Сетевое администрирование комплексов СЗИ НСД семейства «Аккорд»(2/2)

Установка и настройка СУЦУ

Здравствуйте!

В данной лекции мы поговорим об установке и настройке СУЦУ – системы удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд» производства компании ОКБ САПР. На лекции мы рассмотрим порядок развёртывания СУЦУ, затем поговорим подробнее о каждом его этапе. Обсудим установку ПО сервера централизованного управления (СЦУ), получение файла лицензии на использование СУЦУ, установку ПО клиентов СУЦУ и настройку для них правил разграничения доступа. Поговорим  о создании сетевого идентификатора СЦУ и о создании в нем учетной записи «ASM_ACCOUNT». Также рассмотрим способы регистрации подконтрольных объектов (ПКО).

 Итак, рассмотрим порядок развертывания системы удаленного централизованного управления СУЦУ.

Установка и настройка Системы выполняется в следующей последовательности:

• установка комплекса «Аккорд-АМДЗ» (в случае его отсутствия). Комплекс «Аккорд-АМДЗ» должен быть установлен на сервере централизованного управления (СЦУ) и на всех подконтрольных объектах (ПКО). Установка комплекса выполняется аналогично тому, как мы это рассматривали в лекциях, посвященных данному комплексу.
• установка ПАК СЗИ от НСД «Аккорд-Win32» или «Аккорд-Win64» (в случае их отсутствия). Эти комплексы должны быть установлены на СЦУ и на всех ПКО. Установка этих комплексов выполняется аналогично тому, как мы рассматривали в прошлой теме данного курса. Установка «Аккорд-АМДЗ» и ПАК «Аккорд» на СЦУ входит в обязанности Администратора СУЦУ. При этом  в его обязанности не входит их установка на подконтрольных объектах.
• следующий этап – установка ПО сервера централизованного управления.
• далее необходимо получить файл лицензии на использование СУЦУ.
• затем необходимо установить ПО клиентов СУЦУ на подконтрольные объекты (ПКО). Данная процедура должна выполняться для каждого подконтрольного объекта.
• после чего нужно выполнить настройку правил разграничения доступа для клиентов СУЦУ.
• следующий этап – создание сетевого идентификатора сервера СУЦУ.
• а также создание в сетевом идентификаторе учетной записи «ASM_ACCOUNT».
• и последнее, что нужно сделать – выполнить регистрацию подконтрольных объектов.

Начнем с первого этапа – установка ПО сервера централизованного управления.

Перед установкой ПО сервера централизованного управления необходимо сначала выполнить на СЦУ ряд предварительных настроек и установить дополнительное ПО,  перечисленное на слайде. После этого на СЦУ нужно запустить с установочного диска мастер установки ПО сервера централизованного управления – программу SUCU-SERVER-...exe, и далее следовать его указаниям.

После установки ПО нужно открыть на сервере централизованного управления и на всех промежуточных сетевых устройствах между сервером централизованного управления и ПКО порт на входящие подключения сервера RabbitMQ и затем запустить сервис Acconnet.exe.

Если работа на АРМ управляющего персонала осуществляется пользователем операционной системы Windows, который не имеет администраторских прав, то данному пользователю необходимо предоставить полный доступ к папке, в которую была выполнена установка ПО АРМ управляющего персонала (по умолчанию C:\ASM), и ко всем вложенным в неё папкам.

Следующий этап - получение файла лицензии на использование СУЦУ

Для получения файла лицензии после выполнения процедуры установки ПО сервера централизованного управления необходимо прислать письмо по адресу электронной почты производителя. В этом письме нужно указать параметры, перечисленные на слайде.

В ответном письме будет отправлен сформированный файл лицензии. Его нужно скопировать в папку, в которую было установлено ПО сервера централизованного управления (по умолчанию C:\Asm\ACCONNET) под именем «Acconnet.key».

Следующий этап – Установка ПО клиентов СУЦУ

Перед установкой ПО клиентов СУЦУ необходимо выполнить предварительные настройки, приведенные на слайде. Далее необходимо запустить с установочного диска СУЦУ программу SUCU‑CLIENT-...exe и следовать указаниям мастера установки.

По завершению установки появляется окно, приведенное на слайде. В этом окне нужно установить флаг «Запустить настройку рабочей станции» и нажать кнопку «Готово». На экране появится следующее окно. В нем нужно установить необходимые параметры и нажать кнопку «Регистрация». Затем для вступления изменений в силу нужно перезагрузить рабочую станцию.

Затем необходимо перейти к следующему этапу - Настройка правил разграничения доступа для клиентов СУЦУ.

На подконтрольном объекте нужно импортировать в режиме объединения правила разграничения доступа из файла «acws32.prd», находящегося в каталоге установки ПАК «Аккорд-Win32» / «Аккорд-Win64».

После этого нужно на подконтрольном объекте запустить утилиту «MakePrc.EXE», входящую в состав ПАК «Аккорд». И с помощью данной утилиты установить полный доступ с полным наследованием к файловым объектам \DEVICE\  и сетевым объектам \\ для приведенных на слайде программ (процессов).

Описание процедуры импорта правил разграничения доступа и описание работы с программой «MakePrc.EXE» можно прочитать в методических материалах к лекции – документе «Установка правил разграничения доступа. Программа ACED32» на комплексы ПАК «Аккорд».

Следующий этап - Создание сетевого идентификатора сервера централизованного управления

Сетевой идентификатор позволяет выполнить процедуру взаимной аутентификации сервера централизованного управления и ПКО. Решение об успешности / неуспешности аутентификации принимается по результатам проверки электронной подписи. Генерация ключевых пар для вычисления / проверки ЭП осуществляется специальной программой на основе последовательности случайных чисел, получаемой с аппаратного ДСЧ на плате контроллера «Аккорд-АМДЗ».

В качестве сетевого идентификатора может использоваться одно из следующих устройств:

• ТМ-идентификатор типа DS1996;
• USB-устройство ШИПКА;
• смарт-карта RuToken.

Для создания сетевого идентификатора необходимо запустить программу «Регистрация станций ПАК «Аккорд»» (ACSETCON.EXE) на сервере централизованного управления. На экран будет выведено окно, приведённое на слайде. В нем нужно нажать кнопку «Создать идентификатор».

На запрос ключа нужно присоединить сетевой идентификатор к съемнику информации или подключить его в USB-порт. В идентификатор при этом заносится информация, которая будет использоваться при конфигурации ПКО. В каталоге, в который было установлено ПО сервера централизованного управления (по умолчанию C:\Asm\ACCONNET) создается файл ACNODE.LST, содержащий данные о сервере централизованного управления.

После завершения процедуры создания идентификатора сервера централизованного управления становятся доступными элементы управления области «Регистрация ПКО». Далее необходимо нажать кнопку «Выход».

В результате выполнения процедуры создания сетевого идентификатора сервера централизованного управления на сетевой идентификатор будет записана информация, использующаяся при конфигурации ПКО.

Следующий этап установки Системы - Создание в сетевом идентификаторе учетной записи «ASM_ACCOUNT».

С помощью этой учетной записи возможно выполнение процедур удаленного управления ПКО: добавление, удаление пользователей, смена пароля пользователя и т. д. Как выполняется создание данной учетной записи подробно описано в методических материалах к лекции – документе «Система удалённого централизованного управления. Руководство Администратора информационной безопасности». Мы опустим подробности, но имейте ввиду, что создание данной учетной записи необходимо только в случае, когда планируется выполнять регистрацию ПКО с помощью сетевого идентификатора. Если процедуру регистрации ПКО планируется реализовывать способом «регистрация вручную» или «регистрация из файла», о которых мы сейчас будем говорить, то выполнять данную процедуру не требуется.

Следующий этап установки Системы - Регистрация ПКО

Регистрация ПКО возможна любым из трёх следующих способов:

• регистрация с помощью сетевого идентификатора. При выполнении данного способа обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём сохранения этих данных на сетевом идентификаторе сервера централизованного управления (это делает Администратор БИ, физически обходя ПКО);
• регистрация вручную. При выполнении данного способа информация о ПКО вводится вручную, а обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём передачи этих данных по сети (это делает Администратор БИ, но при этом работает удаленно из программы «Регистрация станций ПАК «Аккорд»» (ACSETCON.EXE));
• регистрация из файла. При выполнении данного способа информация о ПКО считывается из файла, а обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём передачи этих данных по сети (это также делает Администратор БИ удаленно из программы «Регистрация станций ПАК «Аккорд»»).

Обращу внимание, что удаленная регистрация ПКО (то есть второй и третий пункт) возможна только в том случае, если на них не используется контроллер «Аккорд-АМДЗ». В противном случае – необходимо выполнять регистрацию ПКО вручную.

Информацию о том, как выполняется регистрация ПКО каждым из перечисленных способов можно прочитать в методических материалах к лекции – «Руководстве администратора» СУЦУ.

На этом установка и настройка СУЦУ завершена. Можно переходить непосредственно к управлению ПКО с сервера централизованного управления. Описание работы с ПО сервера управления также можно найти в методических материалах к лекции – том же документе, который я уже только что упоминала – «Руководстве администратора» СУЦУ.

Подведем итог: на лекции мы поговорили о порядке развёртывания СУЦУ и рассмотрели каждый его этап.  На этом заканчивается тема сетевого администрирования комплексов СЗИ НСД семейства «Аккорд» при помощи системы удаленного централизованного управления СУЦУ.

Спасибо за внимание, до встречи на следующей лекции!