Вход на защищенный компьютер
Вход на защищенный компьютер
При загрузке компьютера, защищенного системой защиты Dallas Lock 8.0, в зависимости от операционной системы, появляется экран приветствия (приглашение на вход в систему).
Для входа на защищенный системой защиты Dallas Lock 8.0 компьютер каждому пользователю предлагается выполнить следующую последовательность шагов:
1. Заполнить поле имени пользователя, под которым он зарегистрирован в системе. В зависимости от настроек системы защиты в этом поле может оставаться имя пользователя, выполнившего вход последним.
2. Заполнить поле имени домена. Если пользователь доменный, то указывается имя домена, если пользователь локальный, то в этом поле оставляется имя компьютера или оставляется пустое значение.
3. Если пользователю назначен аппаратный идентификатор, то его необходимо предъявить.
4. Ввести пароль. При вводе пароля, поле для ввода является текстовым. Однако на экране вместо символа, соответствующего каждой нажатой клавише, появляется символ «●» (точка).
5. При вводе пароля следует помнить, что строчные и прописные буквы различаются. Допущенные ошибки при вводе исправляются так же, как и при заполнении текстового поля.
6. Нажать кнопку «Enter».
После нажатия кнопки «Enter» в системе защиты сначала проверяется возможность входа пользователя с данным именем и доменом, после чего проверяется соответствие с именем пользователя номера аппаратного идентификатора, зарегистрированного в системе защиты, и правильность указанного пользователем пароля. В случае успеха проверки, пользователю разрешается вход в систему, иначе вход в систему пользователю запрещается. Во время первого входа на ПК после установки или обновления Dallas Lock 8.0 в области уведомлений Windows будет появляться сообщение о том, что ПК защищен Dallas Lock 8.0.
Полномочия пользователей на администрирование системы защиты
В системе защиты Dallas Lock 8.0 полномочия на эксплуатацию и администрирование системы защиты определяются статусом пользователя. В зависимости от предоставленных полномочий, каждый пользователь может быть отнесен к одной из трех категорий:
µ Администратор безопасности (администратор) - пользователь, наделенный всеми полномочиями на администрирование системы защиты. Администраторов безопасности может быть несколько.
µ Привилегированный пользователь - наделенный некоторыми полномочиями на администрирование системы защиты.
µ Рядовой пользователь - не имеющий полномочий на администрирование системы защиты, но в соответствии с политиками безопасности имеющий возможность выполнения некоторых операций (осуществление входа/выхода, преобразования объектов ФС и прочие).
Отдельно выделяется учетная запись пользователя, выполнившего установку системы Dallas Lock 8.0. Этот пользователь условно называется суперадминистратором, имеет неограниченные административные права и возможности в настройке системы.
Суперадминистратор регистрирует в системе защиты других пользователей. При этом он может делегировать зарегистрированному пользователю все или часть своих полномочий на администрирование.
Полномочия администратора по управлению работой системы защиты могут быть следующими:
1. управление регистрацией субъектов доступа:
1.1. создание, регистрация и удаление учетных записей,
1.2. создание и управление составом групп пользователей,
1.3. управление списком сессий-исключений;
2. изменение свойств пользователей:
1.1. первичные учетные данные (логин, имя, описание);
1.2. параметры загрузки;
1.3. назначение аппаратного идентификатора;
1.4. порядок изменения пароля;
2. управление аудитом (доступом к журналам, к теневым копиям распечатываемых документов, к теневым копиям файлов);
3. управление параметрами безопасности;
4. управление работой пользователей (изменение его прав);
5. управление ресурсами дискреционного, мандатного доступов и контролем целостности;
Удаление системы защиты.
Создание пользователей
Перед созданием новой учетной записи необходимо убедиться в том, что нужная учетная запись еще не создана в операционной системе. В таком случае, достаточно будет ее просто зарегистрировать, выбрав из списка, вызываемого кнопкой поиска.
Для создания нового пользователя в системе защиты необходимо:
1. Выделить категорию «Учетные записи» в оболочке администратора.
2. Нажать кнопку «Создать» в категориях «Действия» или выбрать соответствующую из контекстного меню, нажав правую кнопку мыши.
3. На экране появится окно создания новой учетной записи.
4. В поле «Размещение» необходимо выбрать значение «Локальный». 5. В поле «Логин» необходимо ввести логин (имя) регистрируемого пользователя. При вводе имени в системе существуют следующие правила:
µ максимальная длина имени - 20 символов;
µ имя может содержать латинские символы, символы кириллицы, цифры и специальные символы (кроме запрещенных ОС: " / \ [ ] : | < > + = ; , ? @ *);
µ разрешается использовать различные регистры клавиатуры, при этом регистр не учитывается, то есть заглавные и прописные буквы воспринимаются как одинаковые (User и user являются одинаковыми именами).
Кнопка поиска, расположенная рядом с полем логина, разворачивает список учетных записей пользователей, зарегистрированных в ОС данного ПК, и позволяет выбрать пользователя из уже существующих.
Также можно выделить несколько учетных записей, имеющихся в ОС, и зарегистрировать их одновременно.
5. После нажатия «OK» появится окно редактирования параметров учетной записи.
На вкладке «Общие» предлагается заполнить следующие учетные данные и параметры:
µ заполнить «Полное имя» пользователя;
µ в поле «Описание» ввести любой комментарий. Длина комментария не более 256 символов. Вводить комментарий и полное имя не обязательно.
Поле «Логин» и поле «Домен» остаются без возможности изменения (название домена для локального пользователя остается пустым)
µ политики «Отключена» и «Запретить работу при нарушении целостности» задаются при необходимости:
· Администратор имеет возможность отключить учетную запись любого пользователя, после чего пользователь не сможет войти на защищенный компьютер до тех пор, пока администратор не деактивирует эту опцию.
· Система защиты обеспечивает проверку целостности программно-аппаратной среды ПК, объектов ФС и реестра. Если для пользователя опция «Запретить работу при нарушении целостности» активизирована, то при обнаружении нарушения целостности выдается соответствующее предупреждение и вход в ОС блокируется. Если же эта опция не включена, то при обнаружении нарушения целостности будет отображено только предупреждение;
µ флажок в поле «Служебный пользователь» предоставляет данной учетной записи особый статус;
µ необходимо выбрать «Тип учетной записи». Для типа «Временный» обязательным условием является настройка расписания работы пользователя. По умолчанию тип учетной записи будет иметь значение «Не указан».
µ необходимо выбрать значение в поле «Число разрешенных сеансов»;
µ необходимо задать «Расписание работы» пользователя, выбрать период и время. Вне указанного периода пользователь не сможет зайти на защищенный ПК. Кроме того, по окончании времени работы ПК пользователя будет заблокирован при условии включения параметра безопасности «Принудительное завершение работы по расписанию» («Параметры безопасности» => «права пользователей»);
µ отмеченный параметр «Потребовать смену пароля при следующем входе» единовременно запросит смену пароля при входе;
µ поле «Запретить смену пароля пользователем»;
µ флажок в поле «Пароль без ограничения срока действия» отменяет действие политики входа «Максимальный срок действия паролей», распространяемой на всех пользователей.
Далее, в процессе создания или регистрации нового локального пользователя администратор имеет возможность включить его в определенную группу. В окне закладки «Группы» отображены названия групп, в которые включен пользователь. По умолчанию, каждый новый пользователь входит в группу «Пользователи».
6. Чтобы включить пользователя в определенную группу необходимо нажать «Добавить». Появится список всех групп пользователей, имеющихся в системе (кроме тех, в которые пользователь уже включен).
7. В поле «Размещение» необходимо оставить значение «Локальный». В списке групп нужно выбрать необходимую. Одновременно можно выделить несколько групп в списке.
8. Завершающей операцией по созданию учетной записи пользователя является назначение пароля. Назначение пароля предлагается системой защиты после заполнения всех необходимых параметров в окне создания учетной записи и нажатия кнопки «ОК».
При вводе пароля необходимо руководствоваться следующими правилами:
µ максимальная длина пароля 32 символа;
µ пароль может содержать латинские символы, символы кириллицы, цифры и специальные символы;
µ сложность пароля (наличие определенных символов, длина, срок действия и прочие) регулируется специальными политиками безопасности, которые устанавливаются администратором.
Для создания пароля, отвечающего всем установленным требованиям политик безопасности, можно воспользоваться помощью генератора паролей системы защиты. Для этого нажать кнопку с надписью «Генерация пароля». Система автоматически создаст случайный пароль, удовлетворяющий политикам сложности пароля, значение которого необходимо ввести в поля «Пароль» и «Подтверждение».
Также следует учесть, если учетная запись (в том числе в составе группы) отмечена в значении для параметра «Учетные записи: Принудительная двухфакторная аутентификация», то присвоение аппаратного идентификатора станет обязательным условием, иначе при завершении её регистрации или редактировании в СЗИ НСД появится предупреждение об ошибке. Это правило распространяется для вновь создаваемых учетных записей пользователей.
Удаление пользователей
Для удаления пользователя из системы защиты вне зависимости от того, какими средствами он создан или зарегистрирован в самой системе защиты, необходимо выделить его имя в списке главного окна программы, нажать кнопку «Удалить» или выбрать соответствующее действие из контекстного меню. Подтвердить операцию. Учетная запись будет удалена и из системы защиты и из операционной системы.
Следует отметить, что при удалении самой системы защиты Dallas Lock 8.0 с компьютера, учетные записи пользователей, созданные средствами системы защиты через оболочку администратора, остаются в операционной системе, как и учетные записи, созданные в ОС и зарегистрированные в системе защиты.
Вход на защищенный компьютер
При загрузке компьютера, защищенного системой защиты Dallas Lock 8.0, в зависимости от операционной системы, появляется экран приветствия (приглашение на вход в систему).
Для входа на защищенный системой защиты Dallas Lock 8.0 компьютер каждому пользователю предлагается выполнить следующую последовательность шагов:
1. Заполнить поле имени пользователя, под которым он зарегистрирован в системе. В зависимости от настроек системы защиты в этом поле может оставаться имя пользователя, выполнившего вход последним.
2. Заполнить поле имени домена. Если пользователь доменный, то указывается имя домена, если пользователь локальный, то в этом поле оставляется имя компьютера или оставляется пустое значение.
3. Если пользователю назначен аппаратный идентификатор, то его необходимо предъявить.
4. Ввести пароль. При вводе пароля, поле для ввода является текстовым. Однако на экране вместо символа, соответствующего каждой нажатой клавише, появляется символ «●» (точка).
5. При вводе пароля следует помнить, что строчные и прописные буквы различаются. Допущенные ошибки при вводе исправляются так же, как и при заполнении текстового поля.
6. Нажать кнопку «Enter».
После нажатия кнопки «Enter» в системе защиты сначала проверяется возможность входа пользователя с данным именем и доменом, после чего проверяется соответствие с именем пользователя номера аппаратного идентификатора, зарегистрированного в системе защиты, и правильность указанного пользователем пароля. В случае успеха проверки, пользователю разрешается вход в систему, иначе вход в систему пользователю запрещается. Во время первого входа на ПК после установки или обновления Dallas Lock 8.0 в области уведомлений Windows будет появляться сообщение о том, что ПК защищен Dallas Lock 8.0.