Гриф версии 3 - ict.com.ua · Для эксплуатации комплекса «Гриф» необходимо выполнение следующих ограничений:

Комплекс средств защиты информации от несанкционированного доступа

«Гриф» версии 3

Руководство системного администратора редакция 3

Киев 2011

2

Список используемых сокращений

АРМ – автоматизированное рабочее место

АБ – администратор безопасности

АС – автоматизированная система

БД – база данных

ВС – вычислительная система

ИсОД – информация с ограниченным доступом

КС – компьютерная система

КСЗ – комплекс средств защиты

КСЗИ – комплексная система защиты информации

НГМД – накопитель на гибких магнитных дисках

НСД – несанкционированный доступ

ОС – операционная система

ПБ – политика безопасности

ПРД – правила разграничения доступа

ПО – программное обеспечение

ПЭВМ – персональная электронная вычислительная машина

ПЭМИН – побочное электромагнитное излучение и наводки

СА – системный администратор

ТС – технологическая схема

© ООО "Институт компьютерных технологий", 2011, все права защищены.

пр-т Воздухофлотский,54 , Киев-151, Украина, 03151 E-mail: [email protected] http://www.ict.com.ua

ИНСТИТУТ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ

mailto:[email protected]

http://www.ict.com.ua

РУКОВОДСТВО СИСТЕМНОГО АДМИНИСТРАТОРА

3

СОДЕРЖАНИЕ

1 Общие замечания .......................................................................................................................4 1.1 Функции системного администратора....................................................................................4 1.2 Требования к системному администратору ...........................................................................4 1.3 Содержание данного руководства ..........................................................................................4 2 Установка комплекса .................................................................................................................5 2.1 Предварительные действия.....................................................................................................5 2.2 Установка ПО комплекса ........................................................................................................7 2.2.1 Первая загрузка ОС ............................................................................................................ 12 2.2.2 Начальное состояние системы ........................................................................................... 14 2.2.3 Структура и содержание каталогов комплекса после инсталляции ................................. 15 3 Эксплуатация............................................................................................................................17 3.1 Создание учетных записей администраторов ......................................................................17 3.2 Управление программной средой .........................................................................................20 3.2.1 Отключение ненужных служб ОС ..................................................................................... 20 3.2.2 Контроль целостности программного обеспечения .......................................................... 22 3.2.3 Инсталляция прикладного ПО ........................................................................................... 23 3.3 Проверка и восстановление целостности ..........................................................................24 3.3.1 Проверка и восстановление целостности ПО КСЗ............................................................ 24 3.3.2 Проверка и восстановление целостности БД КСЗ ............................................................ 25 3.3.3 Обновление ПО КСЗ .......................................................................................................... 25 3.3.4 Временное отключение/ включение средств защиты ....................................................... 26 3.4 Отстройка от ошибок ............................................................................................................27 3.4.1 Общие замечания................................................................................................................ 27 3.4.2 Проблемы при установке комплекса ................................................................................. 27 3.4.3 Проблемы при входе пользователя в ОС........................................................................... 30 3.4.4 Конфликты с прикладным ПО ........................................................................................... 30 3.4.5 Ошибки при работе со средствами администрирования КСЗ .......................................... 31 3.4.6 Распространенные проблемы ............................................................................................. 32 3.5 Деинсталляция комплекса.....................................................................................................35 Приложение 1. Настройки политики безопасности ОС после инсталляции комплекса ........36

РУКОВОДСТВО АДМИНИСТРАТОРА

1 ОБЩИЕ ЗАМЕЧАНИЯ

1.1 ФУНКЦИИ СИСТЕМНОГО АДМИНИСТРАТОРА

В обязанности системного администратора входит:

• инсталляция и начальная инициализация комплекса; • обновление при необходимости ПО комплекса; • восстановление при необходимости целостности ПО и баз данных комплекса; • восстановление при необходимости работоспособности ОС; • установка и настройка (с санкции другого администратора) дополнительного

прикладного ПО.

В процессе штатного функционирования комплекса учетная запись Системного администратора не используется.

1.2 ТРЕБОВАНИЯ К СИСТЕМНОМУ АДМИНИСТРАТОРУ

Роль системного администратора должен исполнять наиболее технически грамотный специалист из тех, которые имеют административные привилегии.

Системный администратор должен иметь достаточно высокий уровень квалификации. Он должен знать основы архитектуры аппаратных средств ПЭВМ и ОС Windows, в частности, файловой подсистемы и подсистемы безопасности.

У администратора не должно возникать трудностей по поводу применения приведенных в данном руководстве указаний и рекомендаций, в частности, по запуску служб и работе с реестром.

1.3 СОДЕРЖАНИЕ ДАННОГО РУКОВОДСТВА

Руководство системного администратора содержит описание средств и процесса инсталляции комплекса. Кроме того, оно содержит описание возможных проблем, конфликтов и ошибок и будет полезно также и администратору КСЗ.


5

2 УСТАНОВКА КОМПЛЕКСА

2.1 ПРЕДВАРИТЕЛЬНЫЕ ДЕЙСТВИЯ

Для обеспечения защиты от загрузки ОС со сменных носителей и получения таким образом доступа к хранящейся на жестких дисках ПЭВМ информации «в обход» средств комплекса необходимо принять такие технические и/или организационные меры.

Если на ПЭВМ программные средства управления параметрами конфигурации базовой системы ввода/ вывода (Setup BIOS) поддерживают возможность задания последовательности выбора носителей для загрузки ОС только путем ввода соответствующих параметров в Setup BIOS (т.е., не позволяют выбирать носитель, с которого загружается ОС, непосредственно в процессе загрузки путем нажатия специальной «горячей» клавиши) в нормативно-распорядительных документах КСЗИ в АС необходимо предусмотреть обязательное выполнение следующих мероприятий:

• непосредственно после завершения инсталляции программных средств КСЗ системный администратор должен выполнить перезагрузку ОС, войти в Setup BIOS и установить возможность загрузки ОС только с жесткого диска C:. Если Setup BIOS не позволяет установить возможность загрузки ОС только с жесткого диска C:, необходимо назначить жесткий диск C: первым в списке устройств, с которых разрешается загрузка ОС;

• после установки возможности загрузки только с диска C: (или назначения диска C: первым в списке устройств) системный администратор должен установить пароль доступа к Setup BIOS. Длина пароля должна быть не менее восьми символов (если максимально допускаемая длина пароля менее восьми символов, то следует задавать пароль максимально возможной длины). Рекомендации по выбору паролей приведены в Руководстве по эксплуатации или Руководстве пользователя;

• не реже одного раза в три месяца системный администратор должен (под контролем администратора безопасности) выполнять смену пароля доступа к Setup BIOS, выбирая пароль в соответствии с приведенными в Руководстве по эксплуатации или Руководстве пользователя рекомендациями.

Если на ПЭВМ программные средства Setup BIOS позволяют выбирать носитель, с которого загружается ОС, непосредственно в процессе загрузки путем нажатия специальной «горячей» клавиши, в нормативно-распорядительных документах КСЗИ в АС необходимо предусмотреть обязательное выполнение следующих мероприятий:

• непосредственно после завершения инсталляции программных средств комплекса системный администратор должен выполнить перезагрузку ОС, войти в Setup BIOS и назначить жесткий диск C: первым в списке устройств, с которых разрешается загрузка ОС;

• после назначения диска C: первым в списке устройств системный администратор должен установить пароль доступа к Setup BIOS. Длина пароля должна быть не менее восьми символов (если максимально допускаемая длина пароля менее восьми символов, то следует задавать пароль максимально возможной длины). Рекомендации по выбору паролей приведены в Руководстве по эксплуатации или Руководстве пользователя;

• включение ПЭВМ и начальная загрузка ОС должна выполняться только администратором безопасности. При этом в качестве диска, с которого загружается ОС, не должен выбираться диск, отличный от диска C:;


6

• пользователи должны начинать сеанс работы с АС только путем нажатия последовательности клавиш «Ctrl+Alt+Del» и ввода псевдонима и данных аутентификации в окне интерфейсного модуля аутентификации. Самостоятельное включение ПЭВМ или инициирование перезагрузки ОС (нажатием соответствующих клавиш на системном блоке ПЭВМ) должно быть категорически запрещено;

• администратор безопасности должен контролировать соблюдение пользователями установленного порядка начальной загрузки ОС путем анализа наличия в протоколах аудита записей о запуске службы журнала событий, дата-время которых должны соответствовать дате-времени выполнения начальной загрузки ОС администратором безопасности. Для отбора соответствующих записей в программе АРМ анализа данных аудита рекомендуется при просмотре соответствующих протоколов использовать режим «Отбор сообщений» (см. Руководство администратора безопасности), указав в качестве источника сообщений EVENTLOG.

Для эксплуатации комплекса «Гриф» необходимо выполнение следующих ограничений:

• ОС должна быть установлена в каталоге, находящемся в корне логического диска (например, C:\WINDOWS);

• рабочая станция Windows, на которую производится установка, не должна быть членом домена и длина имени рабочей станции не должна превышать 15 символов (см. диалог «Система | Свойства | Сетевая идентификация»);

Перед установкой комплекса «Гриф» необходимо:

• проверить и обеспечить выполнение приведенных выше условий; • проверить ПЭВМ на отсутствие вирусов; • сконвертировать все FAT и FAT32 разделы жестких дисков в NTFS (например,

используя утилиту ОС Convert); • отключить антивирусные средства, функционирующие в режиме непрерывного

мониторинга, до полного завершения установки комплекса; • если планируется использовать в качестве носителей данных аутентификации

устройства Touch Memory, то необходимо подключить к последовательному порту считыватель для устройств Touch Memory. Порт, к которому подключается считыватель, должен иметь адрес 2f8 (шестнадцатеричное), обычно, это второй последовательный порт – COM2. Если на ПЭВМ имеется только один последовательный порт, то в Setup BIOS необходимо установить адрес данного порта в 2f8 (номер прерывания значения не имеет) и имя порта COM2;

• установить эталонную последовательность загрузки в Setup BIOS, как это описано в начале раздела;

• поскольку при установке комплекса удаляются все существующие учетные записи пользователей кроме встроенных записей «Администратор» и «Гость», следует подумать о необходимости сохранить данные, которые находятся в “персональных” каталогах (профилях) пользователей (“Documents and Settings\<Профиль пользователя>\Мои документы\ и т.п"). Сами эти каталоги при инсталляции комплекса не удаляются, но привязка к конкретному пользователю может стать неочевидной.

В общем случае рекомендуется установку всего прикладного ПО выполнять до установки комплекса. Однако, в ходе эксплуатации комплекса было отмечено, что в случае установки пакета MS Office после установки комплекса «Гриф» проблемы их совместного функционирования возникают реже.


7

2.2 УСТАНОВКА ПО КОМПЛЕКСА

Сообщения об ошибках, которые могут выдаваться программой инсталляции, и способы отстройки от ошибок описаны в разделе «Отстройка то ошибок». Ниже описана «нормальная» процедура инсталляции.

Для установки комплекса «Гриф» необходимо:

• Переименовать учетную запись “Администратор” в англоязычную, например “admin”. Пользователь, соответствующий данной учетной записи будет выступать в качестве системного администратора (СА). После переименования учетной записи необходимо перегрузить ПЭВМ или завершить текущий сеанс работы.

• Установить эталонную последовательность загрузки в Setup BIOS, как это описано в предыдущем разделе.

• Войти в ОС под учетной записью системного администратора. • Вставить инсталляционный диск в дисковод. Перед установкой комплекса прочитайте

файл _readme, который находится на диске, – он может содержать свежие сведения, которые не вошли в документацию. Кроме того, обратите внимание на каталоги Patch_xx, которые могут присутствовать на диске и содержат обновления ПО КСЗ. В частности, в них может содержаться обновленная редакция самой программы инсталляции.

• Запустить программу G3Local.exe, которая находится на инсталляционном диске комплекса.

• Установка системы выполняется в два этапа и может быть прервана в любой момент нажатием кнопки [Отмена].

F Если в процессе установки комплекса работа программы инсталляции по какой-либо причине была прервана, процесс установки можно возобновить с начала текущего шага инсталляции, запустив программу setup.exe из каталога C:\GNGInst. Сообщения об ошибках приведены в разделе “Отстройка от ошибок”. В случае необходимости отката не выполняйте его “вручную”. Откат (деинсталляцию) можно выполнить, запустив программу setup.exe из каталога C:\GNG с ключом /Uninstall.

• На первом этапе программа установки выполняет следующие операции: − копирует необходимые для установки комплекса файлы на жесткий диск ПЭВМ (в

каталог C:\GNGInst) и вся дальнейшая установка производится из этого каталога. После выбора конфигурации комплекса программа установки: − выводит окно с приветствием, а затем – регистрационную форму и просит ее

заполнить (форма обязательна для заполнения) (рис.2.1); − после заполнения и нажатия кнопки «Далее» выводит сообщения (рис.2.2) с

просьбой выслать регистрационные данные разработчику для получения регистрационного кода и, после получения такового, запустить инсталляцию заново;


8

Рис.2.1 Регистрационная форма для заполнения

Рис.2.2 Окно с сообщением об отправке регистрационных данных


9

F В случае, если под ОС Windows Vista или Windows 7 на экран будет выведено сообщение о неправильной установке программы (Рис.2.3), которое выдается средствами ОС при запуске программ, не зарегистрированных производителем ОС, необходимо выбрать пункт «Эта программа установлена правильно» соответствующего меню.

Рис.2.3 Предупреждение ОС Windows Vista или Windows 7


10

Рис.2.4 Регистрационная форма с введенными данными – запустив инсталляцию заново после получения регистрационного кода, в окне

можно увидеть введенные ранее данные и строку для ввода регистрационного кода (рис.2.4);

– после ввода регистрационного кода следует нажать кнопку «Проверить код», а затем кнопку «Далее». В случае ввода верного кода будет выдано информационное сообщение следующего содержания:

Регистрация прошла успешно!

Серийный номер продукта: 143

Регистрационный код: A15BCD8790000000

Спасибо за сотрудничество! После того, как администратор подтвердил готовность продолжить установку,

программа: – последовательно попросит ознакомиться с требованиями по предварительной

настройке компьютера и лицензионным соглашением (в случае если при прочтении данных документов Вы обнаружили что не выполнили правильную настройку ПЭВМ или Вы не согласны с некоторыми пунктами лицензионного соглашения –можно нажать кнопку «Нет», что приведет к завершению программы инсталляции);

− проверяет соответствие конфигурации ПЭВМ требуемой;


11

− копирует (рис 2.5) необходимые для работы комплекса файлы на жесткий диск ПЭВМ в каталог «C:\GNG» и каталог эталонной копии (каталог комплекса имеет фиксированное имя и его переименование или изменение структуры подкаталогов не допускается);

Рис.2.5 Окно с информацией о ходе установки

− проверяет наличие необходимых полномочий у текущего пользователя; − выполняет настройку привилегий пользователей в соответствии с реализуемой

комплексом политикой безопасности (ПБ); − удаляет все группы пользователей, кроме встроенных; − удаляет все учетные записи пользователей, кроме учетной записи системного

администратора (“admin”) и “Гость” (при этом учетная запись “Гость” отключается);

− создает служебные группы пользователей комплекса «Гриф», добавляет в них системного администратора (“admin”).

После этого программа установки совершает выход из текущего сеанса пользователя.

• Для продолжения процесса установки необходимо заново войти в ОС под учетной записью системного администратора (“admin”). После успешного входа в ОС начнется второй этап установки комплекса «Гриф»:

− после проверки наличия необходимых привилегий, целостности пакета установки и параметров конфигурации ОС программа установки выдает запрос пароля для системного администратора (рис.2.6), в ответ на который необходимо установить носитель данных аутентификации (для системного администратора рекомендуется использовать Touch Memory), ввести (и подтвердить) пароль. После этого программа установки сгенерирует и запишет на носитель данных аутентификации необходимую информацию аутентификации. Запись информации аутентификации на Touch Memory занимает около 10-40 секунд.

Рис.2.6 Окно запроса пароля системного администратора


12

F комплекс поддерживает хранение данных аутентификации нескольких пользователей на одном носителе (сменном диске или Touch Memory). При этом, не рекомендуется хранить на одном носителе данные аутентификации пользователей (администраторов) разных рабочих станций, в частности потому, что в процессе инсталляции при использовании полностью заполненного носителя последняя запись на нем будет замещена без предупреждения.

F Для хранения данных аутентификации системного администратора рекомендуется использовать Touch Memory, как более надежный носитель.

F При задании пароля системного администратора необходимо уделить особое внимание выбору стойкого (качественного) пароля (см.«Правила выбора пароля» в Руководстве по эксплуатации или Руководстве пользователя). − программа установки выполняет начальную инициализацию комплекса «Гриф» и

настройку ПБ ОС в соответствии с требованиями ПБ комплекса (рис.2.7). Настройка политики безопасности может занять значительное время (до 20 минут). Начальное состояние системы и содержимое каталогов комплекса после инсталляции описано в следующих двух пунктах и Приложении 1;

− на завершающем этапе выполняется перезагрузка ОС.

Рис.2.7 Окно с информацией о ходе инициализации комплекса

2.2.1 Первая загрузка ОС

Подробно процесс загрузки ОС описан в разделе «Начало и завершение работы» Руководства по эксплуатации и Руководства пользователя и отличается от привычного только внешним видом окон и тем, что кроме ввода имени и пароля пользователя ему необходимо предъявить свой носитель данных аутентификации.

Идентификация и аутентификация пользователя при входе в ОС осуществляется Интерфейсный модулем аутентификации. После загрузки ОС на экране должно появиться окно Интерфейсного модуля аутентификации с приглашением нажать комбинацию клавиш <Ctrl-Alt-Del>. После нажатия указанной комбинации клавиш появится окно ввода атрибутов пользователя Интерфейсного модуля аутентификации (рис. 2.8, 2.9).

В данном окне следует ввести свое имя и пароль (сохраняя регистр всех символов), после чего вставить носитель данных аутентификации (дискету, флеш-диск или Touch Memory) и нажать кнопку подтверждения.


13

Рис.2.8.Окно ввода атрибутов пользователя Интерфейсного модуля аутентификации (Windows XP)

Рис.2.9. Окно ввода атрибутов пользователя Интерфейсного модуля аутентификации (Windows Vista, Windows Server 2008 и Windows 7)

В случае ввода корректной информации и успешной установке комплекса на экране появится окно уведомления (рис.2.10).


14

Рис.2.10. Окно уведомления об успешной установке

В дальнейшем все операции по настройке комплекса выполняются с помощью программы GLARMRA.EXE имеющими соответствующие полномочия администраторами и описаны ниже.

F Внимание! При первом после инсталляции сеансе работы в программе АРМ администратора КСЗ нельзя выполнять проверку целостности БД КСЗ (использовать пункт меню «Система | Проверка целостности БД»).

2.2.2 Начальное состояние системы

Непосредственно после установки начальное состояние системы следующее:

• В ОС зарегистрированы две учетные записи пользователей: «Гость» и системного администратора (“admin”). При этом учетная запись «Гость» отключена и вход под ней в ОС невозможен. В КСЗ пользователю «Гость» автоматически назначается условный уровень допуска «Не зарегистрирован в КСЗ», что соответствует отсутствию каких-либо полномочий по доступу к ПЭВМ и защищенным ресурсам. Системному администратору КСЗ по умолчанию присваиваются следующие атрибуты:

− группа пользователей комплекса – «Администраторы КСЗ»; − не установлены административные полномочия по управлению информационными

ресурсами и регистрации защищенных носителей; − допуск – «Конфиденциальная информация»; − срок действия учетной записи – не ограничен; − режим входа – «Интерактивный»; − экспорт информации на все сменные носители разрешен; − время входа в систему – круглосуточно семь дней в неделю;

• В ОС зарегистрированы следующие встроенные группы пользователей: − «Администраторы»; − «Гости»; − «Опытные пользователи»; − «Пользователи».

• Дополнительно зарегистрированы служебные группы, созданные программой установки:

− «G2KImport»; − «G2KExport»; − «G2KPrint»; − «G2KRegistry».


15

• Единственным членом групп «Администраторы», «Пользователи», «G2KImport», «G2KExport», «G2KPrint», «G2KRegistry» является системный администратор.

• Настройки доступа к ресурсам: − доступ по администрированию к принтерам разрешен для группы

«Администраторы», для печати – для группы «G2KPrint», но выполнять операции печати можно только с помощью утилиты комплекса;

− доступ к устройствам импорта/экспорта (сменным носителям) разрешен по чтению – членам группы «G2KImport», по чтению/записи – членам группы «G2KExport», но выполнять операции экспорта (записи на сменным носители) можно только с помощью утилиты GMExport;

− доступ по модификации к ветвям реестра, отвечающим за безопасность и содержащим настроечные параметры комплекса «Гриф» разрешен явно для учетной записи «System» и членов группы «G2KRegistry» (в некоторых случаях только для системного администратора), а по чтению для членов группы «Все»;

− доступ к каталогу установки комплекса «Гриф» по чтению разрешен для членов группы «Все», а по модификации – для учетной записи «Local System» и членов группы «G2KRegistry»;

− доступ к системному каталогу ОС Windows (%Windir%, %SystemRoot%), к каталогу «Program files» а также к системным ветвям реестра соответствует ПБ стандартного шаблона безопасности “securews.inf”, который входит в комплект поставки Windows и соответствует уровню безопасности Windows «Защита», за исключением того, что доступ по чтению разрешен для группы «Все»;

− доступ ко всем остальным каталогам по чтению разрешен для группы «Все», а по модификации – для группы «Пользователи».

• Состояние настроек ПБ ОС соответствует ПБ стандартного шаблона безопасности “securews.inf” и приведено в Приложении 1.

2.2.3 Структура и содержание каталогов комплекса после инсталляции

Структура каталогов комплекса следующая:

C:\GNG\ – каталог установки основных модулей комплекса «Гриф» AUDITLOG\ – подкаталог данных аудита GRIF_DB \ – подкаталог БД КСЗ Recover\ – подкаталог модуля восстановления RegBack\ – подкаталог резервной копии БД безопасности UPDATE\ – подкаталог для обновления ПО КСЗ

В каталог C:\GNG\ помещаются исполняемые файлы и динамические библиотеки, файлы шаблонов безопасности, файл базы данных безопасности ОС (Grif.sdb), а также файлы параметров конфигурации. Содержимое каталога комплекса (и его подкаталогов) может меняться в зависимости от версии комплекса, но основные файлы, которые в нем находятся следующие:

− armg2k.ini, Grif.imm– файлы параметров конфигурации; − GLARMRA.exe – программа АРМ администратора КСЗ; − auditlog.dll, auditlog60.dll, gmsupp.dll, gncat.dll, ntdsmir.dll, savedat.dll – модули

сохраненния данных аудита;


16

− grifХХlocal.inf (где ХХ – число, равное: 51 – для ОС Windows XP, 60 – для ОС Windows Vista и Windows Server 2008, 61 – для ОС Windows 7), Grif.sdb, Grifpol.inf – сценарий установки, база данных и шаблон политики безопасности, применяемые при установке;

− GrifFullPol.log и GrifUserPriv.log – протоколы применения шаблона политики безопасности;

− GM2ArmEV.exe – программа АРМ анализа данных аудита; − GMExport.exe, GMPrint.exe, GMShExt.dll – модули поддержки экспорта и печати; − grifsrv.exe, grif_ser.exe, cbutil.exe – резидентные модуля пользовательского режима; − license.txt – файл лицензионного соглашения; − nnnn_ri.txt – файл с регистрационной информацией; − log2krus.dll – динамическая библиотека с ресурсами для сообщений протокола

аудита. − setup.exe – программа установки и деинсталляции.

В подкаталоге Recover\ находятся следующие основные файлы:

− GrifХХon.sys – драйвер, используемый для аутентификации пользователей при запуске модуля восстановления целостности (где ХХ – число, равное: 51 – для ОС Windows XP, 60 – для ОС Windows Vista и Windows Server 2008, 61 – для ОС Windows 7);

− RecoverХХ.imm – файл параметров конфигурации модуля восстановления целостности (где ХХ – число, равное: 51 – для ОС Windows XP, 60 – для ОС Windows Vista и Windows Server 2008, 61 – для ОС Windows 7);

− RecoverDLL.dll – модуль восстановления целостности; − ResetTM.exe – утилита просмотра содержимого и очистки устройств TouchMemory.

В подкаталоге GRIF_DB\ находятся следующие основные файлы:

− SecLev.dat – файл БД уровней конфиденциальности; − Grifdb.imm – файл имитовставок базы данных.

Драйвер grifХХromi.sys (где ХХ – число, равное: 51 – для ОС Windows XP, 60 – для ОС Windows Vista и Windows Server 2008, 61 – для ОС Windows 7), реализующий функции контроля запросов доступа к ресурсам, помещается в каталог %SystemRoot%\System32\drivers.

Интерфейсный модуль аутентификации пользователя GLGina.dll (для Windows XP) и GLCP.dll (для остальных поддерживаемых ОС) помещается в каталог %SystemRoot%\System32.


17

3 ЭКСПЛУАТАЦИЯ

3.1 СОЗДАНИЕ УЧЕТНЫХ ЗАПИСЕЙ АДМИНИСТРАТОРОВ

Регистрация учетных записей администраторов выполняется в таком порядке:

• в процессе инсталляции регистрируется учетная запись системного администратора; • системный администратор регистрирует учетную запись администратора

безопасности (системный администратор может создать сколько угодно учетных записей, но активизировать может единственную учетную запись администратора безопасности – учетные записи других администраторов могут быть активизированы только уже существующим администратором безопасности, а обычных пользователей – администратором безопасности или администратором КСЗ);

• системный администратор регистрирует учетные записи администратора(ов) КСЗ; • администратор безопасности активизирует учетные записи администратора(ов) КСЗ; • администраторы КСЗ создают необходимые учетные записи пользователей,

регистрируют защищенные каталоги и выполняют другие необходимые действия.

Непосредственно после инсталляции в процессе первоначальной настройки системы системный администратор может самостоятельно выполнить описанные выше действия, используя соответствующие роли администраторов, а затем передать носители данных аутентификации и пароли сотрудникам, исполняющим обязанности администраторов безопасности и КСЗ (которые обязаны при первом же входе в систему сменить пароли).

Как создавать и редактировать атрибуты пользователей, подробно описано в Руководстве администратора КСЗ. Ниже приведено краткое описание процедуры регистрации пользователей.

Для входа в режим управления базой данных пользователей служит пункт «Вид | Пользователи» главного меню программы АРМ администратора КСЗ. После выбора данного пункта или соответствующей пиктограммы на панели инструментов активизируется окно браузера «Учетные записи пользователей» (рис.3.1).

Для регистрации нового пользователя необходимо нажать кнопку [Добавить], после чего в закладке «Общие» можно задать необходимые атрибуты нового пользователя.

В закладке «Общие» необходимо задать имя администратора, группу (Администраторы безопасности или Администраторы КСЗ), а также уровень допуска.


18

Рис.3.1. Учетные записи пользователей. Основные атрибуты

После задания основных атрибутов можно перейти на закладку «Права и ограничения» (рис.3.2). В закладке «Права и ограничения» необходимо задать полномочия импорта/экспорта и для администраторов КСЗ – «Административные права».


19

Рис.3.2. Учетные записи пользователей. Права и ограничения

После ввода всех необходимых атрибутов следует сгенерировать информацию аутентификации пользователя. Для этого необходимо нажать кнопку [Генерация], после чего появится диалог ввода (и подтверждения) пароля (рис.3.3).

Рис.3.3. Диалог ввода пароля

Необходимо выбрать тип носителя данных аутентификации, на который будет сохранена информация аутентификации пользователя, ввести (и подтвердить) новый пароль, после чего подключить носитель данных аутентификации пользователя и нажать кнопку [Подтвердить]. Программа сгенерирует новую информацию аутентификации пользователя и занесет ее в БД и на носитель данных аутентификации.


20

3.2 УПРАВЛЕНИЕ ПРОГРАММНОЙ СРЕДОЙ

3.2.1 Отключение ненужных служб ОС

С целью снижения риска нарушения принятой ПБ должен быть минимизирован состав системных служб ОС (системных сервисов). Должны использоваться только те системные службы, без которых невозможно решение прикладных задач.

После инсталляции коплекса системный администратор должен отключить (а администратор безопасности это проконтролировать) такие системные службы:

• DHCP-клиент; • NetMeeting Remote Desktop Sharing; • Telnet; • Server; • Автоматическое обновление; • Беспроводная конфигурация; • Диспетчер автоподключений удаленного доступа; • Диспетчер подключений удаленного доступа; • Маршрутизация и удаленный доступ; • Общий доступ к подключению Интернет; • Сервер папки обмена; • Служба удаленного управления реестром.

Рекомендуется также отключить следующие службы:

• Сетевые службы (DNS-клиент, Подключения, DDE, NLA, IPSec, Обозреватель компьютеров, Поставщик поддержки безопасности NTLM, QoS RSVP, Служба терминалов, Веб-клиент);

• Доступ к HID-устройствам; • Оповещатель; • Планировщик заданий; • Служба COM записи компакт-дисков; • Служба индексирования; • Служба сообщений; • Служба факсов и телефония; • Совместимость быстрого переключения пользователей; • Фоновая интеллектуальная служба передачи.

Отключение системных служб осуществляется через оснастку панели управления “Службы” (Панель управления | Администрирование | Службы) следующим образом (рис. 3.4):

• в перечне выбирается ненужная служба; • служба останавливается; • открывается диалог “Свойства”; • в списке “Тип запуска” выбирается “Отключено”.


21

Рис.3.4. Оснастка панели управления “Службы”

Служба Server, которая обеспечивает совместное использование ресурсов РС (если она была включена), должна быть удалена в диалоге “Панель управления | Центр управления сетями и общим доступом | Подключение по локальной сети | Свойства” (рис.3.5).

Рис.3.5. Отключение совместного использования ресурсов РС


22

3.2.2 Контроль целостности программного обеспечения

Использование контроля целостности ПО позволяет обезопасить среду обработки ИсОД. Контроль целостности ПО и управление перечнем разрешенных к запуску программ осуществляется администратором КСЗ.

При использовании контроля целостности ПО следует учитывать следующее:

• невозможность загрузки какой-либо критичной программы (например, компонента ОС) вследствие нарушения или невозможности проверки ее целостности (отсутствия поля контроля целостности) может привести к невозможности загрузки ОС;

• очистка поля контроля целостности приводит к невозможности использования программы;

• установка / снятие защиты с каталога, в котором находятся программы, для которых рассчитаны ККЦ, приводит к очистке полей контроля целостности и, как следствие, к невозможности использования этих программ.

В случае если после включения режима контроля целостности ПО процесс загрузки ОС будет прерван из-за блокировки загрузки какой-либо критичной программы, требуется вмешательство системного администратора, который должен:

• загрузить ОС в безопасном режиме; • загрузить программу АРМ администратора КСЗ и выбрать пункт «Вид | Контроль

ПО» главного меню программы АРМ администратора КСЗ или соответствующую пиктограмму на панели инструментов в результате чего активизируется окно браузера «Контроль ПО» (рис.3.6);

• отключить контроль целостности ПО, для чего нажать кнопку [Контроль ПО] в нижней части окна

• перезагрузить ОС; • выполнить, при необходимости, работы по восстановлению ПО.

После этого, администратор КСЗ должен зарегистрировать дополнительное (обновленное) ПО и заново включить контроль целостности ПО.


23

Рис.3.6. Отключение контроля целостности ПО

3.2.3 Инсталляция прикладного ПО

Хотя инсталляцию прикладного ПО рекомендуется производить до установки комплекса, большинство программных продуктов может быть установлено и после установки комплекса.

Исключение составляют продукты, для инсталляции которых необходимы дополнительные привилегии (кроме принадлежности к группе ОС «Администраторы»), а таже продукты, которые требуют создания определенных пользователей и групп.

После установки комплекса могут иметь место проблемы с инсталляцией прикладного ПО (например, MS Office) с использованием MS Installer. Об этом свидетельствуют сообщения типа «Невозможно установить права на файл Config.msi». Для отстройки от данной ситуации администратор КСЗ, обладающий правами управления информационными ресурсами, должен войти в ОС, создать на системном диске каталог Config.msi, загрузить программу АРМ администратора КСЗ и выполнить следующее:

• установить защиту на каталог Config.msi (с любым уровнем конфиденциальности); • снять защиту с каталога Config.msi.


24

3.3 ПРОВЕРКА И ВОССТАНОВЛЕНИЕ ЦЕЛОСТНОСТИ

3.3.1 Проверка и восстановление целостности ПО КСЗ

Проверка целостности ПО КСЗ может быть осуществлена системным администратором в любое время, а не только в процессе загрузки ОС. Для этого служит пункт меню "Система | Проверка целостности КСЗ". При выборе данного пункта меню программа АРМ проверяет целостность ПО КСЗ и выдает соответствующее сообщение («Целостность нарушена» или «Целостность не нарушена»). В случае если обнаружено нарушение целостности ПО КСЗ, программа АРМ выполняет перезагрузку ОС. После перезагрузки ОС будет запущен модуль восстановления целостности КСЗ (рис.3.7).

Рис.3.7. Модуль восстановления целостности

Для того чтобы выполнить восстановление целостности, необходимо ввести имя и пароль системного администратора и нажать кнопку [Подтвердить]. После этого следует выбрать каталог, в котором находится эталонная копия (по умолчанию предлагается каталог эталонной копии, выбранный при инсталляции).

Модуль восстановления целостности проверит соответствие текущих файлов ПО КСЗ эталону и восстанавит требуемые файлы. Ход процесса восстановления целостности отображается в окне модуля (рис.3.8).

Рис.3.8. Протокол восстановления целостности


25

3.3.2 Проверка и восстановление целостности БД КСЗ

Ведение резервной копии БД КСЗ реализовано с целью обеспечения возможности восстановления состояния комплекса после его переинсталляции (в случае нарушения целостности и т.п.). Сохранение резервной копии БД производится автоматически при выходе из программы АРМ администратора КСЗ.

Проверка целостности БД КСЗ может быть осуществлена системным администратором в любое время, а не только в процессе загрузки ОС. Для этого служит пункт меню "Система | Проверка целостности БД КСЗ". При выборе данного пункта меню программа АРМ проверяет целостность БД КСЗ и выдает соответствующее сообщение («Целостность нарушена» или «Целостность не нарушена»).

F Обратите внимание, что данную функцию нельзя использовать при первом после инсталляции сеансе работы в программе АРМ администратора КСЗ.

В случае если обнаружено нарушение целостности БД КСЗ, программа АРМ выполняет перезагрузку ОС. После перезагрузки ОС будет запущен модуль восстановления целостности БД КСЗ (рис.3.7).

Для того чтобы выполнить восстановление целостности, необходимо ввести имя и пароль системного администратора и нажать кнопку [Подтвердить]. Ход процесса восстановления целостности отображается в окне модуля (рис.3.8).

3.3.3 Обновление ПО КСЗ

Комплекс «Гриф» позволяет системному администратору в любое время выполнить обновление ПО КСЗ (upgrade). Для этого служит пункт меню "Система | Обновление ПО КСЗ" программы АРМ администратора КСЗ. При выборе данного пункта меню программа АРМ запрашивает имя каталога, в котором находится новая версия ПО. После выбора каталога программа АРМ выполняет перезагрузку ОС. После перезагрузки ОС будет запущен модуль обновления ПО КСЗ (рис.3.9).

Рис.3.9. Модуль обновления ПО

Для того чтобы выполнить обновление, необходимо ввести имя и пароль системного администратора и нажать кнопку [Подтвердить]. Модуль обновления ПО КСЗ проверит соответствие текущих файлов ПО КСЗ и новой версии и обновит требуемые файлы. Ход процесса обновления отображается в окне модуля (рис.3.10).


26

Рис.3.10. Протокол обновления ПО

В процессе обновления ПО КСЗ обновляется также эталонная копия ПО (если доступен каталог с эталонной копией). При этом текущее содержимое эталона сохраняется в подкаталоге с именем YYYYMMDD_HHMMSS.bak, где «YYYYMMDD» и «HHMMSS» – дата (год, месяц, число) и время обновления (часы, минуты, секунды), соответственно.

3.3.4 Временное отключение/ включение средств защиты

В процессе штатной эксплуатации комплекса «Гриф» системному администратору может понадобиться временно отключить средства защиты комплекса для установки необходимого прикладного ПО сторонних разработчиков, установить которое при работающем комплексе невозможно из-за накладываемых комплексом на работу ОС ограничений. Комплекс позволяет системному администратору в безопасном режиме работы ОС выполнить отключение/включение средств защиты комплекса. Для этого служит пункт меню "Система | Отключить/Включить защиту", который появляется в меню программы АРМ администратора КСЗ только при запуске в безопасном режиме работы ОС.

После отключения защиты комплекса необходимо:

- перезагрузить ОС;

- войти в штатном режиме работы ОС с использованием псевдонима и пароля системного администратора;

- установить прикладное ПО;

- перезагрузить ОС;

- войти в безопасном режиме работы ОС с использованием псевдонима и пароля системного администратора;

- запустить программу АРМ администратора КСЗ и включить защиту;

- перезагрузить ОС.


27

Перед установкой прикладного ПО в этом режиме рекомендуется проконсультироваться с разработчиками комплекса «Гриф», является ли допустимой установка данного прикладного ПО.

F Внимание! Временное отключение средств защиты с должно выполняться с разрешения администратора безопасности. Все работы при отключенных средствах защиты должны выполняться системным администратором под контролем админатора безопасности.

3.4 ОТСТРОЙКА ОТ ОШИБОК

3.4.1 Общие замечания

Проблемы, возникающие при эксплуатации комплекса «Гриф», можно условно разделить на следующие группы:

• проблемы при установке ПО; • проблемы при входе пользователя в ОС; • ошибки при работе со средствами администрирования КСЗ; • конфликты с прикладным ПО;

− конфликты, вызванные отсутствием прав доступа у пользователей; − конфликты, вызванные недостатком полномочий администраторов;

• сбои системы (зависание или блокировка ОС).

В данном руководстве подробно рассмотрены проблемы, которые могут возникнуть при установке комплекса.

3.4.2 Проблемы при установке комплекса

Если в процессе установки возникли проблемы, то может потребоваться прервать работу программы установки, устранить причину конфликта и запустить программу установки заново. Если при этом появляются сообщения об ошибках № -401, -405, -406, то необходимо (например, с помощью утилиты Regedit) удалить раздел реестра HKEY_LOCAL_MASHINE\System\СurrentControlSet\Services\GRIFON, перезагрузить ОС и заново запустить программу установки Setup.exe из каталога C:\GNGInst.

В случае необходимости отмены (отката) установки делайте это только штатным образом: загрузив систему в качестве системного администратора, запустите из каталога C:\GNG программу Setup.exe с ключом /Uninstall, которая удалит ПО комплекса и восстановит стандартные средства администрирования ОС.

Если перед установкой комплекса не выполнены требования, описанные в п.п. 2.1, 2.2, то программа установки выдаст соответствующие предупреждения.

Более неоднозначные ситуации рассмотрены ниже.

1. Сообщения об ошибках копирования или создания файлов могут сообщать о том, что неверно заданы имена каталогов, которые используются при инсталляции, или на них установлены неверные права. Таких каталогов 3:

• промежуточный каталог инсталляции – не выбирается и должен иметь имя C:\GNGInst;


28

• целевой каталог – не выбирается и должен иметь имя C:\GNG; • каталог резервной копии – должен существовать и иметь имя, отличное от имен

промежуточного каталога инсталляции, целевого каталога и каталога ОС.

Если выполняется повторная установка комплекса, каталог C:\GNG может уже существовать, но администратор может не иметь к нему доступа. В этом случае следует с использованием стандартных средств ОС (закладка «Безопасность» диалога «Свойства» Проводника) или утилит третьих фирм предоставить администратору доступ к данному каталогу и находящимся в нем файлам.

2. Если в процессе установки появляется сообщения об ошибке № -412 (ошибка получения идентификатора РС), ошибке № -418 (ошибка получения идентификатора тома) либо расширенное сообщение об ошибке следующего содержания «Ошибка определения серийного номера диска C:. Проверьте выполнение требований к структуре диска», убедитесь, что:

• в качестве первого жесткого диска (Primary Master) у вас установлен IDE (ATA, SATA) диск;

• загрузочный раздел жесткого диска является первым разделом на первом жестком диске;

• не установлены средства мультивариантной загрузки;

При получении таких сообщений следует:

• прервать инсталляцию; • внести соответствующие изменения в конфигурацию программно-аппаратных

средств; • удалить (если он присутствует) раздел реестра HKEY_LOCAL_MASHINE\

System\СurrentControlSet\Services\GRIFON; • перегрузить ОС; • заново запустить программу установки Setup.exe из каталога C:\GNGInst.

3. На втором шаге инсталляции при применении политики безопасности может быть получено такое сообщение:

Ошибка № -817. Ошибка применения политики безопасности. Вероятно на некоторые файлы или разделы реестра установлены недопустимые права доступа. Подробности см. в файле C:\GNG\GNGFullPol.log. Рекомендуем прервать инсталляцию и обратиться к разработчику комплекса Причина скорее всего заключается в том, что права доступа, установленные на

определенных каталогах или разделах реестра, препятствуют установки прав, принятых по умолчанию в комплекса «Гриф». В этом случае можно придерживаться такого порядка действий:

1) Поскольку на данный момент практически все операции по установке закончены можно не прерывать инсталляцию (ничего не отвечать на запрос программы) до выяснения причин.

2) Просмотреть файл журнала C:\GNG\GNGFullPol.log, который создается используемым при установке редактором политики безопасности ОС, и определить причину проблемы. Следует заметить, что вместо имени, например, каталога, который вызвал проблему, в данном файле может быть указано имя «соседнего» каталога.


29

3) Если это каталог с пользовательскими данными, можете продолжить инсталляцию, а уже после инсталляции администратор КСЗ с помощью программы АРМ администратора КСЗ сможет установить на данный каталог защиту (и/или снять ее).

4) Если это системный каталог или раздел реестра, лучше прервать инсталляцию и переустановить ОС, а затем заново установить комплекс.

5) Если это каталог или раздел реестра какого-то приложения – можно выбрать как метод из п.4 так и из п.3.

В разделе «Отстройка от ошибок» Руководства администратора КСЗ в табл.4.1 приведен перечень сообщений об ошибках, которые выдаются интерактивными средствами комплекса. Ниже в табл.3.1 приведен перечень сообщений, характерных только для программы установки.

Таблица 3.1. Коды ошибок и сообщения программы установки.

Код Сообщение Примечания

-801 Текущий пользователь не является Администратором

Вы вошли в систему не под встроенной учетной записью «Администратор»

-802 Неверная версия ОС Выполняется попытка установки комплекса на неподдерживаемую версию ОС Windows

-803 Не соблюдены требования относительно файловой системы

Диск С: или диск, на который установлена ОС не размечены в NTFS

-804 ОС не установлена в корне диска

-805 Неверные настройки сети

-806 Ошибка установки файлов из секции <имя секции> inf-файла

-807 Ошибка копирования файла См. «Проблемы при установке ПО КСЗ»

-808 Ошибка записи в реестр

-809 Ошибка настроек привилегий пользователей

См. файл C:\GNG\GNGUserPriv.log

-810 Ошибка получения списка пользователей

-811 Ошибка отключения записи пользователя

-812 Ошибка удаления записи пользователя

-813 Ошибка получения списка групп

-814 Ошибка удаления группы пользователей

-815 Ошибка создания группы пользователей


30

Код Сообщение Примечания

-816 Ошибка удаления из реестра

-817 Ошибка применения политики безопасности

См. «Проблемы при установке ПО КСЗ»

-818 Ошибка добавления Администратора в группу

Имя администратора совпадает с именем РС

Перечень наиболее распространенных проблем и рекомендаций по их решению сведены в табл.3.2, приведенную ниже в разделе «Распространенные проблемы».

3.4.3 Проблемы при входе пользователя в ОС

Как уже упоминалось невозможность входа пользователя в ОС (при корректном вводе имени и пароля, и наличии носителя данных аутентификации) может быть вызвана следующими причинами:

• переполнены протоколы аудита и пользователь не является администратором (ошибка № -110);

• учетная запись пользователя заблокирована; • пользователь пытается войти в неразрешенные для него дни недели или время суток.

Более серьезную проблему представляют невозможность загрузить ОС администратором, например, в результате утери или порчи носителя или невозможности загрузки системного ПО при включенном контроле целостности ПО. Системный администратор всегда имеет возможность загрузить ОС в безопасном режиме без носителя данных аутентфиикации. Для этого необходимо выбрать после нажатия клавиши F8 загрузку в безопасном режиме и ввести свое имя и пароль в ответ на приглашение Windows.

3.4.4 Конфликты с прикладным ПО

Конфликты с прикладным ПО следует устранять путем подбора подходящих параметров настройки данного ПО или КСЗ.

В случае если конфликты вызваны отсутствием у пользователя необходимых полномочий (о чем свидетельствуют соответствующие сообщения или записи в протоколах аудита), то пользователю следует обратиться к администратору, который может предоставить соответствующие полномочия (если это не противоречит действующей ПБ) и тем самым устранить конфликт.

Если суть конфликта заключается в том, что администратор не может использовать определенные утилиты администрирования производства третьих фирм, то скорее всего конфликт вызван тем, что комплекс «отбирает» административные привилегии у программ, которые могут нарушить установленную комплексом политику безопасности. Это происходит даже в сеансе работы администратора. Такое ПО не должно использоваться.


31

После установки комплекса могут иметь место проблемы с инсталляцией прикладного ПО (например, MS Office) с использованием MS Installer. Об этом свидетельствуют сообщения типа «Невозможно установить права на файл Config.msi». Для отстройки от данной ситуации администратор КСЗ, обладающий правами управления информационными ресурсами, должен войти в ОС, создать на системном диске каталог Config.msi, загрузить программу АРМ и выполнить следующее:

• установить защиту на каталог Config.msi (с любым уровнем конфиденциальности); • снять защиту с каталога Config.msi (перегружаться не надо).

3.4.5 Ошибки при работе со средствами администрирования КСЗ

Вообще говоря, такие ошибки возникать не должны (ошибки работы с интерфейсом, как то: ввод не в том регистре, «забывчивость» по отношению к кнопкам [Сохранить] и [Отмена] и т.п., здесь не рассматриваются). Ошибки из диапазона -600 – -799, сообщения о которых выдаются при работе с программой АРМ администратора КСЗ, свидетельствуют о серьезных проблемах с БД КСЗ. В таких случаях может потребоваться восстановление БД из резервной копии.

В Руководстве администратора КСЗ в табл.4.1 раздела «Отстройка от ошибок» приведен перечень сообщений об ошибках, которые выдаются интерактивными средствами комплекса. Сообщения об ошибках резидентных модулей фиксируются в протоколах аудита и их перечень приведен в Руководстве администратора КСЗ в разделе «События, регистрируемые КСЗ».


32

3.4.6 Распространенные проблемы

Перечень наиболее распространенных проблем и рекомендаций по их решению приведены в табл.3.2.

Таблица 3.2. Перечень известных сбойных ситуаций.

№ Проявление Причина Рекомендации

1 В процессе инсталляции после первой перезагрузки выдается сообщение об ошибке создания (№ -406) или загрузки (№ -401, -405) вспомогательного сервиса Grifon.sys и процесс инсталляции завершается

Сбой в процессе установки

Удалите раздел реестра HKEY_LOCAL_MASHINE\ System\СurrentControlSet\ Services\GRIFON с использованием утилиты Regedit, перезагрузите ОС и запустите программу установки C:\GNGinst\Setup.exe заново

2 В процессе инсталляции выдается сообщение об ошибке № -412 – невозможно получить идентификатор РС

В качестве первого жесткого диска установлен не IDE диск.

Перезагрузите ОС, установите в Setup BIOS в качестве первого жесткого диска (Primary Master) IDE (ATA, SATA) диск и запустите программу установки C:\GNGinst\Setup.exe заново

3 В процессе инсталляции выдается сообщение об ошибке № -418 – невозможно получить идентификатор тома

Загрузочный раздел не является первым на жестком диске или имеет другое имя (не С:)

Приведите структуру диска в соответствие. Может понадобиться переформатирование или изменение параметров контроллера жесткого диска в Setup BIOS

4 В процессе инсталляции выдается сообщение об ошибке № -817 – ошибка применения политики безопасности

Нет доступа к определенным файлам или разделам реестра

См. Руководство системного администратора пункт «Проблемы при установке комплекса»

5 После перезагрузки ОС сразу после инсталляции выдается сообщение о невозможности загрузки Интерфейсного модуля аутентификации или загружается стандартный модуль начальной аутентификации ОС

Сбой в процессе установки, возможно, вызванный тем, что не были отключены антивирусные средства, функционирующие в режиме непрерывного мониторинга

Перезагрузите ОС и запустите программу установки заново либо деинсталлируйте комплекс и повторите установку, отключив предварительно антивирусные средства, функционирующие в режиме непрерывного мониторинга


33


6 При инсталляции прикладного ПО с использованием MS Installer выдается сообщение типа «Невозможно установить права на файл Config.msi»

Конфликт с MS Installer Создайте на системном диске каталог Config.msi, установите на него защиту (с любым уровнем конфиденциальности) и затем снимите с него защиту. Повторите инсталляцию.

7 При инсталляции прикладного ПО выдается сообщение об ошибке и невозможности продолжить процесс инсталяции

Конфликт со средствами инсталляции из-за накладываемых комплексом на работу ОС ограничений

Временно отключите средства защиты (см. Руководство системного администратора пункт «Временное отключение/ включение средств защиты»). Повторите инсталляцию, после чего включите средства защиты (см. Руководство системного администратора пункт «Временное отключение/ включение средств защиты»).

8 Не запускается прикладная программа

1) Включен контроль целостности ПО, а программа не включена в перечень разрешенных или ее целостность нарушена 2) У пользователя нет прав на чтение файлов / запуск программ в данном каталоге

1) Убедитесь, что целостность программы не нарушена и включите ее в перечень разрешенных к запуску (рассчитайте ККЦ или укажите только размер) 2) Предоставить пользователю соответствующие права


34


9 Прикладная программа не может открыть файл в защищенном каталоге

1) У пользователя нет прав на чтение / редактирование файлов в данном каталоге 2) Каталог входит в ТС, а программа нет 3) Программа после открытия файла в защищенном каталоге открывает для записи файл в открытом каталоге, нарушая тем самым политику управления потоками (например, MS Word создает временный файл в каталоге %TMP%)

1) Предоставить пользователю соответствующие права; 2) Включить каталог, в котором находится программа в ту же ТС, что и каталог с данными; 3.1) Настроить приложение должным образом, например, указав, что временные файлы следует создавать в текущем или другом каталоге того же уровня конфиденциальности; 3.2) При установке защиты на каталог данных необходимо указать, что по отношению к данному каталогу не следует включать управление потоками (данное решение потенциально может привести к утечке информации)

10 Прикладная программа не может удалить файл в защищенном каталоге

Имеет место не удаление, а переименование файла в «корзину»

Установите в свойствах «корзины» и/или прикладной программы необходимость удаления файла без помещения в «корзину»

11 Не удается распечатать файл

Не определен текущий принтер

Выберите принтер в диалоге «Печать» приложения

12 При записи данных аутентификации пользователя на носитель (сменный диск) выдается сообщение об ошибке № -403 – ошибка записи данных аутентификации на носитель

Неисправный носитель или настройки используемой программы-антивируса блокируют запись на сменные носители

Замените носитель, измените настройки используемой программы-антивируса (отключите ее) и повторите операцию

Если у вас возникли проблемы, которые здесь не описаны и/или вы не можете решить их самостоятельно, обратитесь к разработчику комплекса. Координаты приведены в начале руководства. Будем вам признательны, если по каждой обнаруженной проблеме вы составите отдельный отчет в соответствии с формой, приведенной в Приложении 1 Руководства по эксплуатации, и направите составленные отчеты по почте или e-mail.


35

3.5 ДЕИНСТАЛЛЯЦИЯ КОМПЛЕКСА

Для деинсталляции комплекса необходимо:

• войти в ОС под учетной записью системного администратора; • запустить из каталога C:\GNG программу Setup.exe с ключом /Uninstall (рис 3.11),

которая удалит ПО КСЗ и восстановит стандартные средства администрирования ОС.

Рис.3.11. Деинсталляция комплекса.

После перезагрузки администратор может самостоятельно установить необходимые настройки и права доступа с использованием стандартных средств администрирования ОС (закладка «Безопасность» диалога «Свойства» Проводника) или утилит третьих фирм. В частности, это касается каталогов, на которые была установлена защита, и каталога комплекса (C:\GNG), права на котором могут быть не очищены при деинсталляции. При использовании стандартного диалога «Безопасность» перед установкой прав может понадобится предварительно «захватить» каталог во владение.


36

ПРИЛОЖЕНИЕ 1. НАСТРОЙКИ ПОЛИТИКИ БЕЗОПАСНОСТИ ОС ПОСЛЕ ИНСТАЛЛЯЦИИ КОМПЛЕКСА

Политики учетных записей:

• политика паролей:

Параметр Значение Макс. срок действия пароля Не задан Мин. длина пароля 6 символов Мин. срок действия пароля Не задан Пароли должны отвечать требованиям сложности Отключен Требовать неповторяемость паролей Не задан Хранить пароли всех пользователей в домене, используя обратимое шифрование

Отключен

• политика блокировки учетной записи:

Параметр Значение Блокировка учетной записи 0 Пороговое значение блокировки 5 ошибок входа в систему Сброс счетчика блокировок через 30 минут

Локальные политики:

• политика аудита:

Параметр Значение Аудит управления учетными записями Успех, Отказ Аудит событий входа в систему Успех, Отказ Аудит системных событий Успех, Отказ Аудит отслеживания процессов Успех Аудит использования привилегий Отказ Аудит изменения политики Успех, Отказ Аудит доступа к службе каталогов Нет аудита Аудит доступа к объектам Успех, Отказ Аудит входа в систему Успех, Отказ

• назначение прав пользователя:

Параметр Значение Архивирование файлов и каталогов Администраторы Восстановление файлов и каталогов Администраторы Вход в качестве пакетного задания Не задается

[NETWORK_SERVICE, *] Вход в качестве службы Не задается


37

[*, Администраторы] Добавление рабочих станций к домену Администраторы Доступ к компьютеру из сети Не задается

[*, Администраторы] Завершение работы системы Администраторы,

Пользователи Загрузка и выгрузка драйверов устройств Администраторы Закрепление страниц в памяти Не задается Замена маркера уровня процесса Администраторы Извлечение компьютера из стыковочного узла Не задается

[Пользователи] Изменение параметров среды оборудования Администраторы Изменение системного времени Администраторы Локальный вход в систему Администраторы,

Пользователи Настройка квот памяти для процесса Не задается

[Администраторы] Обход перекрестной проверки Администраторы,

Пользователи Овладение файлами или иными объектами Администраторы Отказ в доступе к компьютеру из сети Не задается Отказ во входе в качестве пакетного задания Не задается Отказать во входе в качестве службы Не задается Отклонить локальный вход Не задается Отладка программ Администраторы Принудительное удаленное завершение Администраторы Профилирование загруженности системы Администраторы Профилирование загруженности одного процесса Администраторы Работа в режиме операционной системы Администраторы Разрешать вход в систему через службу терминалов Не задается

[Администраторы, …] Разрешение доверия к учетным записям при делегировании Администраторы Синхронизация данных службы каталогов Не задается Создание журналов безопасности Администраторы Создание маркерного объекта Администраторы Создание постоянных объектов совместного использования Не задается Создание страничного файла Администраторы Увеличение квот Администраторы Увеличение приоритета диспетчеризации Администраторы Управление аудитом и журналом безопасности Администраторы


38

• параметры безопасности:

Параметр Значение [По умолч.] Аудит: аудит доступа глобальных системных объектов Отключен аудит прав на архивацию и восстановление Включен немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности

Отключен

Доступ к сети: разрешить трансляцию анонимного SID в имя Не задается [Отключен] Завершение работы: очистка станичного файла виртуальной памяти Включен разрешить завершение работы системы без выполнения входа в систему

Включен

Интерактивный вход в систему: поведение при извлечении смарт-карты Не задается заголовок сообщения для пользователей при входе в систему

Не задается

количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллера домена )

0

напоминать пользователям об истечении действия пароля

за 14 дней

не отображать последнего имени пользователя в диалоге входа

Включен

не требовать нажатия CTRL+ALT+DEL Отключен текст сообщения для пользователей при входе в систему Не задается требовать проверки на контроллере домена для отмены блокировки

Не задается [Отключен]

Клиент сети Microsoft: использовать цифровую подпись (всегда) Не задается [Отключен] использовать цифровую подпись (с согласия сервера) Не задается [Включен] посылать незашифрованный пароль сторонним SMB- серверам

Отключен

Консоль восстановления: разрешить автоматический вход администратора Отключен разрешить копирование дискет и доступ ко всем дискам и папкам

Отключен

Контроллер домена: запретить изменение пароля учетных записей компьютера


разрешить операторам сервера задавать выполнение заданий по расписанию


требовать подписи для LDAP сервера Не задается Сервер сети Microsoft: длительность простоя перед отключением сеанса 15 мин.


39

использовать цифровую подпись (всегда) Включен использовать цифровую подпись (с согласия сервера) Включен отключать клиентов по истечении разрешенных часов входа

Включен

Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)


минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC)


не хранить хеш-значений LAN Manager при следующей смене пароля


принудительный вывод из сеанса по истечении допустимых часов работы


требовать подписи для LDAP клиента Не задается [Соглас.] уровень проверки подлинности LAN Manager Посылать ответ только

NTLMv2, отказывать LM и NTML

Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей

Не задается [Обычная]

не разрешать перечисление учетных записей SAM анонимными пользователями

Не задается [Включен]

не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями

Включен

не разрешать средству сохранения имен пользователей и паролей сохранять пароли или учетные данные для проверки в домене


пути в реестре доступные через удаленное подключение Не задается разрешать анонимный доступ к именованным каналам Не задается разрешать анонимный доступ к общим ресурсам Не задается разрешить применение разрешений для всех к анонимным пользователям

Отключен

Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования


Системные объекты: владелец по умолчанию для объектов, созданных членами группы администраторов

Создатель

усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок)

Включен

учитывать регистр для подсистем, отличных от Windows Не задается [Включен] Устройства: запретить пользователям установку драйверов принтера Включен поведение при установке неподписанного драйвера Предупредить, но

разрешить установку разрешать отстыковку [съемных носителей NTFS] без Не задается [Включен]


40

входа в систему разрешено форматировать и извлекать съемные носители [NTFS]

Не задается [Администраторы]

разрешить доступ к НГМД только локальным пользователям

Включен

разрешить доступ к дисководам компакт-дисков только локальным пользователям

Включен

Учетные записи: ограничить использование пустых паролей только для консольного входа

Включен

переименование учетной записи «Администратор» <Имя СА> переименование учетной записи «Гость» Не задается состояние учетной записи «Администратор» Включен состояние учетной записи «Гость» Отключен Член домена: всегда требуется цифровая подпись или шифровании потока данных безопасного канала


максимальный срок действия пароля учетных записей компьютера


отключить изменение пароля учетных записей компьютера

Отключен

требует стойкого ключа сеанса (Windows 2000 или выше)


цифровая подпись данных безопасного канала, когда это возможно


шифрование данных безопасного канала, когда это возможно


Другие: поведение при установке неподписанной программы Успешно без

сообщений

Политики открытого ключа: не определены

Политики ограниченного использования программ: не определены

Политики безопасности IP: не определены


41

Протоколы аудита:

Параметр Значение Завершение работы при переполнении журнала безопасности Не задан Максимальный размер журнала безопасности 32768 Кб Максимальный размер журнала приложений 32768 Кб Максимальный размер системного журнала 32768 Кб Ограничить доступ гостей к журналу безопасности Включен Ограничить доступ гостей к журналу приложений Включен Ограничить доступ гостей к системному журналу Включен Сохранение событий в журнале безопасности (период) Не задан Сохранение событий в журнале безопасности (вид) Вручную Сохранение событий в журнале приложений (период) Не задан Сохранение событий в журнале приложений (вид) Вручную Сохранение событий в системном журнале (период) Не задан Сохранение событий в системном журнале (вид) Вручную