Сетевое администрирование комплексов СЗИ НСД семейства «Аккорд»(2/2)

Установка и настройка СУЦУ

Здравствуйте!

В данной лекции мы поговорим об установке и настройке СУЦУ – системы удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд» производства компании ОКБ САПР. На лекции мы рассмотрим порядок развёртывания СУЦУ, затем поговорим подробнее о каждом его этапе. Обсудим установку ПО сервера централизованного управления (СЦУ), получение файла лицензии на использование СУЦУ, установку ПО клиентов СУЦУ и настройку для них правил разграничения доступа. Поговорим  о создании сетевого идентификатора СЦУ и о создании в нем учетной записи «ASM_ACCOUNT». Также рассмотрим способы регистрации подконтрольных объектов (ПКО).

 Итак, рассмотрим порядок развертывания системы удаленного централизованного управления СУЦУ.

Установка и настройка Системы выполняется в следующей последовательности:

  • установка комплекса «Аккорд-АМДЗ» (в случае его отсутствия). Комплекс «Аккорд-АМДЗ» должен быть установлен на сервере централизованного управления (СЦУ) и на всех подконтрольных объектах (ПКО). Установка комплекса выполняется аналогично тому, как мы это рассматривали в лекциях, посвященных данному комплексу.
  • установка ПАК СЗИ от НСД «Аккорд-Win32» или «Аккорд-Win64» (в случае их отсутствия). Эти комплексы должны быть установлены на СЦУ и на всех ПКО. Установка этих комплексов выполняется аналогично тому, как мы рассматривали в прошлой теме данного курса. Установка «Аккорд-АМДЗ» и ПАК «Аккорд» на СЦУ входит в обязанности Администратора СУЦУ. При этом  в его обязанности не входит их установка на подконтрольных объектах.
  • следующий этап – установка ПО сервера централизованного управления.
  • далее необходимо получить файл лицензии на использование СУЦУ.
  • затем необходимо установить ПО клиентов СУЦУ на подконтрольные объекты (ПКО). Данная процедура должна выполняться для каждого подконтрольного объекта.
  • после чего нужно выполнить настройку правил разграничения доступа для клиентов СУЦУ.
  • следующий этап – создание сетевого идентификатора сервера СУЦУ.
  • а также создание в сетевом идентификаторе учетной записи «ASM_ACCOUNT».
  • и последнее, что нужно сделать – выполнить регистрацию подконтрольных объектов.

Начнем с первого этапа – установка ПО сервера централизованного управления.

Перед установкой ПО сервера централизованного управления необходимо сначала выполнить на СЦУ ряд предварительных настроек и установить дополнительное ПО,  перечисленное на слайде. После этого на СЦУ нужно запустить с установочного диска мастер установки ПО сервера централизованного управления – программу SUCU-SERVER-...exe, и далее следовать его указаниям.

После установки ПО нужно открыть на сервере централизованного управления и на всех промежуточных сетевых устройствах между сервером централизованного управления и ПКО порт на входящие подключения сервера RabbitMQ и затем запустить сервис Acconnet.exe.

Если работа на АРМ управляющего персонала осуществляется пользователем операционной системы Windows, который не имеет администраторских прав, то данному пользователю необходимо предоставить полный доступ к папке, в которую была выполнена установка ПО АРМ управляющего персонала (по умолчанию C:\ASM), и ко всем вложенным в неё папкам.

Следующий этап - получение файла лицензии на использование СУЦУ

Для получения файла лицензии после выполнения процедуры установки ПО сервера централизованного управления необходимо прислать письмо по адресу электронной почты производителя. В этом письме нужно указать параметры, перечисленные на слайде.

В ответном письме будет отправлен сформированный файл лицензии. Его нужно скопировать в папку, в которую было установлено ПО сервера централизованного управления (по умолчанию C:\Asm\ACCONNET) под именем «Acconnet.key».

Следующий этап – Установка ПО клиентов СУЦУ

Перед установкой ПО клиентов СУЦУ необходимо выполнить предварительные настройки, приведенные на слайде. Далее необходимо запустить с установочного диска СУЦУ программу SUCU‑CLIENT-...exe и следовать указаниям мастера установки.

По завершению установки появляется окно, приведенное на слайде. В этом окне нужно установить флаг «Запустить настройку рабочей станции» и нажать кнопку «Готово». На экране появится следующее окно. В нем нужно установить необходимые параметры и нажать кнопку «Регистрация». Затем для вступления изменений в силу нужно перезагрузить рабочую станцию.

Затем необходимо перейти к следующему этапу - Настройка правил разграничения доступа для клиентов СУЦУ.

На подконтрольном объекте нужно импортировать в режиме объединения правила разграничения доступа из файла «acws32.prd», находящегося в каталоге установки ПАК «Аккорд-Win32» / «Аккорд-Win64».

После этого нужно на подконтрольном объекте запустить утилиту «MakePrc.EXE», входящую в состав ПАК «Аккорд». И с помощью данной утилиты установить полный доступ с полным наследованием к файловым объектам \DEVICE\  и сетевым объектам \\ для приведенных на слайде программ (процессов).

Описание процедуры импорта правил разграничения доступа и описание работы с программой «MakePrc.EXE» можно прочитать в методических материалах к лекции – документе «Установка правил разграничения доступа. Программа ACED32» на комплексы ПАК «Аккорд».

Следующий этап - Создание сетевого идентификатора сервера централизованного управления

Сетевой идентификатор позволяет выполнить процедуру взаимной аутентификации сервера централизованного управления и ПКО. Решение об успешности / неуспешности аутентификации принимается по результатам проверки электронной подписи. Генерация ключевых пар для вычисления / проверки ЭП осуществляется специальной программой на основе последовательности случайных чисел, получаемой с аппаратного ДСЧ на плате контроллера «Аккорд-АМДЗ».

В качестве сетевого идентификатора может использоваться одно из следующих устройств:

  • ТМ-идентификатор типа DS1996;
  • USB-устройство ШИПКА;
  • смарт-карта RuToken.

Для создания сетевого идентификатора необходимо запустить программу «Регистрация станций ПАК «Аккорд»» (ACSETCON.EXE) на сервере централизованного управления. На экран будет выведено окно, приведённое на слайде. В нем нужно нажать кнопку «Создать идентификатор».

На запрос ключа нужно присоединить сетевой идентификатор к съемнику информации или подключить его в USB-порт. В идентификатор при этом заносится информация, которая будет использоваться при конфигурации ПКО. В каталоге, в который было установлено ПО сервера централизованного управления (по умолчанию C:\Asm\ACCONNET) создается файл ACNODE.LST, содержащий данные о сервере централизованного управления.

После завершения процедуры создания идентификатора сервера централизованного управления становятся доступными элементы управления области «Регистрация ПКО». Далее необходимо нажать кнопку «Выход».

В результате выполнения процедуры создания сетевого идентификатора сервера централизованного управления на сетевой идентификатор будет записана информация, использующаяся при конфигурации ПКО.

Следующий этап установки Системы - Создание в сетевом идентификаторе учетной записи «ASM_ACCOUNT».

С помощью этой учетной записи возможно выполнение процедур удаленного управления ПКО: добавление, удаление пользователей, смена пароля пользователя и т. д. Как выполняется создание данной учетной записи подробно описано в методических материалах к лекции – документе «Система удалённого централизованного управления. Руководство Администратора информационной безопасности». Мы опустим подробности, но имейте ввиду, что создание данной учетной записи необходимо только в случае, когда планируется выполнять регистрацию ПКО с помощью сетевого идентификатора. Если процедуру регистрации ПКО планируется реализовывать способом «регистрация вручную» или «регистрация из файла», о которых мы сейчас будем говорить, то выполнять данную процедуру не требуется.

Следующий этап установки Системы - Регистрация ПКО

Регистрация ПКО возможна любым из трёх следующих способов:

  • регистрация с помощью сетевого идентификатора. При выполнении данного способа обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём сохранения этих данных на сетевом идентификаторе сервера централизованного управления (это делает Администратор БИ, физически обходя ПКО);
  • регистрация вручную. При выполнении данного способа информация о ПКО вводится вручную, а обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём передачи этих данных по сети (это делает Администратор БИ, но при этом работает удаленно из программы «Регистрация станций ПАК «Аккорд»» (ACSETCON.EXE));
  • регистрация из файла. При выполнении данного способа информация о ПКО считывается из файла, а обмен аутентификационными данными между сервером централизованного управления и ПКО осуществляется путём передачи этих данных по сети (это также делает Администратор БИ удаленно из программы «Регистрация станций ПАК «Аккорд»»).

Обращу внимание, что удаленная регистрация ПКО (то есть второй и третий пункт) возможна только в том случае, если на них не используется контроллер «Аккорд-АМДЗ». В противном случае – необходимо выполнять регистрацию ПКО вручную.

Информацию о том, как выполняется регистрация ПКО каждым из перечисленных способов можно прочитать в методических материалах к лекции – «Руководстве администратора» СУЦУ.

На этом установка и настройка СУЦУ завершена. Можно переходить непосредственно к управлению ПКО с сервера централизованного управления. Описание работы с ПО сервера управления также можно найти в методических материалах к лекции – том же документе, который я уже только что упоминала – «Руководстве администратора» СУЦУ.

Подведем итог: на лекции мы поговорили о порядке развёртывания СУЦУ и рассмотрели каждый его этап.  На этом заканчивается тема сетевого администрирования комплексов СЗИ НСД семейства «Аккорд» при помощи системы удаленного централизованного управления СУЦУ.

Спасибо за внимание, до встречи на следующей лекции!

Кнопка связи