книги / Программно-аппаратные средства защиты информации

5. ЛАБОРАТОРНАЯ РАБОТА № 5. УСТАНОВКА И НАСТРОЙКА СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА «АККОРД-WIN64»

5.1. Цель работы

Цель работы – изучить установку, настройку и эксплуатацию средства защиты информации от несанкционированного доступа «Аккорд-Win64» под операционной системой Windows и получить практические навыки администрирования указанного средства защиты информации. Работа предназначена исключительно для очного выполнения в аудитории с ПЭВМ, имею-

щими BIOS формата Legacy или UEFI.

5.2.Ход выполнения работы

5.2.1.Убедиться, что ПЭВМ физически отключена от электрической сети. Установить в свободный разъём PCI-Express ПЭВМ любой из имеющихся в наличии контроллеров семейства «Аккорд» (далее – СДЗ), а также совместимый с ним считыватель ТМ-идентификаторов. Перед подключением ПЭВМ к электрической сети преподаватель проверяет правильность установки, закрывает крышку системного блока и подключает корпус системного блока к сети путём установки силового разъёма питающего кабеля в блок питания ПЭВМ.

5.2.2.Включить ПЭВМ кнопкой на лицевой панели. Зайти

вBIOS и убедиться, что установлена текущая дата и время (в некоторых случаях дата и время устанавливаются в формате «месяц – число – год»).

5.2.3.В зависимости от используемой модели контроллера семейства «Аккорд» выполнить следующие действия:

91

–для контроллера «Аккорд-5.5»: описанные в лабораторной работе № 1 в п. 1.2.3–1.2.5, 1.2.7–1.2.8 и 1.2.11;

–для контроллера «Аккорд-GX»: описанные в лабораторной работе № 2 в п. 2.2.3–2.2.5 и 2.2.8;

–для контроллера «Аккорд-M.2»: описанные в лабораторной работе № 3 в п. 3.2.3–3.2.5 и 3.2.8.

5.2.4. Далее необходимо снова перезагрузить ПЭВМ, предъявить любой из пользовательских идентификаторов (не идентификатор АБИ) и дождаться начала загрузки операционной системы с жесткого диска. Необходимо зайти в операционную систему под логином supervisor и ввести пароль Perm2015. Если рабочий стол загрузился без запроса имени и пароля, значит, в операционной системе пользователь supervisor отсутствует и его нужно создать, назначить ему указанный пароль и включить его в группу администраторов, после чего зайти под ним. После появления рабочего стола операционная система обнаружит новое устройство (контроллер «Аккорд» и USBсчитыватель – при его наличии) и предложит установить драйвер, окно установки которого нужно закрыть, нажав «Отмена» (если система не предложила установить драйвера, то не обращать на это внимание).

5.2.5. Далее на жестком диске «C:\» необходимо создать каталог DOC. На вновь созданном каталоге нажать правую кнопку мыши и выбрать пункт меню «Свойства». В открывшемся окне перейти на вкладку «Безопасность» (если этой вкладки нет, необходимо в проводнике выбрать пункт меню «Сервис/Свойства папки», в открывшемся окне перейти на вкладку «Вид» и отключить флаг «Использовать простой общий доступ к файлам» – 5-я строка сверху). На вкладке «Безопасность» нажать кнопку «Дополнительно» и в открывшемся окне (для Win7 необходимо сначала нажать кнопку «Изменить разрешения») необходимо сделать следующее:

–для WinXP снять галочку «Наследовать от родительского объекта применимые к дочерним объектам разреше-

92

ния…», после чего в появившемся окне нажать кнопку «Копировать». В поле «Элементы разрешений» дважды щелкнуть по строчке группы «Пользователи» с разрешениями «Чтение и выполнение». В открывшемся окне для этой группы поставить галочку «Полный доступ» в колонке «Разрешить», нажать ОК

иеще раз ОК;

–для Win7 снять галочку «Добавить разрешения, наследуемые от родительских объектов», после чего в появившемся окне нажать кнопку «Добавить». В поле «Элементы разрешений» дважды щелкнуть по строчке с разрешениями для группы «Пользователи» (если группы «Пользователи» в списке нет, то необходимо нажать кнопку «Добавить» и добавить группу «Пользователи»). В открывшемся окне для этой группы поставить галочку «Полный доступ» в колонке «Разрешить», нажать ОК и еще раз ОК.

5.2.6. Далее подключить к ПЭВМ USB-носитель, выдан-

UsbToFix и «Аккорд Win32 v.4.х.хх.хх» или «Аккорд Win64 v.5.х.хх.хх» (в зависимости от разрядности используемой на ПЭВМ операционной системы). Здесь «х.хх.хх» – это номер сборки ПО, который необходимо выбирать из максимально возможных среди аналогичных имеющихся на носителе. Далее по тексту для универсальности будет применяться обозначение

«Аккорд-WinXX».

5.2.7.Далее необходимо открыть ярлык «Мой компьютер»

ипроверить статус системного диска «C:\» – «Жесткий диск» или «Съемный». Если диск «C:\» опознан как съемный (такое может быть в случае если для лабораторной работы используется имитатор жесткого диска в виде CF-карты с адаптером), необходимо его «преобразовать» в несъемный, для чего необходимо зай-

ти в С:\DOC\UsbToFix\UsbStorMode_2016_11_07\x86\DRIVER,

найти «diskmod.inf», нажать на этом файле правую кнопку мыши и выбрать «Установить». После установки этого драй-

93

вера ПЭВМ не перезагружать, далее необходимо из каталога С:\DOC\UsbToFix\ двойным щелчком мыши запустить на исполнение файл «Все из ″по умолчанию″ в несъемные.reg»,

врезультате чего будут внесены изменения в реестр.

5.2.8.Далее необходимо установить драйвера. Для этого открыть панель управления и открыть ярлык «Система», после чего перейти на вкладку «Оборудование» и нажать кнопку «Диспетчер устройств» (другим вариантом будет вызов контекстного меню на ярлыке «Мой компьютер» и выбор пункта меню «Управление», после чего в открывшемся окне нужно перейти в «Диспетчер устройств»). Далее в списке неизвестных устройств необходимо найти устройство PCI Device, нажать на этом устройстве правую кнопку и выбрать пункт меню «Обновить драйвер». Для установки драйвера следует указать папку C:\DOC\DRIVER\. Операционная система может выдать предупреждение о том, что не удалось проверить издателя этих драйверов – в этом случае необходимо выбрать пункт «Все равно установить этот драйвер». Далее производится стандартным образом установка драйвера, и в «Диспетчере устройств» ОС появится новая группа «Аппаратная защита от НСД», а в этой группе устройство «Аккорд». В случае если используется USB-считыватель, необходимо установить драйвера и для USB-

считывателя из каталога C:\DOC\DRIVER\USB_Reader_TM.

После установки драйверов необходимо перезагрузить ПЭВМ, предъявить идентификатор АБИ и его пароль, затем в окне контроля целостности необходимо нажать кнопку «Продолжить загрузку» и выбрать загрузку с жесткого диска, после чего зайти в ОС под логином supervisor. Открыть ярлык «Мой компьютер» и убедиться, что статус системного диска «C:\» – «Жесткий диск» (если это не так, то см. предыдущий пункт).

5.2.9.Для включения в отчет сделать скриншот окна «Диспетчер устройств» с развернутым узлом группы «Аппаратная защита от НСД». Здесь и далее необходимо делать скриншоты текущего (активного) окна с помощью ПО FSCapture (или

94

другого аналогичного ПО), которое позволяет в автоматическом режиме сохранять скриншоты в каталоге C:\DOC (это необходимо настроить в самой программе по нажатию клавиши F12) в виде JPEG-файлов при нажатии комбинации клавиш Alt + PrintScreen (программа находится в каталоге

C:\DOC\FSCapture).

5.2.10.На жестком диске в каталоге C:\DOC необходимо создать каталог с именем АDMINRRRSSS. Здесь RRR – номер (например, 042) или буквенный код (например, KZI) группы,

аSSS – номер ПЭВМ (сообщает преподаватель). Внутри этого каталога необходимо создать подкаталоги. В случае если за ПЭВМ находится один или два студента, создаётся два подкаталога, а если за ПЭВМ находятся три студента, то создаётся три подкаталога. Имя каждого подкаталога должно совпадать с фамилией студента в английской транскрипции (в случае если за ПЭВМ находится один студент, имя второго подкаталога должно совпадать с именем первого подкаталога и включать в себя в конце дополнительную цифру 2). Внутри каждого подкаталога необходимо создать текстовый файл. Имя файла должно совпадать с фамилией студента в английской транскрипции, расширение файла – txt. Внутри каждого текстового файла необходимо написать фамилию студента на русском языке и номер (код) группы. Для включения в отчет сделать скриншот каталога студента с расположенным в нём файлом (для каждого студента должен быть свой скриншот с его файлом), а также скриншот открытого в программе «Блокнот» файла с текстом (для каждого студента должен быть свой скриншот с его текстом).

5.2.11.Далее необходимо установить программное обеспечение «Аккорд-WinXX». Для установки нужно запустить программу AccordSetup.exe. Установку выполнять в папку по умолчанию. В случае если используется USB-считыватель, в конце процесса установки поставить флаг «Настройка идентификаторов Аккорд» и выполнить настройку идентификаторов,

95

где включить поддержку (установить флаг) на опции «ТМидентификатор (USB)» в группе «Дополнительные идентификаторы» и нажать «Активировать».

5.2.12.Далее нужно из каталога, в который установлено ПО «Аккорд», запустить программу TmExplor.exe и записать серийный номер установленного в ПЭВМ контроллера «Аккорд». После этого необходимо найти в каталоге C:\DOC\Лицензии\Win32 или в каталоге C:\DOC\Лицензии\Win64 (в зависимости от разрядности используемой на ПЭВМ операционной системы) файл xxxxxxxx.key, где xxxxxxxx – серийный номер установленного в ПЭВМ контроллера «Аккорд». Найденный файл необходимо скопировать в папку с установленными файлами ПО «Аккорд» под именем accord.key. Допускается использование временного файла лицензии accord.key с ограниченным сроком действия и распространяющим своё действие на все существующие контроллеры, если такой файл предоставлен преподавателем.

5.2.13.Далее нужно запустить программу «Настройка комплекса Аккорд» (AcSetup.exe из папки с установленным ПО «Аккорд»). На сообщение об отсутствии базы данных пользователей не реагировать. После этого на экране появляется главное окно программы настройки комплекса, все функции которой доступны. Необходимо убедиться, что флаг «Синхронизация с базой АМДЗ» и флаг «Синхронизация с базой пользователей NT» установлены. В поле «Механизмы разграничения доступа» должен быть указан только дискреционный механизм. Необходимо установить флаг в поле «Наследование ПРД от группы» (здесь и далее под ПРД подразумеваются правила разграничения доступа). Сделать скриншот окна программы. Далее нужно закрыть программу настройки комплекса

исохранить изменения.

5.2.14.Далее из каталога С:\ACCORD.NT нужно запустить редактор прав доступа ACED32.EXE (иконка «Редактор прав доступа» в группе программ «Аккорд»):

96

правую кнопку «…» в строке «Разграничение доступа» – на экран выводится окно с правами доступа пользователя (или группы) к ресурсам.

Рис. 5.2

В список объектов для группы «Обычные» пользователей уже включены ограничения, которые защищают от модификации программные компоненты «Аккорд». В список объектов для пользователей ни один объект не входит – сюда добавляются индивидуальные права доступа (остальные права, одинаковые для всех пользователей, наследуются от группы «Обычные»). В разделе «Объекты» при необходимости можно выбрать строку с объектом и нажать «Редактировать» или Enter – выводится окно для определения правил доступа. Если нужно удалить объект и установленные для него ПРД, нужно выбрать объект, нажать «Удалить» или Delete и подтвердить или отменить удаление. Для выхода из редактирования с сохранением нажать «Сохранить» или F2, без сохранения – «Отмена» или Esc.

98

5.2.16. АБИ должен произвести изменение ПРД пользователей, для чего в списке пользователей (внутри группы «Обычные») нужно выбрать имя первого пользователя и после настройки ПРД для этого конкретного пользователя, выбирать по очереди последующих пользователей. Для добавления новых ПРД нужно нажать кнопку «Новый» или клавишу Insert – на экран выводится расширенное окно «Атрибуты доступа к объектам»:

Рис. 5.3

Слева в этом окне отображается дерево каталогов, а справа – список всех объектов. Каждый объект выделен цветом, соответствующим наследованию прав доступа и наличию объекта в списке разграничения прав доступа. Нужно найти в дереве каталогов каталог C:\DOC\АDMINRRRSSS (где RRR и SSS определены выше по тексту). Внутри этого каталога необходимо найти и выделить мышью подкаталог, который соответствует имени того пользователя, ПРД которого в настоящий момент редактируются. При ус-

99

тановке ПРД можно воспользоваться кнопками-шаблонами «Сброс», «Чтение» и «Полный» в нижней части окна. Кнопка «Сброс» снимает все флаги атрибутов доступа. Объект с такими атрибутами становится запрещенным, т.е. недоступным для всех программ и процессов. Кнопка «Чтение» устанавливает для выбранного объекта «файл» атрибуты: R – открыть для чтения, V – видимость и X – запуск программ. Для объекта «папка» добавляются атрибут G – переход в данную папку и S – наследование. Кнопка «Полный» включает все атрибуты для полного доступа. Для подкаталога, соответствующего имени редактируемого пользователя, необходимо дать полные права (кнопка «Полный»). Далее здесь же внутри каталога C:\DOC\АDMINRRRSSS необходимо найти и выделить мышью другой подкаталог, который соответствует имени следующего пользователя, и для этого подкаталога необходимо дать права на чтение (кнопка «Чтение»). В случае если за ПЭВМ находятся три студента, необходимо найти и выделить мышью третий подкаталог, который соответствует имени третьего пользователя, и для этого подкаталога необходимо полностью запретить доступ для редактируемого пользователя (кнопка «Сброс»). Далее необходимо закрыть окно атрибутов доступа к объектам с сохранением изменений. После этого в окне «Редактирование правил разграничения доступа» для редактируемого пользователя для включения в отчет сделать скриншот настроенных для этого пользователя ПРД (для каждого студента свой скриншот этого окна), далее нужно закрыть окно «Редактирование правил разграничения доступа» с сохранением изменений. Настроенные ПРД должны соответствовать следующей матрице доступа:

Таблица 5.1

100