Назначение и возможности СЗИ
Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде WINDOWS 2000, WINDOWS ХР. Система «Dallas Lock 7.0» [4] представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов.
СЗИ НСД Dallas Lock 7.0 обеспечивает:
- защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход;
- разграничение полномочий пользователей по доступу к ресурсам файловой системы.
Система Dallas Lock 7.0 предоставляет возможности, описанные ниже.
Система запрещает посторонним лицам доступ к ресурсам компьютера и позволяет разграничить полномочия пользователей при работе на компьютере.
В качестве средства опознавания пользователей служат индивидуальные пароли пользователей и электронные идентификаторы Touch Memory фирмы “Dallas Semiconductor Inc.” (США).
Запрос пароля при входе на ПЭВМ инициируется до загрузки операционной системы. Загрузка операционной системы с жесткого диска осуществляется только после ввода личного пароля.
Число зарегистрированных пользователей на каждом защищенном компьютере ограничивается размером свободного дискового пространства и может достигать максимального значения 8192. Один пользователь может быть зарегистрирован на нескольких ПЭВМ с разными полномочиями.
Возможна блокировка клавиатуры на время загрузки компьютера. Это позволяет избежать пошагового выполнения файлов CONFIG.SYS и AUTOEXEC.BAT или вообще отмену их выполнения.
Возможно ограничение круга доступных объектов (дисков, папок и файлов) компьютера. Используются два принципа контроля доступа:
- мандатный - каждому пользователю присваивается уровень доступа. Пользователь будет иметь доступ к определенному кругу объектов, определяемому этим уровнем Все объекты (диски, папки, файлы компьютера) в системе защиты могут быть отнесены к одной из трех категорий конфиденциальности, определяемых уровнем секретности: совершенно секретные данные; секретные данные; открытые данные.
- дискреционный - обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списком пользователей, создаваемым для каждого объекта файловой системы. В соответствии с содержимым списка определяются права на доступ к объекту для каждого пользователя (открытие, запись, чтение, удаление, переименование, запуск, копирование).
В СЗИ обеспечивается ограничение доступа пользователей к компьютеру по дате. Возможно назначить пользователю дату начала и окончания работы на защищенном компьютере. Обеспечивается ограничение доступа пользователей к компьютеру по времени. Время начала и окончания работы каждого пользователя на компьютере устанавливается в пределах суток. Может быть установлен круглосуточный режим работы. Таймер компьютера может быть защищен от вмешательства пользователей.
СЗИ Dallas Lock 7.0. включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных. Эта подсистема позволяет: очищать освобождаемое дисковое пространство, очищать освобождаемую память, очищать файл подкачки виртуальной памяти.
В электронных журналах СЗИ фиксируются действия пользователей по работе на компьютере, в том числе в отдельном журнале фиксируются обращения пользователей к локальному и сетевым принтерам. В журнале входов фиксируются все события по входу на защищенный компьютер, в том числе все попытки несанкционированного входа: (попытка входа незарегистрированного пользователя, неправильный ввод пароля, попытка входа в неразрешенное время и др.).
Пользователи могут самостоятельно менять личные пароли для входа на компьютер. Для усиления защиты информации на компьютере может быть включен режим принудительной смены пароля входа. Пользователь будет вынужден сменить пароль входа после загрузки компьютера. Возможно запретить пользователю самостоятельно менять пароль входа.
Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрены модули для преобразования в «прозрачном» режиме. Данные могут преобразовываться с использованием нескольких алгоритмов - по выбору пользователя. Информация преобразовывается при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя.
Модули контроля целостности объектов компьютера обеспечивают:
- контроль целостности BIOS;
- контроль целостности Boot сектора;
- контроль целостности CMOS-памяти компьютера;
- контроль целостности MBR;
- контроль целостности файлов и папок при загрузке компьютера;
- контроль целостности файлов при доступе;
- блокировку загрузки компьютера при выявлении изменений;
- блокировку запуска программ при выявлении изменений.
Разграничение доступа к периферийным устройствам обеспечивается путем управления доступом к последовательным (COM), параллельным (LPT) портам компьютера и к USB-шине.
Система позволяет осуществлять удаленное администрирование.
Установка и удаление системы защиты.
Для размещения файлов и работы Dallas Lock 7.0 требуется не менее 10 Мбайт пространства на системном разделе жесткого диска и не менее 7 Мбайт не распределенного (unpartitioned) пространства на загрузочном жестком диске. Если не распределенное пространство отсутствует, то для его создания воспользуйтесь программой, например, «Partition magic» позволяющей его (пространство) выделить.
При наличии на компьютере нескольких дисков операционная система и СЗИ должны быть установлены на диск С:. Не допускается инсталляция СЗИ в каталоги, содержащие в имени русские символы.
Для инсталляции и активации СЗИ необходимо обладать правами администратора.
На время активации и деактивации СЗИ необходимо отключать антивирусную защиту в BIOS компьютера и программные антивирусные средства. Если на Вашем компьютере уже установлена какая-либо система защиты, ее необходимо снять.
Проверьте компьютер на отсутствие вирусов. Рекомендуется произвести дефрагментацию диска. Перед установкой системы защиты выгрузите из памяти все резидентные антивирусы. Закройте все запущенные приложения, рекомендуется отключить кэширование записи для всех дисков.
В комплект поставки СЗИ входят:
- Инсталляционный CD-диск;
- Комплект документации по инсталляции и работе с системой («Описание применения»;«Руководство по эксплуатации»; «Руководство оператора»), а также лицензионное соглашение, регистрационная карточка, формуляр.
- По согласованию с заказчиком могут поставляться считыватель и аппаратные идентификаторы Touch Memory.
Программа инсталляции выполняет все действия, необходимые для установки Системы защиты Dallas Lock 7.0.
После запуска программы установки вам нужно только выполнять действия по подсказкам программы. Имя программы инсталляции: SETUP.EXE. После запуска SETUP.EXE начнется первый этап инсталляции, в ходе которого программа предложит вам выбрать папку для установки, распакует необходимые файлы с установочного диска и, затем, выдаст запрос на запуск активации системы защиты.
Во время второго этапа инсталляции произойдет активация системы защиты. В процессе второго этапа вам необходимо указать:
1) Пароль администратора безопасности. Нужно ввести пароль текущего пользователя операционной системы, (имя текущего пользователя уже отображено в соответствующем поле). Имя и пароль текущего пользователя автоматически становятся именем и паролем супервизора (суперадминистратора) – пользователя, наделенного неограниченными правами по доступу к ресурсам файловой системы и полномочиями на администрирование.
2) Файл с конфигурацией системы защиты. Файл конфигурации - это файл, содержащий настройки системы защиты. По умолчанию предлагается файл с типовыми настройками параметров безопасности, не содержащий зарегистрированных пользователей, кроме супервизора. Но, если на одном из компьютеров уже установлена система защиты, то вы можете сохранить ее настройки в файле конфигурации. При переустановке системы защиты или при ее установке на другой компьютер можно воспользоваться уже существующими настройками, указав соответствующий файл конфигурации.
3) Алгоритм, используемый для прозрачного преобразования жестких дисков.
4) После того, как вы выполнили действия, перечисленные в п.п.1-3, система защиты запрашивает код активации. Для получения кода вам необходимо связаться с фирмой-разработчиком программы и сообщить код запроса активации (буквенно-цифровой набор), который генерируется случайным образом при каждой установке и выводится на экран. В ответ вы получите код активации, который, необходимо ввести в форму, отображенную на экране (рис 4.1).
Рисунок 4.1 Экран ввода кода активации
После того, как вы указали все данные, необходимые для дальнейшей установки, начнется процесс активации, который может занять несколько минут. Затем потребуется перезагрузить компьютер.
Внимание! Код запроса активации генерируется случайным образом в момент установки. Если вы прервете инсталляцию, то при возобновлении процесса установки системы защиты код запроса будет иным. Таким образом, не имеет смысла сообщать код запроса активации, а затем прерывать установку.
Чтобы осуществить удаление системы Dallas Lock 7.0, вы должны обладать соответствующими полномочиями на администрирование СЗИ и одновременно являться администратором операционной системы.
Удаление системы защиты происходит в два этапа.
1) Первый этап – деактивация, программа деактивируется, но файлы не удаляются с диска. После деактивации компьютер автоматически перегружается.
2) Второй этап – деинсталляция, файлы удаляются с диска.
Оба этапа производятся с помощью Мастера Установок.