K B K L ? F : A : S B L U B G N H J F : P : E V : K L J M ...ŸФНА.501410.001 РЭ...

$Page 1: K B K L ? F : A : S B L U B G N H J F : P : E V : K L J M ...ŸФНА.501410.001 РЭ Руководство по...J m d h \ h ^ k l k i e m Z l Z p < B Dallas Lock 2 : g g h l Z$
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

В ВИРТУАЛЬНЫХ ИНФРАСТРУКТУРАХ

«Dallas Lock»

Руководство по эксплуатации

Листов 69

2016

Руководство по эксплуатации СЗИ ВИ Dallas Lock

2

Аннотация

Данное руководство по эксплуатации освещает вопросы по установке, настройке и сопровождению системы защиты информации в виртуальных инфраструктурах Dallas Lock и предназначено для лиц, ответственных за ее эксплуатацию.

Руководство по эксплуатации подразумевает наличие у пользователя навыков работы в операционной системе Windows.

В документе представлены элементы графических интерфейсов, которые соответствуют эксплуатации сервера безопасности виртуальной инфраструктуры в ОС Windows 7. Следует обратить внимание, что элементы графического интерфейса могут иметь незначительные отличия от представленных.


3

Содержание Введение .......................................................................................................................................... 4 Термины и сокращения ................................................................................................................... 4

1. НАЗНАЧЕНИЕ И ВОЗМОЖНОСТИ СЗИ ВИ .......................................................................................... 6 1.1. Возможности ......................................................................................................................... 6 1.2. Составные модули СЗИ ВИ .................................................................................................. 7

2. РАЗВЕРТЫВАНИЕ И УДАЛЕНИЕ СЗИ ВИ ........................................................................................... 9 2.1. Требования к аппаратному и программному обеспечению ............................................... 9 2.2. Ограничения по эксплуатации ............................................................................................. 9 2.3. Порядок развертывания ..................................................................................................... 10 2.4. Установка DL 8.0 и СБ ВИ .................................................................................................. 11

2.4.1. Подготовка к установке DL 8.0 и СБ ....................................................................... 11 2.4.2. Установка DL 8.0 ...................................................................................................... 12 2.4.3. Установка СБ ВИ ...................................................................................................... 15

2.5. Ввод и вывод сервера виртуализации .............................................................................. 19 2.5.1. Ввод в СБ ВИ с консоли сервера безопасности .................................................... 19 2.5.2. Ввод в СБ ВИ из оболочки администратора .......................................................... 20 2.5.3. Вывод сервера виртуализации из СБ ВИ ............................................................... 21

2.6. Установка и удаление агента DL ....................................................................................... 22 2.7. Удаление СЗИ ВИ ............................................................................................................... 23 2.8. Вход на защищенный компьютер ...................................................................................... 24

2.8.1. Вход с использованием смарт-карт с сертификатом УЦ Windows ....................... 25 2.8.2. Вход с аппаратным идентификатором ................................................................... 26 2.8.3. Ограничение количества терминальных сессий .................................................... 27

3. ОПИСАНИЕ СРЕДСТВ АДМИНИСТРИРОВАНИЯ .............................................................................. 29 3.1. Администрирование СБ ВИ ................................................................................................ 29 3.2. Консоль сервера безопасности.......................................................................................... 29 3.3. Основные параметры ......................................................................................................... 31

3.3.1. Основные параметры СБ ВИ ................................................................................... 31 3.3.2. Основные параметры СВ ........................................................................................ 32 3.3.3. Основные параметры гипервизора ......................................................................... 33

3.4. Управление ВМ ................................................................................................................... 34 3.5. Синхронизация .................................................................................................................... 36 3.6. Сигнализация об НСД......................................................................................................... 36 3.7. Наследование настроек ..................................................................................................... 38

4. ПОДСИСТЕМА УПРАВЛЕНИЯ ПОЛЬЗОВАТЕЛЯМИ ......................................................................... 39 4.1. Управление учетными записями ВИ .................................................................................. 39

4.1.1. Редактирование учетных записей ........................................................................... 39 4.1.2. Регистрация доменных пользователей .................................................................. 46 4.1.3. Регистрация доменных учетных записей по маске ............................................... 47 4.1.4. Редактирование групп пользователей ................................................................... 48 4.1.5. Смена пароля ........................................................................................................... 50

4.2. Настройка параметров входа............................................................................................. 51 5. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ К ОБЪЕКТАМ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ54

5.1. Удаленный доступ к серверу виртуализации.................................................................... 54 5.1.1. Правила управления СВ .......................................................................................... 54 5.1.2. Клиенты управления СВ .......................................................................................... 54

5.2. Управление ролями ............................................................................................................ 55 5.3. Права пользователей ......................................................................................................... 56 5.4. Настройка фильтрации трафика гипервизоров ................................................................ 58

6. ПОДСИСТЕМА КОНТРОЛЯ ЦЕЛОСТНОСТИ ...................................................................................... 61 6.1. Настройка параметров контроля целостности ................................................................. 61 6.2. Контроль целостности файлов гипервизора и ВМ ........................................................... 62

6.2.1. Проверка целостности ............................................................................................. 62 7. ПОДСИСТЕМА АУДИТА ........................................................................................................................ 64

7.1. Аудит гипервизоров ............................................................................................................ 64 7.2. Журналы событий ............................................................................................................... 64

7.2.1. Журнал СБ ВИ .......................................................................................................... 65 7.2.2. Журнал сервера виртуализации ............................................................................. 66 7.2.3. Журнал гипервизора ................................................................................................ 68

8. ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ .............................................................................................. 69 8.1. Сохранение конфигурации СБ ВИ ..................................................................................... 69 Изменения ............................................................................. Ошибка! Закладка не определена.


4

Введение Данное руководство предназначено для администратора программного продукта «Система защиты информации в виртуальных инфраструктурах «Dallas Lock».

В руководстве содержатся сведения, необходимые для получения общего представления о системе защиты, ее функциональных возможностях, а также для установки, настройки и управления работой в соответствии с требованиями безопасности.

В данном руководстве описание работы с системой носит процедурный характер, то есть основное внимание сосредоточено на порядке выполнения тех или иных действий.

Если имеется доступ в интернет, можно посетить сайт компании–разработчика системы защиты информации в виртуальных инфраструктурах Dallas Lock ООО «Конфидент» www.confident.ru или сайт самого программного продукта www.dallaslock.ru.

На сайте продукта можно получить информацию о системе защиты информации в виртуальных инфраструктурах Dallas Lock, предыдущих версиях, а также заказать комплекс услуг по проектированию, внедрению и сопровождению продукта.

Также, при необходимости, можно обратиться в службу технической поддержки системы защиты информации в виртуальных инфраструктурах Dallas Lock по электронному адресу: [email protected].

Термины и сокращения Некоторые термины, содержащиеся в тексте руководства, уникальны для СЗИ ВИ Dallas Lock, другие используются для удобства, третьи выбраны из соображений краткости.

Термины «компьютер», «ПК», «рабочая станция», «ТС» считаются эквивалентными, и используются в тексте руководства.

Домен безопасности ‒ организация единой политики безопасности совокупностью Сервера безопасности и клиентских рабочих станций, работающих под управлением СБ.

Гипервизор/Гипервизор ESXi/ESXi ‒ программа или аппаратная схема, обеспечивающая или позволяющая одновременное, параллельное выполнение нескольких или даже многих операционных систем на одном и том же хост-компьютере.

vCenter ‒ платформа для централизованного управления средами VMware vSphere, которая обеспечивает автоматизацию и надежное предоставление виртуальной инфраструктуры.

Сервер виртуализации ‒ ПК, на котором расположена платформа для централизованного управления средами VMware vSphere.

Объекты ВИ ‒ объекты, которыми управляет сервер виртуализации, корнем которых является сервер безопасности.

ВИ ‒ виртуальная инфраструктура Dallas Lock, образующаяся после развертывания СЗИ ВИ.

Замкнутая программная среда ‒ режим работы защищенного ПК, при котором для конкретных пользователей определяется список доступных для работы программ.

Клиент ‒ компьютер, защищенный компонентом на базе Dallas Lock 8.0, входящий в состав Домена безопасности DL.

Мышь ‒ ручной манипулятор, преобразующий механические движения в движение курсора на экране.

Параметры безопасности ‒ или политики безопасности - совокупность правил по обеспечению безопасности информации, выраженные настраиваемыми категориями системы защиты.

Администратор информационной безопасности ‒ пользователь, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.

Суперадминистратор ЗАРМ Dallas Lock ‒ пользователь, под учетной записью которого выполнена установка системы защиты.

Суперадминистратор СБ ВИ Dallas Lock ‒ пользователь, под учетной записью которого выполнена установка системы защиты на СБ ВИ.

Администратор ЗАРМ Dallas Lock ‒ пользователь, наделенный всеми полномочиями на администрирование системы защиты на защищаемом компьютере,

Администратор СБ ВИ Dallas Lock ‒ пользователь, наделенный всеми полномочиями на администрирование СБ ВИ.

Администратор VMware vCenter Server ‒ пользователь, наделенный всеми полномочиями на администрирование VMware vCenter Server.

Аудитор ЗАРМ Dallas Lock ‒ пользователь, наделенный правами на просмотр параметров аудита и журналов системы защиты.

http://www.confident.ru/

http://www.dallaslock.ru/

mailto:[email protected]

http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D0%B0%D1%8F_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B0

http://ru.wikipedia.org/wiki/%D0%9E%D0%BF%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0


5

Аудитор СБ ВИ Dallas Lock ‒ пользователь, наделенный правами на просмотр параметров аудита и журналов на сервере безопасности системы защиты.

Администратор ОС ЗАРМ ‒ пользователь, наделенный полномочиями на администрирование операционной системы на защищаемом компьютере.

Администратор ОС СБ ВИ – пользователь, наделенный полномочиями на администрирование операционной системы на СБ ВИ.

Сокращение Полная формулировка

ЗАРМ Защищенное автоматизированное рабочее место

ДБ Домен безопасности

КСБ Консоль сервера безопасности

ЛВС Локальная вычислительная сеть

OC Операционная система

ПК Персональный компьютер

ТС Техническое средство

ПЗУ Постоянное запоминающее устройство, энергонезависимая память, используемая для хранения массива неизменяемых данных

ВИ Виртуальная инфраструктура

СБ ВИ Сервер безопасности виртуальной инфраструктуры

СЗИ ВИ Система защиты информации в виртуальных инфраструктурах

СВ Сервер виртуализации

DL 8.0 Компонент СЗИ ВИ на базе Dallas Lock 8.0-К или Dallas Lock 8.0-С

ФС Файловая система

ЭЦП Электронно – цифровая подпись

AD Active Directory

SP (Service Pack)

Пакет обновлений для операционной системы

http://ru.wikipedia.org/wiki/%D0%AD%D0%BD%D0%B5%D1%80%D0%B3%D0%BE%D0%BD%D0%B5%D0%B7%D0%B0%D0%B2%D0%B8%D1%81%D0%B8%D0%BC%D0%B0%D1%8F_%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D1%8C


6

1. НАЗНАЧЕНИЕ И ВОЗМОЖНОСТИ СЗИ ВИ

СЗИ ВИ Dallas Lock ‒ система защиты информации виртуальной инфраструктуры, которая предназначена для защиты среды виртуализации на базе VMware vSphere (гипервизор ESXi 5.5) от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС), государственных информационных системах (ГИС), в автоматизированных системах управления (АСУ), информационных системах персональных данных (ИСПДн).

1.1. Возможности СЗИ ВИ Dallas Lock предоставляет следующие возможности:

1. Идентификация и аутентификация администраторов и пользователей в виртуальной среде по идентификатору и паролю условно-постоянного действия – на сервере виртуализации и СБ ВИ. Контроль пользователей, имеющих право на вход на гипервизор осуществляется посредством выполнения необходимых настроек на стороне СБ ВИ и процесса синхронизации гипервизора с СБ ВИ;

2. Запрет доступа к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась. Контроль пользователей, имеющих право на доступ к гипервизору, при условии успешной авторизации должен осуществляться посредством выполнения необходимых настроек на стороне СБ ВИ и процесса синхронизации гипервизора с СБ ВИ;

3. Управление средствами аутентификации, в том числе хранение, выдача и инициализация всех компонент защищаемой виртуальной инфраструктуры. Также осуществляется блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации для сервера виртуализации и СБ ВИ;

4. Для решения проблемы «простых паролей» система имеет гибкие настройки сложности паролей. Можно задать минимальную длину пароля, необходимость обязательного наличия в пароле цифр, специальных символов, строчных и прописных букв, степень отличия нового пароля от старого и срок действия;

5. В СЗИ ВИ реализована система контроля целостности параметров ТС. Она обеспечивает:

контроль целостности системных файлов ESXi;

контроль целостности конфигурационных файлов виртуальных машин (виртуальное оборудование, настройки BIOS и пр.).

Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 3411-2012.

6. Реализовано разграничение доступа к компонентам виртуальной инфраструктуры – к серверу виртуализации и СБ ВИ. Разграничение доступа к гипервизорам ESXi и виртуальным машинам (файлам виртуальных машин) реализуется в пределах ролевой модели разграничения доступа vSphere 5.5.

7. Контроль доступа к операциям, выполняемым с помощью средств управления виртуальными машинами, в том числе к операциям создания, запуска, остановки, создания копий, удаления виртуальных машин, которые должны быть разрешены только назначенным пользователям.

8. Разграничение доступа по дискреционному принципу к объектам файловой системы и устройствам в виртуальной среде – на СБ ВИ и на сервере виртуализации. Разграничение доступа к гипервизорам ESXi и виртуальным машинам (файлам виртуальных машин) реализуется в пределах ролевой модели разграничения доступа vSphere 5.5.

9. При первоначальном назначении или при перераспределении внешней памяти СЗИ ВИ Dallas Lock предотвращает доступ субъекту к остаточной информации. Осуществляется очистка освобождаемых областей оперативной памяти ТС, освобождаемых областей памяти внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов). На гипервизорах ESXi осуществляется очистка остаточной информации по отношению к дискам виртуальных машин.

10. В СЗИ ВИ реализовано ведение трех электронных журналов:

журнал СБ ВИ. В журнал заносятся события, связанные непосредственно с работой сервера безопасности ВИ;


7

журнал сервера виртуализации. Журнал содержит информацию об изменениях состояния управляемых объектов на сервере виртуализации. События включают в себя действия системы и пользователей, которые происходят на объектах ВИ.

журнал гипервизора. В журнале регистрируются события безопасности гипервизора, на котором установлен агент DL. Журнал включает в себя системные события и действия агента DL на гипервизоре.

11. Для облегчения работы с журналами есть возможность фильтрации записей по определенному признаку и экспортирования журналов в различные форматы. При переполнении журнала, а также по команде администратора, его содержимое архивируется и помещается в специальную папку, доступ к которой есть, в том числе и через средства удаленного администрирования. Этим обеспечивается непрерывность ведения журналов.

12. При необходимости переноса настроек СБ ВИ на другие компьютеры либо для сохранения настроек при переустановке системы существует возможность создания файла конфигурации, который будет содержать выбранные администратором параметры.

13. Доверенная загрузка ВМ предотвращает запуск гостевой ОС, если целостность конфигурационный файлов ВМ нарушена.

14. Возможно удаленное (сетевое) администрирование СБ ВИ с помощью КСБ.

15. Гипервизор ESXi включает в себя брандмауэр между интерфейсом управления и сетью. СЗИ ВИ позволяет производить настройку правил фильтрации сетевого трафика гипервизора.

1.2. Составные модули СЗИ ВИ СЗИ ВИ Dallas Lock состоит из следующих модулей:

1. Клиентская часть DL 8.0. В обязательном порядке, данный модуль должен быть установлен на сервер виртуализации и компьютер, предназначенный для СБ ВИ. DL 8.0 предназначена для предотвращения получения защищаемой информации заинтересованными лицами с нарушением установленных норм и правил и обладателями информации с нарушением установленных правил разграничения доступа к защищаемой информации и осуществления контроля за потоками информации, поступающими в автоматизированную систему и выходящими за её пределы, обеспечения защиты информации в АС посредством её фильтрации. Также данный компонент осуществляет фильтрацию входящего трафика на сервере виртуализации и предотвращает несанкционированный удаленный доступ к vCenter.

2. Сервер безопасности виртуальной инфраструктуры (СБ ВИ). Данный модуль осуществляет управление сервером vCenter и доверенными клиентами управления vCenter.

Внимание. Данный модуль должен быть установлен на отдельный компьютер, защищенный DL 8.0.

Серверы виртуализации, введенные под контроль СБ ВИ, становятся его объектами и образуют виртуальную инфраструктуру DL.

СБ ВИ реализован в виде службы, которая автоматически запускается при подключении к ПК лицензионного ключа СБ ВИ, запрограммированного в аппаратном идентификаторе (eToken или Rutoken).

Управление СБ ВИ осуществляется программой «Консоль сервера безопасности» (сокращенно – КСБ). Так как КСБ это самостоятельная программа, то ее установка на рабочую станцию, защищенную DL 8.0, может осуществляться независимо от того, установлен на ней СБ ВИ или нет. Таким образом, возможна работа в КСБ, расположенной на одном компьютере, с СБ ВИ, расположенном на другом компьютере.

Совместно с установкой СБ ВИ происходит автоматическая установка КСБ. Поэтому при установке на компьютер модуля СБ ВИ дополнительной установки программы КСБ не требуется.

КСБ представляет собой пользовательский интерфейс для отображения на экране информации о работе службы СБ ВИ и вызывается пользователем нажатием ярлыка программы.

Если КСБ и СБ ВИ расположены на разных компьютерах, то запуск КСБ будет осуществляться при условии, что компьютер, на котором расположен СБ ВИ, включен.

Если при запуске КСБ появляется сообщение об ошибке, то необходимо проверить, предъявлен ли аппаратный идентификатор с ключом СБ ВИ и запущены ли службы «Dallas Lock 8.0 Сервер безопасности» и «Dallas Lock 8.0 Сервер виртуальных машин» («Панель управления» => «Администрирование» => «Службы»).


8

3. Агент DL. Необходимым условием защищенности виртуальной инфраструктуры является наличие агента DL абсолютно на каждом гипервизоре.

Агент DL ‒ сервис, который разворачивается на гипервизоре ESXi для выполнения части функций СЗИ на соответствующем гипервизоре. В том числе контроль целостности файлов виртуальных машин и системных файлов операционной системы гипервизора, доверенная загрузка виртуальных машин, определение парольных политик пользователей гипервизора, блокирования пользователей, выполнение гарантированной зачистки информации при удалении виртуальной машины через КСБ.

Данный сервис полностью подчинен СБ ВИ и следует его настройкам в соответствии с процедурой синхронизации с гипервизором.


9

2. РАЗВЕРТЫВАНИЕ И УДАЛЕНИЕ СЗИ ВИ

2.1. Требования к аппаратному и программному обеспечению ТС с установленным VMware vCenter Server 5.5 должна иметь следующий состав и характеристики программно-технического обеспечения:

ОС: Microsoft Windows Server 2008 R2 64-bit (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008) или Microsoft Windows Server 2012 64-bit (Foundation, Essentials, Standard, Datacenter);

процессор: Intel или AMD с 2-мя логическими ядрами по 2 ГГц каждое;

ОЗУ – минимум 12 Гб;

ПЗУ – минимум 60 Гб;

сетевая карта.

Минимальная и оптимальная конфигурация ПК для сервера безопасности СЗИ ВИ Dallas Lock определяется требованиями к версии операционной системы Windows, на которую установлен DL 8.0. Поддерживаются следующие версии ОС:

Windows XP (SP 3) (Professional, Home, Starter) (см. ПФНА.501410.001 ФО Формуляр п. 3.3.10);

Windows Server 2003 (R2) (SP 2) (Web, Standard, Enterprise, Datacenter) (см. ПФНА.501410.001 ФО Формуляр п. 3.3.10);

Windows Vista (SP 2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter);

Windows Server 2008 (SP 2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008);

Windows 7 (SP 1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter);

Windows Server 2008 R2 (SP 1) (Foundation, Standard, Web, Enterprise, Datacenter);

Windows 8 (Core, Pro, Enterprise);

Windows Server 2012 (Foundation, Essentials, Standard, Datacenter);

Windows 8.1 (Core, Pro, Enterprise);

Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter);

Windows 10 (Enterprise, Education, Pro, Home).

Для размещения файлов системы и ее работы требуется не менее 400 Мбайт пространства на системном разделе жесткого диска ПК, на котором будет установлен СБ ВИ, и 260 Мбайт пространства на системном разделе жесткого диска сервера виртуализации (vCenter). Для использования СЗИ ВИ необходимо настроить сетевой протокол TCP/IP.

Требуется наличие USB-порта в аппаратной части ПК сервера безопасности для использования аппаратного идентификатора.

ТС с установленным гипервизором VMware ESXi 5.5 должна иметь следующий состав и характеристики программно-технического обеспечения:

процессор: Intel или AMD с 2-мя логическими ядрами по 2 ГГц каждое, только x64;

ОЗУ – минимум 8 Гб;

ПЗУ – минимум 60 Гб;

сетевая карта.

2.2. Ограничения по эксплуатации СЗИ ВИ имеет следующие ограничения по эксплуатации:

1. Запрещается использовать удаленный доступ к серверу виртуализации через VMware vSphere Client или VMware vSphere Web Client. В списке клиентов управления сервером виртуализации не должно содержаться записей.

2. Разрешается управление сервером виртуализации с помощью VMware vSphere Client или VMware vSphere Web Client только локально с сервера виртуализации или через удаленный рабочий стол.

3. Только Администратор информационной безопасности имеет право на администрирование СБ ВИ через КСБ и никогда не назначает это право другим пользователям.

4. Администратору информационной безопасности можно назначать пользователями виртуальной инфраструктуры только локальных пользователей сервера виртуализации и пользователей домена Active Directory, если виртуальная инфраструктура включена в такой домен.


10

5. Администратору информационной безопасности требуется удалить все учетные записи домена vSphere (vsphere.local), кроме учетной записи Администратора VMware vCenter Server.

6. Администратору информационной безопасности запрещено создавать пользователей и группы в собственном домене vSphere (vsphere.local).

7. Для создания пользователей, распределения привилегий и включения пользователей в группы требуется использовать только консоль сервера безопасности.

8. Администратор информационной безопасности должен запретить право на редактирование учетных записей пользователям на клиенте DL 8.0, защищающем СБВИ.

9. Только администратор информационной безопасности имеет право создавать на сервере виртуализации пользователей, роли, группы и привилегии, а также никогда не назначает эти права другим пользователям.

10. Для функционирования DL 8.0 необходимо обязательно активировать «Неактивный режим» и заблокировать функцию «Контроль доступа к реестру» рис.1 (Работа с неактивным режимом описана в документе «Руководство по эксплуатации» RU.48957919.501410-01, раздел 5.5.2 «Неактивный режим»).

Рис. 1. Активация неактивного режима и блокировка функции СЗИ «Контроль доступа к реестру»

11. Корректное функционирование DL 8.0 с активным модулем СОВ гарантируется на Windows 10 до версии 1511 включительно.

2.3. Порядок развертывания Развертывание СЗИ ВИ рекомендуется проводить в следующем порядке.

Таблица 1. Порядок развертывания СЗИ ВИ Dallas Lock

№ Шаг развертывания Описание

1 Установка DL 8.0 на компьютер, предназначенный для СБ ВИ См. раздел 2.4.2

2 Установка СБ ВИ на компьютер, предназначенный для СБ ВИ См. раздел 2.4.3

3 Установка DL 8.0 на сервер виртуализации См. раздел 2.4.2

4 Ввод сервера виртуализации в СБ ВИ См. раздел 2.5

5 Установка агента DL на гипервизор См. раздел 2.6


11

2.4. Установка DL 8.0 и СБ ВИ

2.4.1. Подготовка к установке DL 8.0 и СБ

2.4.1.1 Ограничения при установке

СЗИ ВИ имеет следующие ограничения при установке:

1. При наличии на компьютере нескольких жестких дисков, операционная система должна быть установлена на первый жесткий диск.

2. При наличии на жестком диске нескольких разделов, операционная система должна быть установлена на диск С.

3. Установка DL 8.0 всегда производится в каталог C:\DLLOCK80.

4. На время установки и удаления СЗИ ВИ необходимо отключить программные антивирусные средства.

Примечание. После установки DL 8.0, компьютеру, работающему под управлением серверной ОС, уже нельзя добавлять роль контроллера домена.

Внимание. При обновлении ОС Windows (до Windows 8, Windows 8.1, Windows 10 ) изделие необходимо удалить (см. «Удаление СЗИ ВИ»), выполнить обновление, после чего установить изделие, используя при необходимости функцию сохранения конфигурации.

2.4.1.2 Предварительная подготовка

Перед развертыванием СЗИ ВИ необходимо выполнить следующие действия:

1. Необходимо убедиться, что на диске C имеется необходимое свободное пространство для установки системы защиты.

2. Проверить состояние жестких дисков компьютера, например, при помощи приложения chkdsk.exe или служебной программы проверки диска из состава ОС Windows, и устранить выявленные дефекты.

3. Рекомендуется произвести дефрагментацию диска.

4. Проверить компьютер на отсутствие вирусов.

5. Перед установкой системы защиты необходимо выгрузить из памяти все резидентные антивирусы.

6. Закрыть все запущенные приложения, так как установка системы потребует принудительной перезагрузки.

7. Установить соответствующий драйвер на ПК, предназначенный для СБ ВИ.

Также рекомендуется отключить кэширование записи для всех дисков. Для отключения кэширования записи необходимо:

1. В консоли управления компьютером открыть Диспетчер устройств.

2. Выбрать в узле дерева консоли «Дисковые устройства» диск, в его контекстном меню выбрать пункт «Свойства» и в появившемся диалоге открыть вкладку «Политика».

3. Снять флажок в поле «Разрешить кэширование записи на диск» («Включить кэширование записи»).

4. Нажать кнопку «ОК».

5. Повторить вышеуказанные действия для всех дисков.

Примечание. Если используется RAID-контроллер, то, возможно, в BIOS контроллера нужно включить режим эмуляции «int13». Кроме того, на многих системных платах, имеющих встроенный RAID-контроллер, можно выбрать режим работы этого контроллера «Native» или «RAID». Рекомендуется использовать режим «Native». Необходимо использовать эти режимы с осторожностью, так как их переключение влияет на работу ОС.


12

2.4.1.3 Особенности установки

Внимание. Устанавливать компоненты СЗИ ВИ на компьютер может только пользователь, обладающий правами администратора на данном компьютере. Это может быть локальный или доменный пользователь.

Локальную установку необходимо выполнять только из-под сессии текущего авторизованного пользователя. Запуск установки от имени другого пользователя (Run as) не допускается.

Примечание. Если установка производится под учетной записью доменного пользователя:

1. Важно, чтобы он был добавлен в группу «Администраторы».

2. В процессе эксплуатации СЗИ ВИ необходимо зарегистрировать в DL 8.0 хотя бы одну учетную запись локального пользователя с правами администратора, так как при возможном выводе компьютера из домена, вход под доменной учетной записью будет невозможен.

Пользователь, установивший систему защиты, автоматически становится привилегированным пользователем – суперадминистратором. Необходимо запомнить имя и пароль этого пользователя, так как некоторые операции можно выполнить только из-под его учетной записи. Изменять учетную запись суперадминистратора средствами Windows запрещено.

Внимание. Имя и пароль пользователя для входа в операционную систему, выполнившего установку, автоматически становятся именем и паролем для первого входа на компьютер с установленной системой защиты DL 8.0, пользователем в качестве суперадминистратора. Если же компьютер является клиентом контроллера домена, и при установке использовалась конфигурация по умолчанию

1, то зайти на защищенный компьютер

можно под любым доменным пользователем, так как в DL 8.0 автоматически создается и регистрируется учетная запись «*\*»

2.

Примечание. В процессе установки DL 8.0 будет произведена автоматическая настройка брандмауэра Windows (Windows Firewall).

Внимание. Если будут использоваться сторонние firewall-программы, то необходимо добавить разрешения для TCP портов 80, 443, 514, 8080, 17491, 17492, 17493, 17495, 17497 в их настройках вручную.

Примечание. Если DL 8.0 устанавливается на компьютер с устаревшей версией пакета обновлений (Service Pack) для текущей ОС, то при установке появится предупреждение. Например, «Для работы DL 8.0-C под Windows Vista требуется установить Service Pack версии 2 или выше!». После чего установка будет прервана.

2.4.2. Установка DL 8.0

1. Для установки DL 8.0 необходимо запустить приложение DallasLock8.0С.msi (DallasLock8.0K.msi), которое находится в корневой директории дистрибутива (или выбрать данное действие в меню окна autorun).

Если DL 8.0 устанавливается на ПК, не оснащенный приводом компакт дисков, а дистрибутив поставляется именно на CD-диске, то можно скопировать с инсталляционного диска на данный ПК необходимый msi-файл любым удобным способом: через ЛВС, USB Flash-накопитель и др.

После запуска программы установки необходимо выполнять действия по подсказкам программы. На каждом шаге инсталляции предоставляется возможность отмены инсталляции с возвратом сделанных изменений. Для этого служит кнопка «Отмена». Выполнение следующего шага инсталляции выполняется с помощью кнопки «Далее».

2. При установке системы защиты на компьютере с установленной ОС Vista и выше после запуска приложения на экране будет выведено окно для подтверждения операции (рис. 2).

1 Подробнее в разделе «Сохранение конфигурации СБ ВИ».

2 Подробнее в разделе «Регистрация доменных пользователей по маске».


13

Рис. 2. Разрешение на установку программы в ОС

После подтверждения запустится программа установки DL 8.0 (рис. 3).

Рис. 3. Окно начала установки системы защиты

3. Для установки необходимо нажать кнопку «Далее», после чего программа установки приступит к инсталляции. На данном этапе программа установки попросит осуществить ввод параметров установки (рис. 4).

Рис. 4. Ввод параметров установки


14

4. Для защиты от нелегального использования продукта необходимо ввести номер лицензии DL 8.0 содержащий компонент СЗИ ВИ и код технической поддержки, которые указаны на обложке компакт-диска с дистрибутивом в соответствующих полях. После этого необходимо нажать кнопку «Далее».

Примечание. Поле «Код технической поддержки» не является обязательным при установке DL 8.0, но является обязательным при обновлении.

При установке без использования кода технической поддержки его необходимо ввести в процессе эксплуатации DL 8.0 (нажать кнопку основного меню и выбрать пункт «О программе», в появившемся окне нажать «Сменить номер лицензии»).

Действующий код технической поддержки является условием предоставления помощи в установке и настройке специалистами компании-разработчика, а также условием доступа к сертифицированным обновлениям.

При завершении срока технической поддержки при запуске модулей администрирования будет появляться предупреждающее сообщение.

5. Для установки СЗИ ВИ, этап ввода в домен безопасности необходимо пропустить и нажать «Начать установку» (Рис. 5).

Рис. 5. Введение в домен безопасности на этапе установки

6. Указать, если требуется, файл конфигурации, для этого нажать кнопку поиска рядом с полем ввода и в появившемся окне проводник выбрать заранее сохраненный файл (см. раздел «Сохранение конфигурации СБ ВИ»).

7. После нажатия кнопки «Далее» процесс установки системы защиты будет завершен. После нажатия кнопки «Перезагрузка» через 30 секунд произойдет автоматическая перезагрузка ПК (рис. 6).

Рис. 6. Завершение установки программы

После перезагрузки первый вход на защищенный компьютер сможет осуществить пользователь, под учетной записью которого выполнялась инсталляция системы защиты DL 8.0. Это может быть локальный пользователь ОС, доменный пользователь, если компьютер является клиентом контроллера домена или учетная запись Windows Live ID (Windows 8 и выше).

Во время первого входа на защищенный компьютер после загрузки ОС появится


15

всплывающее сообщение о том, что данный компьютер защищен DL 8.0.

После установки системы защиты и перезагрузки компьютера в меню «Пуск» появится ярлык оболочки администратора DL 8.0.

2.4.3. Установка СБ ВИ

Для установки СБ ВИ обязательно выполнение ряда условий:

1. Компьютер должен быть защищен DL 8.0 (соответственно в редакции «К» или «С»).

2. Текущий пользователь должен иметь права администратора ОС СБ ВИ.

3. Компьютер не должен быть контроллером домена.

4. Должны быть открыты TCP/IP порты, используемые СБ ВИ для обмена данными с объектами ВИ и клиентами (80, 443, 514, 8080, 17491, 17492, 17493, 17495, 17497).

5. Должен быть установлен пакет Aladdin eToken PKI Client (драйвер для USB-ключей Rutoken).

6. К компьютеру должен быть подключен eToken (Rutoken), содержащий информацию о лицензии на СБ ВИ.

7. Компьютер не должен быть в домене безопасности.

8. Для управления учетными записями AD в домене безопасности компьютер должен быть включен в соответствующий домен AD.

Чтобы установить СБ ВИ необходимо:

1. Запустить установочный файл DL80.ServerVI.msi и дождаться завершения копирования файлов (Рис. 7).

Рис. 7. Подготовка ОС к установке СБ ВИ

2. После завершения копирования файлов запустится программа установки СБ ВИ DL 8.0, где необходимо нажать кнопку «Продолжить» (Рис. 8). Далее программа установки приступит к инсталляции.


16

Рис. 8. Окно приглашения установки СБ ВИ

3. Для установки СБ ВИ, этап ввода в домен безопасности необходимо пропустить и нажать «Продолжить» (Рис. 9).

Рис. 9. Установка СБ ВИ

4. При необходимости возможно использовать систему хранения данных MS SQL Server (подробнее см. в документе «Инструкция по использованию SQL-сервера для СБ» RU.48957919.501410-01 И3) (Рис. 10).


17


5. В следующем окне можно указать параметры подключения к серверу лицензий (подробнее об использовании сервера лицензий см. в документе «Инструкция по использованию сервера лицензий» RU.48957919.501410-01 И2) (Рис. 11).


6. После нажатия кнопки «Продолжить» процесс установки СБ ВИ будет завершен (Рис. 12). После нажатия кнопки «Перезагрузка» через 30 секунд произойдет автоматическая перезагрузка ПК (Рис. 13).


18


Рис. 13. Состояние установки СБ ВИ

После перезагрузки в меню «Пуск» или на рабочем столе можно увидеть ярлык для запуска Консоли сервера безопасности (рис. 14).


19

Рис. 14. Ярлык КСБ на рабочем столе

Примечание. Если в ЛВС совместно с Сервером безопасности планируется использование доменных пользователей, то необходимо также включить ПК, на котором расположен СБ, в соответствующий домен AD (Active Directory).

2.5. Ввод и вывод сервера виртуализации

Внимание. Перед выполнением остальных действий по развертыванию СЗИ ВИ, требуется ознакомиться разделом «Описание средств администрирования».

Для ввода сервера виртуализации в СБ ВИ, должен быть соблюден ряд условий:

1. В ЛВС должен быть работающий Сервер безопасности.

2. Сервер виртуализации должен быть защищен DL 8.0.

3. Должны быть открыты TCP/IP порты, используемые СБ ВИ для обмена данными с объектами ВИ и клиентами (80, 443, 514, 8080, 17491, 17492, 17493, 17495, 17497).

4. Должна правильно выполняться операция преобразования имени компьютера в его IP-адрес.

Ввести Сервер виртуализации в СБ ВИ можно либо c консоли сервера безопасности, либо из оболочки администратора DL 8.0 на сервере виртуализации.

Примечание. Компьютер, которому добавлена роль Контроллера домена, в Домен безопасности вводить нельзя.

2.5.1. Ввод в СБ ВИ с консоли сервера безопасности

Для ввода сервера виртуализации в СБ ВИ с помощью консоли сервера безопасности необходимо:

1. Убедиться, что на сервере виртуализации установлена DL 8.0 и он доступен по сети для СБ ВИ.

2. Открыть вкладку «ВИ» и выбрать «Сервер безопасности» в дереве объектов.

3. Перейти на вкладку «Состояние» и нажать на кнопку «Добавить сервер виртуализации» на панели действий (рис. 15).

Рис. 15. Добавление сервера виртуализации

4. В появившемся окне требуется ввести (Рис. 16): имя в сети или IP адрес сервера виртуализации; данные учетной записи DL 8.0 клиента; учетные данные сервера виртуализации.


20

Рис. 16. Добавление сервера виртуализации

5. Чтобы сохранить текущие настройки vCenter как эталонные для всей ВИ, необходимо установить флаг «Сохранить текущие настройки как эталонные для всей ВИ» (подробнее в раздел «Основные параметры СВ»).


Если операция завершилась успешно, то в дереве объектов ВИ появятся значки новых объектов ВИ Dallas Lock.

На сервере виртуализации после запуска оболочки администратора в параметрах безопасности изменятся значения следующих параметров (Рис. 17):

«Домен безопасности» изменится с «не задан» на «имя сервера безопасности».

«Роль компьютера в виртуальной инфраструктуре» изменится с «Роль отсутствует (по умолчанию)» на «Сервер виртуализации».

Рис. 17. Роль компьютера в виртуальной инфраструктуре

2.5.2. Ввод в СБ ВИ из оболочки администратора

Для ввода защищенного компьютера в состав Домена безопасности с самого компьютера необходимо:

1. Убедиться, что СБ ВИ доступен по сети.

2. Запустить оболочку администратора DL 8.0 на сервере виртуализации.

3. Открыть вкладку «Параметры безопасности» и перейти в категорию «Вход».

4. Выбрать параметр «Роль компьютера в виртуальной инфраструктуре» и нажать кнопку «Свойства».


21

5. Откроется окно «Настройка роли компьютера в ВИ», где необходимо выполнить следующие действия (Рис. 18):

выбрать роль «Сервер виртуализации» в выпадающем списке; ввести имя в сети или IP адрес СБ ВИ и ключ доступа ДБ (если был задан на

СБ ВИ, по умолчанию ‒ не задан); указать учетные данные ВИ (учетные данные администратора сервера

виртуализации).

Рис. 18. Настройка роли компьютера в ВИ

6. Нажать «ОК».

Если операция завершилась успешно, то в дереве объектов ВИ появятся значки новых объектов ВИ Dallas Lock.

2.5.3. Вывод сервера виртуализации из СБ ВИ

Для вывода сервера виртуализации из состава ВИ необходимо:

1. Выбрать сервер виртуализации в дереве объектов.

2. Открыть вкладку «Состояние» и перейти в категорию «Основное».

3. Нажать кнопку «Удалить из ВИ» или воспользоваться контекстным меню (Рис. 19).

Рис. 19. Удаление сервера виртуализации из ВИ в КСБ

Для вывода сервера виртуализации на самой клиентской рабочей станции необходимо выполнить следующие действия:


22

1. Запустить локальную оболочку администратора DL 8.0 на сервере виртуализации и в разделе «Параметры безопасности» выбрать категорию «Вход».

2. Выбрать параметр «Домен безопасности» и нажать «Изменить». Откроется окно вывода машины из домена безопасности.

3. Заполнить при необходимости следующие поля и нажать «ОК»: имя компьютера, на котором установлен СБ ВИ (поле будет заполнено

автоматически после ввода в ДБ); ключ доступа, зарегистрированный на СБ ВИ (если был указан на СБ ВИ,

по умолчанию – не указан).

Примечание. Следует учесть то, что СБ ВИ работает с СВ по короткому NetBIOS-имени, и поэтому при переименовании рабочей станции СВ ее необходимо вывести из ВИ и заново ввести с новым именем.

2.6. Установка и удаление агента DL Чтобы установить агента DL на гипервизор, первоначально необходимо указать учетные данные администратора гипервизора. Для этого требуется:

1. Выбрать гипервизор в дереве объектов и перейти на вкладку «Состояние».

2. Нажать кнопку «Установить учетные данные».

3. В появившемся окне ввести учетные данные гипервизора (Рис. 20).

Рис. 20. Установка учетных данных гипервизора

4. Чтобы сохранить текущие настройки гипервизора как эталонные для всей ВИ, необходимо установить флаг «Сохранить текущие настройки как эталонные для всей ВИ» (подробнее в разделе «Основные параметры гипервизора»).

5. Чтобы автоматически установить агента DL после сохранения учетных данных гипервизора необходимо установить флаг «Установить агента DL на гипервизоре».


В случае если учетные данные уже установлены (об этом свидетельствует надпись «Учетные данные установлены»), необходимо нажать кнопку «Установить агента на гипервизоре».

Статус учетных данных и агента DL отображаются на рабочей области (Рис. 21).


23

Рис. 21. Статус учетных данных и агента DL

Если во время установки учетных данных был снят флаг «Сохранить текущие настройки как эталонные для всей ВИ», то можно воспользоваться кнопкой «Использовать текущие параметры в ВИ» на панели «Действия».

Для удаления агента DL, необходимо нажать кнопку «Удалить агента DL на гипервизоре».

2.7. Удаление СЗИ ВИ Чтобы удалить СЗИ ВИ необходимо удалить DL 8.0 на сервере виртуализации, а также оба модуля защиты на сервере безопасности ‒ СБ ВИ и DL 8.0. При удалении СБ ВИ инициируется удаление агента DL на всех гипервизорах, входящих в ВИ.

Право удаления DL 8.0 может быть установлено для отдельных пользователей или групп пользователей администратором системы защиты с помощью параметра «Деактивация системы защиты». Для редактирования параметра, необходимо, открыть вкладку Windows в объектах DL, выбрать «Сервер безопасности», далее открыть вкладку «Параметры безопасности» и перейти в категорию «Права пользователей». Одновременно необходимо являться администратором операционной системы.

Перед удалением системы защиты с ПК рекомендуется сохранить файлы конфигурации СБ ВИ и DL 8.0 (подробнее в разделе «Сохранение конфигурации»).

Перед удалением системы защиты необходимо завершить работу всех приложений и сохранить результаты, так как удаление DL 8.0 потребует принудительной перезагрузки компьютера.

Удаление производится с помощью Мастера установок. В разных операционных системах запуск Мастера установок может осуществляться по-разному. В ОС Windows 7 необходимо

нажать кнопку «Пуск» , выбрать компонент «Панель управления» и открыть утилиту «Программы и компоненты». В появившемся окне поочередно удалить СБ ВИ и DL 8.0. Для этого необходимо выбрать в списке программу «DallasLock8.0K(C)» и «Dallas Lock 8.0 C(K). Сервер Безопасности» соответственно, нажать кнопку «Удалить» и подтвердить удаление (Рис. 22).


24

Рис. 22. Удаление СБ ВИ и DL 8.0

После удаления СБ ВИ перезагрузки компьютера не требуется.

Если использовался механизм лицензирования через сервер лицензий, при удалении СБ ВИ зарезервированная квота на управление клиентами возвращается на сервер лицензий.

После успешного удаления DL 8.0 появится информационное окно о необходимости перезагрузки ПК. По истечении 30 секунд после нажатия кнопки «Перезагрузка» будет выполнена принудительная перезагрузка ОС компьютера.

2.8. Вход на защищенный компьютер При загрузке компьютера, защищенного DL 8.0, в зависимости от операционной системы, появляется экран приветствия (приглашение на вход в систему) (рис. 23).

Рис. 23. Экран приветствия в ОС Windows 7

Для входа на защищенный DL 8.0 компьютер каждому пользователю предлагается выполнить следующую последовательность шагов:

1. Заполнить поле имени пользователя, под которым он зарегистрирован в системе. В зависимости от настроек системы защиты в этом поле может оставаться имя пользователя, выполнившего вход последним.

2. Заполнить поле имени домена. Если пользователь доменный, то указывается имя домена, если пользователь локальный, то в этом поле оставляется имя компьютера или оставляется пустое значение.

3. Если пользователю назначен аппаратный идентификатор, то его необходимо предъявить (подробное описание приводится ниже).


25

4. Выбрать уровень мандатного доступа, назначенный пользователю администратором безопасности (только для Dallas Lock 8.0 редакции «С»).

5. Ввести пароль. При вводе пароля, поле для ввода является текстовым. Однако на экране вместо символа, соответствующего каждой нажатой клавише, появляется символ «●» (точка).

6. При вводе пароля следует помнить, что строчные и прописные буквы различаются. Допущенные ошибки при вводе исправляются так же, как и при заполнении текстового поля.

7. Нажать кнопку «Enter».

После нажатия кнопки «Enter» в системе защиты сначала проверяется возможность входа пользователя с данным именем и доменом, после чего проверяется соответствие с именем пользователя номера аппаратного идентификатора, зарегистрированного в системе защиты, и правильность указанного пользователем пароля. В случае успеха проверки, пользователю разрешается вход в систему, иначе вход в систему пользователю запрещается.

Во время первого входа на ПК после установки или обновления DL 8.0 в области уведомлений Windows будет появляться сообщение о том, что ПК защищен DL 8.0.

2.8.1. Вход с использованием смарт-карт с сертификатом УЦ Windows

Для возможности входа на защищенный DL 8.0 компьютер при помощи смарт-карт, через удостоверяющий центр MS windows, необходимо соблюдение следующих условий:

компьютер, на который осуществляется вход, должен быть введен в доменную сеть Windows и находиться под управлением Active Directory;

включена политика входа DL 8.0 - «Вход: разрешить использование смарт-карт».

Если все условия соблюдены, экран приветствия будет содержать отдельную опцию, позволяющую войти в ОС с использованием смарт-карт (Рис. 24, Рис. 25)



При выборе входа по смарт карте необходимо вставить смарт карту в считывающее устройство, ввести PIN-код и нажать кнопку «Enter» (Рис. 26).


26

Рис. 26. Экран входа по смарт-карте в ОС Windows 8

2.8.2. Вход с аппаратным идентификатором

Если пользователю в процессе работы назначен аппаратный идентификатор, то, для того, чтобы его предъявить, необходимо выполнить следующие шаги:

1. В зависимости от типа устройства предъявить идентификатор можно, вставив его в usb-порт, или прикоснувшись к считывателю.

2. Необходимо выбрать наименование идентификатора из списка, который появится в выпадающем меню в поле «Аппаратные идентификаторы» (рис. 27).

Рис. 27. Выбор аппаратного идентификатора при входе в ОС Windows

При подключении единственного идентификатора он будет выбран автоматически.

3. Далее, в зависимости от настроек, произведенных администратором безопасности применительно к учетной записи пользователя, возможны следующие способы авторизации:

3.1. Выбор аппаратного идентификатора и заполнение всех авторизационных полей формы

3 (рис. 28).

Рис. 28. Поля авторизации после предъявления идентификатора

3 Для Dallas Lock 8.0 редакции «С» выбор мандатного уровня останется обязательным при любом

способе авторизации. Для Dallas Lock 8.0 редакции «К» данные поля отображаться не будут.


27

3.2. Выбор аппаратного идентификатора и ввод только пароля (логин автоматически считывается с идентификатора) (рис. 29):


3.3. Выбор только аппаратного идентификатора (логин и пароль автоматически считываются с идентификатора) (рис. 30):


3.4. Выбор аппаратного идентификатора и ввод только PIN-кода идентификатора (логин и пароль автоматически считываются с идентификатора) (рис. 31):


Примечание. При вводе имени и пароля переключение раскладки клавиатуры (русская / латинская) производится нажатием комбинации клавиш, установленной при настройке свойств клавиатуры. Текущий язык отображается индикатором клавиатуры.

2.8.3. Ограничение количества терминальных сессий

DL 8.0 позволяет осуществлять полноценную защиту терминального сервера, предоставляющего вычислительные ресурсы терминальным клиентам.

По умолчанию после установки DL 8.0 ограничивает число разрешенных терминальных


28

подключений до двух.

Администратор безопасности может увеличить количество разрешенных терминальных подключений. Для этого необходимо иметь специальный аппаратный ключ (eToken или Rutoken (Рутокен)), содержащий значение максимального количества терминальных подключений, который необходимо предъявить на терминальном сервере. Чтобы предъявить аппаратный ключ, необходимо установить на ПК его драйвер и вставить устройство в USB-разъем.

При попытке подключения клиента к терминальному серверу осуществляется проверка числа доступных терминальных подключений. Если подключение приведет к превышению максимально возможного количества терминальных сессий, то оно будет заблокировано, а пользователю выведется сообщение об ошибке.

Допустимое количество терминальных сессий можно посмотреть в информационном окне «О программе» (рис. 32), вызвав его из списка дополнительных функций кнопки главного

меню , а также в любом сформированном отчете.

Следует обратить внимание, что при использовании сервера лицензий (подробнее о использовании сервера лицензий см. в документе «Инструкция по использованию сервера лицензий» RU.48957919.501410-02 И2) количество терминальных сессий становится условно неограниченным. Ограничение становится динамическим и накладывается сервером лицензий. По этим причинам в окне «О программе» (максимальное) количество терминальных сессий при использовании сервера лицензий посмотреть будет невозможно.

Рис. 32. Окно «О программе»

Работа на защищенном DL 8.0 терминальном сервере с терминальных клиентов, в том числе аппаратная идентификация с терминальных клиентов, производится в соответствии с выполненными настройками в DL 8.0.


29

3. ОПИСАНИЕ СРЕДСТВ АДМИНИСТРИРОВАНИЯ

3.1. Администрирование СБ ВИ Управление СБ ВИ осуществляется с помощью специальной программы «Консоль сервера безопасности» (КСБ).

Примечание. Стоит отметить, что возможно одновременное подключение нескольких консолей сервера безопасности к домену безопасности, при наличии нескольких серверов безопасности в таком домене. Одномоментно возможно подключение только одной консоли СБ ВИ к одному серверу безопасности.

Так как Сервер безопасности может быть установлен на один ПК, а Консоль сервера безопасности на другой, то вход на КСБ с указанием подключенного СБ может осуществляться под той учетной записью, которая зарегистрирована в Dallas Lock на СБ ВИ.

Для возможности пользователя осуществлять только аудит (просмотр) настроенных параметров безопасности на СБ ВИ, должны быть определены все разрешающие права на просмотр параметров (учетная запись должна быть установлена для параметров доступа DL 8.0).

Примечание. Для администрирования СБ доменным пользователем его учетная запись должна быть зарегистрирована в системе защиты отдельно, а не с помощью маски «*/*» (подробнее в разделе «Регистрация доменных пользователей»).

После входа на КСБ под учетной записью пользователя с правами только на просмотр параметры безопасности будут отображены, но не будет возможности их редактировать ‒ кнопки, отвечающие за настройки, будут недоступны.

3.2. Консоль сервера безопасности Вызов Консоли сервера безопасности производится двойным щелчком мыши на его значке, появившейся в меню пуск после установки Сервера безопасности ВИ. При необходимости ярлык КСБ можно отправить на рабочий стол.

В окне подключения к СБ требуется ввести следующие данные (рис. 33):

имя ПК, на котором установлен СБ ВИ (автоматически отображается имя локального);

имя учетной записи;

домен (если это доменная учетная запись);

предъявить и выбрать аппаратный идентификатор;

пароль учетной записи пользователя.

Рис. 33. Ввод пароля учетной записи для входа в КСБ

Главное окно КСБ содержит следующие рабочие области (рис. 34):


30

Рис. 34. Окно Консоли сервера безопасности

1. Кнопка основного меню, раскрывающая дополнительное меню

2. Заголовок окна (верхняя строка), содержащий название версии системы защиты, имя Сервера безопасности (по имени компьютера) и уровень доступа текущего пользователя.

3. Основное меню с набором основных вкладок.

4. Категории параметров основного меню и панель действий.

5. Рабочая область, содержащая списки параметров или объектов текущей категории.

6. Проводник в виде дерева объектов, отображающий список клиентов, групп клиентов и объектов ВИ сервера безопасности.

7. Вкладки выбора объектов DL.

Управление виртуальной инфраструктурой происходит на вкладке «ВИ» в объектах DL (Рис. 35).


31

Рис. 35. Объекты ВИ

С помощью КСБ можно настроить параметры безопасности для следующих объектов ВИ:

— Сервер безопасности;

— Сервер виртуализации (vCenter);

— Дата центр;

— Хранилище данных;

— Кластер;

— Гипервизор;

— Виртуальная машина;

— Шаблон виртуальной машины;

— Папка.

Для каждого из объектов в верхней части дополнительного меню КСБ формируется свой список вкладок. При выборе вкладки в рабочей области открывается страница с соответствующими параметрами и меню.

Контекстное меню объектов ВИ дерева КСБ позволяет подключать/удалять из ВИ, устанавливать учетные данные для сервера виртуализации, синхронизировать объекты по команде администратора СБ ВИ и производить другие операции.

3.3. Основные параметры

3.3.1. Основные параметры СБ ВИ

Для просмотра основных параметров СБ ВИ необходимо выбрать «Сервер безопасности» в дереве объектов, открыть вкладку «Состояние» и перейти в категорию «Основное».

Данная категория отображает основные настраиваемые параметры СБ ВИ и количество используемых лицензий (Рис. 36).


32

Рис. 36. Рабочая область СБ ВИ

В основной рабочей области доступны следующие настройки:

1. установить корневой сертификат;

2. установить пользовательский сертификат;

3. настраиваемые параметры: частота и расписание периодической синхронизации (необходимо

выбрать период времени или настроить расписание); частота и расписание периодического сбора журнала СВ (см. раздел

«Журнал сервера виртуализации»); настройка оповещения о событиях в ВИ (см. раздел «Сигнализация об

НСД»).

После внесения каких-либо изменений в данные настройки необходимо нажать «Сохранить».

Также доступны следующие действия с ВИ:

1. Добавить сервер виртуализации.

2. Синхронизировать параметры безопасности всей ВИ по команде администратора CБ ВИ (см. раздел «Синхронизация»).

3.3.2. Основные параметры СВ

Для просмотра основных параметров сервера виртуализации необходимо выбрать сервер виртуализации в дереве объектов, открыть вкладку «Состояние» и перейти в категорию «Основное» (Рис. 37).


33

Рис. 37. Рабочая область СВ

Данная категория содержит следующие элементы управления СВ:

1. подключиться к ОА сервера виртуализации для оперативного управления;

2. установить учетные данные;

3. использовать текущие параметры в ВИ. При нажатии данной кнопки устанавливаются текущие настройки сервера виртуализации (Учетные записи СВ, права пользователей СВ, роли СВ), как эталонные на СБ ВИ.

Пример 1: создается новый пользователь на сервере виртуализации с помощью vSphere vClient. После синхронизации СБ ВИ, данный пользователей будет удален, так как он отсутствует в списке пользователей на СБ ВИ.

Пример 2: создается новый пользователь на сервере виртуализации с помощью vSphere vClient. Далее, находясь на узле сервера виртуализации необходимо нажать кнопку «Использовать текущие параметры в ВИ», после чего запустится процесс установки настроек сервера виртуализации. По завершению, выше перечисленные настройки, вычитанные с сервера виртуализации, применятся на СБ ВИ и будут считаться эталонными.

4. удалить из ВИ. Позволяет вывести сервер виртуализации из ВИ;

5. синхронизировать параметры безопасности сервера виртуализации с СБ ВИ (см. раздел «Синхронизация»).

3.3.3. Основные параметры гипервизора

Для просмотра основных параметров гипервизора необходимо выбрать гипервизор в дереве объектов ВИ, открыть вкладку «Состояние» и перейти в категорию «Основное».

Данная категорию содержит элементы управления гипервизора, а также отображает статус учетных записей, количество процессоров на гипервизоре, активность агента и его версию (Рис. 38).


34

Рис. 38. Рабочая область гипервизора

Доступны следующие действия с гипервизором:

1. установить учетные данные;

2. установить агента DL на гипервизоре;

3. использовать текущие параметры в ВИ. При нажатии данной кнопки устанавливаются текущие настройки гипервизора (Учетные записи гипервизора, права пользователей гипервизора, роли гипервизора), как эталонные на СБ ВИ.

Пример 1: создается новый пользователь на гипервизоре с помощью vSphere vClient. После синхронизации СБ ВИ, данный пользователей будет удален, так как он отсутствует в списке эталонных пользователей на СБ ВИ.

Пример 2: создается новый пользователь на гипервизоре с помощью vSphere vClient. Далее, находясь на узле сервера виртуализации необходимо нажать кнопку «Использовать текущие параметры в ВИ», после чего запустится процесс установки настроек сервера виртуализации. По завершению, выше перечисленные настройки, вычитанные с сервера виртуализации, применятся на СБ ВИ и будут считаться эталонными.

4. удалить агента DL на гипервизоре.

3.4. Управление ВМ Для управления ВМ, необходимо выбрать виртуальную машину в дереве объектов ВИ, открыть вкладку «Состояние» и перейти в категорию «Основное» (Рис. 39).


35

Рис. 39. Рабочая область ВМ

Доступны следующие взаимодействия с ВМ:

Таблица 2. Действия над ВМ

Параметр Назначение

Запуск Запускает виртуальную машину или возобновляет её работу

Остановка Завершает работу гостевой операционной системы или отключает питание виртуальной машины

Перезапуск Перезагружает виртуальную машину

Удалить Удаляет ВМ из виртуальной инфраструктуры vCenter, но не удаляет её с гипервизора

Удалить и зачистить

Удаляет ВМ из виртуальной инфраструктуры vCenter и производит зачистку файлов ВМ

Текущее состояние ВМ отображается в дереве объектов (Рис. 40).

Рис. 40. Текущее состояние ВМ


36

3.5. Синхронизация Синхронизация – это ключевое понятие в идеологии СБ ВИ. Под синхронизацией понимается процесс сверки соответствия настройки объектов ВИ с внутренней базой данных СБ ВИ, являющейся эталонной настройкой ВИ. При обнаружении несоответствия к настройкам объектов ВИ применяются эталонные настройки СБ ВИ.

Что бы ни происходило в ВИ, какие бы настройки параметров умышленные или злоумышленные не производились, при синхронизации все настраивается согласно записям СБ ВИ. Если параметры оставались без изменения (например, список пользователей), синхронизация этих параметров не происходит. Факты и результаты синхронизации отображаются в журнале СБ ВИ. Однако, если в процессе синхронизации на СВ или гипервизоре изменено ничего не было, то запись в журнал СБ не заносится.

Синхронизацию по команде администратора возможно произвести для определенного сервера виртуализации или всей ВИ. Для этого необходимо выбрать сервер виртуализации или СБ ВИ соответственно в дереве объектов, открыть вкладку «Состояние» и нажать кнопку «Синхронизировать».

Также на вкладке «Состояние» возможно задать частоту периодической синхронизации и расписание синхронизации:

Частота периодической синхронизации

Данный параметр позволяет производить автоматическую синхронизацию через указанный промежуток времени: от 10 минуты до 24 часов. Для отключения необходимо выбрать значение «Не используется».

Расписание синхронизации.

Данный параметр позволяет настроить автоматическую синхронизацию по гибкому расписанию (Рис. 41).

Рис. 41. Настройка расписания

В окне настройки расписания необходимо включить контроль, поставив флаг в поле «Использовать расписание», и составить расписание.

После внесения каких-либо изменений в настройки необходимо нажать «Сохранить».

3.6. Сигнализация об НСД Ситуации несанкционированного доступа на Объекты ВИ отслеживаются и сопровождаются сигнализацией на Сервере безопасности. Сообщения о событиях НСД заносятся в журнал СБ, на самом же компьютере с установленным СБ воспроизводится звуковой сигнал и выводится всплывающее сообщение на панели задач (рис. 42).


37

Рис. 42. Сигнализация на СБ ВИ

Всплывающее сообщение на СБ ВИ появляется независимо от того, запущена КСБ или нет.

Для того чтобы произвести настройку уведомлений ВИ необходимо:

1. Выбрать «Сервер безопасности» в дереве объектов, открыть вкладку «Состояние» и перейти в категорию «Основное».

2. Нажать кнопку «Настроить» для параметра «Настройка оповещения о событиях на объектах ВИ».

3. В появившемся окне установить флаг, для необходимых событий (Рис. 43).

Рис. 43.Настройка уведомлений событий ВИ

Сигнализация при нарушении целостности происходит при ее проверке. Если необходимо, чтобы целостность контролируемых файлов отслеживалась периодически, нужно включить параметр «Периодический контроль целостности» (см. раздел «Настройка параметров контроля целостности»).

Примечание. Стоит учитывать, что сигнализация произойдет только один раз и при первой проверке нарушения целостности.

Для просмотра событий сигнализации необходимо открыть вкладку «Состояние» и перейти в категорию «События НСД» (рис. 44).

Рис. 44. Журнал событий сигнализации об НСД


38

C помощью панели действий для списка событий НСД можно отметить все записи прочитанными или непрочитанными, обновить, очистить список и загрузить новый список НСД из журналов клиента. Двойной клик по событию откроет запись в отдельном окне, в списке данное событие будет помечено как прочитанное.

3.7. Наследование настроек Дочерние объекты ВИ могут наследовать установленные настройки от родительской или принимать индивидуальные значения следующим образом:

1. Параметры, для которых отмечено наследование, примут значения, установленные для родительского объекта в дереве объектов ВИ. В этом случае параметры будут отображаться нечетким серым цветом.

2. Параметры, для которых выбраны и установлены оригинальные настройки, будут отображаться четким черным цветом.

Для того чтобы установить или снять наследование настроек имеются следующие возможности:

1. Чтобы параметры дочернего объекта наследовали значения, установленные для

родительского объекта ВИ, необходимо на панели действий нажать кнопку «Наследовать настройки».

2. Если на панели действий нажать кнопку «Оригинальные настройки», то параметры дочернего объекта будут обозначены как индивидуально настроенные.


39

4. ПОДСИСТЕМА УПРАВЛЕНИЯ ПОЛЬЗОВАТЕЛЯМИ

4.1. Управление учетными записями ВИ В СЗИ ВИ Dallas Lock возможна регистрация пользователей следующих видов:

1. Пользователь, созданный средствами ОС Windows на СВ.

2. Пользователь, созданный средствами DL 8.0 на СВ.

3. Пользователей, созданных средствами службы Active Directory (если компьютер находится в ЛВС под управлением Контроллера домена).

4. Пользователь домена vsphere.local.

5. Пользователь гипервизора.

Просмотр и редактирование учетных записей ВИ происходит на вкладке «Учетные записи ВИ» при выбранном объекте ВИ «Сервер безопасности» (Рис. 45).

Рис. 45. Редактирование учетных записей ВИ

Для серверов виртуализации и гипервизоров также существует список учетных записей, в котором необходимо выбрать созданных и зарегистрированных пользователей в ДБ для доступа к работе на данных объектах:

— отмеченное флажком поле означает, что данная учетная запись имеет доступ к выбранному объекту;

— пустое поле означает, что учетная запись отключена для работы на выбранном объекте.

Вспомогательные кнопки помогают одновременно отменить все учетные записи.

После формирования списка учетных записей необходимо нажать кнопку «Сохранить», после чего перейти на вкладку «Состояние» и нажать кнопку «Синхронизировать».

4.1.1. Редактирование учетных записей

4.1.1.1 Редактирование учетных записей Windows

Перед созданием новой учетной записи необходимо убедиться в том, что нужная учетная запись еще не создана в операционной системе. В таком случае, достаточно будет ее просто зарегистрировать, выбрав из списка, вызываемого кнопкой поиска.

Для создания нового пользователя в системе защиты необходимо:

1. Выбрать «Сервер безопасности» в дереве объектов.

2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Учетные записи Windows».

3. Нажать кнопку «Создать».

4. В появившемся окне выбрать значение «Локальный» и ввести имя учетной записи (рис. 46).


40

При вводе имени в системе существуют следующие правила:

максимальная длина имени 20 символов; имя может содержать латинские символы, символы кириллицы, цифры и

специальные символы (кроме запрещенных ОС: " / \ [ ] : | < > + = ; , ? @ *); разрешается использовать различные регистры клавиатуры, при этом регистр

не учитывается, то есть заглавные и прописные буквы воспринимаются как одинаковые (User и user являются одинаковыми именами).

Рис. 46. Окно создания учетной записи

Кнопка поиска, расположенная рядом с полем логина, разворачивает список учетных записей пользователей, зарегистрированных в ОС СБ ВИ, и позволяет выбрать пользователя из уже существующих (рис. 47).

Рис. 47. Учетные записи, зарегистрированные в ОС компьютера

Также можно выделить несколько учетных записей, имеющихся в ОС, и зарегистрировать их одновременно.

5. После нажатия «OK» появится окно редактирования параметров учетной записи (рис. 48).


41

Рис. 48. Окно редактирования параметров новой учетной записи

На вкладке «Общие» предлагается заполнить следующие учетные данные и параметры:

заполнить «Полное имя» пользователя; в поле «Описание» ввести любой комментарий. Длина комментария не более

256 символов. Вводить комментарий и полное имя не обязательно.

Поле «Логин» и поле «Домен» остаются без возможности изменения (название домена для локального пользователя остается пустым).

политики «Отключена» и «Запретить работу при нарушении целостности» задаются при необходимости:

Администратор имеет возможность отключить учетную запись любого пользователя, после чего пользователь не сможет войти на защищенный компьютер до тех пор, пока администратор не деактивирует эту опцию.

DL 8.0 обеспечивает проверку целостности программно-аппаратной среды ПК, объектов ФС и реестра. Если для пользователя опция «Запретить работу при нарушении целостности» активизирована, то при обнаружении нарушения целостности выдается соответствующее предупреждение и вход в ОС блокируется. Если же эта опция не включена, то при обнаружении нарушения целостности будет отображено только предупреждение;

флажок в поле «Служебный пользователь» предоставляет данной учетной записи особый статус;

необходимо выбрать «Тип учетной записи». Для типа «Временный» обязательным условием является настройка расписания работы пользователя (см. ниже). По умолчанию тип учетной записи будет иметь значение «Не указан».

необходимо выбрать «Уровень мандатного доступа» (только в Dallas Lock 8.0 редакции «С»), под которым пользователь сможет работать;

необходимо выбрать значение в поле «Число разрешенных сеансов» (см. «Число разрешенных сеансов»);

необходимо задать «Расписание работы» пользователя, выбрать период и время. Вне указанного периода пользователь не сможет зайти на защищенный ПК. Кроме того, по окончании времени работы ПК пользователя будет заблокирован при условии включения параметра безопасности «Принудительное завершение работы по расписанию» («Параметры безопасности» => «права пользователей»);

отмеченный параметр «Потребовать смену пароля при следующем входе»


42

единовременно запросит смену пароля при входе; поле «Запретить смену пароля пользователем»; флажок в поле «Пароль без ограничения срока действия» отменяет

действие политики входа «Максимальный срок действия паролей», распространяемой на всех пользователей.

Далее, в процессе создания или регистрации нового локального пользователя администратор имеет возможность включить его в определенную группу. В окне закладки «Группы» отображены названия групп, в которые включен пользователь (рис. 49). По умолчанию, каждый новый пользователь входит в группу «Пользователи».

Рис. 49. Окно редактирование списка групп пользователя

Примечание. Если для регистрации в СЗИ ВИ при выборе пользователей, имеющихся в ОС одновременно выделить несколько учетных записей, то для них настраиваются одинаковые свойства в одном окне.

6. Чтобы включить пользователя в определенную группу необходимо нажать «Добавить». Появится список всех групп пользователей, имеющихся в системе (кроме тех, в которые пользователь уже включен) (рис. 50).


43

Рис. 50. Окно выбора групп для учетной записи

7. В поле «Размещение» необходимо оставить значение «Локальный». В списке групп нужно выбрать необходимую. Одновременно можно выделить несколько групп в списке.

Кнопка поиска в данном окне помогает найти необходимые группы по названию или его части. Возможна сортировка по алфавиту списка групп нажатием на поле с названием и со значком сортировки (треугольник).

8. Завершающей операцией по созданию учетной записи Windwos является назначение пароля. Назначение пароля предлагается системой защиты после заполнения всех необходимых параметров в окне создания учетной записи и нажатия кнопки «ОК» (рис. 51).

Рис. 51. Форма ввода пароля

При вводе пароля необходимо руководствоваться следующими правилами:

максимальная длина пароля 32 символа; пароль может содержать латинские символы, символы кириллицы, цифры и

специальные символы (список допустимых символов см. в описании политики безопасности «Пароли: необходимо наличие специальных символов»;

сложность пароля (наличие определенных символов, длина, срок действия и прочие) регулируется специальными политиками безопасности, которые устанавливаются администратором (см. «Настройка параметров входа»).

Для создания пароля, отвечающего всем установленным требованиям политик безопасности, можно воспользоваться помощью генератора паролей системы защиты. Для этого нажать кнопку с надписью «Генерация пароля». Система автоматически создаст случайный пароль, удовлетворяющий политикам сложности пароля, значение которого необходимо ввести в поля «Пароль» и «Подтверждение».

Дополнительная кнопка изменит скрытые символы на явные. Подтверждение пароля в этом случае не потребуется и соответствующее поле будет скрыто.

Примечание. Если в СЗИ ВИ регистрируется пользователь, учетная запись которого уже имеется на локальном компьютере, то его пароль для входа в ОС автоматически становится паролем для входа в систему защиты, поэтому операция по назначению пароля не предлагается. При необходимости пароль можно изменить средствами СЗИ ВИ.

Примечание. После того, как пользователь Windows зарегистрирован, менять его имя средствами ОС не рекомендуется. В противном случае, зайти этим пользователем на защищенный системой компьютер возможности не будет.

Следует обратить внимание, что пользователи самого СБ ВИ настраиваются через оболочку администратора. Через КСБ настраиваются только пользователи домена (те, которые смогут входить на клиентские рабочие станции).

4.1.1.2 Редактирование учетных записей vsphere.local

Для того чтобы создать учетную запись серверов виртуализации необходимо:


2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Учетные записи vsphere.local».



44

4. В появившемся окне ввести имя учетной записи и заполнить остальные поля при необходимости, после чего нажать кнопку «ОК» (Рис. 52).

Рис. 52. Создание учетной записи СВ



специальные символы (кроме запрещенных: " / \ [ ] : | < > + = ; , ? @ * #); разрешается использовать различные регистры клавиатуры, при этом

регистр не учитывается, то есть заглавные и прописные буквы воспринимаются как одинаковые (User и user являются одинаковыми именами).

5. Далее следует назначить пароль, который соответствует заданным парольным политикам (Рис. 53).




специальные символы (список допустимых символов см. в описании политики безопасности «[Сервер виртуализации] Пароли: минимальное количество специальных символов» в разделе «Настройка параметров входа»);

сложность пароля (наличие определенных символов, длина, срок действия и прочие) регулируется специальными политиками безопасности, которые устанавливаются администратором (см. раздел «Настройка параметров входа»).

Для создания пароля, отвечающего всем установленным требованиям политик безопасности, можно воспользоваться помощью генератора паролей системы защиты. Для этого нажать кнопку «Генерация пароля». Система автоматически создаст случайный пароль, удовлетворяющий политикам сложности пароля, значение которого необходимо ввести в поля «Пароль» и «Подтверждение».



45

4.1.1.3 Редактирование учетных записей гипервизоров

Для того чтобы создать учетную запись гипервизоров необходимо:


2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Учетные записи гипервизоров».


4. В появившемся окне ввести имя учетной записи и заполнить поле «Описание» при необходимости, после чего нажать кнопку «ОК» (Рис. 54).

Рис. 54. Создание пользователя гипервизора



специальные символы (кроме запрещенных: " / \ [ ] : | < > + = ; , ? @ * #); разрешается использовать различные регистры клавиатуры, при этом

регистр не учитывается, то есть заглавные и прописные буквы воспринимаются как одинаковые (User и user являются одинаковыми именами).

5. Далее следует назначить пароль, который соответствует заданным парольным политикам (Рис. 55).









46

4.1.1.3.1 Разблокирование учетных записей гипервизора

Учетная запись пользователя гипервизора по разным причинам может быть заблокирована, например, вследствие неправильного ввода пароля несколько раз.

Для того, чтобы разблокировать учетную запись гипервизора необходимо:

1. Выбрать гипервизор, на котором заблокирована учетная запись в дереве объектов.

2. Открыть вкладку «Учетные записи» и нажать кнопку «Разблокировать всех».


4. Открыть вкладку «Состояние» и нажать кнопку «Синхронизировать».

4.1.1.4 Удаление учетных записей

Для удаления учетной записи из ВИ вне зависимости от того, какими средствами он создан или зарегистрирован в самой системе защиты, необходимо выделить его имя в списке главного окна программы, нажать кнопку «Удалить» или выбрать соответствующее действие из контекстного меню. Подтвердить операцию, после чего синхронизировать, открыв вкладку «Состояние» и нажав кнопку «Синхронизировать». Учетная запись будет удалена и из СБ ВИ, и из самого vCenter.

Следует отметить, что при удалении самой СЗИ ВИ, учетные записи, созданные средствами СБ ВИ, остаются на сервере виртуализации.

4.1.2. Регистрация доменных пользователей

Для того чтобы зарегистрировать в СЗИ ВИ учетную запись доменного пользователя, необходимо выполнить следующее.


2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Учетные записи Windows».


4. В выпадающем меню размещения выбрать имя домена и нажать кнопку поиска (рис. 56).

Рис. 56. Заполнение имени учетной записи

Для получения списка учетных записей домена необходимо дополнительно ввести авторизационные данные администратора домена. После авторизации появится список пользователей, зарегистрированных на контроллере домена. Для поиска необходимой записи можно воспользоваться сортировкой или ввести первые буквы и нажать кнопку

поиска .

5. Выбрать учетную запись пользователя и нажать «OK». Можно выделить несколько учетных записей, имеющихся в ОС, и зарегистрировать их одновременно.

В системе защиты автоматически сформируется учетная запись пользователя с теми параметрами, которые соответствуют ей на контроллере домена (имя домена, логин, пароль, полное имя, название групп на контроллере домена). Автоматически учетная запись пользователя в списке учетных записей будет иметь вид: «имя домена/имя пользователя».


47

Имеющихся доменных пользователей можно зарегистрировать в СЗИ ВИ, но их нельзя создать средствами СЗИ ВИ. Если нужен новый доменный пользователь, его придется создать средствами администрирования на контроллере домена, и только после этого зарегистрировать в СЗИ ВИ.

Список доменных пользователей и групп кэшируется СЗИ ВИ в своей памяти. Поэтому, если новый пользователь создан на контроллере домена, он может появиться в списке системы защиты не сразу. Необходимо обновить список с помощью кнопки «Обновить».

Примечание. Процесс получения списка доменных пользователей может быть достаточно длительным. Во время этого процесса возможно появление окошка с просьбой ввести идентификационную информацию администратора.

Зарегистрированным в СЗИ ВИ доменным пользователям нельзя менять пароль средствами системы. При попытке изменить пароль будет выведено предупреждение (рис. 57).

Рис. 57. Сообщение системы при попытке смены пароля

Примечание. Аппаратный идентификатор может быть назначен только для отдельно взятой доменной учетной записи, зарегистрированной в системе защиты, без маски.

Также средствами СЗИ ВИ невозможно изменить список групп, в которые входит доменный пользователь.

4.1.3. Регистрация доменных учетных записей по маске

В СЗИ ВИ реализован механизм регистрации доменных учетных записей пользователей

системы с использованием масок, по символу «*». В этом контексте символ «*» имеет

значение «все». Учетная запись «Имя_домена\*» означает всех пользователей данного

домена.

По такой маске возможна регистрация только доменных учетных записей, для локальных это невозможно, и каждая запись должна быть создана отдельно. В то же время, если известен пароль локального пользователя, Сервер безопасности (см. ниже) сможет такого пользователя создать на клиенте.

При установке СЗИ ВИ с конфигурацией по умолчанию, если ПК является членом домена Windows, в системе защиты автоматически регистрируется учетная запись «*\*». Это означает, что вход на защищенный компьютер могут осуществлять все доменные пользователи (в том числе пользователи доверенных доменов).

Механизм регистрации доменных учетных записей системы с использованием масок позволяет привести систему входа к строгому виду.

Каждая учетная запись может быть в состоянии «вход разрешен» и «вход запрещен». Чтобы запретить вход под соответствующей учетной записью, необходимо, чтобы был поставлен флажок в поле «Отключена» в окне параметров учетных записей (рис. 58).

Рис. 58. Окно редактирования учетной записи

Если для существующей учетной записи вида «*\*» запретить вход в систему, и одновременно разрешить вход для учетных записей типа «ZCB\*», то в систему защиты


48

пользователи доменов входить не смогут, но смогут входить только пользователи домена ZCB. Другой пример: если запретить вход в систему для записи «ZCB\*», и разрешить для «ZCB\admin1», «ZCB\admin2», то это будет означать, что из домена ZCB на защищенный системой компьютер смогут входить только пользователи admin1 и admin2.

Таким образом, систему проверки пользователей можно легко привести к «строгой» системе, достаточно отключить учетную запись «*\*», и, далее, в явном виде регистрировать учетные записи необходимых доменных пользователей.

Примечание. Если в СЗИ ВИ зарегистрирована доменная учетная запись «*\*» или «Имя_домена\*», то назначать права на доступ к объекту можно как для учетной записи «*\*» (или «Имя_домена\*»), так и для каждой индивидуальной учетной записи домена, выбрав ее из списка через дескриптор объекта (см. ниже).

4.1.4. Редактирование групп пользователей

Группы предназначены для объединения пользователей, у которых права безопасности могут быть схожими. Такое объединение может упростить работу администратора, при выполнении настроек СЗИ ВИ.

Группы упрощают управление Сервером виртуализации. Можно добавлять пользователей к группам и назначать этим группам определенную роль, удалять пользователей из групп в соответствии с потребностями этих пользователей.

4.1.4.1 Редактирование групп Windows

Для создания новой группы Windows необходимо:


2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Группы Windows».


4. В появившемся окне ввести имя группы и заполнить поле «Описание» при необходимости, после чего нажать кнопку «ОК» (Рис. 59).

Рис. 59. Окно создания новой группы

Изменить описание группы можно, используя кнопку «Свойства» или выбрав данное действие из контекстного меню.

Назначить все необходимые политики безопасности для созданной группы можно, редактируя параметры безопасности различных категорий параметров.

Для удаления группы необходимо выделить группу, которую следует удалить, нажать кнопку «Удалить» или выбрать данное действие в контекстном меню. На экране отобразится подтверждение на удаление.

4.1.4.2 Редактирование групп vsphere.local

Для создания новой группы vsphere.local необходимо:


2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Группы vsphere.local».


4. В появившемся окне ввести имя группы, учитывая, что данное имя после создания группы изменить невозможно. Далее при необходимости заполнить поле «Описание» и добавить субъекты группы (см. ниже)

5. Завершить процесс создания группы, нажав кнопку «ОК». (Рис. 60)


49

Рис. 60. Окно создания новой группы


Чтобы добавить субъекта в группу необходимо:

1. Выделить группу и нажать кнопку «Субъекты…» или в процессе создания группы нажать кнопку «Субъекты группы…».

2. В обоих случаях появится окно редактирования членов группы vsphere.local (Рис. 61).

Рис. 61. Окно редактирования членов группы vsphere.local

3. В выпадающем списке параметра «Список субъектов в домене» можно выбрать другой домен.

4. Выделить субъект в левом списке «Список субъектов в домене» и нажать кнопку «Добавить», после чего данный субъект перенесется в правый список «Список субъектов в группе» (Рис. 62).


50


5. Чтобы удалить субъект, необходимо выделить его в «Списке субъектов в группе» и нажать кнопку «Удалить», соответственно (Рис. 63).


6. После завершения редактирования субъектов группы нажать кнопку «ОК».

Для удаления группы необходимо выделить соответствующую группу, нажать кнопку «Удалить» или выбрать данное действие в контекстном меню. На экране отобразится подтверждение на удаление.

4.1.5. Смена пароля

В некоторых ситуациях, например, когда пользователь забыл свой пароль, администратору бывает необходимо задать пользователю новый пароль, не зная старого. Для это необходимо:


2. Открыть вкладку «Учетные записи ВИ» и перейти в одну из категорий учетных записей ВИ.

3. Выбрать учетную запись в списке и нажать кнопку «Задать пароль» ().

4. Далее следует назначить пароль, который соответствует заданным парольным политикам и нажать кнопку «ОК».



51





Дополнительная кнопка изменит скрытые символы на явные. Подтверждение пароля в этом случае не потребуется и соответствующее поле будет скрыто. В случае корректного ввода нового пароля появится сообщение об успешной смене пароля.


4.2. Настройка параметров входа Для настройки параметров входа всех объектов ВИ, необходимо выбрать «Сервер безопасности» в дереве объектов, открыть вкладку «Параметры безопасности ВИ» и перейти в категорию «Вход» (Рис. 64).

Рис. 64. Параметры входа

Данные параметры входа применимы только для сервера виртуализации и гипервизора.

[Общее] Вход: максимальное количество ошибок ввода пароля

Значение, установленное для этого параметра, регламентирует, сколько раз пользователь имеет право ошибаться при вводе пароля.

Если при входе на сервер виртуализации или гипервизор пользователь вводит неверный пароль и число ошибок превысит больше допустимого, учетная запись будет заблокирована. Сбросить автоматическую блокировку досрочно может только администратор безопасности или пользователь, обладающий правом редактирования учетных записей.

[Общее] Вход: время блокировки учетной записи в случае ввода неправильных паролей (сек.)

Данный параметр позволяет установить, сколько времени учетная запись будет заблокирована после того, как пользователь ввел неверный пароль больше допустимого числа раз.

По истечении указанного времени учетная запись автоматически разблокируется, и


52

пользователь снова получит возможность ввести пароль.

Если установлено значение «0», то срок блокировки будет бессрочный.

[Общее] Пароли: максимальный срок действия пароля (дн.)

Данным параметром устанавливается максимальный срок действия пароля для всех пользователей. По истечении установленного срока, пользователь должен сменить пароль при входе на сервер виртуализации или гипервизор. Если выбрано значение «Не используется», то время действия пароля не ограничено.

[Общее] Пароли: минимальная длина

Данным параметром устанавливается ограничение на минимальную длину пароля. Если число символов в пароле меньше установленного значения, то на экране появится предупреждение.

При регистрации новой учетной записи и при изменении старого пароля DL 8.0 контролирует длину вводимого пароля. Если число символов в пароле меньше установленного значения, то на экране появится предупреждение «Ввод пароля: введен слишком короткий пароль».

Следует иметь в виду, что если в процессе работы изменить значение длины пароля (например, увеличить), то у зарегистрированных учетных записей она останется прежней до первой смены пароля.

[Сервер виртуализации] Вход: время, в течение которого подсчитываются ошибки ввода пароля (сек.)

Данный параметр позволяет установить количество времени, в течение которого подсчитываются ошибки ввода пароля. Если за данный период времени количество неудачных попыток входа достигнет максимального количества ошибок ввода пароля, учетная запись будет заблокирована на время, заданное в параметре «[Общее] Вход: время блокировки учетной записи в случае ввода неправильных паролей».

В случае, если за установленное время количество неудачных попыток входа не достигло заданного максимального количества ошибок ввода пароля ‒ счетчик неудачных попыток обнуляется.

[Сервер виртуализации] Пароли: количество предыдущих паролей, которые пользователь не может использовать

Данным параметром устанавливается количество предыдущих паролей каждого пользователя, которые не могут быть выбраны ими при смене пароля. Например, значение «5» запрещает использовать пять предыдущих паролей для выбранного пользователя.

[Сервер виртуализации] Пароли: минимальное количество символов алфавита

Данным параметром устанавливается минимальное количество символов алфавита, которые должны присутствовать при задании пароля, для учетной записи Сервера виртуализации.

[Сервер виртуализации] Пароли: минимальное количество специальных символов

Данным параметром устанавливается минимальное количество специальных символов ("`", "~", "!", "@", "#", "$", "%", "^", "&", "*", "(", ")", "_", "-", "+", "{", "}", "[", "]", "\", "|", ":", ";", """, "'", "<", ">", ",", ".", "?", "/"), которые должны присутствовать при задании пароля, для учетной записи Сервера виртуализации.

[Сервер виртуализации] Пароли: минимальное количество прописных букв

Данным параметром устанавливается минимальное количество прописных (больших) букв, которые должны присутствовать при задании пароля, для учетной записи Сервера виртуализации.

[Сервер виртуализации] Пароли: минимальное количество строчных букв

Данным параметром устанавливается минимальное количество строчных (маленьких) букв, которые должны присутствовать при задании, для учетной записи Сервера виртуализации.

[Сервер виртуализации] Пароли: минимальное количество числовых символов

Данным параметром устанавливается минимальное количество строчных (маленьких) букв, которые должны присутствовать при задании пароля, для учетной записи Сервера виртуализации.

[Сервер виртуализации] Пароли: максимально допустимое количество одинаковых символов, стоящих рядом

Данным параметром устанавливается максимально допустимое количество одинаковых символов, которые могут присутствовать при задании пароля, для учетной записи Сервера виртуализации.

[Гипервизоры] Вход: время, в течение которого допускается выполнить одну


53

попытку ввода пароля (сек.)

Данный параметр позволяет установить, количество времени в течение которого допускается выполнить одну попытку ввода пароля. Если произошла неудачная попытка ввода пароля, то выполнить новую попытку ввода пароля возможно будет только через указанный период времени.

[Гипервизоры] Вход: период неиспользования (дн.)

Данным параметром устанавливается период времени, через который будут отключены неиспользуемые учетные записи гипервизора. Сбросить автоматическую блокировку досрочно может только администратор безопасности или пользователь, обладающий правом редактирования учетных записей. При выборе значения «Нет ограничений» период неиспользования учетной записи не ограничен.

[Гипервизоры] Пароли: минимальный срок действия пароля (дн.)

Данным параметром устанавливается минимальный срок действия пароля для всех пользователей. До истечения установленного срока пользователь не сможет сменить свой пароль. При выборе значения «Нет ограничений» минимальный срок действия пароля не ограничен.

[Гипервизоры] Пароли: напоминать о смене пароля за (дн.)

С помощью данного параметра DL 8.0 позволит напоминать пользователю о том, что через определенное количество дней необходимо сменить пароль. Если при настройке выбрать значение «Нет ограничений», то напоминаний о необходимости смены пароля не будет.

Напоминание о предстоящей смене пароля будет появляться на экране при загрузке ОС данным пользователем, начиная с того момента, когда до смены пароля (фактически до истечения максимального времени действия пароля) осталось количество дней, равное установленному значению для этой политики.

[Гипервизоры] Пароли: минимальное количество классов символов (1-4)

Данный параметр определяет количество классов символов (буквы в верхнем и нижнем регистре, цифры и специальные символы), которые должны присутствовать в пароле.

Этот параметр может принимать значения от 1 до 4. Значение «1» означает, что пароль может содержать любые символы, например, только цифры.

[Гипервизоры] Вход: количество попыток ввода нового пароля, удовлетворяющего текущим парольным политикам

Значение, установленное для этого параметра, регламентирует, сколько раз пользователь имеет право ошибаться при вводе нового пароля.

[Гипервизоры] Включение доверенной загрузки виртуальной машины

Включение данного параметра, позволяет контролировать целостность файлов ВМ (гостевой системы), базовой системы ввода-вывода ВМ и конфигурации ВМ. При нарушении целостности блокируется возможность загрузки ВМ (гостевых операционных систем).

Внимание. Доверенная загрузка ВМ функционирует ТОЛЬКО с включенным параметром «Проверять целостность ВМ при загрузке ОС» (см. раздел «Настройка параметров контроля целостности»).

[Гипервизоры] Управление только через сервер виртуализации

Данный параметр включает Lockdown Mode, который отключает возможность прямого доступа к гипервизору ESXi, что обязывает использовать vCenter для управления. Это делается для того, чтобы избежать возможности обхода механизма ролей и контроля доступа, реализованного в vCenter, путем локального входа на гипервизор.

Примечание. Данный режим блокировки не распространяется на пользователей, которые выполняют вход при помощи уполномоченных ключей. В таком случае пользователю root не блокируется доступ к гипервизору по протоколу SSH, даже если он находится в режиме Lockdown Mode. Пользователям, перечисленным в списке «DCUI.Access» каждого гипервизора, разрешается переопределить режим Lockdown Mode и выполнять локальный вход. По умолчанию в этом списке присутствует только пользователь root.

[Гипервизоры] Блокировать протокол SSH

Если разрешено использование ESXi Shell, то его можно запустить непосредственно на гипервизоре ESXi через DCUI или удаленно по SSH. Данный параметр блокирует такую возможность.


54

5. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ К ОБЪЕКТАМ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ

5.1. Удаленный доступ к серверу виртуализации Компонент защиты DL 8.0, устанавливаемый на сервер виртуализации, осуществляет фильтрацию входящего трафика, используя правила управления, и предотвращает несанкционированный удаленный доступ к СВ. По умолчанию, после развертывания СЗИ ВИ, подключение к СВ доступно только с СБ ВИ.

5.1.1. Правила управления СВ

Для просмотра и редактирования правил управления СВ, необходимо выбрать сервер виртуализации в дереве объектов, открыть вкладку «Состояние» и перейти в категорию «Правила управления СВ» (Рис. 65).

Рис. 65. Правила управления СВ

Для того чтобы создать правило управления СВ необходимо:

1. Выбрать сервер виртуализации в дереве объектов.

2. Открыть вкладку «Параметры безопасности ВИ» и перейти в категорию «Правила управления».

3. Нажать кнопку «Добавить».

4. Для того, чтобы изменить описание и задать список портов для правила, нужно щелкнуть по ним два раза левой кнопкой мыши и ввести новые значения.

5. Далее следует нажать кнопку «Сохранить».


5.1.2. Клиенты управления СВ

Чтобы получить доступ к серверу виртуализации c удаленного компьютера, данный компьютер должен входить в список клиентов управления СВ.

Для просмотра и редактирования клиентов управления СВ, необходимо выбрать «Сервер виртуализации в дереве объектов, открыть вкладку «Состояние» и перейти в категорию «Клиенты управления СВ» (Рис. 66).


55

Рис. 66. Клиенты управления СВ

Для того чтобы добавить клиента управления сервером виртуализации необходимо:


2. Открыть вкладку «Состояние» и перейти в категорию «Клиенты управления».

3. Нажать кнопку «Добавить клиента».

4. В появившемся окне ввести имя в сети или IP-адрес клиента управления, после чего нажать кнопку «ОК».

5. Нажать кнопку «Синхронизировать».

5.2. Управление ролями Просмотр и редактирование ролей происходит на вкладке «Роли» при выбранном объекте ВИ «Сервер безопасности» (Рис. 67).

Рис. 67. Роли сервера виртуализации

Осуществлять настройку ролей может только пользователь, наделенный правами администратора и соответствующими привилегиями на редактирование привилегий. Пользователь не сможет расширять полномочия самому себе, то есть чтобы наделить


56

пользовательскую роль привилегией, пользователь должен обладать данной привилегией.

Системные роли (Administrator, Read Only, No Access) невозможно отредактировать или удалить.

Для создания новой роли на сервере виртуализации необходимо:


2. Открыть вкладку «Роли» и перейти в категорию «Роли серверов виртуализации».

3. Нажать кнопку «Создать», ввести имя для новой роли и нажать клавишу «Enter» на клавиатуре.

4. Выбрать необходимые привилегии для роли и нажать кнопку «Сохранить».


Для изменения имени роли необходимо кликнуть два раза левой кнопкой мыши по роли, ввести новое имя и нажать клавишу «Enter» на клавиатуре. Для изменения состава привилегий роли, необходимо выделить роль и установить флаг у нужных привилегий. После редактирования роли, необходимо кликнуть по свободному месту рабочей области, сохранить изменения и синхронизовать.

Для удаления роли необходимо выделить роль, которую следует удалить и нажать кнопку «Удалить». После чего подтвердить операцию и произвести синхронизацию.

Порядок действий для ролей гипервизоров аналогичен, за исключением того, что нужно перейти в категорию «Роли гипервизоров».

5.3. Права пользователей Настройки, касающиеся прав пользователей, регулируются в категории «Права пользователей» (Рис. 68).

Рис. 68. Права пользователей

Для пользователя или группы может быть назначена только одна роль на объект, однако, привилегии для пользователя могут суммироваться, если он состоит в нескольких группах, для которых назначены разные роли на объект.

Исключением является случай, когда роль явно назначается пользователю. В таком случае она перекрывает все привилегии, полученные от групп.

Чтобы задать пользователю или группе определенную роль необходимо:


2. Открыть вкладку «Параметры безопасности ВИ» и перейти в категорию «Права пользователей» или «Права пользователей гипервизоров».

3. Нажать кнопку «Добавить», после чего появится окно со списком пользователей и групп, которым будет задана роль (Рис. 69).


57

Рис. 69. Выбор пользователей и групп

4. Отметив пункт «Автоматический поиск пользователей/групп» при последующем нажатии кнопок «Пользователи» или «Группы» будет показан список всех возможных пользователей или групп для последующего назначения роли.

5. Далее требуется выбрать пользователей и группы, которым будет задана роль, после чего нажать «ОК» (Рис. 70).

Рис. 70. Выбор пользователей и групп

6. В появившемся окне выбрать роль из выпадающего списка (Рис. 71).


58

Рис. 71. Выбор роли доступа

7. Чтобы распространить привилегии на дочерние объекты, необходимо установить флаг «Настройка действует на дочерние объекты».


9. Сохранить изменения, нажав кнопку «Сохранить».


Для редактирования прав пользователей необходимо:

1. Выделить нужную учетную запись или группу и выбрать действие «Редактировать»,

2. В появившемся окне выбрать роль из выпадающего списка.

3. Чтобы распространить привилегии на дочерние объекты, необходимо установить флаг «Настройка действует на дочерние объекты».


5. Сохранить изменения, нажав кнопку «Сохранить».


Для удаления прав пользователей необходимо выбрать учетную запись или группу и нажать кнопку «Удалить». После чего подтвердить операцию, сохранить изменения и синхронизировать.

5.4. Настройка фильтрации трафика гипервизоров Гипервизор ESXi включает в себя брандмауэр между интерфейсом управления и сетью. По умолчанию брандмауэр гипервизора настроен на блокирование входящего и исходящего трафика, за исключением трафика для его стандартных служб. Первоначально подключение к данным службам доступно всем.

Просмотр и редактирование правил фильтрации трафика для всех гипервизоров происходит на вкладке «Фильтрация трафика» при выбранном объекте ВИ «Сервер безопасности» (Рис. 72).

Рис. 72. Фильтрация трафика гипервизора

Для того, чтобы разграничить доступ к данным службам для всех гипервизоров ВИ,


59

необходимо:


2. Открыть вкладку «Фильтрация трафика гипервизора».

3. Выделить необходимую службу и нажать кнопку «Свойства».

4. В появившемся окне нажать кнопку «Добавить» (Рис. 73).

Рис. 73. Настройка правила фильтрации трафика гипервизора

5. Далее откроется окно «Назначение IP адреса», где нужно ввести доверенный IP-адрес. Также возможно задать диапазон IP-адресов, дополнительно установив флаг «Диапазон» и введя маску подсети (Рис. 74). Нажать кнопку «ОК».

Рис. 74. Назначение диапазона IP-адресов

6. Введенный IP-адрес отобразится в списке IP-адресов (Рис. 75).

Рис. 75. Настройка правила фильтрации трафика гипервизора


60

7. Чтобы отредактировать IP-адрес, необходимо выбрать его в списке IP-адресов и нажать кнопку «Редактировать».

8. Чтобы разрешить доступ всем, необходимо нажать кнопку «Все».

9. Чтобы удалить IP-адрес, необходимо выбрать его в «Списке IP-адресов» и нажать кнопку «Удалить».

10. По завершению редактирования списка доверенных IP-адресов, необходимо нажать кнопку «ОК».

11. Далее нажать кнопку «Сохранить».



61

6. ПОДСИСТЕМА КОНТРОЛЯ ЦЕЛОСТНОСТИ

6.1. Настройка параметров контроля целостности Для настройки параметров контроля целостности всех объектов ВИ необходимо выбрать «Сервер безопасности» в дереве объектов, открыть вкладку «Параметры безопасности ВИ» и перейти в категорию «Контроль целостности» (Рис. 76).

Рис. 76. Параметры контроля целостности

С помощью данных параметров необходимо настроить периодичность проверки целостности отдельно для ВМ и гипервизора. По умолчанию проверка целостности ВМ установлена только при загрузке ОС.

Проверять целостность ВМ при загрузке ОС

Параметр проверки целостности при загрузке ОС может иметь следующие значения: «включен» или «выключен».

Примечание. Запуск ВМ при нарушении целостности файлов гостевых систем будет заблокирован, если активирован параметр «[Гипервизоры]: Включение доверенной загрузки ВМ» (см. раздел «Настройка параметров входа»).

Периодический контроль целостности

Данный параметр позволяет производить проверку целостности через указанный промежуток времени: от 1 минуты до 5 часов. Для отключения необходимо выбрать значение «Не используется».

Контроль по расписанию

Данный параметр позволяет настроить проверку целостности по гибкому расписанию (Рис. 77).


62


В окне настройки расписания необходимо установить флаг в поле «Использовать расписание», и составить расписание.

Примечание. В случае обнаружения события нарушения целостности, на Сервер безопасности будет отправляться соответствующее событие сигнализации (см. раздел «Сигнализация об НСД»).

Каждое событие нарушения целостности сопровождается всплывающим сообщением на панели задач и записью в журнале СБ ВИ, при этом в графах «Событие» и «Результат» отображается значение параметра контроля целостности.

6.2. Контроль целостности файлов гипервизора и ВМ Моменты, когда осуществляется проверка целостности системных файлов гипервизора и конфигурационных файлов ВМ, определяются соответствующими политиками контроля целостности (см. раздел «Настройка параметров контроля целостности»).

Для включения контроля целостности необходимо нажать кнопку «Включить контроль целостности». Системным файлам гипервизора или конфигурационным файлам ВМ будет автоматически назначен контроль целостности.

Также проверка целостности осуществляется по команде администратора действием «Проверить» или при доступе к объекту.

Объекты, на которые назначен контроль целостности любым из способов, автоматически появляются в списке объектов в окне категории «Контроль целостности» на вкладке «Состояние», при выбранном гипервизоре или ВМ в дереве объектов ВИ.

6.2.1. Проверка целостности

Если некоторый объект, на который назначена целостность, будет изменен или поврежден, то при проверке (периодичность события проверки определяется установленными параметрами контроля целостности), контрольная сумма нарушится и ее запись в окне дескриптора безопасности будет выделена красным цветом (Рис. 78).


63

Рис. 78. Нарушение целостности файла

При нажатии кнопки «Пересчитать» в окне дескриптора или на панели действий в КСБ происходит пересчет контрольной суммы. Пересчет новой контрольной суммы позволяет снова установить целостность файла и проводить ее дальнейшее отслеживание.

При нажатии кнопки «Проверить», в списке объектов контроля целостности, значок объекта у

которого нарушена целостность будет выделен красным (Рис. 79).

Рис. 79. Контроль целостности ВМ

При нажатии кнопки «Пересчитать» происходит пересчет контрольной суммы. Пересчет контрольной суммы позволяет снова установить целостность файла и проводить её дальнейшее отслеживание.

Значения контрольных сумм для контролируемых объектов в КСБ появляются после команд проверки и пересчета контрольных сумм.


64

7. ПОДСИСТЕМА АУДИТА

7.1. Аудит гипервизоров События безопасности регистрируются на всех гипервизорах, на которых установлен агент, после чего пересылаются на СБ ВИ. Настройки, касающиеся аудита гипервизоров всей ВИ, регулируются в категории «Аудит гипервизоров» (Рис. 80).

Рис. 80. Аудит гипервизоров

Агент DL

Содержит сведения о действия агента DL, который управляет функциями безопасности на гипервизоре ESXi.

Агент сервера виртуализации

Содержит сведения о действиях агента, который взаимодействует с сервером виртуализации.

Агент ESXi

Содержит сведения о действиях агента, который управляет и конфигурирует гипервизор ESXi и виртуальные машины.

ESXi Shell

Содержит события и записи всех введенных команд в ESXi Shell.

USB-устройства

Содержит события, связанные с подключаемыми USB-устройствами к гипервизору.

Аутентификация

Содержит события, связанные с аутентификацией на гипервизоре.

Системные события

Отображаются общие сообщения журнала, которые могут быть использованы для устранения неполадок.

Виртуальные машины

Содержит события, связанные с виртуальными машинами и гипервизорами ESXi.

7.2. Журналы событий В СБ ВИ регистрируются события и группируются, в зависимости от типов событий, подлежащих протоколированию, также задается степень детализации аудита и другие факторы. Для этого используются три журнала:

1. Журнал СБ ВИ.

2. Журнал сервера виртуализации.

3. Журнал гипервизора.

В каждом журнале фиксируются дата, время, событие, результат и прочие параметры.


65

Возможно упорядочивание элементов списков журнала по необходимому значению, для этого нужно кликнуть на кнопку с названием столбца журнала.

Двойной щелчок мышки на любой записи любого журнала открывает окно, содержащее всю информацию, относящуюся к этой записи (Рис. 81).

Рис. 81. Отдельная форма записи журнала событий

Нажимая на кнопки «вверх» и «вниз», можно листать журнал, просматривая предыдущие или следующие записи.

Каждый текущий журнал формируется в папке C:\DLLOCK80\Jrn и имеет фиксированный максимальный размер – 20000 записей.

На панели «Действия» расположены элементы управления журналом. При нажатии кнопки «Обновить» отображаемые данные журналов после применения к ним новых настроек будут обновлены. Чтобы собрать информацию, отображенную в журналах, нужно нажать кнопку «Архивировать». После выбора архивации журнала, его записи сохраняются в файл в системной папке C:\DLLOCK80\Logs, в окне журнала записи очищаются, и он начинает вестись заново. Также, в случае, когда журнал переполняется (максимальный размер – 20000 записей), он архивируется в файл со специальным расширением *.lg8 и помещается в папку C:\DLLOCK80\Logs. При этом текущий журнал очищается и начинает вестись заново. В имени архивного файла с журналом записаны его тип, дата и время создания файла. Для открытия такого файла, необходимо нажать кнопку «Открыть из файла», а затем, в открывшемся окне, выбрать файл журнала или задать путь к файлу. Кнопка «Экспорт» отвечает за сбор и конвертирование информации журналов в файлы c расширением txt (с табуляцией или без), CVS, HTML или XML. Для осуществления данной функции нужно нажать кнопку «Экспорт», указать имя файла и выбрать место для его хранения.

Примечание. При открытии «Открытие из файла», в окне выбора файлов возможно выбрать несколько журналов одного типа. При выборе разных типов появится сообщение об ошибке.

Для полного удаления журнала, необходимо открыть папку C:\DLLOCK80\Logs и удалить соответствующий файл.

7.2.1. Журнал СБ ВИ

Журнал СБ ВИ ‒ это журнал, в который заносятся события, связанные непосредственно с работой сервера безопасности ВИ, а именно:

1. Добавление или удаление сервера виртуализации.

2. Установка учетных данных сервера виртуализации или гипервизора.

3. Установка или удаление агента на гипервизоре.

4. Синхронизация с сервером виртуализации.

5. Синхронизация с гипервизором.


66

6. Сбор журнала с сервера виртуализации.

7. Нарушение целостности виртуальной машины.

8. Нарушение целостности системных файлов гипервизора.

9. Редактирование учетных записей, групп.

10. Редактирование параметров безопасности.

11. Изменение параметров безопасности для гипервизора

Также в журнал СБ ВИ заносятся типы событий, при которых происходит событие сигнализации (воспроизводится звуковой сигнал и выводится сообщение):

1. Нарушение контроля целостности файлов виртуальных машин.

2. Нарушение контроля целостности системных файлов хоста.

3. Попытка запуска виртуальной машины с нарушенным контролем целостности, при включенной доверенной загрузки ВМ.

4. Попытка получения доступа при наличии ограничений из-за разрешений сервера виртуализации (через анализ собранных журналов).

Для того, чтобы ознакомиться с данной информацией, необходимо в объектах DL открыть вкладку «ВИ» и в дереве объектов выбрать сервер безопасности. После чего открыть вкладку «Журнал СБ ВИ» (Рис. 82).

Рис. 82. Журнал СБ ВИ

7.2.2. Журнал сервера виртуализации

Журнал сервера виртуализации ‒ это журнал, который содержит информацию об изменениях состояния управляемых объектов на сервере виртуализации. События включают в себя действия системы и пользователей, которые происходят на объектах ВИ.

Для того, чтобы ознакомиться с данной информацией, необходимо выбрать сервер виртуализации в дереве объектов и открыть вкладку «Журнал сервера виртуализации» (Рис. 83).


67

Рис. 83. Журнал СВ

Формирование этого журнала происходит на момент команды сбора журнала путем нажатия кнопки «Собрать журнал», а также при настроенном периодическом сборе журналов в параметрах СБ.

Для журналов сервера виртуализации, возможно задать частоту и расписание периодического сбора журналов. Для этого необходимо выбрать «Сервер безопасности» в дереве объектов, открыть вкладку «Состояние» и перейти в категорию «Основное». Далее настроить два соответствующих параметра:

Частота периодического сбора журналов

Данный параметр позволяет производить автоматический сбор журналов СВ через указанный промежуток времени: от 5 минут до ежемесячно. Для отключения необходимо выбрать значение «Не используется».

Расписание сбора журналов

Данный параметр позволяет настроить автоматический сбор журналов СВ по гибкому расписанию (Рис. 84).


В окне настройки расписания необходимо установить флаг в поле «Использовать


68

расписание», и составить расписание.

После внесения каких-либо изменений в настройки необходимо нажать «Сохранить».

7.2.3. Журнал гипервизора

Журнал гипервизора ‒ в данный журнал регистрируются события безопасности гипервизора, на котором установлен агент DL. Журнал включает в себя системные события и действия агента DL на гипервизоре. Для работы данного журнала должен быть настроен «Аудит гипервизора» (см. раздел «Аудит гипервизоров»).

Для того, чтобы ознакомиться с данной информации, необходимо выбрать гипервизор в дереве объектов и открыть вкладку «Журнал гипервизора» (Рис. 85).

Рис. 85. Журнал гипервизора


69

8. ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ

8.1. Сохранение конфигурации СБ ВИ В СБ ВИ имеется возможность сохранить все или определенные настройки параметров безопасности Сервера безопасности в специальном файле конфигурации.

Для сохранения настроек системы защиты необходимо в КСБ нажать кнопку основного меню и в появившемся меню выбрать пункт «Сохранить конфигурацию» (Рис. 86).

Рис. 86. Выбор сохранения конфигурации СБ

Появится окно, в котором необходимо выбрать расположение и имя файла, в котором будет сохранена конфигурация (по умолчанию – это системная папка DLLOCK80). После нажатия кнопки «ОК» файл конфигурации СБ ВИ будет сформирован и сохранен. Сохраненный файл конфигурации будет иметь расширение *.dlsc.

Применяется данный файл конфигурации на уже установленный Сервер безопасности с помощью пункта «Применить конфигурацию» кнопки основного меню КСБ.

Date post:	29-Sep-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

K B K L ? F : A : S B L U B G N H J F : P : E V : K L J M ...ŸФНА.501410.001 РЭ...

Documents