Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014
При такой реализации механизма управления потоками информации, обработка информации определенного уровня конфиденциальности выполняется только с помощью выделенных программ (процессов).
Настройка поля «ТМ-контроллер». В поле «ТМ-контроллер» только один параметр – «Использовать страницу ТМ». По умолчанию он установлен в 0. Изменять этот параметр КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЕТСЯ! В эту и следующую страницу памяти идентификатора записывается секретный ключ пользователя при его регистрации. Изменение этого параметра приведет к тому, что ранее зарегистрированные идентификаторы будут восприниматься системой защиты как недопустимые. Изменение этого параметра возможно, если используется ПО сторонних производителей и записывает свою информацию в те же страницы памяти. После изменения этого параметра ВСЕ используемые идентификаторы должны быть перерегистрированы с генерацией нового секретного ключа пользователя.
Программа редактирования ПРД ACED32.EXE
Назначение программы. Программа ACED32.EXE ‒ редактор параметров (атрибутов) доступа пользователей, используемых в комплексе СЗИ НСД «Аккорд-NT/2000» v.3.0. дискреционного и мандатного механизмов доступа субъектов (пользователей) к объектам ПЭВМ или АС – предназначена для администрирования подсистемы разграничения доступа комплекса.
Программа используется администратором БИ (Безопасности Информации) при установке и эксплуатации комплекса «АккордNT/2000» для описания (назначения пользователям) принятых в организации (учреждении и т.п.) правил разграничения доступа (ПРД) в соответствии с полномочиями пользователей.
Программа ACED32.EXE входит в состав специального ПО комплекса, инсталлируется на жесткий диск ПЭВМ (РС) при установке комплекса.
Порядок запуска программы. Для редактирования параметров (атрибутов) доступа пользователей необходимо запустить программу C:\ACCORD.NT\ACED32.EXE. Можно воспользоваться ярлыком «Редактор прав доступа» в группе программ Accord-NT,
356
которая создается при инсталляции СПО на жесткий диск компьютера. На экран выводится запрос идентификатора пользователя, показанный на рис. 14.2. Далее программа запрашивает пароль администратора БИ (если пароль задан при установке комплекса «Аккорд-АМДЗ» и хранится в ЭНП контроллера).
Рис. 14.2. Запрос идентификатора пользователя
Если идентификация/аутентификация администратора прошла успешно, то выполняется синхронизация базы данных редактора прав доступа с базой данных пользователей, находящейся в ЭНП контроллера «Аккорд-АМДЗ» и на экран выводится главное окно программы, показанное на рис. 14.3.
Рис. 14.3. Главное окно программы
357
При первом запуске программы в списке пользователей обязательно отображаются группы «Администраторы» и «Обычные» и пользователь «Гл. администратор». Если записи не отображаются, это означает, что нарушена синхронизация с аппаратной частью комплекса – контроллером АМДЗ, так как эти учетные записи создаются автоматически при инициализации контроллера. Проверьте правильность установки драйвера контроллера.
Редактирование учетных записей пользователей
Регистрация нового пользователя. В подменю <Команды>
главного меню программы ACED32 (см. рис. 14.3) выберите команду <Создать>. Можно воспользоваться соответствующей кнопкой на панели задач. На экран выводится окно, предлагающее вы-
|
брать тип создаваемого объекта. |
||
|
Установите отметку на |
строке |
|
|
«Пользователь» и введите имя |
||
|
нового пользователя (рис. 14.4). |
||
|
После этого следует |
выбрать |
|
|
кнопку «OК». В главном окне |
||
|
программы появится новый поль- |
||
|
зователь. |
|
|
|
Примечание. |
Если |
список |
|
пользователей активен, то при |
||
Рис. 14.4. Окно создания |
нажатии клавиши <Insert> также |
||
нового пользователя |
можно «создать» |
нового пользо- |
|
вателя.
Удаление пользователя из списка, переименования пользо-
вателя в списке. С помощью мыши или клавиатуры выделите пользователя, которого Вы хотите удалить. В подменю <Команды> выберите <Удалить>, или на панели инструментов нажмите кнопку «Удалить пользователя». Программа выдает запрос «Вы действительно хотите удалить пользователя (указывается имя_пользователя)?» Подтвердите операцию удаления, если Вы действительно хотите удалить выбранного пользователя. Таким же образом можно удалить группу пользователей.
Примечание. Если список пользователей активен, то можно удалить выделенного пользователя, нажав на клавишу <Delete>.
358
Внимание! Нельзя удалить группы «Администраторы» и «Обычные», а также пользователя «Гл. администратор». Эти учетные записи создаются при инициализации контроллера «АккордАМДЗ» и защищены от удаления.
С помощью мыши или клавиатуры выделите пользователя, которого Вы хотите переименовать. В подменю <Команды> выберите <Переименовать> или щелкните правой кнопкой мыши на выделенном пользователе и выберите из всплывшего меню команду <Переименовать>.
На экран выводится окно (рис.14.5) для ввода нового имени пользователя.
«ОК» или <Enter> ‒ изме-
нение имени, «Отмена» ‒ отмена операции переименования.
Примечание. Если список пользователей активен, то можно переименовать выделенного пользователя, нажав на клавишу
<F2>.
Поиск пользователя по идентификатору. По идентификатору можно найти соответствующего ему пользователя. Для этого необходимо выбрать в подменю <Команды> пункт <Поиск> или на панели инструментов нажать кнопку «Поиск пользователя по идентификатору» ‒ на экран выводится запрос идентификатора (рис. 14.6).
Если прислонить идентификатор к считывателю в отведенный интервал времени, то в списке пользователей активизируется (выделяется) пользователь, которому принадлежит данный идентификатор.
Примечание. В том случае, когда в качестве персонального идентификатора используется ПСКЗИ ШИПКА, на запрос идентификатора следует подключать устройство ШИПКА к USB-порту контроллера АМДЗ. Если в качестве идентификатора используется смарт-карта eToken PRO, на запрос идентификатора следует вста-
359
вить карту в карт-ридер, подключенный к порту на плате контроллера АМДЗ.
Синхронизация параметров пользователя с параметрами группы. Синхронизация может понадобиться при изменении параметров группы и последующем присвоении этих параметров пользователю. В списке пользователей с помощью мыши или клавиш «стрелка вверх», «стрелка вниз» выделите пользователя, параметры которого Вы хотите синхронизировать. Правой кнопкой мыши щелкните на имени выделенного пользователя, на экране появится всплывающее меню. Выберите из него пункт <Синхронизировать> ‒ на экране появится окно «Выбор параметров синхронизации», показанное на рис. 14.7. В этом окне перечислены параметры, являющиеся общими для синхронизируемых объектов. Установите те параметры пользователя, которые хотите синхронизировать. Для выполнения синхронизации нажмите кнопку «Синхронизация» или клавишу <F2>, для отмены ‒ «Отмена» или <Esc>.
Рис. 14.7. Параметры синхронизации
Администрирование подсистемы разграничения доступа.
Администратор БИ может производить изменение списка пользователей и групп, а также параметров доступа субъектов к объектам (ресурсам) защищаемого компьютера. Рассмотрим более подробно
360