Аккорд амдз установка windows

Аккорд-АМДЗ

Регистрационный номер в реестре отечественного ПО: 2026

Возможности

СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК — серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

«Доверенная загрузка» — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

Основные характеристики

Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера — до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD и др.

«Аккорд-АМДЗ», как правило, применяется в следующей конфигурации:

• контроллер («Аккорд-АМДЗ») — представляет собой карту расширения (expansion card), устанавливаемую в свободный слот материнской платы СВТ (РС). Контроллер является универсальным, не требует замены при смене используемого типа операционной системы (ОС);
• съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
• персональный идентификатор пользователя— специальное устройство, содержащее уникальный признак пользователя, с которым зарегистрированный пользователь входит в систему и который используется системой для определения его прав, а также для регистрации факта доступа и характера выполняемых им работ или предоставляемых ему услуг.

Количество и тип идентификаторов, модификация контроллера и съемника оговариваются при поставке комплекса. Персональные идентификаторы и съемники информации заказываются отдельно.

«Аккорд-АМДЗ» может быть реализован на различных контроллерах, предназначенных для работы с разными шинными интерфейсами СВТ. При этом его базовая функциональность всегда остается одинаковой (вне зависимости от типа контроллера) и соответствует заявленной и отраженной в конструкторской и эксплуатационной документации.

Для того чтобы выбрать нужный Вам вариант, в первую очередь определите, свободный слот с каким шинным интерфейсом есть у того СВТ, в которое Вы планируете установить «Аккорд-АМДЗ».

• PCI или PCI–X — контроллеры Аккорд-5МХ или Аккорд-5.5
• PCI-express — контроллеры Аккорд-5.5.е, Аккорд-5.5.e new (Аккорд-LE) или Аккорд-GX
• Mini PCI-express — Аккорд-GXM
• Mini PCI-express half card — контроллер Аккорд-GXMH
• M.2 с ключами A и/или E (интерфейс PCI-express) — Аккорд-GXM.2

Источник

Окб сапр аккорд прошивка

На прошлой лекции мы рассмотрели, как устанавливать средство защиты информации от несанкционированного доступа «Аккорд-АМДЗ», а также выполнять регистрацию его пользователей, назначение им идентификаторов, паролей и времени доступа. В этой лекции мы поговорим о дальнейших настройках комплекса – назначении списка аппаратуры, дисков, файлов, разделов реестра, контролируемых на целостность. Посмотрим, как ведется системный журнал комплекса. А также рассмотрим, какие бывают режимы доступа к аппаратным ресурсам платы контроллера.

Итак, следующий шаг настройки комплекса – назначение на контроль целостности аппаратуры, дисков, файлов, разделов реестра.

Для установки перечисленного на контроль необходимо в меню выбора объектов администрирования выбрать один из следующих пунктов:

Для настройки списков контроля целостности аппаратуры выберем «Аппаратура». На экран выводится окно контроля аппаратуры.

В данном окне содержится список классов контролируемых устройств, содержащий отдельные устройства и их параметры. На контроль можно установить процессор (CPU), BIOS, BIOS HASH, оперативную память (Memory), Media-устройства, PCI-устройства, USB-уcтройства и монитор. Установкой соответствующего флага можно включить/исключить в процедуру контроля любой класс или устройство.

Можно установить на контроль все группы сразу, для этого нужно нажать кнопку «Поставить/снять все группы». Нажмем ее и видим, что на контроль установлены все имеющиеся группы.

Внесенные изменения подтверждаются нажатием кнопки «Сохранить список оборудования» на панели инструментов. Нажмем ее.

В случае нарушения целостности имеется возможность пересчитать контрольные суммы оборудования в сохраненном списке, нажав на кнопку «Пересчитать список оборудования».

Нажмем кнопку «Поставить/снять все группы» еще раз, и все группы будут сняты с контроля. Затем также необходимо нажать «Сохранить список оборудования».

После регистрации в «Аккорд-АМДЗ» хотя бы одного пользователя контроль аппаратуры производится при каждом загрузке компьютера после идентификации/аутентификации пользователя. Если обнаруживается несовпадение параметров конфигурации, записанных в памяти контроллера, и текущих параметров системы, то выдается сообщение «Контроль не пройден», и для обычного пользователя загрузка компьютера блокируется. Необходимо обратится к администратору комплекса.

Здесь хотелось бы обратить внимание на один важный момент. Может встречаться ситуация, когда после перезагрузки «Аккорд-АМДЗ» сообщает, что есть ошибки в контрольной сумме BIOS и дополнительных параметров BIOS, хотя никаких изменений в настройках BIOS не выполнялось. В процедуре контроля аппаратуры видны ошибки, контрольные суммы не совпадают. Администратор обновляет данные, но после перезагрузки повторяется сообщение об ошибке контроля аппаратуры. Это означает, что в компьютере установлена «интеллектуальная» материнская плата или устройство с расширенным собственным BIOS. При каждой перезагрузке или выключении они записывают информацию в определенные области своих BIOS. Поскольку не имеет смысла каждый раз пересчитывать контрольные суммы того, что меняется при перезагрузке, то нужно исключить меняющиеся параметры из списка контролируемых объектов. После чего нажать кнопку «Сохранить список оборудования».

Теперь выберем объект администрирования «Диски». На экран выводится окно контроля служебных областей дисков. В рамках контроля поддерживаются файловые системы, список которых был приведен в самой первой лекции данной темы про «Аккорд-АМДЗ».

В окне контроля выводится дерево всех дисков, установленных на данном компьютере. Для включения области диска в список контролируемых объектов необходимо мышью поставить крестик около контролируемого параметра. Выберем второй диск и Раздел 1.

В список контролируемых можно вносить служебные области с любых дисков, установленных в компьютере, независимо от файловой системы. Для записи в память контроллера хэш-функций контролируемых областей нужно нажать кнопку «Сохранить список дисков».

Для снятия объекта с контроля нужно снять крестик и аналогично нажать кнопку «Сохранить список дисков».

Далее выберем объект администрирования «Файлы». На экран выводится окно контроля файлов. «Аккорд-АМДЗ» обеспечивает контроль целостности программ и данных до загрузки ОС, защиту от внедрения разрушающих программных воздействий.

В окне контроля файлов выводится список всех дисков, установленных в системе. Выберем второй диск и Раздел 4.

В правой части экрана можно выбрать конкретные файлы или каталоги, расположенные на этом разделе.

Сначала выберем каталог и добавим его в список контроля целостности. Для этого нажмем кнопку «Добавить в СКЦ».

В этом случае на экран выводится окно, в котором необходимо выбрать нужные атрибуты добавления каталога. Не будем ничего изменять и нажмем «Ок». Выбранный каталог будет добавлен в список контроля целостности.

Теперь выберем файл и добавим его в список контроля целостности. На экран выводится окно, в котором необходимо выбрать нужные атрибуты добавления файла. Опять не будем ничего изменять и нажмем кнопку «Ок». Выбранный файл также будет добавлен в список контроля целостности.

После добавления в список контролируемых файлов всех необходимых файлов и каталогов нажмем копку «Сохранить». Нужно обязательно нажать эту кнопку, чтобы данные были занесены в память контроллера.

При необходимости можно убрать отдельный каталог или файл из списка контролируемых. Для этого его нужно выбрать в списке контроля целостности и нажать кнопку «Убрать из СКЦ».

В случае нарушения целостности имеется возможность пересчитать контрольные суммы файлов и каталогов в сохраненном списке, нажав на кнопку «Пересчитать».

Хэш-функция контролируемых файлов пересчитывается при каждой загрузке компьютера с установленным контроллером «Аккорд-АМДЗ» и сравнивается с эталонным значением, записанным в памяти контроллера. Если обнаруживается несовпадение, пользователю выдается сообщение «Нарушена целостность» с указанием, на каком файле выявлена ошибка, и загрузка компьютера блокируется. Администратор может зайти в меню администрирования и проанализировать факт нарушения целостности. Также он может пересчитать КС при необходимости.

Здесь хотелось бы обратить внимание на один момент — Количество файлов, которое можно установить на контроль, зависит от операционной системы и от длины пути к каталогу, где находятся файлы. Среднее количество составляет 1200-1500 файлов. Списки файлов различных ОС семейства Windows, рекомендуемых для контроля целостности на аппаратном уровне можно найти в методических рекомендациях к лекции – «руководстве администратора» на комплекс.

Далее рассмотрим контроль целостности разделов реестра.

Выберем объект администрирования «Реестр». На экран выводится окно со списком контролируемых реестров. В начальный момент этот список пуст. Для добавления записей в список следует нажать кнопку «Обзор» и в появившемся далее окне со списком логических разделов жесткого диска данного компьютера выбрать тот раздел, в котором установлена операционная система. У нас это второй диск, Раздел 4. Выберем его. В окне контроля целостности реестра появится дерево каталогов данного раздела.

Выберем произвольную ветку реестра, нажмем «Ок», и тем самым добавим ее в список контролируемых комплексом объектов. Для сохранения нужно нажать кнопку «Сохранить КЦ реестра».

В случае нарушения целостности какой-либо ветки реестра на вкладке «Реестр» все нарушения выделяются цветом.

Для перерасчета контрольных сумм списка контролируемых веток системного реестра нужно нажать кнопку «Пересчитать КЦ реестра».

После перерасчета контрольных сумм необходимо выполнить сохранение новых КС, нажав на кнопку «Сохранить КЦ реестра».

Мы рассмотрели, как настраиваются списки контроля целостности. Теперь давайте поговорим еще об одном пункте меню администрирования – это «Журнал». Выберем его.

На экран выводится окно системного журнала. Он ведется в энергонезависимой памяти контроллера «Аккорд-АМДЗ». В журнал заносится информация о сеансах работы пользователей с указанием номера идентификатора и о всех попытках несанкционированного доступа к компьютеру.

Подробнее об основных параметрах, фиксируемых в журнале, и их обозначениях можно прочитать в методических материалах к лекции – «руководстве администратора» на комплекс.

Внизу окна отображается процент заполнения журнала.

Если необходимо очистить журнал, то нужно нажать кнопку .

Размер энергонезависимой памяти, в которой размещается системный журнал, составляет 256 Кбайт. Такой объем памяти позволяет вместить в журнале не менее 1010 записей. При штатной работе «Аккорд-АМДЗ» (когда в системе отсутствуют серийные нарушения целостности файлов/реестра и не используется чрезмерно глубокая вложенность файлов в каталогах) количество записей в журнале может быть больше этого значения в десятки или сотни раз.

Если заполнение журнала превышает 85%, при загрузке компьютера выдается предупреждение, но загрузка продолжается. Если заполнение журнала превышает 95%, то загрузка для пользователя блокируется, и требуется вмешательство администратора.

После настройки администратором списков контроля целостности зарегистрированный в «Аккорд-АМДЗ» пользователь может приступать к работе на защищенном компьютере.

Попробуем загрузиться в ОС с использованием идентификатора и пароля пользователя.

Включим компьютер. При старте контроллера он запросит идентификатор и пароль. Предъявим идентификатор пользователя USER и введем его пароль. Если и/а и контроль целостности прошли успешно начнется запуск доверенной операционной системы. Как это происходит сейчас у нас.

Как я уже говорила, в случае несовпадения текущих контрольных сумм объектов, установленных на контроль с эталонными контрольными суммами, хранящимися в контроллере, появится окно, в котором будет указано контрольная сумма какого объекта не совпадает с эталонной. При этом загрузка в операционную систему для пользователя будет заблокирована. Необходимо вызвать администратора, которой разберется в возникшей ситуации.

Еще один вопрос, который мне бы хотелось осветить на данной лекции – эторежимы доступа к аппаратным ресурсам платы контроллера.

Контроллеры «Аккорд», входящие в состав комплекса, имеют два режима доступа к аппаратным ресурсам платы контроллера:

• режим 0 (стандартный)– доступ к области кода расширения BIOS только по чтению;
• режим 1 (специальный – технологический), в котором при старте компьютера код не исполняется, а области, защищенные при работе контроллера в режиме 0, становятся доступны по чтению/записи.

Для перехода из стандартного режима в технологический необходимо:

1. выключить компьютер и вынуть плату контроллера из разъема системной шины;
2. перевести контроллер в технологический режим – для разных вариантов контроллера Аккорд это делается по-разному (либо снять установочную металлическую планку, которая крепится к плате контроллера двумя винтами, снять джампер технологического режима при наличии, либо надеть джампер технологического режима при наличии и переключить микропереключатель на плате контроллера и т.д.). Подробности о том, как переводить каждый контроллер в технологический режим можно прочитать в методических материалах к лекции – «руководстве администратора» на комплекс.
3. затем нужно вставить плату в компьютер;
4. и загрузить компьютер.

Итак, в данной лекции мы поговорили о том, каким образом в средстве защиты информации от несанкционированного доступа «Аккорд-АМДЗ» выполняется назначение на контроль целостности списка аппаратуры, дисков, файлов и разделов реестра. Обсудили детали ведения системного журнала комплекса. А также рассмотрели режимы доступа к аппаратным ресурсам платы контроллера. На данном вопросе заканчивается рассмотрение комплекса СЗИ НСД «Аккорд-АМДЗ». Напомню, что он является аппаратной составляющей – РКБ – всех остальных комплексов, о которых мы будем говорить в следующих темах данного курса.

Спасибо за внимание, до встречи на следующей лекции!

Источник

Система защиты информации серии «Аккорд»

СЗИ от НСД «Аккорд» это программно-аппаратный комплекс для ПЭВМ, разработаный в следующих модификациях:

• “Аккорд-АМДЗ» — программно-аппаратный модуль доверенной загрузки
• «Аккорд-СБ» — процессор безопасности (многофункциональное программируемое устройство)
• «Аккорд-1.95», «Аккорд-NT» — программно-аппаратный комплексы СЗИ от НСД с применением персональных идентификаторов пользователей

Возможности данных СЗИ позволяют проводить идентификацию и аутентификацию пользователей, регистрацию действий (электронные журналы), осуществлять контроль целостности файлов общего пользования или прикладного ПО и данных, обеспечивает режим доверенной загрузки в таких ОС, как:

• MS DOS
• Windows 9х
• Windows Millenium
• Windows NT
• Windows 2000
• OS/2
• UNIX
• LINUX
• а также ОС, использующие FAT 12, FAT 16, FAT 32, NTFS, HPFS, FreeBSD, Linux EXT2FS при многопользовательском режиме эксплуатации

Технические характеристики СЗИ от НСД серии «Аккорд-АМДЗ».

СЗИ от НСД «Аккорд- АМДЗ» на базе «Аккорд-4.5», «Аккорд-5» и «Аккорд-РС104» поддерживают режим доверенной загрузки для следующих операционных систем:

• MS DOS
• Windows 9х
• Windows Millenium
• Windows NT
• Windows 2000
• OS/2
• UNIX

Поддерживается работа с файловыми системами FAT 12, FAT 16, FAT 32, NTFS, HPFS, FreeBSD, Linux EXT2FS.

Регистрация пользователей производится до 32 записей (до 1024 записей на базе «Аккорд-РС104»).

СЗИ от НСД «Аккорд- АМДЗ» на базе «Аккорд-4.5» и «Аккорд-5» имеют сертификаты Гостехкомиссии России №246/3 10 июля 2001г. и №246/1 26 октября 2000 г. соответственно. Так же имеется в наличии сертификата Госстандарта России по требованиям безопасности № 4680187 РОСС RU.ME 06.В0130229 сентября 2001 г. и № 4680188 РОСС RU.ME 06.В0130329 сентября 2001 г. соответственно. Имеется санитарно-эпидемологическое заключение на соответствие санитарным правилам и нормам № 50.РВ.01.401.П.006113.08.01 30 августа 2001 г. и № 50.РВ.01.401.П.006112.08.01 30 августа 2001 г. соответственно.

Для дентификации пользователей используется ключ Touch memory DS199x.

Характеристики СЗИ от НСД «Аккорд-СБ».

«Аккорд-СБ”- процессор безопасности (многофункциональное программируемое устройство) предназначенный для защиты информации в вычислительных системах. Данный процессор реализован на базе PCI-контроллера «Аккорд-СБ/2». Программное обеспечение «Аккорд-СБ» состоит из загрузчика (настраивает параметры, загружает в ОЗУ монитор и ОС), монитора (инициализирует ресурсы, запускает ОС, позволяет работать с ресурсами платы в многозадачном режиме), операционной системы реального времени, криптодрайвера (поддержка криптоускорителя, а так же обеспечение взаимодействия монитора с платой криптоускорителя; код драйвера находиться в энергонезависимой памяти и активизируется монитором) и прикладных библиотек (набор процедур для программирования процессора безопасности «Аккорд-СБ/2»).

Комплексы «Аккорд – 1.95», «Аккорд – NT» включают в себя такие подсистемы, как:

• Подсистему управления доступом
• Подсистему регистрации и учета
• Подсистему контроля целостности
• Подсистему централизованного управления настройками

Администратор безопасности определяет для каждого пользователя перечень файлов, наличие или отсутствие привилегий супервизора, детальность журнала регистрации событий, назначение/изменение пароля аутентификации, временные ограничения работ для данного субъекта, параметры гашение экрана через определенный интервал времени, подачу звуковых и визуальных сигналов.

Источник

Руководство по установке контроллеров Аккорд-АМДЗ

АННОТАЦИЯ

Настоящий документ является руководством по установке комплекса средств защиты информации от НСД – аппаратного модуля доверенной загрузки – «Аккорд-АМДЗ» (ТУ 4012-006-11443195-97, ТУ 4012-006-11443195-2005, ТУ 4012-038-11443195-2011, ТУ 4012-054-11443195-2013, ТУ 26.20.40.140-079-37222406-2019), далее по тексту «Аккорд-АМДЗ», и предназначен для лиц, планирующих и организующих защиту информации с их использованием в системах и средствах информатизации на базе ПЭВМ.

В документе приведены основные функции и особенности настройки комплекса СЗИ НСД «Аккорд-АМДЗ», работающего на основе контроллеров:

– Аккорд-5МХ, Аккорд-5.5, Аккорд-5.5.е, Аккорд-5.5МР, Аккорд-5.5МЕ, Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-006-11443195-97);

– Аккорд-5.5, Аккорд-5.5е, Аккорд-5.5МР, Аккорд-5.5МЕ (для СЗИ НСД «Аккорд-АМДЗ» версии 3.2, выпускаемого по ТУ 4012-006-11443195-2005);

– Аккорд-5.5(e), Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-038-11443195-2011);

– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-054-11443195-2013);

– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM, Аккорд-GXМ2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемых по ТУ 26.20.40.140-079-37222406-2019).

Перед установкой и эксплуатацией комплекса СЗИ НСД «Аккорд-АМДЗ» необходимо внимательно ознакомиться с комплектом эксплуатационной документации на комплекс, а также принять необходимые защитные организационные меры, рекомендуемые в документации.

Применение защитных средств комплекса должно дополняться общими мерами технической безопасности.

СОДЕРЖАНИЕ

1. ОБЩИЕ СВЕДЕНИЯ О КОМПЛЕКСЕ
1.1. Назначение СЗИ НСД «Аккорд-АМДЗ»
1.2. Состав комплекса
1.2.1. Общие сведения о составе комплекса
1.2.2. Контроллеры «Аккорд»
1.3. Поддерживаемые устройства
1.3.1. Идентификаторы
1.3.2. Съемники информации
2. УСТАНОВКА КОМПЛЕКСА «АККОРД-АМДЗ»
2.1. Порядок установки и настройки
2.2. Установка платы контроллера
2.3. Подсоединение контактного устройства (съемника информации)
2.4. Установка параметров учетной записи «Гл. Администратор»
3. ОБНОВЛЕНИЕ ВСТРОЕННОГО ПО КОНТРОЛЛЕРОВ
4. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД»
5. РАБОТА КОМПЛЕКСА «АККОРД-АМДЗ» В СОСТАВЕ ПАК СЗИ НСД «АККОРД»
5.1. Общие сведения
5.2. Установка драйвера для «Аккорд-АМДЗ»
5.3. Установка и настройка СПО
6. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД-АМДЗ»
7. ТЕХНИЧЕСКАЯ ПОДДЕРЖКА
ПРИЛОЖЕНИЕ А. Трудности при установке комплекса и методы их преодоления

Источник

Скзи аккорд установка и настройка

Б ЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА — Книги, пособия, учебники, издания, публикации

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.

Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.

ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

УТВЕРЖДЕН

11443195.4012-036 98 -ЛУ

средств защиты информации от

«АККОРД-Win32» (версия 4.0)

РУКОВОДСТВО ПО УСТАНОВКЕ

2 11443195.4012-036 98

АННОТАЦИЯ

Установка комплекса СЗИ НСД «Аккорд-Win32» v.4.0 (ТУ 4012-036и его настройка с учетом особенностей политики информационной безопасности, принятой на объекте информатизации, осуществляется, как правило, специалистами по защите информации организации (предприятия, фирмы и т.д.) в соответствии с требованиями эксплуатационной документации на комплекс.

В документе приведен порядок установки программно-аппаратного комплекса средств защиты информации от несанкционированного доступа (СЗИ НСД) «Аккорд».

Перед установкой и эксплуатацией комплекса необходимо внимательно ознакомиться с комплектом эксплуатационной документации на комплекс, а также принять необходимые защитные организационные меры, рекомендуемые в документации.

Применение защитных мер комплекса «Аккорд» должно дополняться общими мерами технической безопасности.

ВНИМАНИЕ! Перед началом установки комплекса «Аккорд-Win32»

рекомендуется подробно ознакомиться с эксплуатационной документацией на комплекс, прежде всего с «Описанием применения» (11443195.4012-036 31) и настоящим руководством.

СОДЕРЖАНИЕ

1. Технические требования и организационные меры, необходимые для применения комплекса

1.1. Технические требования

1.2. Организационные меры

2. Порядок установки комплекса

2.1. Установка комплекса СЗИ НСД «Аккорд-АМДЗ»

2.2. Установка СПО разграничения доступа «Аккорд» на жесткий диск

2.2.1. Особенности работы утилиты «Настройка идентификаторов СЗИ Аккорд»

2.2.2. Основные параметры настройки комплекса

2.2.3. Дополнительные параметры настройки комплекса. 2.2.4. Использование антивирусного ядра

2.2.5. Особенности настройки комплекса «Аккорд» при использовании SATA жестких дисков, или RAID контроллеров с динамическим подключением томов.

2.3. Активизация подсистемы разграничения доступа.

2.4. Установка правил разграничения доступа (ПРД) для пользователей

2.5. Особенности установки СЗИ Аккорд в системах терминального доступа (СТД)

2.5.1. Установка СЗИ «Аккорд» на терминальном сервере. 2.5.2. Описание работы с утилитой AcTmReg.exe

2.6. Особенности использования ПСКЗИ ШИПКА в качестве персонального идентификатора

3. Снятие средств защиты комплекса «Аккорд-Win32»

11443195.4012- 1. Технические требования и организационные меры, необходимые для применения комплекса 1.1. Технические требования Для установки комплекса СЗИ НСД «Аккорд-Win32» v. 4.0 (далее комплекс «Аккорд») требуется следующий минимальный состав технических и программных средств:

• установленная операционная система Windows NT/2000/XP/2003/Vista/2008/7/8;

• объем свободного дискового пространства для установки программных средств комплекса – не менее 20 Мб;

• наличие CD ROM для установки СПО разграничения доступа;

• наличие свободного слота на материнской плате для установки контроллера комплекса «Аккорд-АМДЗ». PCI/PCI-X – для контроллеров «Аккорд-5mx» и «Аккорд–5.5», PCI Express для контроллера «Аккорд–5.5e»;

При применении комплекса «Аккорд» на рабочей станции количество пользователей, регистрируемых на одном СВТ, не должно превышать человек, так как объем энергонезависимой памяти контроллеров комплекса СЗИ НСД «Аккорд-АМДЗ» позволяет хранить данные на такое количество учетных записей. Данное ограничение не распространяется на подсистему защиты терминального сервера, т.к. синхронизация с АМДЗ отключается и пользователи удаленного рабочего стола регистрируются только в БД программной части комплекса. В таком варианте СЗИ позволяет регистрировать до 1024 пользователей.

1.2. Организационные меры Для эффективного применения комплекса и поддержания необходимого уровня защищенности и информационных ресурсов необходимы:

• физическая охрана СВТ и его средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса СЗИ НСД;

• наличие администратора безопасности информации (супервизора) – привилегированного пользователя, имеющего особый статус и абсолютные полномочия. Администратор БИ планирует мероприятия по защите информации на предприятии (учреждении, фирме и т. д.), определяет права доступа пользователям в соответствии с утвержденным Планом защиты, организует установку комплекса в СВТ, эксплуатацию и контроль за правильным использованием СВТ с внедренным комплексом «Аккорд», осуществляет Более подробно организационные меры защиты информации при применении комплекса приведены в «Руководстве администратора» (11443195.4012-036 90), «Руководстве оператора (пользователя)» 11333195.4012- 34.

периодическое тестирование средств защиты комплекса. Более подробно обязанности администратора БИ по применению комплекса изложены в Руководстве администратора (11443195.4012-036 90).

• использование в СВТ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в ГСЗИ.

2. Порядок установки комплекса Установка программно-аппаратного комплекса СЗИ НСД «Аккорд» v.4. (ТУ 4012-036-11443195-2010) включает три основных этапа:

1) Установку в СВТ аппаратной части комплекса – комплекса СЗИ НСД «Аккорд-АМДЗ» (ТУ 4012-006-11443195-97 03) его настройку с учетом конфигурации технических и программных средств, в том числе, регистрацию администратора безопасности информации (или нескольких администраторов).

Документация, необходимая для установки и администрирования аппаратной части комплекса, находится на дистрибутивном носителе «Аккорд-АМДЗ» в папке DOC.

2) Установку в составе ОС драйвера для контроллера «Аккорд-АМДЗ».

3) Установку на жесткий диск специального программного обеспечения разграничения доступа с дистрибутивного носителя.

4) Копирование с идентификатора ключевого файла лицензии.

5) Назначение правил разграничения доступа (ПРД) для пользователей в соответствии с политикой информационной безопасности, принятой в организации и активизацию подсистемы разграничения доступа с помощью программы настройки комплекса (ACSETUP.EXE).

2.1. Установка комплекса СЗИ НСД «Аккорд-АМДЗ»

ВНИМАНИЕ! Перед установкой тщательно изучите эксплуатационную документацию на комплекс СЗИ НСД «Аккорд-АМДЗ»

Установка и настройка аппаратной части комплекса «Аккорд»

производится с учетом модификации комплекса в соответствии с «Руководством по установке» (11443195.4012-006 98 03), поставляемым в составе эксплуатационной документации на комплекс «Аккорд-АМДЗ».

2.2. Установка СПО разграничения доступа «Аккорд» на жесткий диск Установка СПО на жесткий диск СВТ осуществляется в следующей последовательности:

1) После установки «Аккорд-АМДЗ» загрузить ОС с правами Администратора. Система обнаружит новое устройство и предложит варианты установки драйвера для него (рисунок 1) Рисунок 1 — Выбор вариантов установки драйвера Для установки драйвера следует указать папку \Drivers\Win_32, которая находится на компакт-диске «Аккорд- АМДЗ», поставляемом в составе комплекса (рисунок 2).

Рисунок 2 — Выбор каталога с драйвером на CD «Аккорд-АМДЗ»

Операционная система выдаст предупреждение о том, что не удалось проверить издателя этих драйверов. Выбирайте пункт «Все равно установить этот драйвер». Далее производится стандартным образом установка драйвера, и в «Диспетчере устройств» ОС появится новая группа «Аппаратная защита от НСД», а в этой группе устройство «Аккорд – 5мх,5.5 PCI, 5.5 PCI Express (в зависимости от типа контроллера)».

2) С компакт-диска «Аккорд» запустить программу AccordSetup.exe, если комплекс устанавливается на рабочую станцию, или AccordSetupTSE.exe при установке на терминальный сервер.

3) Выбрать логический диск и каталог для установки ПО комплекса. По умолчанию установка выполняется в папку C:\Accord.NT, но администратор может выбрать другие варианты по своему усмотрению. Программа создаст на заданном логическом диске папку С:\ACCORD.NT (или имя, заданное администратором) со всеми необходимыми подкаталогами и скопирует туда программное обеспечение.

На данном этапе в составе ОС не производится никаких изменений, кроме создания каталогов или файлов на жестком диске.

4) Затем следует запустить утилиту «Настройка идентификаторов Аккорд»

и выполнить настройки идентификаторов (подробнее см. подраздел 2.2.1).

5) Далее нужно запустить редактор прав доступа – программу ACED32.EXE (иконка «Редактор прав доступа» в группе программ «Аккорд») из каталога С:\ACCORD.NT для синхронизации файла ПРД подсистемы разграничения доступа комплекса «Аккорд» со списком пользователей, который находится в контроллере комплекса «Аккорд-АМДЗ». На первом этапе не нужно делать никаких изменений в ПРД пользователей. Просто завершите программу с сохранением изменений.

6) Запустить программу «Настройка комплекса Аккорд» (AcSetup.exe из папки с установленным ПО СЗИ «Аккорд»), предъявить идентификатор администратора и ввести его пароль, а затем предъявить идентификатор, в котором записан ключевой файл лицензии. Не используйте этот идентификатор для регистрации пользователей, пока информация из него не запишется на жесткий диск! Внимательно ознакомьтесь с информацией в файле quick_start на компакт-диске «Аккорд». После выхода из программы настройки сохраните резервную копию файла accord.key, который создается в папке \Accord.NT после копирования из идентификатора.

7) Назначить ПРД в соответствии с принятой политикой информационной безопасности и полномочиями пользователей. Описание программы и порядок ее применения приведен в документе «Установка правил разграничения доступа. Программа ACED32. Руководство пользователя» (11443195.4012- 97), в составе эксплуатационной документации на комплекс «Аккорд-Win32» v.

Провести активизацию подсистемы разграничения доступа комплекса.

Для этого необходимо запустить программу ACSETUP.EXE из каталога С:\ACCORD.NT.

9) При этом осуществляется авторизация администратора БИ (запрашивается идентификатор и пароль администратора БИ). Если проверка прошла успешно, то на экране появляется окно для настройки подсистемы разграничения доступа комплекса, показанное на рисунке 3.

Рисунок 3 — Главное окно программы настройки комплекса «Аккорд»

2.2.1. Особенности работы утилиты «Настройка идентификаторов СЗИ Аккорд»

В составе комплексов СЗИ НСД «Аккорд» могут использоваться различные типы идентификаторов: устройства Touch Memory типа DS 1992-1996, USBустройства ШИПКА различных версий, смарт-карты. Для различных типов идентификаторов существуют различные способы подключения интерфейсных кабелей – в одном случае кабель подключается непосредственно к плате контроллера АМДЗ, в другом — используется стандартный USB-порт на материнской плате. При этом возможны варианты, когда в составе одной автоматизированной системы (АС) используется несколько видов идентификаторов. Для удобного конфигурирования различных вариантов использования идентификаторов разработана и включена в состав комплексов СЗИ НСД «Аккорд» утилита «Настройка идентификаторов СЗИ Аккорд».

Запустить утилиту настройки можно в процессе инсталляции СПО «Аккорд» на жесткий диск компьютера. После копирования файлов в указанную папку на диске, на экране появляется окно «Завершение работы мастера установки». В этом окне можно включить флаг «Настройка идентификаторов». Если в компьютер уже установлена аппаратная часть комплекса защиты – контроллер АМДЗ и используется в качестве идентификатора только устройство Touch Memory типа DS 1992-1996, то никаких дополнительных настроек не потребуется. В состав комплекса по умолчанию включены библиотеки для работы с данным типом идентификаторов. В файле конфигурационных параметров комплекса «accord.ini» используются следующие параметры:

• «UseAmdzBase=Yes» — означает, что синхронизация с АМДЗ включена;

• «DefaultStartType=1» — означает, что монитор безопасности запускается при старте ОС как системный драйвер.

Воспользоваться утилитой настройки идентификаторов можно и после установки СЗИ от НСД «Аккорд». Для этого достаточно пройти процедуру идентификации/аутентификации и начать сеанс работы под учетной записью, которая входит в группу «Администраторы» в составе СЗИ «Аккорд» и в составе ОС.

ВНИМАНИЕ! Учетная запись «Гл.Администратор» (SUPERVISOR) СЗИ «Аккорд» по умолчанию синхронизируется со встроенной учетной записью «Администратор» (Administrator) в составе операционной системы. Если Вы устанавливаете Аккорд в Windows Vista, или в более новых версиях ОС Windows, то при работе под любой другой учетной записью из группы «Администраторы» для запуска программы «Настройка идентификаторов»

следует использовать опцию «Запуск от имени Администратора».

Запустить утилиту «Настройка идентификаторов Аккорд» (AcIdCfg.exe) можно из подкаталога «Identifiers», который копируется в основной каталог СПО Аккорд в процессе установки.

Пуск\Программы\Аккорд\Настройка идентификаторов Аккорд.

После запуска открывается основное окно программы (рисунок 4):

Рисунок 4 – Главное окно утилиты «Настройка идентификаторов Аккорд»

По умолчанию установлено использование ТМ-идентификаторов через интерфейсный кабель, подключенный к плате АМДЗ (см. рисунок 4, поле «Основной идентификатор»).

Если необходимо использовать несколько идентификаторов одновременно, то в поле «Дополнительные идентификаторы» нужно выбрать один или несколько дополнительных идентификаторов и нажать кнопку Установить. После этого утилита копирует в системную папку Windows/System32/ те библиотеки, которые предназначены для поддержки выбранных типов идентификаторов. Если процедура установки прошла успешно, то на экран выводится следующее оповещение (рисунок 5).

Рисунок 5 – Оповещение об успешном выполнении процедуры поддержки ВНИМАНИЕ! Если одновременно используются в качестве идентификатора TM DS 1992-1996 и ПСКЗИ ШИПКА через интерфейсные кабели, подключенные непосредственно к плате АМДЗ, то выбирать ШИПКУ в качестве дополнительного идентификатора не нужно.

Если в качестве основного выбирается «TM-идентификатор (АМДЗ)», то программа настройки комплекса «Аккорд» будет сравнивать значение ключа в файле лицензии с теми значениями, которые считываются из платы АМДЗ. На платах Аккорд-5мх rev.8 и Аккорд-5.5 rev.8 устанавливается микросхема, которая содержит уникальный, неизменяемый код (UID). В файле лицензии для таких контроллеров прописывается именно это значение в поле «SerialNumber=». В составе контроллеров 5, 5мх, 5.5 более ранних релизов и в составе контроллеров LE, GX, GXm, GXmH таких микросхем нет, и файл лицензии оформляется на серийный номер платы.

Администратор может выбрать другие типы идентификаторов в качестве основных. Для этого нужно нажать на стрелку в правой части поля «Основной идентификатор». В выпадающем списке выбрать нужное значение (рисунок 6).

Если в качестве основного выбирается любой идентификатор, кроме «TMидентификатор (АМДЗ)», то это приводит к модификации следующих параметров файла «аccord.ini»:

• «UseAmdzBase= No» — синхронизация пользователей с АМДЗ отключается;

• «DefaultStartType=3» — старт системы защиты переводится в режим «вручную».

На экран выводится сообщение (рисунок 7):

Рисунок 7 – Сообщение о невозможности работы с базой пользователей АМДЗ Такой режим работы (в качестве основного идентификатора используется любой идентификатор, кроме «TM-идентификатор (АМДЗ)») необходим при установке СПО «Аккорд» в составе комплекса «Аккорд-В» в виртуальную машину (в этом случае в качестве основного идентификатора используется «Виртуальная машина»), где нет физического контроллера АМДЗ, или при построении других вариантов защищенных АС.

После установки любого варианта основного идентификатора, кроме «TMидентификатор (АМДЗ)», программа настройки комплекса сравнивает число в поле «SerialNumber» с некоторым «синтетическим» параметром, который вычисляется от состава операционной системы. Этот параметр (SID компьютера) заранее не известен сотрудникам ОКБ САПР. Поэтому администратор безопасности, который устанавливает комплекс СЗИ «Аккорд» в таком варианте, должен выбрать тип идентификатора, нажать кнопку Установить, подтвердить в следующем окне свой выбор. Далее нужно запустить программу TmExplor.exe (тест для проверки работы контроллера) и прислать значение полей «S/N» и «UID» по адресу электронной почты key@okbsapr.ru. Производственный отдел сформирует файл лицензии и отправит его заказчику. Полученный файл нужно скопировать в папку с установленными файлами СЗИ «Аккорд» под именем «accord.key» и продолжить настройку комплекса.

2.2.2. Основные параметры настройки комплекса В правой части окна размещено поле «При старте», предназначенное для задания режимов загрузки «монитора разграничения доступа» – программы ACRUN. SYS. Выбор режима загрузки осуществляется путем установки/снятия соответствующего флага:

«Спрашивать разрешение» – при включении этого режима в момент загрузки ACRUN.SYS выводится запрос и можно отказаться от запуска программы. Этот режим допустим только на период тестирования системы.

«Перезагрузка при ошибках» – если установлен этот флаг, то при обнаружении ошибок (например, пользователь не зарегистрирован в базе данных, выявлены изменения в контролируемых файлах и т.д.) происходит принудительная перезагрузка. Это основной режим функционирования системы разграничения доступа! В том случае, когда установлен такой режим работы системы защиты, и возникает ошибка, не позволяющая продолжить загрузку, для администратора предусмотрен резервный механизм отключения старта монитора безопасности. Действует он только для пользователя «Гл. Администратор» и для его корректной работы в настройке аппаратной части комплекса в параметре «Результаты И/А» должны быть включены первые пять флагов. Если эти требования соблюдены, то в начале загрузки ОС после корректной идентификации в аппаратной части администратор может нажать клавишу с буквой S и остановить загрузку монитора безопасности. Нажимать клавишу следует в тот момент, когда на экран в текстовом режиме начинается вывод сообщений СЗИ «Аккорд». Если в памяти аппаратной части комплекса «Аккорд-АМДЗ» записано внутреннее ПО версии 2.01.012 и выше, то флаг «Спрашивать разрешение» в программе настройки недоступен. Для остановки загрузки монитора безопасности в критических ситуациях предназначен специальный параметр в пункте меню «Сервис» программы администрирования АМДЗ – «Старт ACRUN». При выборе этого пункта открывается окно, в котором только один изменяемый параметр – «Не запускать ACRUN». Если администратор устанавливает флаг в этом пункте, то в процессе дальнейшей загрузки ОС монитор безопасности не стартует. Данные о включенном параметре «Не запускать ACRUN»

сохраняются в памяти процессора только на один сеанс работы, т.е. по умолчанию при старте компьютера этот флаг выключен.

«Автоматический логин в ОС» — при включении этого режима в момент загрузки модуль ACGINA.DLL получает информацию о пользователе, который был идентифицирован контроллером комплекса «Аккорд-АМДЗ». При этом вход в систему может осуществляться двумя способами:

• контроллер комплекса «Аккорд-АМДЗ» передает подсистеме доступа имя пользователя. Первые четыре флага установлены в разделе «Результаты I/A»

параметров пользователя. В этом случае при логине в ОС требуется ввести с клавиатуры пароль пользователя. Имя пользователя изменить нельзя.

• контроллер комплекса «Аккорд-АМДЗ» передает подсистеме доступа имя и пароль пользователя (первые пять флагов установлен в разделе «Результаты И/А» в настройках контроллера). В этом случае при логине в ОС ввода пароля не требуется.

• Если СВТ подключено к сети, то у пользователя есть возможность выбрать имя домена или сервера, к которому он может получить доступ, даже если включен параметр «Автологин». Для этого администратору перед активизацией подсистемы разграничения доступа нужно включить расширенный режим входа в систему (кнопка Параметры в стандартном окне запроса имени и пароля пользователя).

«Проверять BOOT сектора» — в момент загрузки ядра ОС модуль AcRun.SYS производит запись в журнал регистрации событий СЗИ «Аккорд».

Операционная система Windows определяет факт записи на диск до начала «официального» сеанса работы пользователя и выставляет флаг некорректно завершенного сеанса. Чтобы при каждой не запускался перезагрузке chkdsk, AcRun.sys восстанавливает исходное значение загрузочной записи. По умолчанию флаг включен. Отключать его следует только в том случае, если какой-либо системный модуль дополнительно проверяет boot записи логических разделов диска.

«Поддержка USB клавиатуры» – этот флаг необходимо включать, если на Вашем компьютере используется USB клавиатура или мышь, а внутреннее ПО «Аккорд-АМДЗ» ниже версии 2.01.012, т.е. старт монитора безопасности останавливается с клавиатуры. В этом случае при старте операционной системы в нижней части окна появляется запрос, который позволяет изменить параметры загрузки монитора разграничения доступа. Действовать эти настройки будут только в том случае, если установлен флаг «Спрашивать разрешение». Такой алгоритм работы приходится использовать потому, что в момент старта модуля AcRun.sys поддержка USB клавиатуры из системного BIOS уже отключена, а драйвер из состава ОС еще не загружен.

Поле «Синхронизация» определяет режимы синхронизации базы данных пользователей. Флаг «С базой АМДЗ» определяет режим, при котором параметры пользователя из контроллера считываются в базу данных редактора ПРД. При выходе из редактора ПРД выполняется синхронизация с базой данных контроллера.

Флаг «С базой пользователей NT» определяет режим, при котором программа-редактор добавляет пользователей СЗИ «Аккорд» в базу операционной системы. Этот флаг необходим, если включен режим «Автоматический логин в ОС», и пользователи, зарегистрированные в СЗИ «Аккорд» отсутствуют в списке пользователей ОС. Этот флаг можно не включать, если в «Аккорде» регистрируются пользователи, которые уже включены в состав контроллера домена, или зарегистрированы на терминальном сервере.

Примечание: учетная запись «Гл.администратор» автоматически синхронизируется с системной учетной записью «Администратор» в русской версии Windows, или с записью «Administrator» в английской версии. Если в составе ОС учетная запись «Администратор» отсутствует, то СЗИ «Аккорд»

создает запись Supervisor и включает ее в группу «Администраторы». Если в составе ОС учетная запись «Администратор» существует, но заблокирована, то СЗИ «Аккорд» разблокирует эту запись и синхронизируется с ней.

«Удалять незарегистрированных пользователей» – установка этого дополнительного флага определяет способ синхронизации пользователей СЗИ «Аккорд» с базой ОС Windows. Если флаг не установлен, то пользователи СЗИ просто добавляются в базу пользователей ОС. Если флаг установлен, то в базе пользователей операционной системы останутся ТОЛЬКО пользователи СЗИ «Аккорд».

При установленной СЗИ «Аккорд» в автоматизированной системе (компьютер + ПО) появляются 3 базы пользователей: база в контроллере АМДЗ, база в составе СПО «Аккорд» (файл Accord.AMZ) и база учетных записей в составе ОС. Два флага отвечают за синхронизацию этих баз:

• флаг «синхронизация с АМДЗ». Если установлен этот флаг, то при старте редактора ПРД ACED32 считываются пользователи из АМДЗ. Если пользователь заведен в программе администрирования АМДЗ, то он автоматически заносит в ACCORD.AMZ с теми ПРД, которые установлены как общие параметры группы, в которую включен пользователь. Если в файле ACCORD.AMZ есть пользователь, но его нет в базе контроллера АМДЗ, то такой пользователь удаляется из ACCORD.AMZ. При завершении работы редактора Aced32 с сохранением изменений файл ACCORD.AMZ полностью синхронизируется с базой пользователей в контроллере АМДЗ, т.е. такие параметры как имя пользователя, идентификатор, пароль, параметры пароля, временные ограничения, результаты И/А, полностью идентичны.

• флаг «синхронизация с NT». Если установлен этот флаг, то при выходе из редактора Aced32 созданные пользователи заносятся в базу пользователей ОС. В этот момент проверяется флаг «Удалять незарегистрированных пользователей». Если он установлен, и если в ОС зарегистрированы пользователи, не существующие в Accord.AMZ, то эти пользователи удаляются из базы NT. При этом администратор должен позаботиться о том, чтобы политики парольной защиты (минимальная длина, набор символов, срок действия) совпадали в настройках политики ОС и СЗИ «Аккорд».

Таким образом, если включены 3 флага синхронизации: «c АМДЗ» + «c NT» + «Удалять незарегистрированных пользователей», то все 3 базы идентичны по именам пользователей и паролям. Если флаги не установлены, то возможны случаи, когда в одних базах будет больше/меньше пользователей, чем в других, а пароли одного и того же пользователя будут различны для включения компьютера (в АМДЗ) и для загрузки ОС. В этом случае нужно отключить флаг «Автологин», или убрать передачу пароля в «Результатах И/А».

В любом случае СПО «Аккорд» работает со своей базой (Accord.AMZ). Вы можете установить режимы синхронизации, а можете отдельно завести пользователя в АМДЗ и в редакторе Aced32 (даже с разными паролями), при этом пользователь всегда идентифицируется своим идентификатором.

Если все пользователи работают в домене, и локальный вход не нужен (или вообще запрещен), то синхронизацию с базой NT можно смело убирать. В настройках комплекса нужно включить флаги «Использовать полное имя в учетных записях NT» и «Автологин», а в редакторе ПРД в поле «Полное имя»

ввести доменное имя юзера@имя домена. Единственное ограничение – пароль нужно менять, когда пользователь уже авторизовался на домене через Ctrl-Alt-Del и кнопку Смена пароля.

Если аутентификация в АМДЗ и в домене по регламенту должна выполняться с использованием разных паролей, то нужно отключить передачу пароля в «Результатах И/А» и включить флаг «Не менять пароли в АМДЗ»

(см. документ «ПАК СЗИ от НСД «Аккорд-Win32». Установка ПРД»

11443195.4012-036 97, подраздел 6.3), чтобы смена пароля в домене не приводила к записи такого же пароля в АМДЗ.

Поле «Механизмы разграничения доступа» определяет те методы разграничения доступа, которые будут использоваться при реализации политики безопасности. Подробнее см. документ «Установка правил разграничения доступа. Программа ACED32».

В поле «Идентификатор» только один параметр – «Страница в идентификаторе». По умолчанию он установлен в 0. Изменять этот параметр КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЕТСЯ! В эту и следующую страницу памяти идентификатора записывается секретный ключ пользователя при его регистрации. Изменение этого параметра приведет к тому, что ранее зарегистрированные идентификаторы будут восприниматься системой защиты как недопустимые. Изменение этого параметра возможно, если используется ПО сторонних производителей, которое записывает свою информацию в те же страницы памяти. После изменения этого параметра ВСЕ используемые идентификаторы должны быть перерегистрированы с генерацией нового секретного ключа пользователя.

2.2.3. Дополнительные параметры настройки комплекса В пункте меню «Параметры» можно изменить дополнительные параметры и настройки СЗИ «Аккорд» (рисунок 8).

Рисунок 8 — Дополнительные параметры и настройки Пункт меню «Язык» позволяет выбрать язык, на котором будут выводиться сообщения программ, входящих в состав комплекса «Аккорд». При старте программы настройки комплекса устанавливается язык, соответствующий основному языку операционной системы. Если у Вас установлена английская версия Windows, то программа начинает работу на английском языке. Если в английской версии ОС установлена поддержка русского языка, то после старта программы в пункте ПараметрыЯзык можно выбрать «Русский» для вывода сообщений на русском языке.

Пункт меню «Категории доступа» позволяет редактировать список категорий доступа, который используется в реализации мандатного механизма разграничения доступа (рисунок 9).

Рисунок 9 — Редактирование списка категорий доступа При установке СЗИ «Аккорд» в списке уже содержатся пять категорий доступа. Администратор безопасности информации может менять количество и наименование категорий доступа в соответствии с принятой политикой защиты информации. В подсистеме мандатного доступа допускается использование до 15 категорий доступа.

Пункт меню «Дополнительные опции» открывает доступ к настройкам расширенных функций и параметров системы защиты (рисунок 10).

Рисунок 10 — Дополнительные параметры в настройке СЗИ Дополнительные опции сгруппированы по функциональному назначению и выбираются нажатием левой кнопки мыши на соответствующей закладке.

Закладка «Контроль» содержит две группы параметров: «Контроль времени» и «Дополнительные подсистемы».

«Контроль времени» определяет режим принудительного завершения сеанса пользователя, если в редакторе ПРД установлены соответствующие ограничения по времени работы. Подробнее см. документ «Установка правил разграничения доступа. Программа ACED32». Если контроль времени включен, то администратор задает интервал в минутах до завершения сеанса, когда пользователю выводится предупреждение об окончании работы. Второй параметр – это интервал времени в минутах, через который аппаратно перезагружается компьютер после попытки выполнить перезагрузку обычным способом. Эта процедура может потребоваться, если какое-либо приложение «зависло» и не отвечает на системные запросы.

Группа параметров «Дополнительные подсистемы» отвечает за активизацию функций СЗИ «Аккорд», которые не относятся непосредственно к разграничению доступа, но определяют режимы работы защищенной рабочей станции в составе сети (автоматизированной системы).

«Включить подсистему контроля имен общих ресурсов» – установка данного параметра активизирует (после перезагрузки) процедуру контроля заданных в редакторе ПРД общих ресурсов, т.е. устройств, папок и файлов данного компьютера, предоставленных в общий доступ пользователям сети. Подробнее см. документ «Установка правил разграничения доступа.

Программа ACED32» пункт «Установка фиксированных сетевых имен ресурсов общего пользования».

«Включить подсистему контроля доступа к общим ресурсам» – установка данного параметра активизирует (после перезагрузки) процедуру контроля доступа к ресурсам данного компьютера из сети. Предыдущей параметр регламентирует выделение ресурсов данного компьютера в общий доступ с фиксированными именами, а данный флаг включает драйвер, который разрешает, или запрещает доступ из внешней сети к ресурсам компьютера на время сеанса работы конкретного пользователя. Режим контроля определяется опцией «Запрет доступа к общим ресурсам» в опциях настройки пользователя.

Подробнее см. документ «Установка правил разграничения доступа. Программа ACED32» пункт «Установка дополнительных опций работы пользователя».

«Включить контроль доступа к устройствам» – установка данного параметра активизирует подсистему контроля устройств. После выхода из программы настройки с сохранением данного изменения в программе – редакторе ПРД в списке объектов для установки атрибутов доступа появляется группа «Устройства». Открыв эту группу, администратор получает возможность контроля доступа к любому устройству, или классу устройств, доступных в «Диспетчере устройств» Windows, в том числе последовательных и параллельных портов, устройств PCMCI, IEEE 1394, WiFi, Bluetooth и пр.

Включение объекта из этой группы в список ПРД означает запрет на доступ к этому объекту, в списке атрибутов доступна только регистрация попыток доступа на чтение, или запись.

«Включить контроль печати» – установка данного параметра активизирует подсистему контроля и маркировки печати.

Маркировка печати – данная кнопка предназначена для вызова программы настройки информации, выводимой на маркированный печатный документ. Режим контроля и маркировки печатных документов определяется опцией «контроль печати» в настройках опций пользователя. Подробнее см.

документ «Установка правил разграничения доступа. Программа ACED32» пункт «Установка опций настройки».

В программе настройки маркировки документов параметры сгруппированы в несколько секций, которые открываются при выборе соответствующей закладки.

Рисунок 11 — Настройка маркировки первой страницы документа Закладка «Угловой штамп» (рисунок 11) определяет вид информации, выводимой на первой странице маркируемого документа. Параметры «Отступ справа» и «Отступ сверху» определяют положение углового штампа на первой странице. «Размер шрифта» соответствует принятому в ОС Windows типоразмеру шрифтов. Параметры «Жирный шрифт» и «Рисовать рамку»

очевидны и не требуют дополнительной детализации. Параметр «Печатать на первой странице нижний штамп» определяет способ маркировки, при котором на первой странице кроме верхнего углового штампа печатается еще информация нижнего колонтитула, которая выводится на всех страницах документа, но в отдельных случаях не требуется именно на первой странице.

Параметр «Нумеровать первый лист» показывает, будет ли печататься на первом листе номер страницы.

Закладка «Нижний штамп» (рисунок 12) определяет вид информации, выводимой в нижней части страницы маркируемого документа.

Рисунок 12 — Настройка нижнего колонтитула маркированного документа Параметры «Отступ снизу» и «Размер шрифта» задают положение на странице и размер шрифта маркирующей информации. Флаг «Рисовать линию»

включает «отбивку» нижнего штампа линией, а флаг «Центрировать текст»

определяет положение на странице. Флаги в правой части окна определяют, какую информацию печатать в нижнем штампе. Отдельного разъяснения требует флаг «Печатать гриф» — это информация о грифе конфиденциальности документа. Корректно определить гриф при выводе на печать можно только при включенном механизме мандатного контроля доступа. Если мандатный механизм без контроля процессов, то гриф определяется меткой доступа редактируемого объекта. Если используется мандатный механизм с контролем процессов, то гриф определяется уровнем доступа процесса, открывшего документ. В процедуре управления потоками информации нельзя бесконтрольно понижать гриф, а для процесса с высоким уровнем секретности доступны на чтение все объекты с метками нижестоящего уровня. Система защиты исключает вариант, когда программа открывает общедоступный файл, добавляет в него секретные сведения и отправляет на печать без грифа секретности. Если такой механизм маркировки грифа не подходит по регламенту, то администратор может в общих настройках маркировки включить флаг «Гриф указывается пользователем» и эта информация будет вводиться пользователем в экранной форме, которая появляется перед печатью документа. «Учетный номер» не может определяться автоматически, поэтому значение этого параметра пользователь также вводит вручную. Если в поле «Наименование АС» администратор вводит текстовую информацию, то эти данные будут автоматически выводиться при маркировке документа. Флаг «Печатать номера листов» определяет, будут ли печататься номера листов.

Флаг «Сверху» переводит печать нижнего штампа в верхнюю часть страницы.

Закладка «Итоговый штамп» (рисунок 13) определяет вид информации, выводимой на последней странице документа. По требованиям делопроизводства эта информация печатается на оборотной стороне последней страницы. Флаг «Выводить предупреждение о печати последней страницы»

требуется включить, если принтер не оборудован устройством подачи бумаги для двусторонней печати. В таком варианте печать последней страницы выполняется после подтверждения пользователя и можно вручную перевернуть страницу.

Рисунок 13 — Настройка маркировки последней страницы документа Закладка «Общие настройки» (рисунок 14) определяет режимы работы подсистемы контроля печати. Администратор может выбрать уровень конфиденциальности документов, начиная с которого выполняется маркировка, возможность ручного ввода грифа и названия документа, фамилии пользователя и общего количества печатных листов. Если администратор запрещает ручной ввод ФИО пользователя, то документ маркируется полным именем из базы данных СЗИ «Аккорд», а если это поле не заполнено, то коротким. В журнал регистрации печати всегда выводится имя из базы данных, даже если разрешен ручной ввод этого параметра. «Регистрационный номер машинного носителя» — это текстовое поле, которое выводится на последней странице печатного документа по требованию регламента некоторых организаций.

Рисунок 14 — Общие настройки режима маркировки исключить отдельные печатающие устройства из процесса маркировки документов. Например, устройство PDF Complete – это виртуальный принтер, и вывод осуществляется в файл. Вполне возможно, что в таком варианте маркировка не потребуется.

Рисунок 15 — Выбор исключений печатающих устройств Закладка «Процессы» позволяет администратору сформировать список процессов, для которых маркировка документов средствами СЗИ «Аккорд»

выполняться не будет. Такой режим пригодится в том случае, когда прикладное ПО самостоятельно формирует маркировочную информацию в документах, выводимых на печать. Если не сформировать список исключений, то документ будет маркироваться дважды.

Выбор закладки «Журнал» открывает режим просмотра журнала регистрации событий вывода на печать. В журнале документы, которые выводились без маркировки, отображаются черным шрифтом, с маркировкой – синим, а красным шрифтом отображаются события, которые завершились с кодом ошибки (рисунок 16).

Рисунок 16 — Журнал регистрации вывода на печать.

На рисунке 17 приведена форма, которая выводится на экран перед отправкой документа на печать, если для данного пользователя включен режим маркировки.

Рисунок 17 — Окно ввода дополнительных полей маркировки документа.

Часть полей обязательна для ввода, часть задается администратором в настройках. Если пользователь не заполнил одну или несколько строк обязательной информации, то печать документа не выполняется, а в открытом окне курсор мигает в той строке, которую требуется ввести.

После закрытия окна «Маркировка печати» программа возвращается к настройкам режимов работы комплекса СЗИ. Закладка «Режим сессии»

определяет процедуры начала и завершения работы монитора системы безопасности ACRUN.SYS (рисунок 18).

Рисунок 18 — Дополнительные параметры «Режим сессии» в настройке СЗИ «Режим старта системы защиты» – в этом поле можно выбрать вариант загрузки монитора безопасности. По умолчанию установлено значение «Система», т.е. ACRUN.SYS стартует как системный драйвер. При выборе значения «Загрузка» ACRUN.SYS будет стартовать как загрузочный драйвер.

При этом появляется возможность запретить доступ к драйверам различных устройств. Выбор значения «Вручную» определяет, что монитор безопасности стартует позже, и подключает правила доступа на основании информации, полученной от модуля AcGina.DLL. В этом случае в качестве идентификатора используется персональное средство защиты информации «ШИПКА», которое подключается к стандартному разъему USB в составе системного блока компьютера. Если USB разъем находится на плате контроллера АМДЗ, то обмен с идентификатором «ШИПКА» выполняется внутренним ПО контроллера, и режим старта «Вручную» выбирать не нужно. Режим «Вручную» может потребоваться для функционирования подсистемы разграничения доступа на мобильном компьютере, в который нет возможности установить плату контроллера. Для функционирования СЗИ в таком режиме необходимо выполнить такую последовательность настроек:

1) После установки программного обеспечения «Аккорд Win32» на жесткий диск из папки C:\Accord.NT\Shipka_ID\ скопируйте файлы в папку C:\Accord.NT.

2) Запустить программу «Настройка комплекса Аккорд». На экране появится сообщение: «База данных пользователей не найдена! (User database not found!)». Нажмите мышкой кнопку Ok для продолжения работы. В окне основных настроек отключите флаг «Синхронизация с базой АМДЗ»

(контроллер не установлен). После этого работа с программой настроек завершается с сохранением изменений. Теперь можно запускать редактор ПРД и создавать базу пользователей. Все дальнейшие операции выполняются стандартно, согласно документации, только в качестве персонального идентификатора используется ПСЗИ «ШИПКА» вместо ТМ. При первом подключении ПСЗИ «ШИПКА» в USB-порт необходимо установить драйвер для этого устройства из состава ПО ПСЗИ «ШИПКА».

3) После создания базы данных пользователей запустите программу «Настройка комплекса Аккорд» и в разделе «Дополнительные опции»

установите режим сессии Вручную. После этого можно активировать подсистему разграничения (меню Команды пункт Инсталляция). При выборе режима сессии «Вручную» становится доступным флаг «Запретить загрузку ОС в безопасном режиме». Этот флаг блокирует возможность выбора старта ОС в безопасном режиме, т.к. этот режим позволяет не загружать отдельные драйверы и запускает стандартную процедуру WinLogOn, которая не предусматривает дополнительной идентификации пользователя, тем самым допускает «обход» модулей СЗИ. В режимах старта СЗИ «Загрузка» и «Система» этой опасности нет, т.к. монитор безопасности грузится на уровне ядра системы и его обход невозможен в любом варианте загрузки ОС.

ВНИМАНИЕ! Данные настройки необходимо выполнять только в варианте комплекса, предназначенного для защиты рабочих станций, когда ШИПКА подключается к USB порту системного блока. Если контроллер АМДЗ поддерживает работу с устройствами ШИПКА через встроенный USB хост, то замена библиотек не требуется. Вариант комплекса, предназначенный для защиты терминального сервера (TSE – Terminal Server Edition) поддерживает работу одновременно с ТМ-идентификаторами и устройствами ШИПКА, подключаемыми к любому USB порту.

устанавливается в том случае, когда выбран режим старта «Вручную», или когда администратор безопасности хочет исключить возможность загрузки системы в обход процедуры WinLogOn. В любом случае включать этот флаг следует только после окончательной настройки работы компьютера в защищенном режиме.

Флаг «Переключение монитора в текстовый режим при старте»

установлен по умолчанию. Если отключить этот флаг, то информация о старте монитора безопасности будет выводится в графическом режиме, но только по английски, т.к. на этапе загрузки ядра ОС еще нет поддержки MUI и возможности выбора графических шрифтов.

«Использовать полное имя в учетных записях Windows NT» – при установке этого параметра имя пользователя, заданное в редакторе ПРД ACED32 в поле «Полное имя», будет использоваться при синхронизации с базой учетных записей ОС. Такой режим необходим в том случае, когда пользователь подключается к контроллеру домена, который использует «длинные» имена.

Данная опция позволяет администратору обойти ограничение на длину имени в 12 символов, которое накладывается контроллером АМДЗ.

«Завершать сессию только полной перезагрузкой» – при установке этого параметра после завершение сеанса пользователя выполняется принудительная перезагрузка компьютера, т.е. нельзя завершить сеанс работы одного пользователя и начать другой без перезагрузки компьютера.

Старт модуля ACRUN.SYS в режиме загрузочного драйвера и завершение сессии перезагрузкой могут понадобиться, например, при включении драйверов сетевой карты в список запрещенных (скрытых) файлов. В таком варианте пользователь (и любая системная или прикладная программа) не получит доступа к сетевым ресурсам, но восстановление подключения к сети для другого пользователя возможно после полной перезагрузки.

Закладка «Разное» содержит ряд дополнительных параметров, влияющих на режим функционирования СЗИ (рисунок 19).

Первые три параметра относятся к дисциплине гарантированного удаления остаточной информации, которая включается флагом «Удаление файлов с очисткой» в дополнительных опциях пользователя.

«Число проходов при очистке файлов» – этим параметром задается количество циклов заполнения случайными данными области на жестком диске, занимаемой удаляемым файлом.

«Очищать файлы, начиная с уровня» — параметр работает при включенном механизме мандатного доступа, когда требуется очищать остаточную информацию для файлов с определенного уровня конфиденциальности.

«Очищать файл подкачки» – включение этого параметра означает, что файл подкачки (виртуальная память ОС) будет очищен при завершении сеанса работы пользователя.

Рисунок 19 — Дополнительные параметры «Разное» в настройке СЗИ «Очищать сетевые файлы» – включение этого параметра означает, что файлы будут удалятся с очисткой и на сетевых дисках.

Остальные параметры определяют различные дополнительные режимы работы СЗИ.

«Выводить на экран сообщения о НСД» — включение этого параметра означает, что сообщения об НСД будут выводиться вначале от имени СЗИ «Аккорд», а потом будут дублироваться отказами системы. Этот режим может понадобиться на период настройки и отладки политики безопасности, чтобы понять, какие ограничения накладываются СЗИ, а какие – настройками политик ОС. В обычном режиме СЗИ «Аккорд» генерирует код ошибки, передает его системным службам и все отказы в доступе выводятся на уровне стандартного интерфейса ОС.

«Мягкий режим» – установка этого параметра позволяет собирать статистику о ресурсах, которые необходимы для работы прикладного ПО и операционной системы. В этом режиме при обращении к запрещенному (недоступному) ресурсу системой «Аккорд» выводится сообщение об НСД, если включен соответствующий параметр (см. предыдущий пункт), попытка НСД заносится в журнал регистрации событий, но выполнение операции не прерывается. Использование этого режима допускается только на период отладки системы защиты и сбора статистики.

«Использовать полный путь процесса» – этот параметр определяет варианты проверки пути доступа при вызове или контроле процессов. По умолчанию этот флаг не установлен и процесс в файле настроек ПРД описывается только по имени. Включение данного параметра означает, что \устройство\том\каталог\файл. Такой режим проверки более строгий.

«Записывать в журнал логические имена дисков» – этот параметр определяет форму записи в журнал регистрации событий. В NT-подобных версиях Windows логические разделы жесткого диска представляются в виде устройство\том\, например: DEVICE\HardDisk0\Volum1\. Включение данного Лог.устройство:\каталог\файл, например: C:\WINNT\TEMP. После начальной установки СЗИ «Аккорд» этот флаг включен.

«Печатать гриф приложения в заголовке окна» — параметр относится к работе процессов с разными уровнями доступа. При включенном параметре в заголовке окна приложения выводится текущий уровень доступа процесса. В каждый момент пользователь имеет информацию о полномочиях работающего приложения.

Панель «Хранитель экрана» содержит только один параметр «Блокировать USB устройства» – этот параметр позволяет отключать USB порты на время работы хранителя экрана. В обычном режиме, когда порты остаются включенными, появление нового USB устройства снимает Screen Saver и выводит на экран стандартное сообщение о подключении нового устройства. При работе на защищенных СВТ с конфиденциальной информацией такой режим обычно противоречит политике безопасности, поэтому данный параметр должен быть включен администратором. Выключение этого параметра может потребоваться в случае, когда к компьютеру через USB порт подключен принтер (или другое устройство), который выделен в общий доступ для других пользователей в сети. При такой конфигурации включение хранителя экрана и блокировка USB отключают доступ к устройству другим пользователям.

ВНИМАНИЕ! Редактирование параметров «хранителя экрана»

выполняется c помощью редактора ПРД (подробнее см. пункт 6.6 документа «Установка правил разграничения доступа. Программа ACED32»

«Текст в хранителе экрана» – Строка символов, которая отображается на экране в момент работы Screen Saver Аккорд.

Закладка «Данные конфигурации» содержит настройки аппаратной части комплекса – контроллера АМДЗ (рисунок 20), что позволяет менять интервалы времени для идентификации и ввода пароля, а также количество попыток для успешной авторизации.

Рисунок 20 — Параметры «Данные конфигурации» в настройке СЗИ Подробно настройка этих параметров описана в документации на «Аккорд-АМДЗ».

2.2.4. Использование антивирусного ядра антивирусного ядра для проверки файлов на наличие вирусов (рисунок 21). В настоящий момент поддерживается ядро антивирусной программы «Dr.WEB»

v.4. В дальнейшем, при достижении соответствующих соглашений, планируется поддержка продуктов других производителей антивирусных программ.

Рисунок 21 — Настройка использования модуля антивирусной защиты После включения этой опции СЗИ «Аккорд» выполняет функции монитора-антивируса, т.к. использует схожие механизмы перехвата дискового ввода/вывода. Таким образом, отпадает необходимость запуска стандартного монитора антивирусной системы, компьютер работает быстрее (вместо двух операций перехвата выполняется одна), но уровень защищенности не уменьшается.

ВНИМАНИЕ! Для использования этой функции необходимо иметь стандартную лицензию антивирусной системы «Dr.WEB»! Антивирусным модулем СЗИ «Аккорд» используется стандартный набор антивирусных баз.

В строке «Расположение ядра» нужно указать каталог на жестком диске, в котором находится библиотека DrWeb32.dll. Обычно это папка, в которую выполняется установка антивирусной системы. Настройку антивирусного монитора следует производить после активизации подсистемы разграничения доступа. После перезагрузки компьютера с включенной подсистемой разграничения доступа и модулем антивирусной защиты появляется дополнительная кнопка в окне, которое вызывается при щелчке левой клавишей мыши на иконке с шахматной фигурой, расположенной на панели задач (рисунок 22).

Рисунок 22 — Окно текущих настроек монитора разграничения доступа Если включена поддержка антивирусного ядра, то в этом окне появляется дополнительная кнопка Антивирус. Выбор этой кнопки открывает доступ к настройкам антивирусного ядра (рисунок 23).

В окне настроек следует установить флаг «При старте — Включить» и нажать кнопку Включить в левом нижнем углу. При обнаружении вируса выполняется установленное действие, или выводится диалоговое окно (при настройке «Дополнительный запрос»), в котором пользователь может выбрать операцию, которую необходимо выполнить с зараженным файлом.

2.2.5. Особенности настройки комплекса «Аккорд» при использовании SATA жестких дисков, или RAID контроллеров с динамическим подключением томов.

В современных компьютерах все чаще используются жесткие диски, подключаемые по интерфейсу SATA. При этом на материнских платах используются встроенные RAID контроллеры. Логические тома жесткого диска в такой конфигурации могут подключаться динамически. Поскольку монитор разграничения доступа AcRun.SYS стартует на самом раннем этапе загрузки (практически вся загрузка ОС выполняется под его контролем), могут возникнуть трудности с определением соответствия логических имен разделов жесткого диска и их полных системных имен. Такая же проблема может возникнуть при использовании сменных жестких дисков.

Если в редакторе ПРД в списке объектов доступа файл отображается не в привычном виде, например, C:\TMP\my_file.txt, а, к примеру, таким образом:

\DEVICE\HARDDISKDMVOLUMES\EDSRV01DG0\VOLUME1\TMP\my_file.txt, то у Вас именно такой случай. Для успешной работы комплекса «Аккорд» нужно предпринять следующие действия:

1) Закрыть редактор ПРД AcEd32.EXE без сохранения изменений.

2) Удалить файл C:\Accord.NT\accord.amz.

3) В файле C:\Accord.NT\accord.ini для параметра UseLogicalDisksNames изменить значение No (значение по умолчанию) на Yes.

4) Выполнять все дальнейшие действия и настройки ПРД стандартным способом, как описано в документации на комплекс.

ВНИМАНИЕ! Если используются логические имена, то невозможно будет разграничить доступ к съемным дискам (флоппи, USB и др.).

2.3. Активизация подсистемы разграничения доступа.

Для активизации подсистемы разграничения доступа в пункте меню «Команды» выбираете подпункт «Инсталляция». Подсистема будет установлена и запустится при следующей загрузке.

ВНИМАНИЕ! Программа ACSETUP.EXE предназначена как для установки, так и для снятия подсистемы разграничения доступа, поэтому рекомендуется скопировать эту программу и хранить ее на отдельном магнитном носителе.

ВНИМАНИЕ! Для изменения настроек и дополнительных параметров подсистемы защиты не требуется каждый раз устанавливать/снимать подсистему, достаточно запустить программу ACSETUP.EXE, включить или выключить соответствующие параметры и выйти их программы, сохранив изменения. Исключение составляют параметры «При старте», «Режим сессии» и «Мягкий режим». После изменения этих параметров требуется перезагрузка компьютера.

Для полноценной работы комплекса «Аккорд» в каталог, где установлено СПО Accord-Win32 должен быть скопирован файл лицензии Accord.key, который поставляется отдельно на флоппи-диске, или в ТМ-идентификаторе серии DS1993. Если в каталоге с программным обеспечением этого файла нет, то при первом запуске программа настройки запрашивает ТМ-идентификатор, считывает из него информацию и сохраняет в файл Accord.key на диске. После этого идентификатор можно использовать для регистрации пользователя. В этом файле содержится информация о серийном номере контроллера АМДЗ и типе продукта (для рабочей станции или терминального сервера). При отсутствии файла, несовпадении серийного номера контроллера, или несовпадении контрольной суммы файла процедура инсталляции подсистемы разграничения доступа не выполняется. Если истек срок действия лицензии, то её можно продлить, прислав файл Accord.key на e-mail key@okbsapr.ru.

2.4. Установка правил разграничения доступа (ПРД) для пользователей Установка правил разграничения доступа (ПРД) для пользователей СВТ, утвержденных в соответствии с политикой информационной безопасности, принятой в организации (предприятии, фирме и т.д.), осуществляется администратором БИ с использованием программ ACED32.EXE. Описание программы, порядок ее применения приведен в документе «Установка правил разграничения доступа. Программа ACED32» (11443195.4012-036 97) из комплекта эксплуатационной документации на комплекс «Аккорд-Win32» v.

4.0. Примеры ПРД приведены в документе «Руководство администратора»

2.5. Особенности установки СЗИ Аккорд в системах терминального доступа (СТД) 2.5.1. Установка СЗИ «Аккорд» на терминальном сервере Программное обеспечение комплекса СЗИ НСД «Аккорд» содержит модули, которые обеспечивают выполнение защитных функций при работе терминального сервера. В качестве серверного ПО может использоваться Windows NT/2000/2003/2008 Terminal Server, в стандартной конфигурации, или с установленным Citrix Metaframe. Инсталляция программного обеспечения на жесткий диск выполняется стандартным образом, только в программе инсталляции включается флаг «Поддержка Terminal Server». При этом различия проявляются только в программе настройки комплекса. В подменю «Параметры» появляется дополнительный пункт «Terminal Server»

ВНИМАНИЕ! Для варианта установки комплекса «Аккорд» Terminal Server Edition в файле лицензии Accord.key содержится информация о серийном номере контроллера АМДЗ и количестве обрабатываемых терминальных сессий.

Обратите внимание, что в этом файле параметр [Products] имеет значение Accord TS Edition! При несоответствии варианта установки ПО с информацией в файле лицензии выдается сообщение «Ключевой файл лицензии не подходит для этого продукта!» и программа настройки не запускается.

Рисунок 24 — Пункт меню «Terminal Server» в программе настройки комплекса Выбор пункта «Terminal Server» в меню «Параметры» открывает окно настроек сессий терминального доступа (рисунок 25).

Для начала необходимо выбрать протокол виртуального канала, по которому будет осуществляться связь с терминалами. «Аккорд» поддерживает протокол RDP для Windows Terminal Server и ICA для Citrix Metaframe.

Необходимо выбрать хотя бы один протокол, но возможна работа одновременно по двум протоколам.

Рисунок 25 — Настройки режимов работы Terminal Server «Режим удаленной сессии» определяет варианты взаимодействия с клиентскими терминалами.

«Блокировать сессию при извлечении идентификатора» – флаг определяет режим работы сессии, при котором при извлечении идентификатора сессия будет блокироваться.

«Только одна удаленная сессия для пользователя» – вариант работы, когда удаленный пользователь не может одновременно открыть несколько удаленных сессий.

«Автоматический логин сессии пользователя» – флаг определяет режим работы пользовательского терминала, при котором результаты идентификации/аутентификации пользователя передаются от аппаратной части СЗИ (Аккорд-АМДЗ) программному обеспечению, которое обрабатывает начало сессии удаленного пользователя.

«Усиленная проверка станции пользователя» – этот флаг включает режим проверки не только идентификационных параметров пользователя, но также и идентификационных параметров удаленного терминала на основе информации, которая хранится в энергонезависимой памяти контроллера «Аккорд-АМДЗ».

Все остальные настройки правил разграничения доступа на сервере не отличаются от стандартных. Администратор создает пользователя, регистрирует его идентификатор, назначает пароль и правила доступа к ресурсам, которые находятся на жестком диске терминального сервера. Особенность администрирования на терминальном сервере заключается в том, что терминальные пользователи должны регистрироваться в отдельной группе, которая будет синхронизироваться не только с группой Users, но и с группой Remote Desktop Users. Если пользователи уже зарегистрированы в контроллере домена, то возможен вариант, когда синхронизация с базой АМДЗ и базой NT оключается, а сохраняется список только в файле accord.amz.

В свойствах группы есть параметр «NT группы». Нажав на кнопку в правой части этого поля, мы получим доступ к списку групп в составе ОС и можем выбрать политику синхронизации пользователей СЗИ «Аккорд» с учетными записями в операционной системе (рисунок 26). Как включить пользователя СЗИ «Аккорд» в несколько групп в составе ОС – также описывается в документе «Установка правил разграничения доступа.

Программа Aced32.exe» (11443195.4012-036 97) пункт 6.17.

Рисунок 26 — Выбор групп в составе ОС для синхронизации пользователей СЗИ На удаленном терминале устанавливается клиентское ПО СЗИ «Аккорд»

из папки TS_Client на дистрибутивном носителе. После установки ПО необходимо выполнить настройку терминального клиента СЗИ «Аккорд».

Последовательно выбирая мышью Пуск Программы Аккорд-TC Настройка терминального клиента, запускаем необходимое приложение (рисунок 27).

Рисунок 27 — Окно настройки терминального клиента СЗИ «Аккорд»

Необходимо выбрать один, или оба протокола и тип используемого на терминале персонального идентификатора. Если компьютер, на котором установлено клиентское ПО, допускает установку плат расширения, то можно установить контроллер «Аккорд — АМДЗ» и использовать ТМ-идентификаторы серий DS1992-1996. Если на удаленном терминале нет никаких разъемов для установки плат расширения, а допускается только подключение USB-устройств, то задача решается использованием ПСКЗИ ШИПКА в качестве уникального идентификатора. Как смешанный вариант возможно использование и тех, и других идентификаторов, но одно правило остается неизменным: «Один пользователь – один уникальный идентификатор».

После выбора параметров нужно нажать кнопку Установить для активирования службы терминального клиента СЗИ «Аккорд».

После этого привычная процедура подключения к терминальному серверу слегка видоизменяется. После запуска программы mstsc (Microsoft Terminal Server Client) можно обычным образом выбрать сервер, или его IP-адрес (рисунок 28).

Но после выбора кнопки Connеct (Подключение) выполняется дополнительная процедура идентификации (рисунок 29).

И аутентификации пользователя (рисунок 30).

Рисунок 30 — Аутентификация пользователя по паролю В случае использования ПСКЗИ ШИПКА идентификатором служит уникальный серийный номер конкретного устройства, который записывается при изготовлении и впоследствии не меняется даже при форматировании внутренней памяти ШИПКИ.

Результаты И/А передаются на сервер в защищенном виде, и уже серверная часть СЗИ «Аккорд» ищет учетную запись в своей базе данных. Если пользователь успешно провел процедуру идентификации/аутентификации, то для него открывается сессия с тем набором правил разграничения доступа (ПРД), который установил администратор безопасности на терминальном сервере.

На терминальном сервере монитор безопасности СЗИ «Аккорд»

функционирует в многопользовательском и многозадачном режиме, т.е. для каждого сеанса терминального пользователя выполняется индивидуальная политика работы с ресурсами сервера, основанная на сертифицированных механизмах дискреционного и мандатного доступа. В том случае, когда сформирована ИПС (изолированная программная среда), то и набор исполняемых модулей жестко регламентирован для каждого пользователя.

Реализованная в СЗИ «Аккорд» процедура динамического контроля целостности существенно усиливает стойкость защиты, т.к. исполняемый модуль, включенный в список контроля, проверяется непосредственно перед каждым запуском, что гарантирует неизменность среды во время всего сеанса работы.

Приведенные на рисунках примеры относятся к тому случаю, когда средой для работы терминального клиента являются ОС Windows 2000/ XP/ Embedded.

Однако специалистами ОКБ САПР разработаны варианты клиентской части и для Windows CE v.5-6, и для Linux (версия ядра 2.6).

2.5.2. Описание работы с утилитой AcTmReg.exe Встречаются случаи, когда нет возможности использовать при регистрации на терминальном сервере физические идентификаторы пользователей. Например, когда устройства TouchMemory и ШИПКИ уже переданы пользователям и пользователи находятся территориально удаленно от терминального сервера.

В этом случае, при регистрации идентификаторов таких пользователей с помощью программы ACED32 можно выбрать в окне «Операции с секретным ключом пользователя» пункт «Из файла». Далее будет предложено выбрать файл, хранящий описание идентификаторов. Поддерживается два формата файлов: *.amz — стандартная база пользователей Аккорд и *.atf — файл описания идентификаторов.

Для формирования файла TmId.atf служит утилита AcTmReg.exe (рисунок 31).

Рисунок 31 – Главное окно программы AcTmReg.exe Кнопка Новый идентификатор используется для регистрации идентификаторов пользователей. По нажатии данной кнопки проверяется, есть ли в идентификаторе секретный ключ. Если его нет, то будет сформирован секретный ключ; если он есть, то на экране появляется окно (рисунок 32):

Необходимо нажать кнопку Да, если планируется использовать старый секретный ключ, и кнопку Нет, если нужно создать новый ключ (рисунок 32).

Далее на экране появляется окно, в котором можно ввести описание идентификатора и нажать кнопку OК (рисунок 33).

По умолчанию, утилита работает с файлом TmId.atf; если нужно работать с другим файлом, то необходимо использовать кнопку Открыть файл, по нажатии на которую на экране появляется окно выбора файла (рисунок 34), в котором нужно выбрать соответствующий файл *.atf и нажать кнопку Открыть.

Параметр «Использовать страницу» по умолчанию установлен в 0.

Изменять этот параметр НЕ РЕКОМЕНДУЕТСЯ! В эту и следующую страницу памяти идентификатора записывается секретный ключ пользователя при его регистрации. Изменение этого параметра приведет к тому, что ранее зарегистрированные идентификаторы будут восприниматься системой защиты как недопустимые. Изменение этого параметра возможно, если используется ПО сторонних производителей, которое записывает свою информацию в те же страницы памяти. После изменения этого параметра ВСЕ используемые идентификаторы должны быть перерегистрированы с генерацией нового секретного ключа пользователя.

После окончания работы утилиты, идентификаторы и открытые ключи пользователей будут сохранены в соответствующем файле. Далее этот файл необходимо переслать администратору безопасности информации терминального сервера.

2.6. Особенности использования ПСКЗИ ШИПКА в качестве персонального идентификатора При использовании ПАК СЗИ «Аккорд» для защиты терминальных систем может возникнуть ситуация, когда удаленный терминал по своим конструктивным особенностям не предполагает установку каких-либо плат расширения. В этом случае в качестве персонального идентификатора используется USB-устройство ПСКЗИ ШИПКА. Администратору безопасности необходимо выполнить несколько предварительных операций по инициализации этого устройства, прежде чем регистрировать его как идентификатор.

Примечание. Все действия по инициализации устройства ШИПКА, изложенные в этом пункте, выполняются однократно для нового устройства.

Если инициализация уже выполнялась, то не требуется повторения данных операций перед использованием устройства ШИПКА.

Прежде чем начать использовать новое устройство ШИПКА, необходимо провести процедуру инициализации (начального форматирования).

ВНИМАНИЕ! Без выполнения этой процедуры пользователю недоступны никакие внутренние функции устройства ШИПКА.

Процедура инициализации выполняется в соответствии с документацией в составе СПО ACShipka Environment После успешного форматирования можно регистрировать устройство ШИПКА в качестве персонального идентификатора пользователя в программе – редакторе ПРД. Более подробная документация об использовании ПСКЗИ ШИПКА находится на компакт-диске, поставляемом вместе с устройством. При первом подключении ПСЗИ «ШИПКА» в USB-порт необходимо установить драйвер для этого устройства.

3. Снятие средств защиты комплекса «Аккорд-Win32»

ВНИМАНИЕ! Снятие защиты разрешено только администратору БИ (супервизору).

Для снятия защиты необходимо выполнить следующие действия:

1) Включить и войти в систему с параметрами администратора БИ.

2) Запустить программу ACSETUP.EXE из каталога \ACCORD.NT. При этом повторно запрашивается идентификатор администратора БИ. Если идентификация администратора БИ прошла успешно, то на экран выводится окно, показанное на рисунке 1.

3) В пункте меню «Команды» следует выбрать подпункт «Снятие». Система разграничения доступа будет отключена, и при следующей загрузке не будет активизироваться. Каталог ACCORD.NT остается на жестком диске. Для полной деинсталляции системы «Аккорд» необходимо перезагрузить компьютер и запустить процедуру удаления ПО Аккорд в панели управления компьютера.

4) Отключить питание.

5) Вскрыть корпус системного блока.

6) Извлечь аппаратную часть комплекса (контроллер).

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИМЕНИ М.В.ЛОМОНОСОВА ХИМИЧЕСКИЙ ФАКУЛЬТЕТ КАФЕДРА ОРГАНИЧЕСКОЙ ХИМИИ И.Э.НИФАНТЬЕВ, П.В.ИВЧЕНКО ПРАКТИКУМ ПО ОРГАНИЧЕСКОЙ ХИМИИ Методическая разработка для студентов факультета биоинженерии и биоинформатики Москва 2006 г. Введение Настоящее пособи предназначено для изучающих органическую химию студентов второго курса факультета биоинженерии и биоинформатики МГУ им. М.В.Ломоносова. Оно состоит из двух частей. Первая часть знакомит студентов с основными. »

«Уход за детьми Первого года жизни Справочник для молодых родителей Данное издание предназначено для молодых родителей. В нем можно найти советы по уходу за ребенком в течение первого года жизни, рекомендации о том, что делать при первых заболеваниях, что делать и куда обращаться за помощью, информацию о службах и услугах Региональной Санитарной Службы, о присутствии культурных посредников-переводчиков в Семейных консультациях и Отделениях, помогающих молодым мамам-иностранкам и семьям. »

«РЕЕСТР ВЕДУЩИХ НАУЧНЫХ И НАУЧНО-ПЕДАГОГИЧЕСКИХ ШКОЛ САНКТ-ПЕТЕРБУРГА Руководители ведущих научных и научно-педагогических школ Санкт-Петербурга № Руководитель НПШ Научная область деятельности НПШ Вуз (научная организация) пп Российский научно-исследовательский Абдулкадыров Кудрат институт гематологии и трансфузиологии Гематология, онкогематология 1 Мугутдинович ФМБА Айламазян Эдуард Иммунология репродукции, Научно-исследовательский институт 2 Карпович акушерство и гинекология акушерства и. »

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ Пятигорский государственный лингвистический университет УНИВЕРСИТЕТСКИЕ ЧТЕНИЯ – 2013 10-11 января 2013 г. ПРОГРАММА Пятигорск 2013 МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ Пятигорский государственный лингвистический университет ПРОГРАММА УНИВЕРСИТЕТСКИЕ ЧТЕНИЯ – 2013 10-11 января 2013 г. Пятигорск 2013 1 ПРОГРАММА РАБОТЫ УНИВЕРСИТЕТСКИХ ЧТЕНИЙ – 2013 900 – 10 января: Регистрация участников главный холл университета 1000 – I. Открытие Университетских чтений –. »

«В каком виде существует информация? Информация может существовать в виде: текстов, рисунков, чертежей, фотографий; • световых или звуковых сигналов; • радиоволн; • электрических и нервных импульсов; • магнитных записей; • жестов и мимики; • запахов и вкусовых ощущений; • хромосом, посредством которых передаются по наследству признаки и свойства • организмов и т.д. Предметы, процессы, явления материального или нематериального свойства, рассматриваемые с точки зрения их информационных свойств. »

«УДК 546.212: 541.123.11 Низкочастотные движения молекулярного сгустка-12 в картофельном амилопектине в процессе созревания клубня. Влияние белых шумов К. В. Зубов б, А. В. Зубов а, В. А. Зубов б* а Институт Информатики, факультет Компьютерной Науки, университет им. Гумбольда, Д-12489 Берлин,Рудовершоссе 25, дом III, 3-ий коридор, дом Ёохана фон Ноймана, Тел.: 004930 20933181, zubow@informatik.hu-berlin.de б Компания A IST H&C, Отд. НИР, PF 520253, D-12592 Берлин, EС-Германия, тел.: 004930. »

«Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Амурский государственный университет Кафедра Конструирования и технологии одежды УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС ДИСЦИПЛИНЫ Информатика Специальности 260704.65 – Технология текстильных изделий 260901.65 – Технология швейных изделий 260902.65 – Конструирование швейных изделий Благовещенск 2012 УМКД разработан канд.техн.наук, доцентами кафедры. »

«БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАТИКИ И РАДИОЭЛЕКТРОНИКИ В. Л. Ланин, А. П. Достанко, Е. В. Телеш ФОРМИРОВАНИЕ ТОКОПРОВОДЯЩИХ КОНТАКТНЫХ СОЕДИНЕНИЙ В ИЗДЕЛИЯХ ЭЛЕКТРОНИКИ Минск “Издательский центр БГУ” 2007 2 УДК 621.791.3: 621.396.6 ББК 34.64 Р е ц е н з е н т ы: Член-корр. НАН Беларуси, д-р. техн. наук, профессор ВА. Пилипенко; д-р. техн. наук, профессор С.П. Кундас Ланин, В. Л. Формирование токопроводящих контактных соединений в изделиях электроники / В.Л. Ланин, А. П. »

«Правительство Российской Федерации Федеральное государственное автономное образовательное учреждение высшего профессионального образования Национальный исследовательский университет Высшая школа экономики Факультет бизнес-информатики Программа дисциплины Математический анализ для направления 080500.62 Бизнес-информатика подготовки бакалавра Авторы программы: А.П. Иванов, к.ф.-м.н., ординарный профессор, IvanovAP@hse.perm.ru Е.Г. Плотникова, д.п.н., профессор, PlotnikovaEG@hse.perm.ru А.В. »

«\ / ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ Федеральное Государственное образовательное бюджетное учреждение высшего профессионального образования Московский технический университет связи и информатики твержден ного совета университета протокол № ного совета, профессор жемов ОТЧЕТ о результатах самообследования Москва Содержание Введение.. 1 Общие сведения.. 1.1 Организационно-правовое обеспечение образовательной деятельности. 1.2 Структура университета и система управления вузом. 2 Образовательная. »

«Российская академия наук Cибирское отделение Институт систем информатики имени А.П.Ершова СО РАН Отчет о деятельности в 2007 году Новосибирск 2008 Институт систем информатики имени А.П.Ершова СО РАН 630090, г. Новосибирск, пр. Лаврентьева, 6 e-mail: iis@iis.nsk.su http: www.iis.nsk.su тел: (383) 330-86-52 факс: (383) 332-34-94 Директор д.ф.-м.н. Марчук Александр Гурьевич e-mail: mag@iis.nsk.su http: www.iis.nsk.su тел: (383) 330-86- Заместитель директора по науке д.ф.-м.н. Яхно Татьяна. »

«ДОКЛАДЫ БГУИР №2 ЯНВАРЬ–МАРТ 2004 УДК 538.945 НАНОЭЛЕКТРОНИКА И НАНОТЕХНОЛОГИЯ В БЕЛОРУССКОМ ГОСУДАРСТВЕННОМ УНИВЕРСИТЕТЕ ИНФОРМАТИКИ И РАДИОЭЛЕКТРОНИКИ: ОТ ПЕРВЫХ ШАГОВ ДО СЕГОДНЯШНЕГО ДНЯ В.Е. БОРИСЕНКО Белорусский государственный университет информатики и радиоэлектроники П. Бровки, 6, Минск, 220013, Беларусь Поступила в редакцию 19 ноября 2003 Представлены основные этапы развития работ по наноэлектронике и нанотехнологии в БГУИР. Показаны организационная структура научных исследований и. »

« Древние языки и культуры Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики Евразийский открытый институт В.М. Заболотный ДРЕВНИЕ ЯЗЫКИ И КУЛЬТУРЫ Учебно-методический комплекс Москва, 2009 1 Древние языки и культуры УДК 81 ББК 81 З 125 Научный редактор: д.ф.н., проф. С.С. Хромов Заболотный, В.М. ДРЕВНИЕ ЯЗЫКИ И КУЛЬТУРЫ. – М.: Изд. центр З 125 ЕАОИ, 2009. – 308 с. ISBN 978-5-374-00262-1 УДК ББК © Заболотный В.М., ©. »

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ НОВОСИБИРСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ (НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ, НГУ) _ Кафедра общей информатики Анатолий Михайлович Полковников Разработка средств интеллектуальной поддержки пользователей медицинской информационной системы МАГИСТЕРСКАЯ ДИССЕРТАЦИЯ по направлению высшего профессионального. »

«Министерство образования и науки Российской Федерации Федеральное агентство по образованию ГОУ ВПО Амурский государственный университет УТВЕРЖДАЮ Зав. кафедрой ОМиИ _Г.В. Литовка _2006 г. УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС ПО ДИСЦИПЛИНЕ ИНФОРМАТИКА для специальности 100103 – Социально-культурный сервис и туризм Составитель: Н.А. Чалкина Благовещенск, 2006 Печатается по решению редакционно-издательского совета факультета математики и информатики Амурского государственного университета Н.А. Чалкина. »

«Федеральное агентство по образованию АМУРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ГОУ ВПО АмГУ УТВЕРЖДАЮ Зав. кафедрой ОМиИ Г. В. Литовка __2007 г. МАТЕМАТИКА Часть 4 УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС ПО ДИСЦИПЛИНЕ для специальностей: 080109, 080105, 080102, 080507, 080502, 080504, 080111 Составители: Г. Н. Торопчина, Г. П. Вохминцева Благовещенск 2007 г. Печатается по решению редакционно-издательского совета факультета математики и информатики Амурского государственного университета Г. Н. Торопчина, Г.П. »

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОУ ВПО АМУРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ УТВЕРЖДАЮ Зав. кафедрой ОМиИ _Г.В. Литовка _2007 г. ИНФОРМАТИКА УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС для специальностей: 040101 – Социальная работа 040201 – Социология Составители: А.Н. Киселева, старший преподаватель О.В. Ефимова, ассистент Т.А. Макарчук, к.п.н., доцент Н.А. Чалкина, к.п.н., доцент Благовещенск, Печатается по решению редакционно-издательского совета факультета математики и информатики Амурского. »

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФГБОУ ВПО Кемеровский государственный университет Новокузнецкий институт (филиал) Факультет информационных технологий РАБОЧАЯ ПРОГРАММА ДИСЦИПЛИНЫ ОПД.Ф.3 Базы данных для специальности 080801.65 Прикладная информатика в экономике Новокузнецк 2013 1 Сведения о разработке и утверждении рабочей программы дисциплины Рабочая программа дисциплины по выбору студента ОПД.Ф.3 Базы данных федерального компонента цикла ОПД составлена в соответствии с. »

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ Факультет_Информационных технологий и программирования Направление Прикладная математика и информатика_Специализация _ Математическое и программное обеспечение вычислительных машин. Академическая степень _магистр математики КафедраКомпьютерных технологий_Группа_6538 МАГИСТЕРСКАЯ ДИССЕРТАЦИЯ на тему ПРЕОБРАЗОВАНИЯ ПРОГРАММ, СОХРАНЯЮЩИЕ ПОВЕДЕНИЕ Автор: А.П. »

«ИСТОРИЯ И МЕТОДОЛОГИЯ ИНФОРМАТИКИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ Введение Цели, задачи, структура курса Целью изучения дисциплины История и методология информатики и вычислительной техники является: обобщение и систематизация знаний об истории развития информатики и вычислительной техники; анализ предпосылок формирования тенденций развития вычислительных и информационных ресурсов в историческом аспекте; формирование представления о методологии научных исследований; освоение методов. »

© 2014 www.kniga.seluk.ru — «Бесплатная электронная библиотека — Книги, пособия, учебники, издания, публикации»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.

Источник

Руководство по установке контроллеров Аккорд-АМДЗ

АННОТАЦИЯ

Настоящий документ является руководством по установке комплекса средств защиты информации от НСД – аппаратного модуля доверенной загрузки – «Аккорд-АМДЗ» (ТУ 4012-006-11443195-97, ТУ 4012-006-11443195-2005, ТУ 4012-038-11443195-2011, ТУ 4012-054-11443195-2013, ТУ 26.20.40.140-079-37222406-2019), далее по тексту «Аккорд-АМДЗ», и предназначен для лиц, планирующих и организующих защиту информации с их использованием в системах и средствах информатизации на базе ПЭВМ.

В документе приведены основные функции и особенности настройки комплекса СЗИ НСД «Аккорд-АМДЗ», работающего на основе контроллеров:

– Аккорд-5МХ, Аккорд-5.5, Аккорд-5.5.е, Аккорд-5.5МР, Аккорд-5.5МЕ, Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-006-11443195-97);

– Аккорд-5.5, Аккорд-5.5е, Аккорд-5.5МР, Аккорд-5.5МЕ (для СЗИ НСД «Аккорд-АМДЗ» версии 3.2, выпускаемого по ТУ 4012-006-11443195-2005);

– Аккорд-5.5(e), Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-038-11443195-2011);

– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-054-11443195-2013);

– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM, Аккорд-GXМ2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемых по ТУ 26.20.40.140-079-37222406-2019).

Перед установкой и эксплуатацией комплекса СЗИ НСД «Аккорд-АМДЗ» необходимо внимательно ознакомиться с комплектом эксплуатационной документации на комплекс, а также принять необходимые защитные организационные меры, рекомендуемые в документации.

Применение защитных средств комплекса должно дополняться общими мерами технической безопасности.

СОДЕРЖАНИЕ

1. ОБЩИЕ СВЕДЕНИЯ О КОМПЛЕКСЕ
1.1. Назначение СЗИ НСД «Аккорд-АМДЗ»
1.2. Состав комплекса
1.2.1. Общие сведения о составе комплекса
1.2.2. Контроллеры «Аккорд»
1.3. Поддерживаемые устройства
1.3.1. Идентификаторы
1.3.2. Съемники информации
2. УСТАНОВКА КОМПЛЕКСА «АККОРД-АМДЗ»
2.1. Порядок установки и настройки
2.2. Установка платы контроллера
2.3. Подсоединение контактного устройства (съемника информации)
2.4. Установка параметров учетной записи «Гл. Администратор»
3. ОБНОВЛЕНИЕ ВСТРОЕННОГО ПО КОНТРОЛЛЕРОВ
4. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД»
5. РАБОТА КОМПЛЕКСА «АККОРД-АМДЗ» В СОСТАВЕ ПАК СЗИ НСД «АККОРД»
5.1. Общие сведения
5.2. Установка драйвера для «Аккорд-АМДЗ»
5.3. Установка и настройка СПО
6. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД-АМДЗ»
7. ТЕХНИЧЕСКАЯ ПОДДЕРЖКА
ПРИЛОЖЕНИЕ А. Трудности при установке комплекса и методы их преодоления

Аккорд АМДЗ РУКОВОДСТВО ПО УСТАНОВКЕ. Программно-аппаратный комплекс средств защиты. (Аппаратный модуль доверенной загрузки)

1 ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ УТВЕРЖДЕН ЛУ Программно-аппаратный комплекс средств защиты информации от НСД для ПЭВМ (PC) Аккорд АМДЗ (Аппаратный модуль доверенной загрузки) РУКОВОДСТВО ПО УСТАНОВКЕ Литера О 1

2 СОДЕРЖАНИЕ Руководство по установке 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО 3 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД- АМДЗ» Назначение элементов и разъемов на плате контроллера Подсоединение контактного устройства (съемника информации) Установка контроллера в свободный слот материнской платы ПЭВМ Ошибка! Закладка не определена Назначение ТМ-идентификатора администратора безопасности информации (АБИ) 5 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД» УСТАНОВКА ПО РАЗГРАНИЧЕНИЯ ДОСТУПА НА ЖЕСТКИЙ ДИСК. 8 2

3 Установка программно-аппаратного комплекса СЗИ НСД «Аккорд-АМДЗ» включает три основных этапа: 1. Установку платы контроллера в свободный слот ПЭВМ и регистрацию администратора БИ (супервизора), в том числе, настройку комплекса в соответствии с конфигурацией технических средств ПЭВМ. 2. Регистрацию пользователей, назначение пользователям личных ТМ-идентификаторов, паролей и времени доступа. 3. Назначения списка дисков, файлов, разделов реестра, контролируемых на целостность. Перед началом установки комплекса «Аккорд-АМДЗ» рекомендуется подробно ознакомиться с эксплуатационной документацией, прежде всего с «Описанием применения» ( ) и настоящим руководством. 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО В настоящее время технические средства комплекса защиты от НСД «Аккорд-АМДЗ» для установки в слот шины mini-pci-express выпускаются на базе контроллера «Аккорд-5.5 mini-pcie». Эта модификация комплекса: — может использоваться на ПЭВМ с процессором Intel Pentium I и выше, объемом RAM 8 Мбайт и более; — требует для установки свободный слот mini-pci-express; — использует для идентификации персональные идентификаторы DS DS 1996 с объемом памяти до 64 Кбит; — использует для аутентификации пароль до 12 символов; — блокирует загрузку с отчуждаемых носителей (FDD, CD ROM, ZIP, и др.); — предусматривает регистрацию до 126 пользователей в энергонезависимой памяти; — имеет аппаратный датчик случайных чисел (ДСЧ); — обеспечивает контроль целостности программ и данных. Для эффективного применения комплекса и поддержания необходимого уровня защищенности ПЭВМ и информационных ресурсов необходимы: — физическая охрана ПЭВМ и ее средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса; — наличие администратора безопасности информации (АБИ) — пользователя, имеющего особый статус и полномочия. Администратор БИ планирует мероприятия по защите информации, определяет права доступа пользователей в соответствии с утвержденным Планом защиты, организует установку комплекса в ПЭВМ, и эксплуатацию защищенной ПЭВМ, ведет учет выданных ТМ-идентификаторов, осуществляет периодическое тестирование комплекса; — использование в ПЭВМ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в ГСЗИ. Контроллер «АККОРД-5.5 mini-pcie», входящий в состав комплекса, имеет два режима доступа к аппаратным ресурсам платы контроллера. Режим 0 (стандартный): доступ к области кода расширения BIOS только по чтению. Режим 1 (специальный, или технологический), в котором при старте компьютера код не исполняется, а области, защищенные при работе контроллера в режиме 0, становятся доступны по чтению/записи. Переход из стандартного режима в специальный (технологический) требует перевода переключателя в крайнее верхнее положение (см. Рис.1 — вид на плату со стороны установочных элементов, шинный разъем внизу). В технологическом режиме возможна перезапись внутреннего ПО контроллера без изменения аппаратной части и очистка базы данных пользователей, например, при утере ТМ-идентификатора администратора. Запись программного кода в BIOS контроллера возможна только при загрузке на компьютере однозадачной ОС. После перепрограммирования контроллера, или очистки базы данных необходимо выключить питание 3

4 компьютера, извлечь контроллер и вернуть переключатель технологического режима в исходное (крайнее нижнее) положение. Штатные операции изменения режима работы производятся под контролем службы безопасности. 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД-АМДЗ» В SETUP компьютера параметр «Plug & Play O/S» должен быть установлен в NO. Это обеспечивает корректную инициализацию BIOS контроллера «Аккорд», как PCI устройства. Установка контроллера должна производится только при выключенном питании ПЭВМ! Для установки аппаратной части комплекса необходимо: 1. Отключить питание компьютера. 2. Открыть защитную крышку разъема mini-pci-express и установить в свободный слот контроллер комплекса Назначение элементов и разъемов на плате контроллера. Расположение элементов на плате контроллера «Аккорд-5.5 mini-pcie» показано на рис. 1. Рис. 1. Плата контроллера «Аккорд-5MX mini-pci» После установки в компьютер контроллер Аккорд-5.5 mini-pcie при старте автоматически определяет свободное адресное пространство и выбирает начальный адрес для размещения расширения BIOS в адресном пространстве. Это обеспечивает стабильную работу комплекса на большинстве ПЭВМ, однако возможны конфликты с устройствами, у которых некорректно отрабатывается функция PnP. 4

5 2.2. Подсоединение контактного устройства (съемника информации) Установка съемника информации должна производиться только при выключенной ПЭВМ! Контактное устройство (съемник информации) предназначено для обеспечения взаимодействия контроллера комплекса СЗИ НСД с персональным идентификатором пользователя (TM идентификатор). Контроллер Аккорд-5MX mini-pcie имеет двухконтактный разъем (на схеме обозначен как «Разъем подключения ТМ-идентификатора»), через который можно вывести провода на внешнее контактное устройство. Возможен вариант, когда эти провода коммутируются на разъем RJ11, например, разъем подключения модема. В этом случае к разъему RJ11 подключается штатный внешний съёмник из состава комплекса. Варианты подключения определяются конструктивными особенностями конкретного компьютера Назначение ТМ-идентификатора администратора безопасности информации (АБИ) После установки контроллера включить питание компьютера. В процессе загрузки управление передается контроллеру «Аккорд» и выполняется начальная инициализация. Определяется состав аппаратных средств ПЭВМ и данные заносятся в энергонезависимую память контроллера. Далее производится форматирование базы данных пользователей и внутреннего журнала. После завершения инициализации на экран выводится стартовое меню, в котором доступны для выбора только пункты «Администрирование». В Н И М А Н И Е! При помощи программы администратора, записанной в энергонезависимой памяти контроллера, обязательно зарегистрировать главного администратора БИ и назначить ему ТМидентификатор (особо обратите внимание на процесс генерации секретного ключа пользователя если ТМ-идентификатор регистрируется впервые, то следует сгенерировать новый секретный ключ, если ТМ-идентификатор уже зарегистрирован на другом комплексе «Аккорд», то следует выбрать опцию «уже записан в ТМ»). Если все действия произведены правильно, то после выхода из программы администрирования по клавише выполняется процедура идентификации/аутентификации и становятся доступными для выбора остальные пункты стартового меню администратора. Если этого не происходит, то вернитесь в режим администрирования и проведите регистрацию администратора (супервизора) более внимательно в соответствии с «Руководством администратора». Будьте внимательны и тщательно изучите документацию на комплекс (в частности «Руководство администратора»). Перезагрузите компьютер и убедитесь в том, что в процессе загрузки появляется сообщение на синем фоне: «Прислоните TM-идентификатор. » и после прикосновения TM-идентификатором Гл. администратора к съемнику информации происходит загрузка ПЭВМ и выводится стартовое меню администратора. В дальнейшем с помощью программы администратора (в стартовом меню выбрать пункт «Администрирование») можно регистрировать новых пользователей, менять состав контролируемых объектов и работать с журналом регистрации событий. Комплекс «Аккорд-АМДЗ» установлен! 5

6 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ. При старте компьютера управление не передается контроллеру «Аккорд» Жесткий диск не размечен и не отформатирован, т.е. не имеет ни одного логического раздела. Причина: Если на жестком диске нет загрузочной записи (MBR) и не установлен ни один сменный загрузочный диск, то нет и возможности перехватить загрузку при старте контроллера «Аккорда». Разметить диск и отформатировать его в одной из файловых систем, которые поддерживает СЗИ «Аккорд», вставить любой загрузочный диск. Контроллер находится в технологическом режиме. В этом случае не выполняется старт программы микропроцессора на плате контроллера и загрузка не перехватывается. Перевести контроллер в рабочий режим. Нет реакции на прикосновение ТМ-идентификатором к контактному устройству (съемнику). Причина: Кабель контактного устройства подключен неверно. 1. Выключить компьютер. 2. Поменять полярность подключения проводов к контактному устройству, которое связано с разъемом на плате контроллера. При попытке стереть в контроллере Аккорд-5.5 mini-pcie базу данных пользователей (контроллер в технологическом режиме) выдается сообщение: Контроллер неисправен либо не установлен. Программа очистки базы данных пользователей запускается из многозадачной ОС(Windows 95/98, Windows NT/2000/XP) В многозадачной ОС каждой программе или процессу выделяется виртуальная память, а программа очистки БД пользователей работает с платой контроллера по физическому адресу. загрузить на компьютере со сменного носителя MS DOS или Windows 95/98 в режиме Command prompt only. Очистить базу данных пользователей. Версия программы очистки БД не соответствует версии контроллера. Причина: Для каждой версии контроллера используется своя программа очистки БД пользователей. Контроллеру Аккорд-5.5 mini-pcie соответствует программа IP55.EXE. используйте программу, соответствующую типу контроллера. Контроллер работает нормально, но после выполнения процедур идентификации/аутентификации и контроля целостности загрузка ОС не выполняется (в левом верхнем углу темного экрана мигает курсор). Компьютер заражен загрузочным вирусом. Комплекс «Аккорд АМДЗ» аппаратно берет на себя процесс загрузки ПЭВМ. Если все процедуры контроля и идентификации пользователя выполнены правильно, то загрузка передается стандартному загрузчику ОС по определенному адресу. Компьютерные вирусы, которые располагаются в загрузочной области жесткого диска, обычно помещают себя в область 6

Аккорды

1. Как перевести контроллер Аккорд-АМДЗ в технологический режим (и обратно в рабочий режим)?

Для перевода в технологический режим необходимо следующее:

1. Для контроллеров , 5MX, 5.5 открутить металлическую хромированную планку, которая фиксирует плату в слоте, и открутить винты блокировки спец. режима. Если установлен джампер технологического режима (для контроллеров , 5MX, 5.5), то его следует снять.
2. Для контроллера нужно надеть джампер технологического режима XM.
3. Для контроллеров , GXM нужно переключить микропереключатель.
4. Для контроллера GXM.2 необходимо повернуть подстроечный резистор (переключатель технологического режима) против часовой стрелки на 180 градусов. При включении технологического режима на плате контроллера должны гореть зеленый и красный светодиоды.
5. Для контроллера нужно замкнуть металличским проводником переходные отверстия 1 и 2.

Чтобы вернуть контроллер в рабочий режим, Вам нужно:

1. Для , 5MX, 5.5 прикрутить металлическую планку и установить джампер технологического режима, если он был.
2. Для контроллера нужно снять джампер технологического режима XM.
3. Для контроллеров , GXM нужно переключить микропереключатель в начальное положение.
4. Для контроллера GXM.2 следует повернуть подстроечный резистор по часовой стрелке на 180 градусов — на плате контроллера должен гореть зеленый светодиод
5. Для контроллера убрать металлический проводник.
6. Про перевод контроллеров в технологический режим и обратно также написано в «Руководстве по установке »

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

2. Порядок очистки базы данных контроллеров

1. Выключить компьютер и вынуть плату контроллера из разъема системной шины.
2. Перевести контроллер в технологический режим (подробнее написано в ответе №1)
3. Вставить плату в компьютер.
4. Загрузить компьютер в OC MS-DOS (никаких менеджеров памяти (QEMM, EMM386 и т.п.) быть не должно!). Примечание: Загрузиться в MS-DOS можно с дискеты, flash-накопителя или CD. Загрузочную дискету MS-DOS можно создать c помощью Windows XP при выборе параметров форматирования дискеты. Образ загрузочной дискеты с набором утилит для очистки базы данных для последней версии ПО можно также получить на сайте ОКБ САПР (утилита записи образа на дискету включена в архив). Кроме того, все CD с дистрибутивом для СЗИ НСД «Аккорд-АМДЗ» являются загрузочными.
5. Если загруженная DOS не поддерживает русский шрифт, то Вы можете запустить ACRUS.EXE (русификатор экрана).
6. Запустить ipXX.ехе (где XX — модель перепрошиваемого контроллера, для контроллеров GX, GXM, GXMH, LE единая утилита ipgx.exe).
7. Выключить компьютер, вернуть контроллер в рабочий режим (подробнее написано в ответе №1)
8. Установить контроллер в компьютер.

• посредством выбора пункта «Очистка БД контроллера» в стартовом меню администратора (для контроллеров Аккорд-5, 5MX, 5.5;
• посредством нажатия кнопки «Форматировать БД» на вкладке «Пользователи» главного окна программы администрирования (для контроллеров GX, GXM, GXMH, LE).

3. Порядок обновления встроенного ПО контроллеров

1. Создать загрузочный USB-носитель MS-DOS. Набор утилит для обновления встроенного ПО можно получить на сайте ОКБ САПР http://www.accord.ru/support/update/. Примечание: Вместо загрузочного USB-носителя в процессе обновления встроенного ПО можно также использовать загрузочную дискету MS-DOS или загрузочный CD MS-DOS. Загрузочную дискету MS-DOS можно создать c помощью Windows XP при выборе параметров форматирования дискеты.
2. Скопировать набор файлов обновления внутреннего ПО контроллера с CD на USB-носитель (дискету, или жесткий диск в FAT раздел). Если обновления получены с сайта ОКБ САПР (http://www.accord.ru/support/update/), разархивировать в отдельный каталог. Снять с файлов атрибут «только чтение». ВАЖНО. Набор файлов обновления должен точно соответствовать типу Вашего контроллера, а для Аккорд-5 и 5.5 – еще и типу процессора Atmel, установленного на плате. ВНИМАНИЕ! Процедура обновления встроенного ПО включает в себя также процедуру очистки БД контроллера. Поэтому, во избежание потери необходимых данных, рекомендуется сначала выполнять операцию экспорта списка пользователей и списка контроля целостности (см. «Руководство администратора (контроллеры Аккорд-5.5, Аккорд-5.5e, Аккорд-5MX)»), затем – процедуру обновления встроенного ПО, затем – операцию импорта списка пользователей и списка контроля целостности в обновленный контроллер.
3. В командной строке перейти в каталог, в который ранее был скопирован комплект файлов обновления согласно пункту 2, и выполнить команду: amdzeegn.exe ee.bin nnnnnnnn где: nnnnnnnn – восьмизначный серийный номер (он указан в формуляре на комплекс и присутствует на наклейке с обратной стороны платы). Эта команда записывает серийный номер в файл ee.bin, из которого в процессе прошивки данные заносятся в память микропроцессора. Для всех контроллеров rev.8 эту операцию выполнять не нужно, т.к. серийный номер в них записывается однократно при производстве.
4. Выключить компьютер и вынуть плату контроллера из разъема системной шины.
5. Перевести контроллер в технологический режим (подробнее написано в ответе №1).
6. Вставить плату в компьютер.
7. Загрузить компьютер в OC MS-DOS (никаких менеджеров памяти (QEMM, EMM386 и т.п.) быть не должно!) с помощью загрузочного USB-устройства (дискеты, CD), созданного в рамках выполнения пункта 1 настоящей последовательности действий.
8. В командной строке запустить командный файл all_p.bat из каталога, в котором ранее был сгенерирован файл ee.bin согласно пункту 3 настоящей последовательности действий (или из директории BIOS\ACCXX CD СЗИ НСД«Аккорд-АМДЗ» (где XX — модель перепрошиваемого контроллера)).Примечание: Внимательно проследите, чтобы каждая операция завершалась сообщением «OK». В случае появления ошибки верификации при записи firmware микроконтроллера или EEPROM — выполнить командный файл обновления еще раз.
9. Выключить компьютер, вернуть контроллер в рабочий режим (подробнее написано в ответе №1).
10. Установить контроллер в компьютер.

4. Как рассчитать количество клиентских лицензий на право использования СПО «Аккорд-Win32» («Аккорд-Win64») в режиме TSE (Terminal Server Edition) при применении в системах терминального доступа?

Если один терминальный сервер, то приобретается один комплекс «Аккорд-Win32» («Аккорд-Win64») и оплачивается то количество лицензий, которое соответствует максимальному количеству удаленных клиентов, одновременно подключающихся к серверу в режиме терминального доступа. Если серверов несколько, и они работают в режиме «горячего резервирования», например, объединенные в ферму Citrix, то на каждый сервер приобретается комплекс «Аккорд-Win32» («Аккорд-Win64») и оплачивается количество лицензий, которое соответствует максимальному количеству удаленных клиентов. Общее количество оплачиваемых клиентских лицензий равно x . При работе нескольких серверов в составе фермы в случае выхода из строя одного сервера нагрузка распределяется между работающими серверами. В самом критичном случае все пользователи могут работать с одним сервером. Именно этот факт определяет требование о наличии максимально возможного количества лицензий на каждом сервере.

5. Подскажите как решить проблему. Забыл пароль супервизора! Больше пользователей не заведено. Как можно сбросить все настройки?

В комплекте с контроллером АМДЗ всегда поставляется дискета или CD. На дискете — прямо в корне — файл readme.1st и утилита для очистки БД. На CD — папка BIOS, в ней подкаталоги, соответствующие типам контроллеров. Тип контроллера прописан в формуляре, а на плате можно найти маркировку, если это удобнее, чем искать формуляр. В крайнем случае в разделе «Обновление ПО» можно скачать утилиты для перепрошивки для всех контроллеров и перепрошить контроллер. Обратите внимание на тип микропроцессора (квадратная микросхема фирмы Atmel)!

6. Такая еще проблема: ставишь пользователю опцию, чтоб он мог самостоятельно пароль сменить при истечении срока действия. Срок действия истекает, а пользователь сменить пароль не может!

Это так политика безопасности в АМДЗ реализована: если еще день-два остается до смены, то выдается предупреждение о необходимости смены пароля и пользователь может его поменять сам, а если срок прошел, то, значит, опоздал, и АМДЗ требует администратора. Исправлено в последних версиях внутреннего ПО.

7. У меня возникла такая проблема: включаю компьютер, прикладываю как обычно ТМ-идентификатор. Компьютер говорит, что доступ разрешен. Выбираю загрузку с жесткого диска. Но загрузка Windows 2000 вдруг идет не до конца. Windows даже не доходит до запроса на ввод логина и пароля пользователя. Экран просто остается голубым, мышкой можно двигать, но больше ничего, на нажатия кнопок Windows не реагирует. При этом индикатор работы винчестера начинает гореть постоянно, по звукам компьютер как будто что-то постоянно считывает с винчестера. Но сколько бы я не ждал, изменений никаких нет, один лишь голубой экран плюс можно двигать мышкой. Все, дальше загрузка Windows 2000 не идет. В чем может быть дело? Как это может быть связано с защитой «Аккорд»? Переустанавливать Windows нельзя (системный блок находится на гарантии, вскрывать нельзя), что можно сделать?

Если у Вас установлен комплекс Аккорд-АМДЗ, то его работа заканчивается в тот момент, когда начинается загрузка ОС и на работу Windows он не влияет. Значит, дело в Вашем случае — не в Аккорде. Стоит попытаться все-таки восстановить систему. Разбирать компьютер для восстановления или переустановки системы не нужно. Ставите CD, в системном BIOS устанавливаете загрузку с CD, и после предъявления ключа администратора и выбора в меню «Продолжить загрузку» компьютер грузится с CD.

8. Чтобы администратор мог сменить пароль пользователю, ему нужно ввести старый пароль. Это очень неудобно, а безопасности ни капельки не прибавляет.

Насчет того, что это не прибавляет безопасности — вопрос спорный. Вы рассуждаете с точки зрения добросовестного администратора — и это очень хорошо. Но пользователь не всегда может быть уверен в том, что в результате, например, личной неприязни администратор не захочет усложнить ему жизнь, сменив пароль без его ведома. Для того чтобы такого не происходило и введена такая мера: пароль таким образом меняется только с ведома пользователя, и, соответственно (если в политике безопасности не предусмотрено обратное), может не быть известен администратору вообще. В случае же если старый пароль забыли, можно просто перерегистрировать пользователю ту же ТМ — для этой процедуры не требуется ввод старого пароля.

9. Подскажите, пожалуйста, возможно ли с помощью АМДЗ или какого-либо вашего ПО регистрировать доступ к файлам? Имеется в виду приложение, то есть процесс такой-то получил доступ к файлу такому-то — дата — время.

С помощью АМДЗ, конечно, нет, т. к. его работа заканчивается в момент начала загрузки ОС, но такие возможности предоставляют комплексы Аккорд-Win32 и Аккорд-Win64.

10. Установили плату на компьютер модель HP dx2000 (COMPAQ) система 2000, пересчитали все контрольные суммы, после перезагрузки Аккорд сообщает, что есть ошибки в контрольной сумме BIOS и доп. BIOS. Входим администратором, видим ошибки, контрольные суммы не совпадают. Обновляем данные, они меняются (причем суммы все время разные), но после перезагрузки все повторяется: снова приходится прикладывать два ТМ и продолжать загрузку.

В данном случае у Вас достаточно «интеллектуальная» материнская плата и устройство с расширенным собственным BIOS. При каждой перезагрузке или выключении они записывают информацию в определенные области своих биосов. Бессмысленно каждый раз пересчитывать контрольные суммы того, что меняется при каждой перезагрузке. Исключите меняющиеся параметры из списка контролируемых объектов и пересчитайте КС по клавишам Alt-U (подробнее см. «Руководство администратора (контроллеры Аккорд-5.5, Аккорд-5.5e, Аккорд-5MX)» и «Руководство администратора (контроллеры Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH)». Вот и все.

11. После установки Аккорд-Win32 (Аккорд-Win64) и запуска ACED32 появляется сообщение об ошибке и невозможности синхронизации баз. Прошивка контроллера 02.00.007. Связана ли ошибка с устаревшей прошивкой и что делать?

Конечно, не совместима такая старая прошивка с новым софтом. Скачайте с нашего сайта из раздела «Обновление ПО» новую прошивку и замените. А вообще следует обращать внимание на информацию, которая выводится в программе инсталляции. Там прописаны версии внутреннего ПО контроллера «Аккорд», которые рекомендуются для работы с устанавливаемым ПО Аккорд-Win32 (Аккорд-Win64).

12. Очень полезная утилита Actskmng, но почему-то отказывается закрываться. Просто не реагирует на нажатие креста, только через диспетчер задач.

А для обычного пользователя (не администратора) и через диспетчер не получится, т.к. его вызов заблокирован. Actskmng — это же специальная оболочка, чтобы пользователь мог запускать только разрешенные администратором задачи.

13. Как же все-таки работает контроль потоков информации. Любой Explorer запросто копирует секретные файлы в общедоступный каталог, обладай он сам секретным грифом. Что я упускаю?

Обработка потоков информации выполняется только тогда, когда включен мандатный доступ с контролем процессов. При этом каждый процесс получает по умолчанию уровень «Общедоступно», т.е. самый низкий. Администратор назначает конкретным процессам (задачам) соответствующие уровни доступа для работы с категорированными ресурсами. Для всех процессов действует правило: запись разрешена только в ресурс с меткой доступа, равной уровню процесса. Все ресурсы с меньшей меткой доступны только для чтения. В руководстве на редактор ПРД есть подробное описание.

14. Можно ли на базе Аккорд-Win32 (Аккорд-Win64) реализовать схему, в которой запуск компьютера осуществляется при предъявлении ТМ-идентификатора, а доступ в ОС- на основе имени и пароля? У нас все пользователи зарегистрированы в домене, а работать могут с разных компьютеров. Возникает проблема одновременной смены пароля на нескольких АМДЗ, да и локально пользователям на компьютер заходить ни к чему.

Можно. Для начала регистрируете всех своих пользователей в одном контроллере АМДЗ. При регистрации пользователей в «параметрах пароля» минимальную длину ставите 0 (пароль не нужен). В «результатах И/А» включаете первые четыре флага (пароль не передавать). После регистрации всех пользователей выбираете команду «Экспорт», сохраняете список на дискету, или ТМ DS1996.

Следующий шаг — загрузка системы, установка драйвера контроллера АМДЗ и установка ПО «Аккорд-Win32» («Аккорд-Win64»). Сразу после установки запускаем программу настройки комплекса. В главном окне программы убираем флаг «Синхронизация с базой пользователей NT». Этот флаг отвечает за синхронизацию с локальной базой ОС, а в данной системе локальный вход нам не нужен. В меню «Параметры» -«Дополнительные опции» выбираем закладку «режим сессии» и включаем флаг «Использовать полное имя в учетных записях NT».

Закрываем программу настройки с сохранением изменений. Теперь можно приступить к регистрации пользователей в программной части системы защиты. Запускаем редактор прав доступа. В момент первого запуска программа считывает список пользователей из контроллера АМДЗ (конечно, только в том случае, когда предъявлен идентификатор администратора, зарегистрированный в плате). Рекомендую в группе «Администраторы» в плате АМДЗ зарегистрировать пару резервных админов и всем администраторам задавать пароль. Совершенно не важно, какие имена Вы будете присваивать пользователям в плате Аккорда, тем более, что аппаратная часть накладывает ограничения в 12 символов и английский алфавит. Следующий важный шаг — каждому пользователю, кроме администраторов, в поле «полное имя» ввести доменное имя пользователя, далее @ . В поле «Пароль» задать пароль пользователя, который установлен на домене. Как поступить с администраторами, решайте сами — можно задать полные имена как на домене и пароль соответствующий (для удаленного доступа), или «рулить» доменом с консоли, тогда полные имена не задавать, а в локальных базах завести таких админов, которые будут только СЗИ управлять. При выходе из редактора обязательно сохранить изменения. Теперь на любой носитель скопируйте файл accord.amz из папки Accord.NT и можно устанавливать систему Аккорд на других компьютерах. После установки платы в компьютер и начальной инициализации выбирайте сразу команду «Импорт» в списке пользователей и загружайте сохраненную базу (кстати очень полезно и в дальнейшем иметь эту базу для быстрого восстановления в случае замены платы). В ОС устанавливаете драйвер контроллера, инсталлируете ПО, делаете все те же настройки, но редактор ПРД можно не запускать, а сразу скопировать файл accord.amz. Проделываем эту операцию на всех защищенных компьютерах и дальше только остается активизировать систему защиты через ту же программу настройки комплекса. Обязательно оставьте флаг «Автологин» в настройках. Пользователи теперь будут «включать» компьютер, т.е. проходить процедуру идентификации в АМДЗ с помощью ТМ-идентификатора, а в момент загрузки ОС в процедуре WinLogOn поле «Имя» уже будет заполнено той информацией, которая была введена в пункте «Полное имя» (за это отвечает флаг «Использовать полное имя в учетных записях NT»). Пользователь может только ввести пароль, выбор локального входа ему тоже недоступен, т.к. в полном имени указан еще и домен. Смена паролей на домене выполняется администратором, или самим пользователем во время работы через Ctrl-Alt-Del и кнопку «Смена пароля», если доменная политика это позволяет. Подробное описание также см. «Руководство по установке» для ПАК «Аккорд-Win32» («Аккорд-Win64») и «Установка правил разграничения доступа. Программа ACED32».

Картинка с сайта: elcebador.ru

Картинка с сайта: elcebador.ru

15. Установлено на терминальном сервере ПО «Аккорд-Win32» («Аккорд-Win64») TSE, но при начале сеанса с удаленного терминала не запрашивается идентификатор.

Это возникает только при установке на Windows Server 2003 R2 SP2. Нужно запустить «Администрирование» -> «Настройка служб терминалов», выбрать справа «протокол RDP», нажать правую кнопку мыши -> Свойства. В открывшемся окне «Общие» снизу checkbox «Использовать обычный интерфейс входа в Windows». Этот флаг нужно снять. Эту же операцию повторить для протокола ICA.

16. Каков порядок получения новых файлов лицензий на ПО Аккорд-Win32 (Аккорд-Win64) взамен истекших?

Для обновления ключевых лицензионных файлов заведен специальный почтовый ящик — key@okbsapr.ru. На этот ящик необходимо прислать файлы accord.key, срок действия которых истек. После этого в ответ будет выслан новый лицензионный файл. Для всех пользователей, у которых уже установлено ПО «Аккорд», обновление лицензии бесплатное.

17. Подскажите, пожалуйста, как правильно установить Аккорд-Win32 (Аккорд-Win64) на WinServer2003. Точнее, как настроить WinSer2003. Драйверы установились нормально, программный комплекс тоже, но при запуске AcSetup или AcEd32 выдаётся ошибка «The application Failed to initialize properly (0xc0000005). Click on OK. » На машине стоит свежеустановленный Windows Server 2003 и Аккорд-Win32 (Аккорд-Win64) и больше ничего.

Это сообщение является следствием настройки службы DEP. Решить проблему можно двумя способами:

1. Редактируем файл boot.ini. В строке вида multi(0)disk(0)rdisk(0)partition(3)\WIN2K3=«Windows Server 2003» /fastdetect /NoExecute = Optout… заменяем параметр /NoExecute= на параметр /Execute, т.е отключаем DEP. После перезагрузки компьютера, запускаем Aced32, запускаем AcSetup.exe и устанавливаем систему Accord. После этого строчку в файле boot.ini можно вернуть к первоначальному виду.
2. На рабочем столе на иконке «Мой компьютер» кликаем правой кнопкой мыши, выбираем «Свойства», появляется окно «Свойства системы». Выбираем закладку «Дополнительно» — «Быстродействие» — нажимаем кнопку «Параметры». Выбираем закладку «Предотвращение выполнения данных». Это и есть управление службой DEP. Выбираем пункт «Включить DEP только для основных программ и служб Windows», далее нажимаем кнопки «Принять» и «Ок».

18. Скажите, пожалуйста, как можно получить драйвера и библиотеки для доступа к контроллерам Аккорд под линуксом?

Напишите официальный запрос в отдел продаж zakaz@accord.ru. Укажите Вашу организацию, контактную информацию, версию ядра, под которым собираетесь использовать библиотеку.

19. Возникла проблема при установке Аккорд 5.5Е в серверы HP ProLiant DL360-G6. Плата устанавливается и работает нормально, но при загрузке ОС Windows 2003 Server вылетает в «синий экран» и даже кода ошибки нет, только что-то о проблемах с оборудованием. На другом сервере доходит до ввода имени и пароля пользователя в ОС и виснет без всяких сообщений.

В результате испытаний было выявлено, что причиной возникновения ошибки может быть специфическая микросхема южного моста материнской платы. Для нормальной работы микропроцессор на плате Аккорд-5.5E, который отвечает за работу шины PCI Express, необходимо запускать со специальными стартовыми параметрами. Совместимость обеспечивается записью специальной последовательности в микросхему на плате Аккорд-5.5E. Фирмам-интеграторам следует указывать при заказе комплекса СЗИ серверную платформу, на которой планируется его установка. Подобный эффект проявляется и на серверах IBM серии M2. С января 2010 года все контроллеры Аккорд-5.5E выпускаются с обновленной микросхемой (PLX 8112), которая поддерживает PCI-Express шину в полном объеме.

20. Возможно ли хранение в таблетке DS1993, считываемой через ПАК Аккорд-5, ключевой информации центра сертификации «КРИПТО ПРО»?

Если хранить только ключи, то да, а если Вы хотите хранить и сертификат, то нужна DS1996.

21. На терминальном сервере запущен Аккорд TSE, используется протокол RDP, но при подключении с клиентского компьютера запрос идентификатора не выполняется. В чем может быть причина?

Проверьте параметр в ОС — «Администрирование» -> «Настройка служб терминалов», выбрать справа протокол RDP, нажать правую кнопку мыши -> Свойства. В открывшемся окне «Общие» внизу checkbox «Использовать обычный интерфейс входа в Windows». Флаг в этом checkbox должен быть снят! Эту же операцию повторить для протокола ICA (если он используется). Программа настройки комплекса Аккорд при включении защиты снимает данный флаг. Доступ к его изменению имеет только пользователь с администраторскими полномочиями в ОС. Не включайте это параметр и вход с терминала будет работать правильно.

22. При подключении с терминала Wyse С50 к терминальному серверу с установленным на нем ПАК»Аккорд» и последующем запуске Microsoft Word не всегда получается переключить раскладку клавиатуры на русский язык.

Для переключения раскладки клавиатуры на русский язык используйте сочетание клавиш Crtl+ё.

23. Установлен Аккорд-Win32. После планового обновления прикладного ПО в редакторе ПРД пересчитали КС файлов, установленных на контроль. Но при последующем входе пользователя выдается ошибка контроля файла и требует администратора. Входим Гл.Администратором, пересчитываем список пользователя, прикладываем пользовательскую ТМ, пишет «Ок». Сохраняем, а при следующей загрузке пользователя опять ошибка. В чем дело?

В ПАК СЗИ Аккорд (и Аккорд-Win32, и Аккорд-Win64) список контроля может назначаться для конкретного пользователя и для группы пользователей. В Вашем случае список контроля был импортирован и пользователю, и группе. Это избыточный вариант, который и привел к данной проблеме, т.к. Вы пересчитываете КС только для одного списка, а контроль выполняется по двум. Оставьте список контроля только в одном месте. Оптимально оставить список в параметрах группы — это обеспечит контроль для каждого пользователя, входящего в группу и уменьшит вероятность повторения ошибки при следующем обновлении файлов. Подробнее см. «Установка правил разграничения доступа. Программа ACED32».

24. Являемся пользователями системы Аккорд и появилась необходимость найти серийные номера. Не подскажите, как это сделать? Есть ли они где-то в программной части, либо написаны только на плате? Либо у нас должна быть бумага, на которой они указаны?

1. Должна быть бумага (формуляр), в которой на странице с печатью в графе «заводской номер и тип контроллера» указана нужная информация.
2. На обратной стороне платы действительно есть серийный номер, он напечатан на стикере, которой приклеен к плате.
3. После предъявления идентификатора администратора в меню АМДЗ (это аппаратная часть комплекса СЗИ) выбираете пункт «Администрирование». В программе администратора в меню «Помощь» выбираете пункт «О системе» — среди других параметров указан серийный номер платы.
4. Если установлено в ОС СПО «Аккорд-Win32», или «Аккорд-Win64», то в группе «Аккорд» есть программа «Тест для проверки работы контроллера». Запускаете, в верхней левой части окна отображается серийный номер.

25. Нам необходимо приобрести СЗИ от НСД для ПК, на котором происходит работа с программой АРМ «Клиент Банка России» для обмена электронными документами с Центральным Банком РФ. Какой из Ваших продуктов нам нужно заказать?

На компьютер, на котором ведется работа с АРМ «Клиент Банка России», в соответствии с документацией на это ПО, должен быть установлен ПАК «Аккорд-Win32» или «Аккорд-Win64» для автономных компьютеров. Вам нужно заказать один из этих комплексов, в зависимости от разрядности операционной системы и имеющегося в Вашем ПК свободного слота расширения.

26. Не можем найти файл лицензии для Аккорд-Win32 (Аккорд-Win64), который был записан на носителе в составе комплекса. Можно ли его как-то восстановить?

Для восстановления ключевого файла лицензии необходимо написать письмо на адрес key@okbsapr.ru с указанием серийного номера контроллера и названия комплекса (Аккорд-Win32, Аккорд-Win64). Если используется комплекс для терминальных систем (Terminal Server Edition, TSE), также укажите это в письме. После этого в ответ будет выслан новый лицензионный файл. Восстановление лицензионного ключа производится бесплатно.

27. Какие есть особенности настройки Аккорд-Win32 (Аккорд-Win64) с антивирусным ПО(Антивирус Касперского, Dr.Web, ESET NOD32, Symantec и др.)?

Мы даем общие рекомендации по работе СПО «Аккорд» с антивирусным ПО. Вам необходимо добавить в доверенную зону антивируса системные файлы СПО «Аккорд», расположенные в каталоге Windows:
\WINDOWS\SYSTEM32\ACCORD.SCR
\WINDOWS\SYSTEM32\ACGINA.DLL
\WINDOWS\SYSTEM32\ACNP.DLL
\WINDOWS\SYSTEM32\ACRUNNT.EXE
\WINDOWS\SYSTEM32\ACRUNVDD.DLL
\WINDOWS\SYSTEM32\ACRUNVDD.EXE
\WINDOWS\SYSTEM32\ACUSRMOD.DLL
\WINDOWS\SYSTEM32\AZIAHLP.DLL
\WINDOWS\SYSTEM32\DRIVERS\ACBOOT.SYS
\WINDOWS\SYSTEM32\DRIVERS\ACLOCK2K.SYS
\WINDOWS\SYSTEM32\DRIVERS\ACRUN.SYS
\WINDOWS\SYSTEM32\DRIVERS\ACXALLOW.SYS
\WINDOWS\SYSTEM32\DRIVERS\ACXLMSRV.SYS
\WINDOWS\SYSTEM32\TMATTACH.DLL
\WINDOWS\SYSTEM32\TMDRV32.DLL
Для ПАК СЗИ НСД «Аккорд-Win32» также необходимо добавить в доверенную зону антивируса каталог Accord.NT и системный файл \WINDOWS\SYSTEM32\AUTOEXEC.NT, а для ПАК СЗИ НСД «Аккорд-Win64» — каталог Accord.x64 и следующие системные файлы СПО «Аккорд»», расположенные в каталоге \WINDOWS:
\WINDOWS\SYSTEM32\ACNP.DLL
\WINDOWS\SYSTEM32\ACUSRM64.DLL
\WINDOWS\SYSTEM32\AZIAH64.DLL
\WINDOWS\SYSTEM32\TMATT64.DLL
\WINDOWS\SYSTEM32\TMDRV64.DLL
Эти каталоги и файлы включаются по умолчанию в набор ПРД для группы «Обычные». Если после выполнения нашей рекомендации все равно остаются проблемы, обратитесь в техническую поддержку (e-mail:help@okbsapr.ru).

28. После активации Аккорд-Win32 и перезагрузки происходит падение в синий экран. На ПКустановлен антивирус ESET NOD32.

Рекомендуем Вам отключить модуль Anti-Stealth антивируса.

29. Имеется: контроллер Аккорд-5.5Е, СПО «Аккорд-Win64» (2шт.); контроллер Аккорд-5MX, СПО «Аккорд-Win32» (1шт.). Возможно ли использовать СПО «Аккорд-Win32» для контроллера Аккорд-5.5E?

В комплекс «Аккорд» входит лицензионный ключ, привязывающий СПО к тому контроллеру, для которого Вы его приобрели. Использовать СПО с другим контроллером не получится, не подойдет лицензия. Необходимо приобрести СПО заново, указав номер другого контроллера, и Вы получите новый лицензионный ключ.

30. Как правильно одновременно сменить пароль для пользователя и в СЗИ НСД«Аккорд-АМДЗ» и в СПО «Аккорд» («Аккорд-Win32»/«Аккорд-Win64»)?

Для корректной смены пароля пользователя в СЗИ НСД «Аккорд-АМДЗ» и СПО «Аккорд» рекомендуется использовать следующий способ: на клавиатуре нажать комбинацию клавиш «Ctrl-Alt-Del», в открывшемся окне выбрать «Смена пароля», задать новый пароль. В результате данных действий пароль изменится и в программной части комплекса «Аккорд», и в базе пользователей в аппаратной части СЗИ НСД «Аккорд-АМДЗ». Обратите внимание, что для этого необходимо разрешить пользователю менять пароль, а также в настройках СПО «Аккорд» выбрать опции «Синхронизация с базой АМДЗ» и «Синхронизация с базой пользователей NT».

31. Как пользователь в СПО «Аккорд» может получить доступ к сетевым ресурсам?

Для разрешения доступа пользователя к сетевым ресурсам нужно явно указать полное сетевое имя ресурса. Если правила доступа к сетевым ресурсам определяются администратором домена (сервера), то можно задать универсальный сетевой ресурс. Для этого в список нужно включить объект \\ (ввести с клавиатуры), установить ему полный доступ и наследование на все подкаталоги.

32. У нас на сервере установлен ПАК Аккорд-Win32/Аккорд-Win64 TSE. При попытке подключения к серверу с помощью ШИПКи-2.0 возникает сообщение «The card supplied requires drivers that are not present on this system. Please try another card» («Имеющаяся плата требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую плату»). Что можно сделать?

Сообщение «Имеющаяся плата требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую плату» является информационным, не указывает на возникновение ошибки и не влияет на работоспособность системы. Вы можете нажать «ОК» и продолжить работу.

Если появление данного сообщения вызывает неудобства, рекомендуется обновить СПО Аккорд-Win32/Аккорд-Win64 TSE до актуальной версии (не ниже 4.0.8.36/5.0.7.35). Для получения дистрибутивов для обновления необходимо написать письмо на адрес технической поддержки help@okbsapr.ru

Также проверьте содержимое файла CardsATR.txt из каталога C:\Accord.NT (C:\Accord.x64) на терминальном сервере, оно должно быть следующим:

Если содержимое файла другое, то отредактируйте его в соответствии с вышеприведенным текстом.

После изменения файла CardsATR.txt необходимо запустить утилиту «Настройка комплекса Аккорд», выйти из утилиты с сохранением изменений, затем перезагрузить терминальный сервер.

33. Как исправить некорректную работу функции автологин?

1. Зайти в «Настройки комплекса Аккорд», снять защиту (Команды -> Снятие) и перезагрузить ПК.
2. Убедиться, что в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers) остались ключи AcGina и CertCredProvider.
3. Убедиться, что в реестре (\HKEY_CLASSES_ROOT\CLSID) нет аналогов для ключей AcGina и CertCredProvider.
4. Удалить из реестра ключи AcGina и CertCredProvider.
5. Зайти в «Настройки комплекса Аккорд», включить защиту Аккорд (Команды -> Активация) и перезагрузить ПК.

34. В работе используем ПК и USB-считыватель ТМ, который требует установки драйвера tmacu32.sys от 03.04.2012 года . После подключения в порт ПК USB-считывателя ТМ производится попытка автоматической установки драйвера, заканчивающаяся появлением «синего экрана». Возможно, существует актуальный драйвер, с которым подобной проблемы не возникает? На ПК также установлено СПО Secret Net.

Вами используется актуальная версия драйвера. Причина подобной ошибки может быть в некорректных настройках СПО Secret Net. Необходимо убедиться, что до установки драйвера USB-считывателя ТМ было разрешено его использование в СПО Secret Net

35. При работе с ПО САЭС (ключевое хранилище — ТМ) и подключении к терминальному серверу с СПО «Аккорд» (идентификатор — ШИПКА) возникают проблемы с определением ключевого хранилища или с определением идентификатора при входе в терминальную сессию.

Для решения данной проблемы необходимо в утилите «Настройка терминального клиента Аккорд» установить в качестве основного идентификатора — «TM-идентификатор (USB)» (если на клиентском АРМ установлен Аккорд-АМДЗ, то «TM-идентификатор (АМДЗ)»), в качестве дополнительного — «ШИПКА».

При запросе идентификатора для входа на терминальный сервер необходимо отключать TM от считывателя, если идентификатор каким-либо образом в нем зафиксирован.

Также необходимо учитывать, что при такой настройке не будет работать реакция на отключение идентификатора (ACED32 — «Параметры SS» — «Дополнительные параметры» — «При отключении Идентификатора:»).

36. На СВТ установлен ПАК «Аккорд» и настроен мандатный механизм разграничения доступа с контролем процессов. Процессам установлены уровни доступа в соответствии с уровнями доступа пользователей. Однако существует возможность несанкционированной модификации процессов: при переименовании какого-либо процесса присвоенный ему уровень доступа не действует, процесс становится доступным любому пользователю. В связи с этим возникает вопрос: как контролировать процессы не по имени, а, например, по контрольной сумме, чтобы пользователи не могли несанкционированно модифицировать процессы?

В целях исключения возможности возникновения несанкционированного доступа (НСД) к процессам (например, при несанкционированной модификации процесса) рекомендуется выполнять процедуру создания «белого» списка процессов с помощью мандатного механизма разграничения доступа с контролем процессов и динамического контроля целостности файлов из этого списка.

37. Если перед загрузкой компьютера извлечь СЗИ НСД «Инаф» из USB-порта, становится возможным выполнение загрузки недоверенной ОС. Какие меры необходимо предпринять для предотвращения возникновения такой ситуации?

Для корректной работы СЗИ НСД «Инаф» необходимо:

1. установить в BIOS компьютера вариант загрузки с «Инаф» как с жесткого диска;
2. установить пароль на вход в BIOS;
3. принять административные меры, исключающие несанкционированное отключение устройства от USB-порта компьютера:
   • ограничить физический доступ к СВТ и/или
   • зафиксировать устройство «Инаф» с помощью специальных креплений и/или голографической наклейки или
   • установить контроллер внутрь корпуса СВТ и опечатать корпус системного блока СВТ с помощью голографической наклейки.

38. Как можно посмотреть файлы журналов СЗИ НСД «Аккорд-АМДЗ» (DOS) с прошивкой версии 02.01.015?

1. В разделе «Администрирование» выберите вкладку «Журнал», нажмите кнопку «Сохранить» (F2), затем выберите пункт «Идентификатор»/«Floppy-диск». Выберите имя файла и сохраните файл с расширением.LST на ТМ-идентификатор (ТМ-1996) или дискету.
   Примечание: в случае если Вы используете дискету, Вам необходимо перейти к пункту 5.
2. В ОС Windows запустите утилиту tmexplorer, во вкладке «Команды» выберите пункт «Запись журнала в ТМ», предъявите ТМ-идентификатор, куда ранее был записан файл журнала, выберите имя и расширение для файла, в который будет скопирован журнал. В выбранной папке появиться файл с выбранным именем и расширением.
3. В командной строке введите команду: bcopy log.zip 64, где — файл, считанный из TM, а log.zip — имя архива, который будет создан в результате выполнения команды.
4. Распакуйте архив log.zip с помощью ПО «7-Zip».
5. Полученный файл с расширением .LST откройте в MS Word, используя кодировку Кириллица (DOS) KOI-8.

39. На СВТ установлен ПАК «Аккорд» и настроен дискреционный механизм разграничения доступа. Для каталога «CatalogName» установлен запрет на удаление файлов (т.е. не установлен атрибут доступа «D»). При попытке сохранения файла «Name.txt» в каталог «CatalogName» на экране появляется сообщение «У вас отсутствуют права на изменение файлов на этом сетевом диске. Обратитесь к администратору, чтобы получить права для внесения изменений». При этом в самом каталоге «CatalogName» файл «Name.txt» сохраняется пустым. С чем может быть связана описанная ситуация?

Особенности работы некоторых прикладных приложений на СВТ с установленными правилами разграничения доступа ПАК «Аккорд» приводят к возникновению непрогнозируемых последствий, однако нарушения логики работы ПАК «Аккорд» при этом отсутствуют. Описанная ситуация связана с особенностями работы программы Notepad.exe. Чтобы сохранить файл «Name.txt» в каталог «CatalogName», рекомендуется выполнить процедуру сохранения файла повторно.

40. При заведении нового пользователя с использованием оболочки AcTskMng.exe всплывающие сообщения некоторых приложений с иконок в системном трее отображаются с неправильной кодировкой Например, Kaspersky Endpoint Security 10.

Для корректного отображения русских символов в трее, необходимо перед назначением стартовой задачей AcTskMng.exe выполнить (однократный) вход пользователя в ОС после активации ПАК Аккорд.

41. Подскажите, есть ли какие-то особенности разъема m.2, которые нам стоило бы учесть?

В целом, плата АМДЗ Аккорд является стандартной для m.2 с ключами A+E или E, размером 22×30 мм. Форм-фактор m.2: 2230-D5-A-E или 2230-D5-E.
Но плата АМДЗ выходит за пределы стандарта по высоте элементов, что требует запас по высоте в 2,0 мм над платой и 1,5 мм под платой.
Плата АМДЗ не имеет изоляции сверху и снизу, а значит не может быть установлена «в упор» на токопроводящие элементы — потребуется изоляционный слой.
В разъеме задействована шина PCIe0 (пины 35, 37, 41, 43, 47, 49 разъема). Для случая АМДЗ с напаянной картой памяти используется также шина USB (пины 3, 5 разъема).
Пины 6, 16, 54, 56, 58, 60, 62, 64 зарезервированы. Желательно, чтобы на материнской плате они оставались в воздухе, были входами с высоким сопротивлением или находились в третьем состоянии.