Если у вас возникли вопросы, или появилось предложение, напишите нам
Сетевое администрирование комплексов СЗИ НСД семейства «Аккорд»(2/2)
Установка и настройка СУЦУ
Здравствуйте!
В данной лекции мы поговорим об установке и настройке СУЦУ – системы удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд» производства компании ОКБ САПР. На лекции мы рассмотрим порядок развёртывания СУЦУ, затем поговорим подробнее о каждом его этапе. Обсудим установку ПО сервера централизованного управления (СЦУ), получение файла лицензии на использование СУЦУ, установку ПО клиентов СУЦУ и настройку для них правил разграничения доступа. Поговорим о создании сетевого идентификатора СЦУ и о создании в нем учетной записи «ASM_ACCOUNT». Также рассмотрим способы регистрации подконтрольных объектов (ПКО).
Итак, рассмотрим порядок развертывания системы удаленного централизованного управления СУЦУ.
Установка и настройка Системы выполняется в следующей последовательности:
- установка комплекса «Аккорд-АМДЗ» (в случае его отсутствия). Комплекс «Аккорд-АМДЗ» должен быть установлен на сервере централизованного управления (СЦУ) и на всех подконтрольных объектах (ПКО). Установка комплекса выполняется аналогично тому, как мы это рассматривали в лекциях, посвященных данному комплексу.
- установка ПАК СЗИ от НСД «Аккорд-Win32» или «Аккорд-Win64» (в случае их отсутствия). Эти комплексы должны быть установлены на СЦУ и на всех ПКО. Установка этих комплексов выполняется аналогично тому, как мы рассматривали в прошлой теме данного курса. Установка «Аккорд-АМДЗ» и ПАК «Аккорд» на СЦУ входит в обязанности Администратора СУЦУ. При этом в его обязанности не входит их установка на подконтрольных объектах.
- следующий этап – установка ПО сервера централизованного управления.
- далее необходимо получить файл лицензии на использование СУЦУ.
- затем необходимо установить ПО клиентов СУЦУ на подконтрольные объекты (ПКО). Данная процедура должна выполняться для каждого подконтрольного объекта.
- после чего нужно выполнить настройку правил разграничения доступа для клиентов СУЦУ.
- следующий этап – создание сетевого идентификатора сервера СУЦУ.
- а также создание в сетевом идентификаторе учетной записи «ASM_ACCOUNT».
- и последнее, что нужно сделать – выполнить регистрацию подконтрольных объектов.
Начнем с первого этапа – установка ПО сервера централизованного управления.
Перед установкой ПО сервера централизованного управления необходимо сначала выполнить на СЦУ ряд предварительных настроек и установить дополнительное ПО, перечисленное на слайде. После этого на СЦУ нужно запустить с установочного диска мастер установки ПО сервера централизованного управления – программу SUCU-SERVER-...exe, и далее следовать его указаниям.
После установки ПО нужно открыть на сервере централизованного управления и на всех промежуточных сетевых устройствах между сервером централизованного управления и ПКО порт на входящие подключения сервера RabbitMQ и затем запустить сервис Acconnet.exe.
Если работа на АРМ управляющего персонала осуществляется пользователем операционной системы Windows, который не имеет администраторских прав, то данному пользователю необходимо предоставить полный доступ к папке, в которую была выполнена установка ПО АРМ управляющего персонала (по умолчанию C:\ASM), и ко всем вложенным в неё папкам.
Следующий этап - получение файла лицензии на использование СУЦУ
Для получения файла лицензии после выполнения процедуры установки ПО сервера централизованного управления необходимо прислать письмо по адресу электронной почты производителя. В этом письме нужно указать параметры, перечисленные на слайде.
В ответном письме будет отправлен сформированный файл лицензии. Его нужно скопировать в папку, в которую было установлено ПО сервера централизованного управления (по умолчанию C:\Asm\ACCONNET) под именем «Acconnet.key».
Следующий этап – Установка ПО клиентов СУЦУ
Перед установкой ПО клиентов СУЦУ необходимо выполнить предварительные настройки, приведенные на слайде. Далее необходимо запустить с установочного диска СУЦУ программу SUCU‑CLIENT-...exe и следовать указаниям мастера установки.
По завершению установки появляется окно, приведенное на слайде. В этом окне нужно установить флаг «Запустить настройку рабочей станции» и нажать кнопку «Готово». На экране появится следующее окно. В нем нужно установить необходимые параметры и нажать кнопку «Регистрация». Затем для вступления изменений в силу нужно перезагрузить рабочую станцию.
Затем необходимо перейти к следующему этапу - Настройка правил разграничения доступа для клиентов СУЦУ.
На подконтрольном объекте нужно импортировать в режиме объединения правила разграничения доступа из файла «acws32.prd», находящегося в каталоге установки ПАК «Аккорд-Win32» / «Аккорд-Win64».
После этого нужно на подконтрольном объекте запустить утилиту «MakePrc.EXE», входящую в состав ПАК «Аккорд». И с помощью данной утилиты установить полный доступ с полным наследованием к файловым объектам \DEVICE\ и сетевым объектам \\ для приведенных на слайде программ (процессов).
Описание процедуры импорта правил разграничения доступа и описание работы с программой «MakePrc.EXE» можно прочитать в методических материалах к лекции – документе «Установка правил разграничения доступа. Программа ACED32» на комплексы ПАК «Аккорд».
Следующий этап - Создание сетевого идентификатора сервера централизованного управления
Сетевой идентификатор позволяет выполнить процедуру взаимной аутентификации сервера централизованного управления и ПКО. Решение об успешности / неуспешности аутентификации принимается по результатам проверки электронной подписи. Генерация ключевых пар для вычисления / проверки ЭП осуществляется специальной программой на основе последовательности случайных чисел, получаемой с аппаратного ДСЧ на плате контроллера «Аккорд-АМДЗ».
В качестве сетевого идентификатора может использоваться одно из следующих устройств:
- ТМ-идентификатор типа DS1996;
- USB-устройство ШИПКА;
- смарт-карта RuToken.
Для создания сетевого идентификатора необходимо запустить программу «Регистрация станций ПАК «Аккорд»» (ACSETCON.EXE) на сервере централизованного управления. На экран будет выведено окно, приведённое на слайде. В нем нужно нажать кнопку «Создать идентификатор».
На запрос ключа нужно присоединить сетевой идентификатор к съемнику информации или подключить его в USB-порт. В идентификатор при этом заносится информация, которая будет использоваться при конфигурации ПКО. В каталоге, в который было установлено ПО сервера централизованного управления (по умолчанию C:\Asm\ACCONNET) создается файл ACNODE.LST, содержащий данные о сервере централизованного управления.
После завершения процедуры создания идентификатора сервера централизованного управления становятся доступными элементы управления области «Регистрация ПКО». Далее необходимо нажать кнопку «Выход».
В результате выполнения процедуры создания сетевого идентификатора сервера централизованного управления на сетевой идентификатор будет записана информация, использующаяся при конфигурации ПКО.
Следующий этап установки Системы - Создание в сетевом идентификаторе учетной записи «ASM_ACCOUNT».
С помощью этой учетной записи возможно выполнение процедур удаленного управления ПКО: добавление, удаление пользователей, смена пароля пользователя и т. д. Как выполняется создание данной учетной записи подробно описано в методических материалах к лекции – документе «Система удалённого централизованного управления. Руководство Администратора информационной безопасности». Мы опустим подробности, но имейте ввиду, что создание данной учетной записи необходимо только в случае, когда планируется выполнять регистрацию ПКО с помощью сетевого идентификатора. Если процедуру регистрации ПКО планируется реализовывать способом «регистрация вручную» или «регистрация из файла», о которых мы сейчас будем говорить, то выполнять данную процедуру не требуется.
Следующий этап установки Системы - Регистрация ПКО
Регистрация ПКО возможна любым из трёх следующих способов:
- регистрация с помощью сетевого идентификатора. При выполнении данного способа обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём сохранения этих данных на сетевом идентификаторе сервера централизованного управления (это делает Администратор БИ, физически обходя ПКО);
- регистрация вручную. При выполнении данного способа информация о ПКО вводится вручную, а обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём передачи этих данных по сети (это делает Администратор БИ, но при этом работает удаленно из программы «Регистрация станций ПАК «Аккорд»» (ACSETCON.EXE));
- регистрация из файла. При выполнении данного способа информация о ПКО считывается из файла, а обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём передачи этих данных по сети (это также делает Администратор БИ удаленно из программы «Регистрация станций ПАК «Аккорд»»).
Обращу внимание, что удаленная регистрация ПКО (то есть второй и третий пункт) возможна только в том случае, если на них не используется контроллер «Аккорд-АМДЗ». В противном случае – необходимо выполнять регистрацию ПКО вручную.
Информацию о том, как выполняется регистрация ПКО каждым из перечисленных способов можно прочитать в методических материалах к лекции – «Руководстве администратора» СУЦУ.
На этом установка и настройка СУЦУ завершена. Можно переходить непосредственно к управлению ПКО с сервера централизованного управления. Описание работы с ПО сервера управления также можно найти в методических материалах к лекции – том же документе, который я уже только что упоминала – «Руководстве администратора» СУЦУ.
Подведем итог: на лекции мы поговорили о порядке развёртывания СУЦУ и рассмотрели каждый его этап. На этом заканчивается тема сетевого администрирования комплексов СЗИ НСД семейства «Аккорд» при помощи системы удаленного централизованного управления СУЦУ.
Спасибо за внимание, до встречи на следующей лекции!