Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

Смена аутентификатора. Смена аутентификатора администратора.

Диагностика платы. Проверка работоспособности комплекса. Пояснение. Аутентификатор − структура данных, хранящаяся в персональном идентификаторе пользователя (аутентифицирующая информация пользователя), которая наравне с паролем пользовате-

ля участвует в процедуре аутентификации пользователя.

Создание и редактирование пользователей

Выберите команду «Список пользователей», чтобы приступить к управлению пользователями. После выбора появится окно «Зарегистрированные пользователи» со списком пользователей в нижней части и настройками учетной записи в верхней (рис. 9.26).

Рис. 9.26. Зарегистрированные пользователи

В верхней части окна даны сведения о пользователе и перечень параметров учетной записи.

•«Имя пользователя».

•«Номер ТМ-идентификатора».

•«Время последнего входа».

236

•«Общее количество входов».

•«Количество неудачных попыток входа».

•«Текущий статус пользователя».

•«Режим контроля целостности».

•«Запрет загрузки с внешних носителей».

•«Ограничение срока действия пароля».

•«Замена аутентификатора при смене пароля».

Количество неудачных попыток входа. Значение данного пара-

метра равно «0», если число неудачных попыток входа, выполненных пользователем во время последнего сеанса входа в систему, меньше значения общего параметра «Предельное число неудачных входов пользователя» и пользователь завершил сеанс успешным входом в систему.

Значение данного параметра больше «0», если число неудачных попыток входа, выполненных пользователем во время последнего сеанса входа в систему, достигло числа, заданного общим параметром «Предельное число неудачных входов пользователя». При этом вход пользователя в систему блокируется автоматически.

Для разблокирования входа пользователя в систему выберите строку с названием данного параметра и нажмите клавишу <Enter>. Параметр примет значение «0». Затем установите для параметра «Текущий статус пользователя» значение «Не блокирован».

Текущий статус пользователя. Управляет блокировкой входа пользователя в систему. Параметр может принимать два значения: «Блокирован» − вход пользователя в систему запрещен, или «Не блокирован» − вход пользователя в систему разрешен.

Если вход пользователя в систему запрещен, то при попытке входа в систему, даже если пользователь правильно указал пароль, на экран выводится сообщение «Ваш вход в систему запрещен Администратором» и компьютер блокируется.

Режим контроля целостности. Определяет для данного поль-

зователя режим работы подсистемы контроля целостности. Параметр может принимать два значения: «Жесткий» − включен жесткий режим, или «Мягкий» − включен мягкий режим.

• Жесткий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности контролируемых объектов, вход пользователя в систему запрещается и компьютер блоки-

237

руется. В журнале регистрируется событие «Ошибка при контроле целостности».

• Мягкий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности заданных файлов и секторов, вход пользователя в систему разрешается. В журнале событий регистрируется событие «Ошибка при контроле целостности».

Запрет загрузки с внешних носителей. Позволяет разрешить пользователю загружать операционную систему со съемных носителей − дискет, CD-ROM, ZIP-устройств, магнитооптических дисков, USB-устройств и др. Параметр может принимать два значения: «Да» − загрузка ОС со съемных носителей запрещена, или «Нет» − загрузка ОС со съемных носителей разрешена.

Чтобы исключить возможность модификации защищенной энергонезависимой памяти комплекса «Соболь», в режиме совместного использования рекомендуется запретить всем пользователям загрузку ОС со съемных носителей.

Ограничение срока действия пароля. Позволяет включить для пользователя режим устаревания пароля. Параметр может принимать два значения: «Да» − режим включен, или «Нет» − режим отключен.

При включении этого режима по истечении периода времени, заданного общим параметром «Максимальный срок действия пароля», текущий пароль пользователя перестает быть действительным, и при входе в систему пользователю будет предложено сменить свой пароль, без чего он не сможет загрузить операционную систему. Если для пользователя включен режим замены аутентификатора при смене пароля, то ограничение срока действия распространяется и на аутентификатор пользователя.

Для присвоения параметру значения «Да» требуется присутствие данного пользователя. На экране появится диалог для ввода текущего пароля пользователя. Попросите пользователя ввести свой пароль и нажать клавишу <Enter>, затем предъявите персональный идентификатор данного пользователя. Параметр доступен для управления только в том случае, когда пользователю присвоен персональный идентификатор DS1994, имеющий встроенный таймер.

Замена аутентификатора при смене пароля. Позволяет вклю-

чить для пользователя режим принудительной замены аутентификатора при выполнении им процедуры смены пароля. Параметр

238

может принимать два значения: «Да» − режим включен, или «Нет» − режим отключен.

Создание пользователя осуществляется нажатием клавиши «Insert». При регистрации нового пользователя в списке пользователей комплекса «Соболь» ему присваиваются следующие атрибуты:

•имя;

•аутентификатор и пароль для входа в систему;

•персональный идентификатор iButton.

Служебная информация о пользователе сохраняется в энергонезависимой памяти комплекса «Соболь» − создается учетная запись пользователя. Кроме того, в персональный идентификатор, присвоенный пользователю, записывается служебная информация о регистрации.

Процедура регистрации пользователей, так же как и для администратора может выполняться в одном из двух вариантов: первичная регистрация, повторная регистрация.

После нажатия на клавишу «Insert» появится окно, в котором необходимо ввести имя пользователя, дальнейшие действия для завершения регистрации пользователя ничем не отличаются от действий регистрации администратора.

ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ

1. Установка и настройка «Аккорд–NT/2000» v.3.0

Установить в свободный PCI слот контроллер «Аккорд-АМДЗ» согласно инструкции, приведенной выше в настоящем ТЛП. Выполнить регистрацию администратора ИБ.

Если контроллер использовался до этого, то сначала следует очистить его память. Для этого необходимо извлечь контроллер из PCI слота и с помощью отвертки открутить два винта, которые крепят металлическую планку. После этого вставить контроллер в компьютер. Вставить дискету для очистки памяти контроллера, командой IP5x.exe произвести очистку памяти. После того как контроллер будет очищен необходимо будет выключить компьютер, изъять контроллер и прикрутить металлическую планку тем самым вернув контроллер в нормальный режим работы.

239

2.Задание пользователям персональных идентификаторов

ипаролей для доступа в систему

Создать пользователя, задать ему персональный идентификатор и пароль. После регистрации в СЗИ «Аккорд» хотя бы одного пользователя производится контроль аппаратуры при каждой загрузке компьютера после идентификации/аутентификации пользователя. Если обнаруживается несовпадение параметров конфигурации, записанных в памяти контроллера и текущих параметров системы, то выдается сообщение на красном фоне «Разберитесь с ошибками» и загрузка компьютера блокируется для обычного пользователя, или выводится стартовое меню, если идентифицирован администратор.

Может встречаться ситуация, когда после перезагрузки «Аккорд» сообщает, что есть ошибки в контрольной сумме BIOS и доп. BIOS, хотя никаких изменений в настройках BIOS не выполнялось. В процедуре контроля аппаратуры видны ошибки, контрольные суммы не совпадают. Администратор обновляет данные, но после перезагрузки все повторяется: снова сообщение об ошибке контроля аппаратуры.

В данном случае в компьютере достаточно «интеллектуальная» материнская плата, или устройство с расширенным собственным BIOS. При каждой перезагрузке, или выключении они записывают информацию в определенные области своих BIOS. Бессмысленно каждый раз пересчитывать контрольные суммы того, что меняется при перезагрузке. Нужно исключить меняющиеся параметры из списка контролируемых объектов клавишей <->, или <Del> и пересчитать КС (комбинация клавиш Alt-U).

3.Проведение испытаний организации контроля доступа

кАРМ

Выполнить вход в систему от созданного пользователя. Убедиться в правильности настроек системы защиты, для этого провести серию испытаний:

•воспользоваться другим идентификатором;

•ввести неверный пароль при верном идентификаторе, удостовериться в блокировке доступа пользователя к системе после неудачных попыток ввода пароля;

240