книги / Программно-аппаратные средства защиты информации
..pdf–фотографии, требуемые по ходу выполняемой работы и подтверждающие самостоятельное выполнение работы студентом;
–пояснения по ходу работы в тех случаях, где это требуется;
–выводы по работе.
Студент должен уметь объяснить основные принципы функционирования средства доверенной загрузки и пояснить отличия друг от друга различных типов средств доверенной загрузки. На каждого студента предоставляется один отчет.
2.4. Контрольные вопросы
Студент должен быть готов ответить на основные и дополнительные вопросы. К основным вопросам относятся следующие:
1)В каком форм-факторе существует рассматриваемое в работе СДЗ?
2)К СДЗ какого типа относится рассматриваемое в рабо-
те СДЗ?
3)Какие считыватели поддерживаются рассматриваемым
вработе СДЗ?
4)Какие идентификаторы поддерживаются рассматриваемым в работе СДЗ?
5)Как происходит идентификация у рассматриваемого СДЗ?
6)Какпроисходитаутентификацияу рассматриваемогоСДЗ?
7)Какой тип BIOS поддерживается рассматриваемым в работе СДЗ?
8)Как перевести в технологический режим рассматриваемое СДЗ?
9)Какаяосновнаяфункцияу рассматриваемоговработеСДЗ?
10)Что может контролировать СДЗ с точки зрения целост-
ности?
41
3. ЛАБОРАТОРНАЯ РАБОТА № 3. УСТАНОВКА И НАСТРОЙКА СРЕДСТВА ДОВЕРЕННОЙ ЗАГРУЗКИ «АККОРД-M.2»
3.1. Цель работы
Цель работы – изучить установку, настройку и эксплуатацию средства доверенной загрузки «Аккорд-M.2» и получить практические навыки администрирования указанного средства защиты информации. Работа предназначена исключительно для очного выполнения в аудитории с ПЭВМ, имеющими BIOS формата UEFI.
3.2.Ход выполнения работы
3.2.1.Убедиться, что ПЭВМ физически отключена от электрической сети. Установить в свободный разъём PCI-Express ПЭВМ плату-переходник с разъёма «М.2» на разъём PCI-Express,
сустановленным в плату-переходник контроллером «Аккорд-М.2» (далее – СДЗ), при этом планку-заглушку разъёма PCI-Express ПЭВМ можно не снимать. Установить в свободный USB-разъём ПЭВМ USB-считыватель для ТМ-идентификаторов. Перед подключением ПЭВМ к электрической сети преподаватель проверяет правильность установки, закрывает крышку системного блока и подключает корпус системного блока к сети путём установки силового разъёма питающего кабеля в блок питания ПЭВМ.
3.2.2.Включить ПЭВМ кнопкой на лицевой панели. Зайти в BIOS и убедиться, что установлена текущая дата и время (в некоторых случаях дата и время устанавливаются в формате «месяц – число – год»).
3.2.3.После включения (при загрузке ПЭВМ) управление передается СДЗ и запрашивается идентификатор:
42
Рис. 3.1
3.2.3.1. В случае если подключение СДЗ производится впервые либо после перепрошивки СДЗ (или после очистки его внутренней базы данных), при включении определяется состав аппаратных средств ПЭВМ и данные заносятся в энергонезависимую память СДЗ. Далее производится форматирование базы данных пользователей и внутреннего журнала. После завершения инициализации на экран выводится окно запроса идентификатора. Необходимо предъявить любой идентификатор и любой пароль, после чего нажать Enter, при этом пароль при вводе не отображается:
Рис. 3.2
Затем СДЗ переходит в графический режим и отображает главное окно:
Рис. 3.3
Кроме этого, на экран выводится сообщение с требованием выполнить настройку параметров учетной записи главного администратора безопасности информации (главного АБИ), без выполнения которой не доступны никакие функции СДЗ. После установки параметров учетной записи главного АБИ, описанной ниже, функционал СДЗ становится доступным для главного АБИ. Для регистрации главного АБИ используется ТМ-иденти- фикатор красного цвета (находится у преподавателя), для чего
43
справа от поля «Идентификатор» нужно нажать кнопку «Сменить» и при генерации секретного ключа следует выбрать опцию «Использовать существующий» (так как идентификатор регистрируется не впервые и он зарегистрирован на всех других СДЗ семейства «Аккорд», то запрещается генерировать новый секретный ключ):
Рис. 3.4
После этого необходимо приложить ТМ-идентификатор красного цвета главного АБИ и нажать Enter, после чего окно примет следующий вид:
Рис. 3.5
Далее необходимо задать с подтверждением пароль
Perm2015 и нажать OK:
44
Рис. 3.6
При регистрации главного АБИ в разделе «Результаты И/А» необходимо указать, какая информация о главном АБИ, полученная в результате процесса идентификации и аутентификации, будет передаваться из СДЗ в программную подсистему разграничения доступа (если таковая установлена на ПЭВМ). Для успешного выполнения этой процедуры «Автологин», т.е. когда пользователь авторизуется на аппаратном уровне, а программная часть автоматически подгружает его профиль доступа, необходимо включить первые пять флагов «Результатов И/А»:
Рис. 3.7
После регистрации главного АБИ нужно сохранить изменения:
45
Рис. 3.8
После завершения регистрации главного АБИ необходимо вернуть ТМ-идентификатор красного цвета преподавателю.
3.2.3.2. В случае если подключение СДЗ производится не в первый раз (плата использовалась на других рабочих местах), при включении хотя и определяется состав аппаратных средств ПЭВМ, но эти данные не заносятся в энергонезависимую память СДЗ – в ней хранится информация о составе аппаратуры предыдущего запомненного рабочего места. По этой же причине форматирование базы данных пользователей и внутреннего журнала тоже не происходит. Так как база данных пользователей не пустая, то выдаётся запрос на предъявление идентификатора и ввод пароля. Необходимо предъявить ТМ-идентификатор красного цвета (находится у преподавателя), затем ввести пароль Perm2015 и нажать Enter (пароль при вводе не отображается):
Рис. 3.9
В случае если состав аппаратных средств ПЭВМ или других контролируемых объектов изменился, то возникает ошибка целостности:
Рис. 3.10
46
В случае если состав контролируемых объектов не изменился, такое сообщение не появляется. После этого СДЗ переходит в графический режим и осуществляет повторный запрос на идентификацию и аутентификацию:
Рис. 3.11
Необходимо предъявить идентификатор главного АБИ и нажать Enter:
Рис. 3.12
Далее необходимо ввести пароль Perm2015 и нажать ОК:
Рис. 3.13
47
После завершения процедуры идентификации и аутентификации необходимо вернуть ТМ-идентификатор красного цвета преподавателю. После успешной идентификации и аутентификации появится окно контроля целостности. В некоторых случаях это окно может не содержать ошибок:
Рис. 3.14
В случае если в окне контроля целостности возникла ошибка, которая заключается в том, что состав аппаратных средств ПЭВМ или других контролируемых объектов изменился, то на эту ошибку прямо сейчас можно не обращать внимание:
Рис. 3.15
48
Затем в окне контроля целостности нажать кнопку «Администрирование» и появится главное окно программы администрирования:
Рис. 3.16
3.2.4. Далее необходимо удалить всех существующих администраторов (если имеются), за исключением главного АБИ (его удалить не получится из-за встроенного запрета его удаления). Далее необходимо зарегистрировать дополнительного администратора (для этого администратора далее по тексту используется понятие «АБИ»), используя любой из выданных на ПЭВМ ТМ-идентификаторов. При регистрации АБИ ему необходимо присвоить имя АDMINRRRSSS и любой пароль. Здесь RRR – номер (например, 042) или буквенный код (например, KZI) группы, а SSS – номер ПЭВМ (сообщает преподаватель).
Рис. 3.17
Затем необходимо присвоить ему идентификатор, для чего справа от поля «Идентификатор» нажать кнопку «Сменить» и при генерации секретного ключа следует выбрать опцию «Использовать существующий» (запрещается генерировать новый секретный ключ).
49
Рис. 3.18
После этого необходимо приложить идентификатор регистрируемого АБИ и нажать Enter, после чего окно примет следующий вид:
Рис. 3.19
Далее необходимо задать с подтверждением любой пароль и нажать OK:
Рис. 3.20
50