыдущей теме нашего курса, поэтому не будем останавливаться на этом вопросе снова.

Второй этап - установка в составе ОС драйвера для контроллера «Аккорд-АМДЗ». Она выполняется стандартным образом, как при установке драйвера любого устройства. При этом размещение драйвера указывается в папке /Drivers/ на дистрибутивном носителе, который поставляется вместе с комплексом «Аккорд». Если для работы с комплексом необходимо использование считывателей идентификаторов, например, USB-считывателя идентификаторов или считывателя смарт-карт, то также должна быть выполнена установка необходимых для них драйверов. Драйвера берутся так же из комплекта поставки комплекса. В зависимости от разрядности ОС (32-х или 64-х битная) устанавливается 32-х битный или 64-х битный драйвер контроллера и считывателей. Для этого выбирается соответствующая папка. На слайде приведен выбор драйвера контроллера для 64-х битных ОС. Мы рассматриваем именно этот вариант, так как мы работаем с «Аккорд-Win64» средством разграничения доступа для 64-х битных ОС. 

Следующий этап установки – это установка на жесткий диск специального программного обеспечения разграничения доступа с дистрибутивного носителя, входящего в комплект поставки комплекса. В конце этой установки выполняется настройка идентификаторов комплекса.

С дистрибутивного носителя  «Аккорд» необходимо запустить программу AccordSetupWin64.exe, вне зависимости от того устанавливается ли комплекс на рабочую станцию или на терминальный сервер. У нас он уже скопирована на рабочий стол.

Запустим установочный файл. Появляется окно с приветствием от мастера установки, в котором необходимо нажать «Далее». Нажмем.

После этого нужно ознакомиться с лицензионным соглашением, и выбрать «Я принимаю условия лицензионного соглашения». Согласимся. Нажмем «Далее». В появившемся окне нужно выбрать логический диск и каталог для установки ПО комплекса. По умолчанию установка выполняется в папку C:\ ACCORD.X64, но администратор может выбрать другие варианты по своему усмотрению. Для этого нужно нажать кнопку «Обзор».

Не будем ничего менять и нажмем «Далее».  Дождемся завершения установки СПО. При запросе от системы разрешим ей вносить изменения на данном компьютере. После копирования файлов в указанную папку на диске, на экране появляется окно «Завершение работы мастера установки». В появившемся окне мы видим, что можно установить галочку «Настройка идентификаторов».

Установим эту галочку и нажмем кнопку «Готово». В этом случае запустится программа «Настройка идентификаторов Аккорд», в которой необходимо выбрать настройки идентификаторов. Если не установить эту галочку, то установка завершится, а настройку идентификаторов можно будет выполнить, запустив данную программу через меню Пуск –>Программы –>Аккорд –> Настройка идентификаторов Аккорд. Обращу внимание, для запуска программы «Настройка идентификаторов» следует использовать опцию «Запуск от имени Администратора».

В составе комплексов «Аккорд» могут использоваться различные типы идентификаторов: TM-идентификаторы (устройства Touch Memory типа DS 1992-1996), устройства ШИПКА различных версий, eToken различных версий, Рутокен различных версий и некоторые другие. Кроме того, имеется возможность выбрать модули биоавторизации –  поддерживаемые комплексом сканеры отпечатков пальцев или сканеры сосудистого русла руки.

По умолчанию в качестве «Основного идентификатора» установлено использование ТМ-идентификаторов, через интерфейсный кабель, подключенный к плате Аккорд-АМДЗ.

Выбор такого идентификатора в качестве основного означает, что синхронизация пользователей с «Аккорд-АМДЗ» включена и при старте ОС монитор безопасности будет запускаться как системный драйвер.

Администратор может выбрать другие типы идентификаторов в качестве основных. Для этого нужно нажать на стрелку в правой части поля «Основной идентификатор». В выпадающем списке выбрать нужное значение. Оставим ТМ-идентификатор (АМДЗ).

Обращу внимание, что если в качестве основного выбирается любой другой идентификатор, кроме данного, это приводит тому, что синхронизация пользователей с базой пользователей, созданной в «Аккорд-АМДЗ» отключается и старт системы защиты переводится в режим «вручную».

Такой режим работы (когда в качестве основного идентификатора используется любой идентификатор, кроме «TM-идентификатор (АМДЗ)») необходим там, где не используется физический контроллер «Аккорд-АМДЗ». Например, если необходимо установить на рабочую станцию только СПО «Аккорд».

Если необходимо использовать несколько идентификаторов одновременно, в поле «Дополнительные идентификаторы» нужно выбрать один или несколько дополнительных идентификаторов. По умолчанию уже выбрана ШИПКа, можем выбрать другие. Оставим все, как было выбрано изначально, и нажмем кнопку «Активировать».   После этого утилита копирует в системную папку Windows/System32/ те библиотеки, которые предназначены для поддержки выбранных типов идентификаторов. Если процедура установки прошла успешно, на экран выводится оповещение «Поддержка идентификаторов установлена». Необходимо нажать «Ок». На этом установка СПО и настройка идентификаторов комплекса завершена.

Следующий этап установки – копирование ключевого файла лицензии.

Для полноценной работы комплекса «Аккорд» в каталог, где установлено СПО «Accord-Win64» (в нашем случае это каталог C:\ ACCORD.X64) должен быть скопирован файл лицензии Accord.key.

Данный файл поставляется отдельно на диске или в ТМ-идентификаторе серии DS1993.

Если файл лицензии поставляется на диске, то его можно заранее самостоятельно скопировать с диска в указанный каталог.

Если же он находится на ТМ-идентификаторе, то необходимо запустить программу «Настройка комплекса Аккорд» и при первом запуске программа настройки запросит ТМ-идентификатор, считывает из него информацию и сохраняет в файл Accord.key на диске.

После этого данный идентификатор можно использовать для регистрации пользователя.

В этом файле содержится информация о серийном номере контроллера «Аккорд-АМДЗ» и типе комплекса (для рабочей станции или терминального сервера). При отсутствии файла, несовпадении серийного номера контроллера, или несовпадении контрольной суммы файла процедура инсталляции подсистемы разграничения доступа не выполняется. Если истек срок действия лицензии, то её можно продлить, прислав файл Accord.key на почту производителя комплекса. Подробности можно прочитать в методических материалах к лекции – «руководстве по установке» комплекса.

Подведем итог, в данной лекции мы поговорили о первых четырех этапах установки программно-аппаратного комплекса СЗИ от НСД «Аккорд-Win64». На нескольких следующих лекциях мы обсудим следующие этапы установки данного комплекса - назначение правил разграничения доступа (ПРД) для пользователей СВТ в соответствии с политикой информационной безопасности, принятой в организации, и активизация подсистемы разграничения доступа.

Спасибо за внимание, до встречи на следующей лекции!