книги / Программно-аппаратные средства защиты информации
..pdf
При регистрации АБИ необходимо проконтролировать наличие четырёх включенных опций в разделе «Атрибуты доступа» для того, чтобы АБИ смог полностью выполнять функции администрирования СДЗ. Кроме того, в разделе «Результаты И/А» необходимо включить первые пять флагов «Результатов И/А»:
Рис. 3.21
После регистрации АБИ нужно сохранить изменения:
Рис. 3.22
51
3.2.5. Далее необходимо в СДЗ зарегистрировать пользователя (пользователей), при этом, если от предыдущей лабораторной работы в СДЗ остались зарегистрированные пользователи, то их необходимо удалить. В случае если за ПЭВМ находится один студент, производится регистрация только одного пользователя с помощью второго из выданных на ПЭВМ ТМидентификаторов. В случае если за ПЭВМ находятся два студента, производится регистрация двух пользователей, а если за ПЭВМ находятся три студента, производится регистрация трёх пользователей. Аналогично при генерации секретного ключа следует выбрать опцию «Использовать существующий» (запрещается генерировать новый секретный ключ). При регистрации ТМ-идентификатора любого пользователя ему необходимо присвоить имя, совпадающее с фамилией студента в английской транскрипции:
Рис. 3.23
Далее необходимо ему назначить любой пароль. До задания пароля необходимо для каждого пользователя установить параметры пароля, в которых самостоятельно определить минимальную длину, а также алфавит пароля. Для параметра «Время действия (дни)» необходимо установить значение, равное порядковому номеру студента по списку (по журналу):
52
Рис. 3.24
Следует помнить, что для корректного завершения процедуры редактирования параметров учетной записи необходимо выполнить процедуру установки идентификатора, процедуру установки пароля и сохранить изменения. Кроме того, в разделе «Результаты И/А» необходимо аналогично включить первые пять флагов «Результатов И/А».
Для включения в отчет сделать фотографию меню пользователя с монитора ПЭВМ, аналогичное рис. 3.24 (для каждого студента своя фотография с параметрами его пользователя).
3.2.6. Далее для настройки списков контроля целостности аппаратуры в главном окне программы нужно выбрать объект администрирования «Аппаратура» и нажать Enter. На экран выводится окно контроля аппаратуры:
Рис. 3.25
53
В данном окне выводится список классов контролируемых устройств, содержащий отдельные устройства и их параметры. Мышью можно включить/исключить в процедуру контроля любой класс или устройство. На панели инструментов изменения подтверждаются кнопкой «Сохранить список оборудования». Установка на контроль содержимого раздела BIOS HASH предполагает обязательную установку на контроль раздела System BIOS. В случае нарушения целостности имеется возможность пересчитать контрольные суммы оборудования в сохраненном списке, нажав на кнопку «Пересчитать список оборудования». После регистрации в СДЗ хотя бы одного пользователя контроль аппаратуры производится при каждой загрузке ПЭВМ после идентификации/аутентификации пользователя. Если обнаруживается несовпадение параметров конфигурации, записанных в памяти СДЗ и текущих параметров системы, то выдается сообщение «Контроль не пройден» и загрузка ПЭВМ блокируется – для обычного пользователя или выводится запрос на администрирование, если идентифицирован администратор. Может встречаться ситуация, когда после перезагрузки появляется сообщение СДЗ, что есть ошибки в контрольной сумме BIOS и дополнительном BIOS, хотя никаких изменений в настройках BIOS не выполнялось. В процедуре контроля аппаратуры видны ошибки, контрольные суммы не совпадают. Администратор обновляет данные, но после перезагрузки повторяется сообщение об ошибке контроля аппаратуры. Это означает, что в ПЭВМ установлена «интеллектуальная» материнская плата или устройство с расширенным собственным BIOS. При каждой перезагрузке или выключении они записывают информацию в определенные области своих BIOS. Поскольку каждый раз пересчитывать контрольные суммы того, что меняется при перезагрузке, не имеет смысла, нужно исключить меняющиеся параметры из списка контролируемых объектов и нажать кнопку «Сохранить список оборудования». Необходимо поставить на контроль все группы оборудования и для включения в отчет
54
сделать фотографию поставленного на контроль списка оборудования с монитора ПЭВМ.
3.2.7. Далее необходимо выбрать объект администрирования «Диски» в левой панели главного окна программы, после чего на экран выводится окно контроля служебных областей дисков:
Рис. 3.26
В окне контроля выводится дерево всех дисков, установленных на данной ПЭВМ, с указанием файловой системы каждого диска. Для включения области диска в список контролируемых объектов необходимо мышью отметить контролируемый параметр. Для снятия отметки также используется мышь. В список контролируемых можно вносить служебные области с любых дисков, установленных в ПЭВМ, независимо от файловой системы. Для записи в память СДЗ хэш-функций контролируемых областей используется кнопка «Сохранить список дисков». Необходимо сначала нажать кнопку «Пересчитать дерево дисков», а затем включить в список контролируемых объектов первый раздел жесткого диска и сохранить результат в СДЗ. Для включения в отчет сделать фотографию списка контролируемых областей с монитора ПЭВМ.
3.2.8. Далее нужно перезагрузить ПЭВМ, предъявить идентификатор только что созданного АБИ и после этого ввести пароль, соответствующий этому АБИ:
55
Рис. 3.27
В случае если состав аппаратных средств ПЭВМ или других контролируемых объектов опять изменился, то возникает ошибка целостности:
Рис. 3.28
В этом случае после последующей повторной идентификации и аутентификации АБИ необходимо осуществить вход в главное окно программы администрирования и устранить причину ошибки. После устранения причин ошибок необходимо снова перезагрузить ПЭВМ, предъявить идентификатор АБИ и после успешного двойного прохождения процедур идентификации и аутентификации должно быть отображено окно контроля целостности без каких-либо ошибок (если ошибки не пропали, то причина не была устранена). Для включения в отчет сделать фотографию окна контроля целостности с отсутствующими ошибками с монитора ПЭВМ.
3.2.9. Вся оставшаяся часть работы выполняется только одним или первым студентом (если за ПЭВМ двое или трое студентов, то первым студентом считается тот, чья фамилия из них по алфавиту идёт первой) до самого конца работы. С этого пункта и до конца работы студент, выполняющий эту работу, называется «текущий пользователь». В случае если за ПЭВМ двое или трое студентов, второй студент начинает работу с п. 3.2.9 только после окончания работы первого студента. Третий студент (при его наличии за ПЭВМ) аналогично начинает работу с п. 3.2.9 только после окончания работы второго студента.
56
3.2.10.Далее необходимо снова перезагрузить ПЭВМ, предъявить идентификатор текущего пользователя и дождаться автоматической загрузки операционной системы с жесткого диска. На жестком диске на любом из логических дисков (C, D, E, F и т.д.) необходимо создать (если не существует) каталог с именем АDMIN-RRR- SSS. Здесь RRR – номер (например, 042) или буквенный код (например, KZI) группы, а SSS – номер ПЭВМ (сообщает преподаватель). Внутри этого каталога необходимо создать текстовый файл текущего пользователя. Имя файла должно совпадать с фамилией текущего пользователя в английской транскрипции, расширение файла – txt. Внутри каждого текстового файла необходимо написать фамилию и инициалы текущего пользователя на английском и русском языке. Для включения в отчет сделать фотографию открытого в программе «Блокнот» файла с текстом с монитора ПЭВМ (для ка- ждогостудента–свояфотографиясеготекстом).
3.2.11.Далее необходимо снова перезагрузить ПЭВМ, предъявить идентификатор АБИ и осуществить вход в главное окно программы администрирования. Далее необходимо выбрать объект администрирования «Файлы» в левой панели, после чего на экран выводится окно контроля файлов:
Рис. 3.29
57
В окне контроля файлов выводится список всех дисков, установленных в системе, с указанием файловой системы каждого диска. В правой части экрана можно выбрать конкретные файлы или каталоги.
Добавить каталог в список контроля целостности можно одним из следующих способов: выбрать левой кнопкой мыши нужный каталог или файл и нажать кнопку «Добавить в СКЦ» или кликнуть правой кнопкой мыши по нужному файлу или каталогу и выбрать пункт «Добавить» в открывшемся контекстном меню. В случае если для добавления в список контроля целостности был выбран каталог, на экран выводится окно, в котором необходимо выбрать нужные атрибуты добавления каталога. По кнопке OK выбранный каталог будет добавлен в список контроля целостности. В случае если для добавления в список контроля целостности был выбран файл, на экран выводится окно, в котором необходимо выбрать нужные атрибуты добавления файла:
Рис. 3.30
По кнопке OK выбранный файл будет добавлен в список контроля целостности:
Рис. 3.31
После добавления в список контролируемых файлов всех необходимых файлов и каталогов по кнопке «Сохранить» данные заносятся в память СДЗ. При необходимости можно убрать отдельный каталог или файл из списка контролируемых, выбрав
58
в списке контроля целостности нужный каталог или файл и нажав кнопку «Убрать из СКЦ».
В случае нарушения целостности имеется возможность пересчитать контрольные суммы файлов и каталогов в сохраненном списке, нажав на кнопку «Пересчитать». Хэш-функция контролируемых файлов пересчитывается при каждой загрузке ПЭВМ с установленным СДЗ и сравнивается с эталонным значением, записанным в памяти СДЗ.
Если обнаруживается несовпадение, выдается следующее сообщение и загрузка ПЭВМ блокируется:
Рис. 3.32
Администратор, предъявив свой идентификатор, может выполнить операцию проверки в разделе «Файлы» и выявить измененные файлы.
Для продолжения практической работы необходимо сначала удалить все контролируемые файлы (при их наличии), которые могли остаться от предыдущей группы, а затем добавить в СКЦ из созданного каталога АDMIN-RRR-SSS созданный ранее текстовый файл текущего пользователя с названием файла, совпадающим с его фамилией (включить контроль содержимого и атрибутов):
Рис. 3.33
59
Дополнительно текущий пользователь должен выбрать один любой файл из каталога Windows (если за ПЭВМ двое или трое студентов, то каждый из этих студентов за одной ПЭВМ должен выбирать разные файлы из каталога Windows). Всего текущим пользователем должно быть выбрано два файла с контролем содержимого и атрибутов. Для включения в отчет сделать фотографию контролируемых файлов с монитора. Фотография должна включать файлы только текущего пользователя (ширину столбца «имя» увеличить, чтобы были видны имена всех контролируемых файлов):
Рис. 3.34
Следуетобязательносохранитьсписокконтроляцелостности:
Рис. 3.35
3.2.12. Далее нужно перезагрузить ПЭВМ, предъявить идентификатор текущего пользователя и ввести пароль:
Рис. 3.36
Убедиться, что после проверки контроля целостности вы-
водятся две строки – «Check HD: ok» и «Check FS: ok» – и нача-
лась загрузка операционной системы:
60