ЛабораторнаяРабота
Натему:
Настройкамеханизмов контроля входа
1.Теоретическое введение
Настройка механизмовконтроля входа осуществляется в несколько этапов, последовательность которыхприведена в таблице 1.
Таблица 1
Последовательностьнастройки механизмов контроля входаШаг Процедура Этап: Настройка параметров, общих для всех пользователей компьютера 1. Указать имя пользователя, которое по умолчанию будет отображаться в диалоге запроса имени и пароля при входе пользователей в систему 2. Задать интервал времени, в течение которого пользователь, осуществляющий вход в систему, может начать ввод своего имени вместо имени, предлагаемого системой по умолчанию 3. Указать число попыток, которое отводится пользователю для правильного указания своего имени и пароля при входе в систему 4. Отредактировать системные файлы CONFIG.SYS и AUTOEXEC.BAT. 5. Определить требования к паролю пользователя: минимальную длину, период времени, на протяжении которого действителен текущий пароль, а также число старых паролей, информация о которых будет храниться системой
Окончание табл. 1 Шаг Процедура Этап: Настройка параметров, индивидуальных для каждого пользователя компьютера 6. Настроить параметры аутентификации пользователя, такие как: «Запрос пароля при входе», «Постоянный пароль» и «Автоввод пароля при входе в сеть» 7. Создать персональные версии системных файлов CONFIG.SYS и AUTOEXEC.BAT, если это необходимо 8. Установить значение параметра «Запрет работы при изменении конфигурации», с помощью которого можно разрешить или запретить вход пользователя в систему при изменении конфигурации компьютера 1.1 Настройка общих параметроввхода
Настройкаобщих параметров, связанных с работой системы защиты на этапе входапользователей в систему, выполняется в окне управления общими параметрами.После установки системы Secret Net на компьютер, при входе пользователей всистему используются общие версии системных файлов CONFIG.SYS и AUTOEXEC.BAT. Вдальнейшем, содержание этих файлов используется в качестве исходного содержанияпри формировании для каждого конкретного пользователя индивидуальных системныхфайлов. В том случае, когда для пользователей предполагается создавать персональныеверсии системных файлов, необходимо откорректировать общие системные файлыCONFIG.SYS и AUTOEXEC.BAT.
Длянастройки общих параметров необходимо:
1. Вызватьна экран окно управления общими параметрами Secret Net:
/>
Рис. 14. Окно управления общими параметрами
2. Установитьв поле с открывающимся списком «Пользователь по умолчанию» нужное имяпользователя. (Этот параметр не используется при входе пользователя в систему спредъявлением персонального идентификатора.) Если необходимо отказаться отавтоматического ввода имени пользователя при входе в систему, выбрать в спискезначение «Отсутствует».
3. Вполе «Время ожидания ввода имени (сек)» задать интервал времени, в течениекоторого пользователь, осуществляющий вход в систему, может начать ввод своегоимени вместо имени, предлагаемого системой по умолчанию и заданного параметром«Пользователь по умолчанию». По истечении этого интервала времени, еслипользователь не начал ввод имени, система защиты автоматически перейдет к вводупароля. Этот параметр может принимать значения от 0 до 40 секунд («0» – времяожидания ввода имени не ограничено).
4. Вполе «Максимальное число попыток входа» указать число попыток, котороеотводится пользователю для правильного указания своего имени и пароля при входев систему. Если пользователь не смог правильно указать имя и пароль заотведенное число попыток — осуществляется блокировка компьютера. Этот параметрможет принимать значения от 0 до 10 («0» – количество попыток не ограничено).
5. Нажатькнопку «ОК».
Длякорректировки общих системных файлов необходимо:
1. Вызватьна экран окно управления общими параметрами Secret Net:
2. Активизироватьдиалог «Дополнительно».
3. Вгруппе полей «Профили» выполнить одно из следующих действий:
· подвестикурсор мыши к строке таблицы, содержащей имя файла, и дважды нажать левуюкнопку мыши;
· выбратьстроку с именем этого файла и нажать кнопку «Редактировать».
Наэкране появится окно текстового редактора SnEdit, в котором будет открытвыбранный для изменения файл.
4. Отредактироватьнужным образом системный файл. Завершив редактирование, сохранить внесенныеизменения и закрыть окно редактора SnEdit.
5. Нажатькнопку «ОК».
1.2 Управление паролями
1.2.1 Настройка параметров пароля
Настройкапараметров пароля, общих для всех пользователей компьютера, осуществляется вокне управления общими параметрами. В диалогах этого окна можно указатьминимальное количество символов в пароле, периодичность смены паролейпользователей, а также определить требования к уникальности паролейпользователей.
Длянастройки параметров необходимо:
1. Вызватьна экран окно управления общими параметрами Secret Net.
2. Определитьминимальную длину пароля пользователя в поле «Минимальное количество символов впароле». Этот параметр может принимать значения от 0 до 16 («0» означает — разрешено использование пустых паролей, т.е. паролей нулевой длины).
Примечание.Пользователюнельзя назначить пароль, количество символов в котором меньше числа, указанногов этом поле. При входе пользователя в систему, длина указанного им паролясравнивается с этим значением. Если длина указанного пароля меньшеустановленной минимальной длины — пользователю предлагается сменить пароль.
3. Определитьв поле «Периодичность смены пароля (в днях)» период времени, на протяжениикоторого действителен текущий пароль пользователя. Этот параметр принимаетзначения от 0 до 365 дней («0» означает — срок действия пароля не ограничен).
4. Активизироватьдиалог «Дополнительно».
5. Определитьв поле «Число паролей, запоминаемое системой» число старых паролей каждогопользователя, информация о которых будет храниться системой. Этот параметрможет принимать значения от 0 до 24 («0» означает, что пользователь при сменепароля может указать в качестве нового любой, в том числе свой текущий пароль).
6. Нажатькнопку «ОК».1.2.2 Правила определения пароля
Приопределении пароля необходимо соблюдать следующие правила:
1. Парольможет содержать только латинские символы, цифры и служебные символы (символылатинской раскладки клавиатуры). Запрещается использовать символы кириллицы, атакже символ «пробел».
2. Разрешаетсяиспользовать различные регистры клавиатуры (например, «Dog» или «dog»). Приэтом нужно помнить, что заглавные и строчные буквы воспринимаются как различные(«Dog» и «dog» считаются разными паролями).
3. Длинапароля не может быть меньше установленной минимальной длины и не можетпревышать 16-ти символов.
4. Новыйпароль не должен совпадать с теми старыми паролями пользователя, информация окоторых хранится системой защиты.1.3 Настройка индивидуальныхпараметров входа
Настройкапараметров, связанных с аутентификацией пользователя на этапе входа в систему,выполняется в окне управления свойствами пользователя.1.3.1 Настройка параметров аутентификациипользователя
Длянастройки параметров необходимо:
1. Вызватьна экран окно управления свойствами пользователя.
2. Установитьвыключатель «Запрос пароля», который позволяет разрешить или запретитьпользователю входить в систему без предъявления пароля:
· чтобыразрешить пользователю входить в систему без предъявления пароля необходимоудалить отметку из поля выключателя;
· чтобызапретить пользователю входить в систему без пароля необходимо поставитьотметку в поле выключателя.
3. Отметитьполе «Постоянный пароль», чтобы отключить для пользователя режим устареванияпароля, который ограничивает срок действия текущего пароля пользователя.
Еслиполе не содержит отметки, срок действия пароля определяется общим параметромсистемы защиты «Периодичность смены пароля». По истечении заданного этимпараметром числа дней, система защиты попросит пользователя сменить текущийпароль и запретит вход пользователя в систему по старому паролю.
/>
Рис. 15. Окно управления свойствами пользователей
Еслиимя и пароль пользователя в системе Secret Net, в сетях Novell NetWare иMicrosoft Windows совпадают, регистрацию этого пользователя в сети можноупростить следующим образом:
1. Поставитьотметку в поле «Автоввод пароля пользователя при входе в сеть», чтобы приподключении к сетям Novell NetWare и Microsoft Windows имя и парольпользователя вводились автоматически.
2. Установитьотметку в поле «Потребовать смену пароля при следующем входе», чтобы включитьдля пользователя этот режим смены пароля. При входе пользователя в систему наэкран будет выведен диалог смены пароля.
3. Нажатькнопку «ОК».1.3.2 Смена пароля пользователя
Изменитьпароль пользователя может только администратор безопасности компьютера илипользователь, который обладает привилегией на администрирование:
· «Уровень 1»или выше из группы привилегий «Параметры своей работы» – для изменения своегопароля;
· «Уровень 3»из группы привилегий «Параметры работы других пользователей» – для измененияпаролей других пользователей компьютера.
Процедурасмены пароля позволяет:
1. Сменитьпароль пользователя в Secret Net;
2. Присоблюдении определенных условий – одновременно сменить пароль пользователя вSecret Net, Windows и сетях;
3. Записатьновый пароль в персональный идентификатор, если это необходимо.
Длясмены пароля пользователя необходимо:
1. Вызватьна экран окно управления свойствами пользователя.
2. Нажатькнопку «Назначить» в группе полей «Персональные идентификаторы и пароль». Наэкране появится диалог смены пароля:
/>
Рис. 16. Смена пароля пользователя
3. Настроитьдополнительные параметры процедуры смены пароля, если это необходимо (см. нижеописание процедуры смены пароля в других службах).
4. Ввеститекущий пароль в поле «Введите старый пароль» и нажать кнопку «ОК».
5. Ввестиновый пароль в поле «Введите новый пароль» и нажать кнопку «ОК».
6. Повторноввести тот же пароль в поле «Подтвердите пароль» и нажать кнопку «ОК».
Еслиоба значения нового пароля совпали и требования, предъявляемые к паролю, небыли нарушены, смена пароля завершится успешно. Иначе появится сообщение обошибке. В том случае, если пароль пользователя хранится в персональномидентификаторе, на экране появится запрос на предъявление идентификатора:
7. Предъявитьперсональный идентификатор. Если пользователю присвоено несколькоидентификаторов – последовательно предъявите каждый из них. Новый пароль будетзаписан в персональные идентификаторы пользователя.
Рекомендуетсязаписывать новый пароль во все имеющиеся у пользователя персональныеидентификаторы. В том случае если для записи пароля предъявлен идентификаторeToken, который защищен нестандартным для Secret Net PIN-кодом, на экранепоявится запрос. Необходимо ввести PIN-код и нажать кнопку «OК».
Можноотказаться от записи нового пароля в один или несколько идентификаторов, нажавкнопку «Отмена» и выбрав вариант завершения процедуры в появившемся окнезапроса:
· Нажавкнопку «Нет», можно продолжить процедуру смены пароля и назначить новый парольпользователю без записи пароля в идентификаторы.
Вэтом случае после предъявления идентификатора (одного или нескольких) со старымпаролем, например, при входе в систему, на экран будет выведен диалог запросапароля для ввода нового пароля с клавиатуры.
· Нажав кнопку«Да», если необходимо прервать процедуру смены пароля и восстановить старыйпароль пользователя. На экране появится запрос на восстановление пароля видентификаторе:
· Предъявивперсональный идентификатор. Если необходимо восстановить пароль в несколькихидентификаторах – последовательно предъявить каждый из них. Значение старогопароля будет восстановлено, и на экран будет выведено сообщение о результатевыполнения операции.
· Для отказа отвосстановления старого пароля в одном или нескольких идентификаторах нажатькнопку «Отмена».
8. Закрытьокно управления свойствами пользователя.
Длятого чтобы наряду с паролем в Secret Net одновременно изменить и другие пароли,необходимо, чтобы имя пользователя было во всех службах одним и тем же.
Присмене администратором безопасности пароля любого пользователя компьютеранеобходимо указывать текущие пароли служб, в которых меняются пароли.
Длясмены паролей пользователя в других службах необходимо:
1. Установитьотметку в поле «Смена пароля в Windows и сетях» (или нажать кнопку «…»).
Наэкране появится диалог:
/>
Рис. 17. Смена пароля пользователя
2. Определитьпараметры процедуры:
· установитьотметку в поле, содержащем название службы, для которой требуется изменитьпароль;
· в том случаеесли текущий пароль пользователя в Secret Net не совпадает с текущими паролямислужб, в которых необходимо изменить пароль, поставить отметку в поле«Запрашивать старый пароль»;
· нажать кнопку«ОК».
3. Выполнитьшаги 4-7процедуры смены пароля.
Втом случае, если текущий пароль пользователя в Secret Net совпадает с другимитекущими паролями, пароль пользователя будет изменен без появлениядополнительных сообщений на экране. Иначе на экране появится запрос на вводтекущего пароля службы:
4. Ввеститекущий пароль службы, название которой указано в заголовке диалогового окна, инажать кнопку «ОК».
Еслипароль введен верно, произойдет смена пароля пользователя, иначе на экранепоявится сообщение об ошибке:
· Для отказа отсмены пароля пользователя в указанной службе нажать кнопку «Да».
· Еслитребуется повторить попытку смены пароля в указанной службе, отметить поле«Попробовать еще раз с другим старым паролем», нажать кнопку «Да» и повторитеввод старого пароля в появившемся диалоге.
5. Указатьстарые пароли пользователя для остальных служб.1.3.3 Управление блокировкой пользователя
Дляуправления блокировкой пользователя необходимо:
1. Вызватьна экран окно управления свойствами пользователя.
Внимание!Входпользователя в систему блокируется системой защиты автоматически, еслипользователь:
· осуществилпопытку войти в систему в нерабочее время;
· превысилчисло попыток, отводящихся ему для правильного указания своего имени и пароляпри входе в систему;
· своевременноне сменил свой пароль, несоответствующий заданным требованиям к паролям.
Вэтих случаях отметка автоматически устанавливается в поле выключателя«Пользователь блокирован». Чтобы разрешить вход пользователя в системунеобходимо убрать отметку из поля выключателя.
2. Вполе «Пользователь блокирован»:
· установитьотметку, чтобы запретить работу пользователя на компьютере;
· удалитьотметку, чтобы разрешить пользователю работать на компьютере.
3. Нажатькнопку «ОК».
1.4 Управлениеперсональными идентификаторами
Персональныйидентификатор пользователя – это аппаратное средство,предназначенное для идентификации пользователя и хранения необходимой служебнойинформации. В идентификаторе может храниться пароль пользователя, которыйсчитывается автоматически при предъявлении идентификатора для входа в систему.
Предъявитьидентификатор – это означает, сделать его доступным системе длявыполнения необходимых операций (например, чтения или записи). В зависимости оттипа устройств эта процедура выполняется по-разному. Идентификатор Touch Memoryнеобходимо приложить к считывателю так, чтобы между ними был надежный контакт,а идентификатор eToken вставить непосредственно или через удлинитель в разъемUSB-порта компьютера. При выполнении этой процедуры могут возникать ошибки,связанные, например, с нарушением контакта со считывателем или невернымформатом идентификатора. Во всех таких случаях система выведет на экраннеобходимые сообщения, рекомендациям которых необходимо следовать.
Каждомупользователю можно присвоить несколько идентификаторов разного или одного итого же типа. Нельзя присвоить один и тот же персональный идентификаторнескольким пользователям.
Всистеме предусмотрены следующие операции с идентификаторами:
· инициализациясвободного идентификатора;
· присвоениеидентификатора пользователю или удаление идентификатора из перечняидентификаторов пользователя;
· запись пароляв идентификатор или удаление пароля из идентификатора.
Приинициализации (форматировании) идентификатора из его памяти удаляетсязаписанная ранее информация и производится разметка носителя информации. Такимобразом, выполняется подготовка идентификатора для дальнейшего использования.
Инициализироватьможно только идентификатор, который никому не принадлежит.
Дляуправления персональными идентификаторами необходимо:
1. Вызватьна экран окно управления свойствами пользователя.
2. Вгруппе полей «Персональные идентификаторы и пароль» нажать кнопку«Подробности». На экране появится диалог для управления персональнымиидентификаторами пользователя.
3. Выполнитьнеобходимые действия.
4. Нажатькнопку «ОК».
5. Закрытьокно управления свойствами пользователя.
Дляинициализации персонального идентификатора необходимо:
1. Вдиалоге «Персональные идентификаторы» нажать на кнопку «Инициализировать…»,если на компьютере установлено одно устройство идентификации.
2. Предъявитьидентификатор. Если инициализация завершена успешно, появится сообщение обэтом.
3. Нажатьна кнопку «OK» в окне сообщения.
/>
Рис. 18. Диалог «Персональные идентификаторы»
Следуетпомнить, что инициализировать можно только те идентификаторы, которые непринадлежат ни одному из пользователей.
Дляприсвоения идентификатора пользователю необходимо:
1. Вдиалоге «Персональные идентификаторы» нажать кнопку «Присвоить…», если накомпьютере установлено одно устройство идентификации.
2. Предъявитьидентификатор. Система может обнаружить ошибочный формат идентификатора ипотребовать выполнить инициализацию персонального идентификатора. Послеинициализации повторить процедуру присвоения сначала.
Присчитывании информации из идентификатора система Secret Net проверяет, неиспользуется ли этот идентификатор другим пользователем компьютера. Еслиидентификатор не используется другим пользователем, он присваивается данномупользователю, и в списке идентификаторов пользователя появится новая запись.Иначе на экране появится сообщение об ошибке, и предъявленный идентификатор небудет присвоен.
Втом случае, если предъявлен идентификатор eToken, содержащий нестандартныйPIN-код, на экране появится запрос на ввод PIN-кода.
Еслитребуется присвоить пользователю еще один персональный идентификатор необходимоповторить те же действия. Пользователю, которому присвоено несколькоперсональных идентификаторов, вход в систему разрешен по любому из них.
Приприсвоении идентификатора пароль пользователя не записывается в идентификаторавтоматически. Если необходимо, чтобы пароль пользователя хранился вперсональном идентификаторе и автоматически считывался при предъявленииидентификатора в момент входа пользователя в систему необходимо выполнитьпроцедуру записи пароля в идентификатор.
Длязаписи пароля в идентификатор необходимо:
1. Вдиалоге «Персональные идентификаторы» установить отметку в соответствующемидентификатору поле «Пароль в идентификаторе». Появится запрос на предъявлениеидентификатора, в котором указан его учетный номер.
2. Предъявитьидентификатор. Если предъявлен нужный идентификатор, на экране появится запроспароля пользователя.
3. Ввестипароль и нажать кнопку «OK».
Еслипароль указан правильно, он записывается в идентификатор. При этом отметка вполе «Пароль в идентификаторе» сохраняется.
Дляудаления пароля из идентификатора необходимо:
1. Вдиалоге «Персональные идентификаторы» удалить отметку из соответствующегоидентификатору поля «Пароль в идентификаторе». Появится запрос на предъявлениеидентификатора, в котором указан его учетный номер.
2. Предъявитьидентификатор.
Еслипредъявлен нужный идентификатор, пароль будет из него удален. При этом отметкаиз поля «Пароль в идентификаторе» удаляется.
Дляудаления персонального идентификатора необходимо:
1. Вдиалоге «Персональные идентификаторы» установить курсор на номер идентификатора,подлежащего удалению, вызвать контекстное меню и выбрать команду «Удалить».
2. Подтвердитьсвое решение в появившемся на экране окне запроса.
Идентификаторбудет удален из списка.1.5 Управление персональнымисистемными файлами пользователя
Послеустановки системы защиты на компьютер, при входе пользователей в системувыполняются общие версии системных файлов CONFIG.SYS и AUTOEXEC.BAT. Средствасистемы Secret Net позволяют создавать для пользователей персональные версииэтих файлов.
Длясоздания персональных версий системных файлов необходимо:
1. Вызватьна экран окно управления свойствами пользователя.
2. Активизироватьдиалог «Режимы»:
/>
Рис. 19. Диалог «Режимы»
Выключатель«Персональный Config.sys» активен только тогда, когда компьютер оборудованустройством аппаратной поддержки системы защиты. Если данное устройствоотсутствует – создать для пользователя персональный файл CONFIG.SYS нельзя.
3. Установитьотметку в поле «Персональный Autoexec.bat» или «Персональный Config.sys», чтобыназначить пользователю персональные версии системных файлов.
Наэкране появится окно текстового редактора SnEdit, в котором будет отображатьсясодержание соответствующего файла. Если персональный системный файлпользователя еще не создан, в качестве его содержания будет предложеносодержание общего системного файла.
/>
Рис. 20. Окно редактора SnEdit (редактированиефайла autoexec.bat)
4. Отредактироватьнужным образом системный файл. Завершив редактирование, сохранить внесенныеизменения. Затем закрыть окно редактора SnEdit. Для редактирования персональныхсистемных файлов используются кнопки «Config.sys» и «Autoexec.bat».
Пояснение.Персональныеверсии системных файлов хранятся на данном компьютере в каталоге C:\-SNET- подименами CONFIG.*** и AUTOEXEC.*** (где «***» — регистрационный номерпользователя в системе Secret Net).
5. Установитьотметку в поле «Запрет изменения Autoexec.bat», для запрета пользователюредактировать свой персональный командный файл. При этом попытка пользователяизменить содержание файла будет трактоваться как несанкционированное действие(НСД).
6. Нажатькнопку «ОК» в окне настройки свойств пользователя.1.6 Запреты работы при измененииконфигурации компьютера
Средствасистемы Secret Net позволяют запретить работу пользователя в случае измененияаппаратной конфигурации компьютера, а также при изъятии из компьютера устройствааппаратной поддержки системы.
Входпользователя, обладающего привилегией на работу с системой «Без ограничений понастройкам», не может быть заблокирован.
Послетого как соответствующие запреты введены в действие, при обнаружении фактаизменения аппаратной конфигурации компьютера или изъятия устройства аппаратнойподдержки доступ пользователя к компьютеру блокируется. При попыткепользователя войти в систему на экран выводится предупреждающее сообщение, азагрузка компьютера прерывается. Системой Secret Net контролируется изменениеследующих параметров:
· типпроцессора ( Pentium-II, Pentium-IIIи т.п.);
· частотапроцессора в MHz;
· версияоперационной системы (DOS, Windows’9x);
· размероперативной памяти в Мб;
· количествопортов (LPT, COM, GAME);
· количествоустройств для чтения гибких дисков;
· модель,версия и дата выпуска BIOS;
· номер сетевойкарты.
Дляустановки запретов необходимо:
1. Вызватьна экран окно управления свойствами пользователя.
2. Активизироватьдиалог «Запреты».
3. Установитьотметку в поле:
· «Запретработы при изменении конфигурации».
· «Запретработы при изъятии аппаратной поддержки».
4. Нажатькнопку «OK».
Списоклитературы
1. Системазащиты информации SecretNet 4.0 автономный вариант для Windows9x. Принципы построения. М: ЗАО НИП«Информзащита», 2003.
2. Системазащиты информации SecretNet 4.0 автономный вариант для Windows9x. Руководство пользователя. М: ЗАОНИП «Информзащита», 2003.