Раздел «Параметры МДЗ»

Пользователи#

Операции управления пользователями Изделия осуществляются из основного пункта меню «Пользователи», которое содержит три раздела: «Профили пользователей», «Действия с пользователями», «Настройка». Раздел «Действия с пользователями» следующие пункты:

скачивать с LDAP;
создать пользователя;
сохранить на USB.

Раздел «Настройка» содержит пункты:

политика паролей;
управление токеном.

Создание профиля пользователя#

Для создания пользователя необходимо выполнить следующие действия:

выбрать пункт меню «Создать пользователя» или нажать клавишу Ins;
заполнить атрибуты пользователя:
- «Тип авторизации» – «логин/пароль», «АНП» или сочетание «АНП + логин/пароль»;
  
  Примечание
  
  Для создания пользователя с типом авторизации «АНП» или «АНП+логин/пароль» необходим токен, который можно проинициализировать в меню Управление токеном, или уже проинициализированный токен с загруженными корневыми сертификатами в соответствующий раздел меню (см. раздел Сертификаты).
- «Тип пользователя» – «Пользователь/Администратор»;
- «Имя пользователя» – задать в окне ввода данных имя пользователя (логин). Текущие ограничения на имя пользователя: не менее 3 символов и не более 25 символов;
  
  Примечание
  
  Изделие не чувствительно к регистру вводимых символов имени пользователя (логина). Например, Admin, admin и AdMiN являются равнозначными.
- «Ф.И.О. пользователя»;
- «Контактная информация»;
для пользователей типа «Администратор» выбрать значение поля «Роль администратора». Доступны значения «Полный доступ» или «Аудит»;

Примечание

Рекомендуется добавлять не более одного Администратора и не присваивать право «Полный доступ» без необходимости.
для пользователя с типом авторизации «АНП» или «АНП+логин/пароль» (пример см. рисунок) требуется задать следующие поля:
- «Тип сопоставления» – установить флаг для полей, по которым будет осуществляться сопоставление сертификата на АНП (CN, MAIL, DIGEST). Рекомендуется всегда устанавливать флаг на поле DIGEST, так как в отличие от других полей оно уникально, что позволит корректно создать пользователя с типом авторизации «АНП» или «АНП+логин/пароль»;
- «Данные сопоставления» – могут быть заданы из текстового файла с внешнего USB–накопителя или с АНП. Для того чтобы ввести данные сопоставления с внешнего USB–накопителя, необходимо выбрать пункт меню «Данные сопоставления» и выбрать файл с данными (см. рисунки ниже).
  
  При выборе корневого сертификата в роли данных сопоставления Изделие выдаст ошибку (см. рисунок ниже).
  
  Данные для сопоставления необходимо задать согласно типу следующим образом:
  - CN (Common Name) – согласно стандарту Х.509 в следующем формате: /C= <код страны, RU>/ST = <кодсубъекта>/L = <Город>/O = <Имя организации>/OU = <Имя подразделения>/CN = <Имя пользователя>/emailAddress = <адрес электронной почты>;
  - MAIL – по полному адресу электронной почты формата <username>@<domain.fqdn>;
  - DIGEST – подпись Х.509-сертификата – в формате 16-ричного числа, в форме <байт_0>:<байт_1>: … :<байт_n>;
- «Тип сопоставления». Рекомендуется всегда устанавливать флаг на поле DIGEST, так как в отличие от других полей оно уникально, что позволит корректно создать пользователя с типом авторизации «АНП».
сохранить изменения, выбрав пункт меню «Создать».

Для создания дистанционно назначенных списков пользователей следует:

в разделе меню «Дополнительные настройки» ввести дополнительные настойки для LDAP;
перейти в меню «Управление пользователями»;
выставить флаг «Скачивать с LDAP» (см. рисунок ниже);
перезагрузить комплекс – после перезагрузки появится список пользователей, созданных на сервере LDAP.

Примечание

При скачивании списка пользователей с сервера, локально созданные пользователи будут заменены пользователями с сервера LDAP.

Если при заполнении карточки пользователя указаны не все атрибуты, то Изделие выдаст сообщение об ошибке и укажет поля, обязательные к заполнению.

При вводе логина уже существующего пользователя Изделие также выдаст сообщение об ошибке и не создаст пользователя.

Сообщение об ошибке при создании пользователя

При вводе пароля, не соответствующего действующей парольной политике, Изделие выдаст сообщение об ошибке и не позволит установить набранный пароль.

Примечание

Информацию о парольной политике смотрите в разделе Политика паролей.

Просмотр/редактирование/удаление профиля пользователя#

Для просмотра/редактирования пользователей необходимо выполнить следующие действия:

выбрать в подменю «Профиль пользователя» пользователя, чьи данные необходимо просмотреть или отредактировать;
изменить/просмотреть необходимые данные;
выбрать пункт «Обновить» для сохранения внесенных изменений или нажать клавишу Esc для выхода без сохранения.

Примечание

При изменении пароля новый вариант необходимо будет ввести повторно для подтверждения. Если второй раз при вводе будет допущена ошибка, об этом будет выдано предупреждение. Пароль в этом случае заменён не будет.

При успешном сохранении изменений будет выведено сообщение:

Успешное обновление пользовательской информации

Если изменению подверглась текущая запись администратора, система автоматически будет перезагружена для применения новых значений параметров после предупреждения:

Перезагрузка текущего профиля после успешной процедуры изменения пользовательской информации

Для удаления пользователя необходимо выполнить следующие действия:

выбрать пользователя, которого необходимо удалить и нажать клавишу Del;
в диалоге запроса на подтверждение удаления выбрать клавишу Y для удаления пользователя или клавишу N для отмены.

Вид операции подтверждения удаления пользователя

Примечание

Перед процедурой удаления пользователя необходимо выгрузить и очистить журнал аудита. В автоматическом режиме в журнал добавятся уведомления о том как и когда выгрузил и очистил журнал аудита.

Экспорт профилей пользователей#

Для сохранения данных пользователей на USB-накопитель необходимо выполнить следующие действия:

подключить USB–накопитель;
выбрать пункт меню «Сохранить информацию на USB». В случае успешного сохранения данных на экране появится сообщение:

Сообщение об успешном экспорте профилей пользователей

Примечание

При ошибке экспорта профилей пользователей на USB-накопитель необходимо проверить тип файловой системы USB-накопителя.

Политика паролей#

Изделие поддерживает настраиваемую парольную политику. Для настройки парольной политики необходимо перейти в меню «Пользователи» → «Политика паролей».

«Количество попыток входа» – данный параметр указывает на количество неуспешных попыток аутентификации пользователя (только для ввода пароля при типе авторизации АНП+логин/пароль или логин+пароль). Параметр может принимать значения от 1 до 8. При превышении числового параметра, учетная запись пользователя блокируется на время, установленное в параметре «Время блокировки».

Для изменения числового параметра необходимо нажать клавишу Enter и ввести числовой параметр. При попытке ввода числового параметра отличного от 1 или 8, Изделие автоматически установит значение числового параметра равного 3.

Максимальное количество неуспешных попыток аутентификации при типе авторизации АНП задается в АНП вне Numa Arce. В случае ввода неверного ПИН-кода Изделие выдает ошибку.
«Время блокировки пользователя» – параметр регламентирует время блокировки учетной записи пользователя при превышении неуспешных попыток аутентификации.

Числовой параметр времени блокировки может принимать значения от 3 минут до 60 минут.

Для изменения числового параметра необходимо нажать клавишу Enter и ввести числовой параметр. При попытке ввода числового параметра отличного от допустимого, Изделие автоматически установит значение числового параметра равного 3.
«Минимальная длина» – параметр, указывающий минимально допустимую длину пароля пользователя. Числовой параметр, устанавливающий длину пароля, находится в диапазоне от 1 до 20 символов.

Для изменения числового параметра необходимо нажать клавишу Enter и ввести числовой параметр. При попытке ввода числового параметра отличного от допустимого, Изделие автоматически установит значение числового параметра равного 7.
«Сложность пароля» – при включении данного параметра в пароле должны использоваться символы не менее чем из 3 следующих категорий (алфавит пароля 75 символов):
- прописные буквы английского алфавита от ‘A’ до ‘Z’;
- строчные буквы английского алфавита от ‘а’ до ‘z’;
- десятичные цифры от 0 до 9;
- спецсимволы (~ ! @ # $ % ^ & * ( ) - + { } [ ] ; ’ : ” , < >).
При выключенном параметре «Использовать сложный пароль» ограничения не накладываются.

Для переключения параметра «Сложность пароля» в активное состояние необходимо нажать клавишу Space.
«Установить время действия пароля» – параметр, отвечающий за срок действия пароля. При включении данного параметра в поле «Время действия пароля» устанавливается числовой параметр действия пароля. Числовой параметр может принимать значение от 30 до 365 дней.

По истечении срока действия пароля выводиться сообщение об истечении срока действия и необходимости смены пароля и блокируется возможность загрузки ОС.

При выключенном параметре «Установить время действия» ограничения на срок действия пароля не накладываются.

Для переключения параметра «Установить время действия» в активное состояние необходимо нажать клавишу Space.

Для ввода действия пароля необходимо нажать клавишу Enter и ввести числовой параметр в диапазоне от 30 до 365. При попытке ввода числового параметра отличного от допустимого, Изделие автоматически установит значение числового параметра равного 30.

Управление токеном#

Инициализация токена#

Для инициализации токена в Изделии необходимо:

авторизоваться под учетной записью администратора;
вставить токен в USB-порт;
перейти в меню «Пользователи» → «Управление токеном»;
выбрать срок действия токена после инициализации;
выбрать меню «Инициализировать токен». После инициализации предыдущие данные на токене будут удалены, необходимо подтвердить необходимость инициализации токена,
далее запустится процесс инициализации токена,
после успешной инициализации токена корневой сертификат данного токена автоматически будет добавлен в хранилище в меню «Сертификаты».

Изменение ПИН-кода токена#

После инициализации токена необходимо изменить предустановленный ПИН-код токена.

Изменение ПИН-кода администратора и пользователя позволяет изменить ПИН-код как с использованием генератора паролей (используя ресурсы токена), так и вручную.

Для генерации нового ПИН-кода токена необходимо перейти в меню «Изменение ПИН-кода токена пользователя» или «Изменение ПИН-кода токена администратора». В отобразившемся окне выбрать необходимый метод генерации: «Вручную» – параметры задаются пользователем, «Сгенерировать» – генерация осуществляется за счет криптографических функций, реализованных на токене.

После выбранного метода Изделие запросит ПИН-код администратора токена. При первой инициализации токена ПИН-код администратора установлен по умолчанию. Актуальный ПИН-код администратора необходимо узнать из эксплуатационных документов на токен. В ином случае ПИН-код токена необходимо узнать у администратора безопасности предприятия.

После успешного ввода ПИН-кода администратора Изделие запросит новый пароль или сгенерирует пароль самостоятельно в зависимости от выбранного метода.

Примечание

Запомните ПИН-код токена для дальнейшей работы с ним.

Импорт корневого сертификата#

Для использования токена, который был инициализирован вне Изделия, необходимо импортировать корневой сертификат в Изделие. Для этого необходимо подключить токен, перейти в меню «Управление токеном» → «Импорт корневого сертификата». В появившемся списке выбрать корневой сертификат и нажать клавишу Enter. Корневой сертификат автоматически будет импортирован в Изделие. Информацию о сертификате можно просмотреть в меню Сертификаты.

Сертификаты#

Для управления сертификатами пользователей, а также сертификатов для загрузки ОС по сети необходимо выбрать пункт меню «Сертификаты».

Управление сертификатами пользователей#

Доступны два варианта работы с сертификатами пользователей (для процедуры аутентификации): локальный и сетевой, через LDAP-сервер с TLS-сертификацией.

Примечание

При переключении с локального варианта работы на сетевой, все записи локальных пользователей будут удалены. Перед сменой режима работы необходимо сохранить профили пользователей, чтобы информация не пропала.

Загрузка/обновления сертификата удостоверяющего центра поддерживается только с USB-накопителя. Для загрузки сертификата необходимо выполнить следующие действия:

подключить USB-накопитель с сертификатом в СВТ;
в меню «Сертификаты» перейти раздел «Список СА сертификатов»;
нажать клавишу Enter или Ins и в запустившемся файловом обозревателе перейти в каталог, содержащий файл c цепочкой сертификатов удостоверяющего центра;
выбрать файл цепочки сертификатов – будет выполнена загрузка сертификатов и в случае успешной загрузки/обновления цепочки сертификатов в строке меню будет прописано имя файла FILE_NAME, выбранного в качестве сертификата.

Загрузка сертификата удостоверяющего центра

Для выполнения загрузки/обновления списка отозванных сертификатов необходимо выполнить следующие действия:

выбрать пункт меню «Текущий CRL»;
в файловом обозревателе выбрать файл, содержащий список отозванных сертификатов – в случае успешной загрузки/обновления сертификата в строке меню «CRL: <FILE_NAME>» будет прописано имя выбранного файла FILE_NAME.

Для выполнения загрузки/обновления сертификата удостоверяющего центра, подписавшего сертификаты TLS, необходимо выполнить следующие действия:

подключить USB–накопитель, содержащий файл сертификата, в СВТ;
перейти в раздел «Список СА сертификатов»;
нажать клавишу Enter или Ins и в запустившемся в файловом обозревателе выбрать файл, содержащий сертификат УЦ – в случае успешной загрузки/обновления сертификата в строке меню будет прописано имя выбранного файла FILE_NAME.

Для выполнения загрузки/обновления клиентского сертификата TLS необходимо выполнить следующие действия:

выбрать пункт меню «Клиентский сертификат TLS»;
в файловом обозревателе выбрать файл, содержащий сертификат – в случае успешной загрузки/обновления сертификата, в меню «Текущий клиентский сертификат TLS» будет прописано имя выбранного файла FILE_NAME.

Для выполнения загрузки/обновления клиентского закрытого ключа TLS необходимо выполнить следующие действия:

выбрать пункт меню «Текущий клиентский закрытый ключ TLS»;
в файловом обозревателе выбрать файл, содержащий ключ – в случае успешной загрузки/обновления сертификата в строке меню «Текущий клиентский закрытый ключ TLS» будет прописано имя выбранного файла FILE_NAME.

Примечания

В случае если файл не является файлом цепочки сертификатов или формат цепочки не DER, будет выведено сообщение об ошибке:

1	`Ошибка! Неизвестный формат PKCS7 цепочки CA!`

Если загружаемый сертификат не подписан загруженным ранее сертификатом УЦ, то будет выведено сообщение об ошибке.

Если сертификат находится в загруженном списке отозванных сертификатов, то будет выведено сообщение:

1	`Сертификат отозван!`

Если срок действия загружаемого сертификата еще не наступил, будет выдано сообщение:

1	`Сертификат еще не вступил в действие`

Для удаления цепочки сертификатов, CLR, клиентского сертификата TLS или клиентского закрытого ключа TLS необходимо выбрать соответствующий пункт меню и нажать клавишу Del.

Сертификаты для загрузки ОС по технологии HTTP Boot#

Для загрузки ОС по технологии HTTP Boot необходимо подготовить загружаемый образ ОС, а также корневой сертификат удостоверяющего центра, сертификат администратора безопасности, подписавшего образ загрузки. Пример построения удостоверяющего центра и инфраструктуры открытых ключей, а также процесс подписи загружаемого образа с генерацией всех необходимых для загрузки элементов приведен в Приложении 5.

Загрузка/обновление корневого сертификата удостоверяющего центра#

Для работы с загрузкой типа HTTP Boot необходимо загрузить корневой сертификат удостоверяющего центра. Изделие поддерживает PEM и DER форматы сертификатов.

Изделие поддерживает только локальную загрузку корневого сертификата удостоверяющего центра.

Для загрузки корневого сертификата удостоверяющего центра в Изделие необходимо:

установить USB-накопитель в СВТ, на которое установлено Изделие;
выбрать в разделе «Управление внутренними сертификатами», пункт меню «Текущая цепочка CA»;
нажать клавишу Enter или Ins, в запустившемся файловом обозревателе перейти в каталог, содержащий файл c корневым сертификатом удостоверяющего центра;
выбрать файл корневого сертификата – будет выполнена загрузка сертификата и в случае успешной загрузки/обновления цепочки сертификатов в строке меню «Текущая цепочка CA: <FILE_NAME>» будет прописано имя файла FILE_NAME, выбранного в качестве сертификата.

После загрузки корневого сертификата удостоверяющего центра отобразится раздел «Сертификаты для HTTP Boot».

Загрузка/обновление сертификата администратора безопасности#

Сертификат администратора безопасности, подписавшего образ ОС, который должен быть загружен с помощью технологии HTTP Boot, может быть загружен локально в отобразившемся разделе меню, для этого необходимо:

установить USB-накопитель в СВТ, на которое установлено Изделие;
перейти в раздел «Сертификаты для HTTP Boot»;
нажать клавишу Enter или Ins, в запустившемся файловом обозревателе перейти в каталог, содержащий файл сертификата;
выбрать необходимый файл сертификата;
после выбора сертификата наименование сертификата отобразится в разделе «Сертификат для HTTP Boot». При навигации в информационном блоке справа отображается срок действия сертификата.

Также данный сертификат администратора безопасности можно разместить на сервере, где будет расположен загружаемый образ ОС.

Раздел сертификаты с указанными сертификатами для HTTP Boot

Примечание

Загружаемый сертификат администратора безопасности также должен быть подписан корневым сертификатом.

Загрузка/обновление списка отозванных сертификатов удостоверяющего центра#

Для выполнения загрузки/обновления списка отозванных сертификатов необходимо выполнить следующие действия:

установить USB-накопитель в СВТ, на которое установлено Изделие;
выбрать пункт «Текущий CRL»;
в файловом обозревателе выбрать файл, содержащий список отозванных сертификатов – в случае успешной загрузки/обновления сертификата в строке меню «Текущий CRL: <FILE_NAME>» будет отображено имя выбранного файла FILE_NAME.

Журнал аудита#

Управление журналом аудита осуществляется из пункта панели управления «Журнал аудита». Полный список регистрируемых событий приведен в Приложение 3.

После превышения максимального объема записей в разделах журнала работа Изделия блокируется. Для возобновления работы администратору необходимо выгрузить и очистить журнал аудита. В случае если настроена автоматическая перезапись (см. пункт Автоматическая перезапись), Изделие в автоматическом режиме перезаписывает записи аудита на новые при превышении объема раздела журнала аудита.

С записями в разделах журнала можно ознакомиться, выбрав пункт «Общий журнал». Записи имеют следующий формат:

время наступления события;
имя пользователя, действиями которого инициировано событие;
тип события;
код события.

В поле подсказки отображаются:

результат попытки осуществления действия (успешная или не успешная);
описание события.

Удаление записей из журнала аудита#

Записи, ранее выгруженные на USB, отмечены [X] и доступны для удаления. Для удаления выделенной записи необходимо нажать Enter. Если запись не была предварительно выгружена на USB-накопитель, удаление будет заблокировано с выводом соответствующего сообщения:

Для удаления уже экспортированных данных (см. пункт Экспорт журнала аудита) из Изделия необходимо подтвердить их удаление путем нажатия клавиши Y, в случае отмены необходимо нажать клавишу N, которая вернет в меню «Журнал аудита.

Диалоговое окно удаление уже выгруженных данных

Экспорт журнала аудита#

Для выгрузки журнала на внешний USB-накопитель необходимо вставить USB-накопитель в СВТ и выбрать пункт меню «Сохранить на USB».

В случае успешной выгрузки данных будет выдано сообщение:

Сообщение об успешном экспорте журнала аудита

В папке \bios появившейся на USB-накопителе будет создан файл с записями истории Изделия. Имя файла создается автоматически по шаблону: Journal[yy-mm-dd], где yy-mm-dd – текущая дата.

Примечание

Просмотр файла рекомендуется производить в программе «Notepad++».

В случае отсутствия в USB-портах СВТ хотя бы одного рабочего носителя будет выдано сообщение об ошибке: «USB-носитель не найден!»

Примечание

При ошибке экспорта на USB-накопитель необходимо проверить тип файловой системы USB-накопителя.

Уровень журналирования#

В Изделии можно настраивать уровень критичности информации, которая будет записываться в журнал аудита. Уровень критичности может принимать следующие значения:

Для того чтобы задать уровень критичности событий, фиксируемых в журнале, необходимо выбрать пункт меню «Уровень журналирования» и задать значение уровня критичности из выпадающего списка.

Автоматическая перезапись#

Для возможности автоматически перезаписывать невыгруженные записи при достижении предельного количества записей в журнале Изделия, можно включить функцию автоматической очистки. Для этого необходимо активировать пункт «Автоматическая перезапись».

Параметры безопасности#

Раздел меню параметры безопасности предназначены для настроек безопасности загружаемых ОС.

Контроль реестра Windows#

Раздел «Контроль реестра Windows» позволяет настраивать и просматривать контроль целостности элементов реестров Windows.

Главное окно управления контролем целостности реестра Windows

Просмотр контроля целостности#

Меню «Просмотр» позволяет выполнить просмотр контролируемых элементов реестра. На рисунке ниже представлено окно просмотра контролируемых элементов реестра Windows.

Окно просмотра контролируемых элементов реестра Windows

При входе в меню просмотра у всех элементов, взятых на контроль, автоматически проверяется целостность. Если целостность хотя бы одного контролируемого элемента нарушена, то при переходе в меню «Просмотр» будет отображено сообщение об ошибке. В конце имени элементов, целостность которых нарушена, добавляется строка «Ошибка».

Сообщение об ошибке при нарушении целостности элементов реестра Windows

Добавление элементов реестра в список контроля целостности#

Меню «Редактирование» позволяет управлять списком контролируемых элементов реестра Windows. На рисунке ниже представлено окно редактирования элементов.

Добавление разделов (каталогов) в список контроля целостности осуществляется путем нажатия клавиши Ins. В окне файлового браузера отображается список разделов жесткого диска, содержащих реестр Windows.

В случае контроля каталога (раздела) реестра нарушение целостности наступает в следующих случаях:

добавление/удаление файлов (параметров) из каталога, добавленного в список контроля целостности;
модификация существующих файлов (параметров) в каталоге, добавленном в список контроля целостности.

Окно файлового браузера представлено на рисунке ниже.

Файловый браузер открывается только в том случае, если реестр Windows найден хотя бы на одном из разделов подключенных накопителей. Если реестр Windows отсутствует, выдается сообщение об ошибке: «Файлы реестра Windows не найдены!».

После выбора устройства, содержащего реестр, становится доступен выбор разделов и параметров реестра для постановки их на контроль. Добавление файлов (параметров) реестра в список контроля целостности осуществляется путем нажатия клавиши Enter. В случае если выбран каталог (раздел) реестра, то нажатие клавиши Enter приводит к отображению списка дочерних элементов (разделов и параметров) выбранного каталога.

Окно файлового браузера с разделами реестра представлено на рисунке ниже.

Контроль целостности возможен для следующих системных разделов реестра Windows:

COMPONENTS (расположение \Windows\System32\config\COMPONENTS);
SAM (расположение \Windows\System32\config\SAM);
SECURITY (расположение \Windows\System32\config\SECURITY);
SOFTWARE (расположение \Windows\System32\config\SOFTWARE);
SYSTEM (расположение \Windows\System32\config\SYSTEM);
DEFAULT (расположение \Windows\System32\config\DEFAULT).

Дополнительно в список контролируемых объектов могут быть добавлены пользовательские разделы реестра Windows (NTUSER.DAT). Данные разделы находятся в каталогах пользователей ОС Windows (каталог \Users\Test для пользователя с именем Test).

Так как файлов NTUSER.DAT может быть несколько, то к имени раздела добавляется в скобках имя пользователя для создания уникального имени раздела.

Внимание!

Не рекомендуется добавлять в список контроля целостности корневые разделы (COMPONENTS, SOFTWARE, SYSTEM и т.д.) целиком, так как число файлов в разделе может достигать сотен тысяч. При этом добавление корневого раздела нецелесообразно, так как в процессе работы ОС Windows в раздел с большой вероятностью будут записаны данные, что приведет к нарушению целостности.

Внимание!

Максимальное число отображаемых элементов в файловом браузере ограничено 2000. При входе в каталог, содержащий большее число дочерних элементов будет показано предупреждение, представленное на рисунке ниже.

Сообщение, отображаемое при большом числе дочерних элементов раздела реестра Windows

В случае если необходимо добавить неотображаемые элементы каталога, следует воспользоваться функцией импорта списка контроля целостности (см. раздел Импорт/экспорт списка контроля целостности элементов реестра Windows).

После выбора элемента реестра выполняется вычисление контрольной суммы элемента, а затем добавление элемента в список контроля целостности. При этом происходит возврат из файлового браузера в меню редактирования списка контроля целостности.

Редактирование списка контролируемых элементов#

Нажатие клавиши Del приводит к удалению выбранного элемента из списка контроля целостности.

Выбор пункта «Очистить список файлов» полностью очищает список контроля целостности.

Выбора пункта «Обновить контрольную сумму» пересчитывает контрольную сумму для каждого элемента из списка контроля целостности.

Выбор пункта «Сохранить список файлов» выполняет сохранение списка контроля целостности в NVRAM.

Максимальное число элементов, которые могут быть добавлены в список контроля целостности: 1024.

Импорт/экспорт списка контроля целостности элементов реестра Windows#

Импорт/экспорт списка контроля целостности осуществляется из главного окна управления контролем целостности реестра Windows.

Для экспорта настроек необходимо подключить USB-накопитель, на который будет осуществляется экспорт, перейти в меню «Контроль реестра Windows» выбрать пункт «Сохранить на USB». Список контроля целостности экспортируется в формате JSON в виде:

{
  "RegControlObjects": [
    {
      "DevPath": "VenHw(5CF32E0B-8EDF-2E44-9CDA-93205E99EC1C,00000000)/VenHw(6888A4AE-AFCE-E84B-9102-F7B9DAE6A030,00000000)/HKEY_LOCAL_MACHINE/",
      "File": "SYSTEM\\CurrentControlSet",
      "HashType": 5,
      "Hash": "DACC4A629C0E39F186DA19C9A77D1A5548B147E99C432CC36921A3E846616C9F"
    },
    {
      "DevPath": "VenHw(5CF32E0B-8EDF-2E44-9CDA-93205E99EC1C,00000000)/VenHw(6888A4AE-AFCE-E84B-9102-F7B9DAE6A030,00000000)/HKEY_LOCAL_MACHINE/",
      "File": "SOFTWARE\\Intel",
      "HashType": 5,
      "Hash": "F0579F6AA21128777E1A863363D0E26E0B8DC01E9B5BE6156F454B5F9E512455"
    },
    {
      "DevPath": "VenHw(5CF32E0B-8EDF-2E44-9CDA-93205E99EC1C,00000000)/VenHw(6888A4AE-AFCE-E84B-9102-F7B9DAE6A030,00000000)/HKEY_LOCAL_MACHINE/",
      "File": "SYSTEM\\RNG",
      "HashType": 5,
      "Hash": "F840B896DEED410D322C2DBCC75E03FF3C8D698E99B298D9940B9BA89BE28C42"
    }
  ]
}

где

DevPath – путь до раздела, содержащего реестр,
File – путь до контролируемого элемента внутри реестра,
HashType – тип контрольной суммы,
Hash – контрольная сумма (параметр 5 указывается на хеш по алгоритму ГОСТ Р 34.11-2012, 256 бит).

Для импорта необходимо подключить USB-накопитель с файлом расширения JSON, выбрать пункт «Загрузить с USB», в открывшемся проводнике выбрать файл. Во время импорта список контроля целостности формируется из входного файла JSON. При это происходит сохранение сформированного списка в NVRAM.

Файл для импорта может быть сформирован вне Изделия. При этом для каждого элемента обязательным будет являться только поле File.

Если поле DevPath не указано, то будет выполняться проверка первого найденного реестра.

Если поле HashType не указано, то будет взят алгоритм по умолчанию (ГОСТ Р 34.11-2012, 256 бит). В целях безопасности HashType со значениями меньше 5 запрещены. Если указано некорректное значение, то будет использоваться алгоритм по умолчанию.

Если поле Hash не указано, то контрольная сумма будет вычислена в процессе построения списка контроля целостности.

Например, корректным будет являться следующий файл JSON:

{
  "RegControlObjects": [
    {
      "File": "SYSTEM\\CurrentControlSet"
    },
    {
      "File": "SOFTWARE\\Intel"
    },
    {
      "File": "SYSTEM\\RNG"
    }
  ]
}

Контроль целостности элементов реестра Windows при загрузке ОС#

Контроль целостности элементов осуществляется при каждой загрузке ОС. Если целостность элементов реестра нарушена, то выдается сообщение об ошибке: «Ошибка! Нарушена целостность реестра Windows!»

Загрузка ОС при этом прекращается, а в журнал аудита добавляется запись.

Сопоставление содержимого реестра в Windows и в NumaArce#

Представление реестра, отображаемое в утилите «regedit.exe» формируется из множества файлов, расположенных на системном разделе ОС Windows.

Физические файлы, участвующие в контроле целостности, отображаются в реестре Windows по следующим правилам:

раздел COMPONENTS недоступен для редактирования с помощью regedit;
раздел SAM соответствует ветке реестра HKEY_LOCAL_MACHINE\SAM\;
раздел SECURITY соответствует ветке реестра HKEY_LOCAL_MACHINE\SECURITY\;
раздел SOFTWARE соответствует ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\;
раздел SYSTEM соответствует ветке реестра HKEY_LOCAL_MACHINE\SYSTEM. При формировании раздела SYSTEM создается каталог CurrentControlSet, который является ссылкой на один из каталогов \SYSTEM\ControlSet00x, где x - число, записанное в файле \SYSTEM\Select\Current;
раздел DEFAULT соответствует ветке реестра HKEY_USERS.DEFAULT;

Secure Boot#

Параметр Secure Boot включает проверку загрузки только подписанных образов ОС (EFI-модулей), т.е. при включенном значении параметра при попытке загрузить неподписанный образ ОС на экран выводится сообщение. И процесс загрузки завершается.

Защита EFI-переменных#

Параметр включает защиту EFI-переменных от изменений из ОС.

Контроль транзакций Ext4#

Функция обеспечивает эмуляцию работы сервиса jbd2. При включенном параметре файловая система ext4 будет находиться в восстановленном состоянии.

Во время монтирования тома выполняется анализ журнала транзакций и сохранение всех блоков, которые необходимо восстановить. В дальнейшем при чтении файлов вместо того, чтобы читать блоки с диска, нужные блоки берутся из журнала транзакций, при чтении файла будет возвращено его конечное состояние, которое будет после загрузки ОС и работы сервиса jbd2. Если незавершенные транзакции каким-либо образом изменяют контролируемый файл, то процедура контроля целостности данного файла выполнится с ошибкой, и загрузка ОС будет остановлена.

Управление включением данного механизма анализа и эмуляции настраивается в меню «Параметры безопасности» → «Контроль транзакций Ext4». Для возможности использования данной функции в меню «Компоненты» необходимо включить «Linux-загрузку» для запуска драйвера ext.

Контроль целостности транзакций NTFS#

Функция обеспечивает проверку файловой системы и настройку поведения Изделия при обнаружении незавершенных транзакций файловой системы NTFS. Изделие поддерживает следующие реакции:

«Отключено» – проверка файловой системы не производится;
«Предупреждение» – выводится предупреждающее сообщение;
«Блокировка» – выводится предупреждающее сообщение, блокируется загрузка ОС. Дальнейшая загрузка доступна только после проверки администратором Изделия контрольных сумм.

Режим USB read-only#

Данный параметр запрещает запись/экспорт информации на подключенный

USB-накопитель до загрузки ОС. Экспорт информации (например, профилей загрузки, учетных карточек пользователей, сохранение файла-лицензии) или снимки экрана выполнены не будут. На экране будет отображаться ошибка сохранения/экспорта.

Примечание

Изменения вступят в силу только после перезагрузки СВТ.

Наличие данной функции зависит от типа СВТ, на которое установлено Изделие.

Проверка целостности#

Функция проверки целостности вручную предназначена для запуска принудительного контроля целостности бинарного образа Изделия, загружаемых компонент операционной среды, журнала аудита, профилей пользователей.

Для запуска проверки необходимо выполнить следующие действия:

авторизоваться под учётной записью административного пользователя (администратор, аудитор);
выбрать пункт основного меню «Проверка целостности».

На экран будет выведено сообщение с результатами проверки всех компонентов.

При наведении клавишами «↓» и «↑» в правой части окна синим шрифтом выводится хеш–сумма выделенной строки.

Управление списком файлов профиля загрузки, для которых осуществляется контроль целостности, доступно из раздела «Панель управления» → «Конфигуратор» → «Редактирование профиля».

Примечание

В случае нарушения целостности загружаемого профиля загрузки необходимо выполнить действия, описанные в Приложении 7.

Контроль оборудования#

Контроль оборудования проверяет добавление, удаление, замену аппаратных компонент. Перестановка однотипных устройств в местах подключения (слоты памяти, SATA-порты) также считается нарушением контроля.

Контроль оборудования может функционировать в следующих режимах:

контроль отключен;
полный контроль;
базовый контроль;
настраиваемый контроль.

В режиме отключения контроля замена/добавление/удаление аппаратных компонентов не проверяется.

При полном контроле проверяется целостность CPU, RAM, HDD, PCI, PCI OpRoms, регион ME микросхемы SPI-flash-памяти.

В режиме базового контроля проверяется целостность CPU, RAM, HDD. Устройства PCI и OpRoms отключаются от контроля.

Настраиваемый контроль позволяет гибко управлять контролем аппаратной платформы. Появляется возможность включения/выключения отдельных типов устройств и отдельных устройств из контроля. В режиме базового и полного контроля такие возможности отсутствуют.

На рисунке ниже представлено окно меню «Контроль оборудования» в режиме настраиваемого контроля.

Тип контроля оборудования «Настраиваемый»

Добавление, удаление или перестановка контролируемых устройств приводит к нарушению контроля целостности. При нарушении контроля целостности невозможна загрузка ОС из профилей загрузки.

При попытке загрузки выдается сообщение об ошибке: «Ошибка! Нарушена целостность оборудования!» и загрузка ОС прекращается.

В режиме администрирования проверка целостности оборудования выполняется при каждом входе в меню контроля оборудования. Если КС аппаратной конфигурации не совпадает с сохраненной, то выдается сообщение об ошибке (см. рисунок ниже).

Сообщение об ошибке контроля целостности аппаратной платформы

При переходе в меню «Контроль оборудования» можно посмотреть какой тип устройств привел к нарушению целостности. Например, при нарушении целостности устройства RAM (возможно, нарушение произошло из-за подключения или отключения устройства, или подключения заново устройства в другой порт) в меню «Контроль оборудования» напротив устройства RAM будет отображаться «Ошибка».

В данном режиме доступна настройка отдельных типов устройств. На рисунке ниже представлено окно настройки параметров устройств PCI.

Настройка параметров контроля устройств PCI

Для типов устройств доступны следующие типы контроля:

отключен – устройства данного типа не контролируются;
полный – контролируются все подключенные устройства данного типа;
настраиваемый – имеется возможность включения/выключения отдельных устройств из контроля целостности.

Настройка параметров контроля ПО периферийных устройств (OpRom) зависит от настройки параметров периферийных устройств (PCI). Контроль OpRom осуществляется по следующим правилам:

если выключен контроль устройств PCI, то устройства OpRom также не контролируются. При этом пункт настройки контроля OpRom недоступен для выбора;
если из контроля выключены отдельные устройства PCI, то их OpRom также не проверяется;
если устройство PCI проверяется, то при этом можно выключить контроль его OpRom. Для этого необходимо выбрать в пункте настройки OpRom настраиваемый режим и исключить целевое устройство из контроля.

В процессе контроля PCI также проверяются устройства на нулевой шине (устройства PCH). При этом администратору доступны для настройки только внешние устройства PCI (PCI-шина 1 и выше). При проверке целостности PCI игнорируется локация устройства (BUS, DEV, FUNC), так как список шин при подключении/отключении периферийных устройств формируется динамически. Это приводит к ситуации, когда при подключении внешнего устройства меняются BUS уже подключенных ранее устройств. Это делает невозможным реализацию выключения отдельных устройств из контроля целостности PCI. По этой же причине не проверяются устройства типа PCI BRIDGE, так как данные устройства включаются/отключаются динамически (в том числе на нулевой шине) при подключении внешних устройств PCI. Таким образом, в процессе контроля PCI неявно проверяются PCI-устройства Intel, расположенные на нулевой шине. Администратор может выключать из контроля только PCI-устройства, расположенные выше нулевой шины. При подключении/отключении внешних PCI-устройств может меняться BUS, DEV для уже подключенных устройств. Поэтому полная локация устройства носит справочный характер, а фактически устройства сравниваются по Vendor ID, Device ID ClassCode – данные отображаются в области справки при выборе PCI-устройства в контроле оборудования.

После завершения ввода параметров администратору необходимо сохранить изменения, выбрав пункт «Сохранить» на главной странице контроля оборудования. При этом будет выполнена запись параметров в NVRAM SPI-flash.

При сохранении контрольная сумма конфигурации пересчитывается и записывается в NVRAM. При каждом входе в настройки контроля оборудования и при каждом загрузке ОС из конфигурации вычисляется текущая КС аппаратной конфигурации и сравнивается с расположенной в NVRAM.

Дополнительные параметры#

Проверка отзыва сертификата#

Меню «Настройка проверки отзыва сертификатов»

Для настройки проверки отзыва сертификатов доступны следующие настраиваемые параметры:

«Использовать OCSP» – пункт меню отвечает за использование протокола OCSP (Online Certificate Status Protocol) во время процедуры верификации сертификатов. URI OCSP сервера берется из проверяемых сертификатов. OCSP запрос выполняется как при проверке пользователя (сертификата в токене), так и при создании TLS соединения, при проверке сертификата сервера;
«Сертификат OCSP» – контролирует возможность проверки отзыва сертификата подписи OCSP с помощью CLR;
«Сертификат TLS» – данное поле отвечает за проверку отзыва сертификатов с помощью CRL при установке защищенного TLS соединения к LDAP. В случае если CRL будет отсутствовать и не будет выполнен OCSP запрос, то TLS соединение не установится. Доступно три значения параметра «Не проверять», «Всю цепочку», «Только сертификат сервера».
«Проверка пользовательского сертификата» – проверка отзыва сертификата пользователя с помощью CRL;
«Использовать CDP» – отвечает за использование CDP в качестве источника CRL. При выставленном флаге в данном поле необходимо либо ввести «CDP URL», либо выставить поле «Читать CDP сертификата».