Руководство по установке Аккорд-Win64 K
АННОТАЦИЯ
Установка специального программного обеспечения средств защиты информации от несанкционированного доступа (СПО СЗИ НСД) «Аккорд-Win64 K» (ТУ 509000-055-11443195-2013) (далее по тексту – СПО «Аккорд-Win32 K», «Аккорд-Win32 K», СПО «Аккорд», «Аккорд») и его настройка с учетом особенностей политики информационной безопасности, принятой на объекте информатизации, осуществляется, как правило, специалистами по защите информации организации (предприятия, фирмы и т.д.) в соответствии с требованиями эксплуатационной документации на СПО «Аккорд».
В документе приведен порядок установки СПО «Аккорд».
Перед установкой и эксплуатацией СПО «Аккорд» необходимо внимательно ознакомиться с комплектом эксплуатационной документации, а также принять необходимые защитные организационные меры, рекомендуемые в документации.
Применение защитных мер СПО «Аккорд» должно дополняться общими мерами технической безопасности.
Источник
Руководство по установке контроллеров Аккорд-АМДЗ
АННОТАЦИЯ
Настоящий документ является руководством по установке комплекса средств защиты информации от НСД – аппаратного модуля доверенной загрузки – «Аккорд-АМДЗ» (ТУ 4012-006-11443195-97, ТУ 4012-006-11443195-2005, ТУ 4012-038-11443195-2011, ТУ 4012-054-11443195-2013, ТУ 26.20.40.140-079-37222406-2019), далее по тексту «Аккорд-АМДЗ», и предназначен для лиц, планирующих и организующих защиту информации с их использованием в системах и средствах информатизации на базе ПЭВМ.
В документе приведены основные функции и особенности настройки комплекса СЗИ НСД «Аккорд-АМДЗ», работающего на основе контроллеров:
– Аккорд-5МХ, Аккорд-5.5, Аккорд-5.5.е, Аккорд-5.5МР, Аккорд-5.5МЕ, Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-006-11443195-97);
– Аккорд-5.5, Аккорд-5.5е, Аккорд-5.5МР, Аккорд-5.5МЕ (для СЗИ НСД «Аккорд-АМДЗ» версии 3.2, выпускаемого по ТУ 4012-006-11443195-2005);
– Аккорд-5.5(e), Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-038-11443195-2011);
– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-054-11443195-2013);
– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM, Аккорд-GXМ2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемых по ТУ 26.20.40.140-079-37222406-2019).
Перед установкой и эксплуатацией комплекса СЗИ НСД «Аккорд-АМДЗ» необходимо внимательно ознакомиться с комплектом эксплуатационной документации на комплекс, а также принять необходимые защитные организационные меры, рекомендуемые в документации.
Применение защитных средств комплекса должно дополняться общими мерами технической безопасности.
СОДЕРЖАНИЕ
1. ОБЩИЕ СВЕДЕНИЯ О КОМПЛЕКСЕ
1.1. Назначение СЗИ НСД «Аккорд-АМДЗ»
1.2. Состав комплекса
1.2.1. Общие сведения о составе комплекса
1.2.2. Контроллеры «Аккорд»
1.3. Поддерживаемые устройства
1.3.1. Идентификаторы
1.3.2. Съемники информации
2. УСТАНОВКА КОМПЛЕКСА «АККОРД-АМДЗ»
2.1. Порядок установки и настройки
2.2. Установка платы контроллера
2.3. Подсоединение контактного устройства (съемника информации)
2.4. Установка параметров учетной записи «Гл. Администратор»
3. ОБНОВЛЕНИЕ ВСТРОЕННОГО ПО КОНТРОЛЛЕРОВ
4. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД»
5. РАБОТА КОМПЛЕКСА «АККОРД-АМДЗ» В СОСТАВЕ ПАК СЗИ НСД «АККОРД»
5.1. Общие сведения
5.2. Установка драйвера для «Аккорд-АМДЗ»
5.3. Установка и настройка СПО
6. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД-АМДЗ»
7. ТЕХНИЧЕСКАЯ ПОДДЕРЖКА
ПРИЛОЖЕНИЕ А. Трудности при установке комплекса и методы их преодоления
Источник
Руководство по установке
АННОТАЦИЯ
Настоящий документ является руководством по установке программно-аппаратного комплекса СЗИ НСД «Аккорд-В.» v.1.3 (далее по тексту – ПАК «Аккорд-В.», либо «Аккорд-В.»), предназначенного для защиты инфраструктуры виртуализации на основе VMware vSphere 5.0, VMware vSphere 5.1, VMware vSphere 5.5, VMware vSphere 6.0, VMware vSphere 6.5.
Документ предназначен для администраторов – должностных лиц, обладающих знаниями и полномочиями достаточными для того, чтобы настраивать и управлять инфраструктурой виртуализации VMware vSphere.
В документе приведены особенности установки и настройки программно-аппаратного комплекса «Аккорд-В.».
Перед установкой и эксплуатацией ПАК «Аккорд-В.» рекомендуется внимательно ознакомиться с настоящим руководством.
Применение ПАК «Аккорд-В.» должно дополняться общими мерами предосторожности и физической безопасности.
СОДЕРЖАНИЕ
1. Общие сведения
1.1. Назначение комплекса
1.2. Состав ПАК «Аккорд-В.»
1.2.1. Аппаратные средства
1.2.2. Программные средства
1.3. Технические условия применения комплекса
2. Начало работы
2.1. Типовые варианты построения инфраструктуры виртуализации
2.2. Расположение сервиса регистрации событий
2.3. Пример развертываемой инфраструктуры
2.4. Особенности установки ESXi
3. Установка и настройка компонентов комплекса
3.1. Схема развертывания комплекса
3.2. Порядок установки и настройки ПАК «Аккорд-В.»
3.3. Установка и настройка аппаратной части комплекса
3.4. Установка и настройка ПО ПАК «ПИ ШИПКА» на физических АРМ (vCenter / АРМ АБИ) и ВМ
3.5. Установка и настройка СПО разграничения доступа на физических АРМ (vCenter / АРМ АБИ) и ВМ
3.5.1. Общие сведения
3.5.2. Разделение ролей администраторов, создание и настройка их учетных записей на vCenter
3.6. Установка и настройка ПО управления комплексом – модулей «Аккорд-В.»
3.6.1. Начало процедуры установки
3.6.2. Установка модулей «Аккорд-В.»
3.6.3. Установка агентов «Аккорд-В.» на ESXi
3.6.4. Установка и настройка сервиса регистрации событий
3.6.5. Предъявление лицензии на работу с ПО управления комплексом
3.7. Работа с утилитой управления комплексом «Accord-V.»
3.7.1. Авторизация АБИ в системе
3.7.2. Настройка доверенной загрузки виртуальной машины с vCenter
3.7.3. Настройка доверенной загрузки ВМ
3.7.4. Особенности настройки доверенной загрузки ВМ при работе с Citrix XenDesktop
3.8. Настройка разграничения доступа на совмещенном АРМ АБИ/АВИ
4. Создание резервных копий
5. Включение режима ESXi Lockdown Mode
6. Порядок действий при обновлении гипервизора с установленным комплексом «Аккорд-В.»
7. Интеграция ПАК «Аккорд-В.» с IBM Security QRadar
8. Удаление ПО ПАК «Аккорд-В.»
9. Лицензирование
10. Сервисные команды
11. Техническая поддержка и информация о комплексе
Источник
Аккорд АМДЗ РУКОВОДСТВО ПО УСТАНОВКЕ. Программно-аппаратный комплекс средств защиты. (Аппаратный модуль доверенной загрузки)
1 ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ УТВЕРЖДЕН ЛУ Программно-аппаратный комплекс средств защиты информации от НСД для ПЭВМ (PC) Аккорд АМДЗ (Аппаратный модуль доверенной загрузки) РУКОВОДСТВО ПО УСТАНОВКЕ Литера О 1
2 СОДЕРЖАНИЕ Руководство по установке 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО 3 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД- АМДЗ» Назначение элементов и разъемов на плате контроллера Подсоединение контактного устройства (съемника информации) Установка контроллера в свободный слот материнской платы ПЭВМ Ошибка! Закладка не определена Назначение ТМ-идентификатора администратора безопасности информации (АБИ) 5 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД» УСТАНОВКА ПО РАЗГРАНИЧЕНИЯ ДОСТУПА НА ЖЕСТКИЙ ДИСК. 8 2
3 Установка программно-аппаратного комплекса СЗИ НСД «Аккорд-АМДЗ» включает три основных этапа: 1. Установку платы контроллера в свободный слот ПЭВМ и регистрацию администратора БИ (супервизора), в том числе, настройку комплекса в соответствии с конфигурацией технических средств ПЭВМ. 2. Регистрацию пользователей, назначение пользователям личных ТМ-идентификаторов, паролей и времени доступа. 3. Назначения списка дисков, файлов, разделов реестра, контролируемых на целостность. Перед началом установки комплекса «Аккорд-АМДЗ» рекомендуется подробно ознакомиться с эксплуатационной документацией, прежде всего с «Описанием применения» ( ) и настоящим руководством. 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО В настоящее время технические средства комплекса защиты от НСД «Аккорд-АМДЗ» для установки в слот шины mini-pci-express выпускаются на базе контроллера «Аккорд-5.5 mini-pcie». Эта модификация комплекса: — может использоваться на ПЭВМ с процессором Intel Pentium I и выше, объемом RAM 8 Мбайт и более; — требует для установки свободный слот mini-pci-express; — использует для идентификации персональные идентификаторы DS DS 1996 с объемом памяти до 64 Кбит; — использует для аутентификации пароль до 12 символов; — блокирует загрузку с отчуждаемых носителей (FDD, CD ROM, ZIP, и др.); — предусматривает регистрацию до 126 пользователей в энергонезависимой памяти; — имеет аппаратный датчик случайных чисел (ДСЧ); — обеспечивает контроль целостности программ и данных. Для эффективного применения комплекса и поддержания необходимого уровня защищенности ПЭВМ и информационных ресурсов необходимы: — физическая охрана ПЭВМ и ее средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса; — наличие администратора безопасности информации (АБИ) — пользователя, имеющего особый статус и полномочия. Администратор БИ планирует мероприятия по защите информации, определяет права доступа пользователей в соответствии с утвержденным Планом защиты, организует установку комплекса в ПЭВМ, и эксплуатацию защищенной ПЭВМ, ведет учет выданных ТМ-идентификаторов, осуществляет периодическое тестирование комплекса; — использование в ПЭВМ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в ГСЗИ. Контроллер «АККОРД-5.5 mini-pcie», входящий в состав комплекса, имеет два режима доступа к аппаратным ресурсам платы контроллера. Режим 0 (стандартный): доступ к области кода расширения BIOS только по чтению. Режим 1 (специальный, или технологический), в котором при старте компьютера код не исполняется, а области, защищенные при работе контроллера в режиме 0, становятся доступны по чтению/записи. Переход из стандартного режима в специальный (технологический) требует перевода переключателя в крайнее верхнее положение (см. Рис.1 — вид на плату со стороны установочных элементов, шинный разъем внизу). В технологическом режиме возможна перезапись внутреннего ПО контроллера без изменения аппаратной части и очистка базы данных пользователей, например, при утере ТМ-идентификатора администратора. Запись программного кода в BIOS контроллера возможна только при загрузке на компьютере однозадачной ОС. После перепрограммирования контроллера, или очистки базы данных необходимо выключить питание 3
4 компьютера, извлечь контроллер и вернуть переключатель технологического режима в исходное (крайнее нижнее) положение. Штатные операции изменения режима работы производятся под контролем службы безопасности. 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД-АМДЗ» В SETUP компьютера параметр «Plug & Play O/S» должен быть установлен в NO. Это обеспечивает корректную инициализацию BIOS контроллера «Аккорд», как PCI устройства. Установка контроллера должна производится только при выключенном питании ПЭВМ! Для установки аппаратной части комплекса необходимо: 1. Отключить питание компьютера. 2. Открыть защитную крышку разъема mini-pci-express и установить в свободный слот контроллер комплекса Назначение элементов и разъемов на плате контроллера. Расположение элементов на плате контроллера «Аккорд-5.5 mini-pcie» показано на рис. 1. Рис. 1. Плата контроллера «Аккорд-5MX mini-pci» После установки в компьютер контроллер Аккорд-5.5 mini-pcie при старте автоматически определяет свободное адресное пространство и выбирает начальный адрес для размещения расширения BIOS в адресном пространстве. Это обеспечивает стабильную работу комплекса на большинстве ПЭВМ, однако возможны конфликты с устройствами, у которых некорректно отрабатывается функция PnP. 4
5 2.2. Подсоединение контактного устройства (съемника информации) Установка съемника информации должна производиться только при выключенной ПЭВМ! Контактное устройство (съемник информации) предназначено для обеспечения взаимодействия контроллера комплекса СЗИ НСД с персональным идентификатором пользователя (TM идентификатор). Контроллер Аккорд-5MX mini-pcie имеет двухконтактный разъем (на схеме обозначен как «Разъем подключения ТМ-идентификатора»), через который можно вывести провода на внешнее контактное устройство. Возможен вариант, когда эти провода коммутируются на разъем RJ11, например, разъем подключения модема. В этом случае к разъему RJ11 подключается штатный внешний съёмник из состава комплекса. Варианты подключения определяются конструктивными особенностями конкретного компьютера Назначение ТМ-идентификатора администратора безопасности информации (АБИ) После установки контроллера включить питание компьютера. В процессе загрузки управление передается контроллеру «Аккорд» и выполняется начальная инициализация. Определяется состав аппаратных средств ПЭВМ и данные заносятся в энергонезависимую память контроллера. Далее производится форматирование базы данных пользователей и внутреннего журнала. После завершения инициализации на экран выводится стартовое меню, в котором доступны для выбора только пункты «Администрирование». В Н И М А Н И Е! При помощи программы администратора, записанной в энергонезависимой памяти контроллера, обязательно зарегистрировать главного администратора БИ и назначить ему ТМидентификатор (особо обратите внимание на процесс генерации секретного ключа пользователя если ТМ-идентификатор регистрируется впервые, то следует сгенерировать новый секретный ключ, если ТМ-идентификатор уже зарегистрирован на другом комплексе «Аккорд», то следует выбрать опцию «уже записан в ТМ»). Если все действия произведены правильно, то после выхода из программы администрирования по клавише выполняется процедура идентификации/аутентификации и становятся доступными для выбора остальные пункты стартового меню администратора. Если этого не происходит, то вернитесь в режим администрирования и проведите регистрацию администратора (супервизора) более внимательно в соответствии с «Руководством администратора». Будьте внимательны и тщательно изучите документацию на комплекс (в частности «Руководство администратора»). Перезагрузите компьютер и убедитесь в том, что в процессе загрузки появляется сообщение на синем фоне: «Прислоните TM-идентификатор. » и после прикосновения TM-идентификатором Гл. администратора к съемнику информации происходит загрузка ПЭВМ и выводится стартовое меню администратора. В дальнейшем с помощью программы администратора (в стартовом меню выбрать пункт «Администрирование») можно регистрировать новых пользователей, менять состав контролируемых объектов и работать с журналом регистрации событий. Комплекс «Аккорд-АМДЗ» установлен! 5
6 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ. При старте компьютера управление не передается контроллеру «Аккорд» Жесткий диск не размечен и не отформатирован, т.е. не имеет ни одного логического раздела. Причина: Если на жестком диске нет загрузочной записи (MBR) и не установлен ни один сменный загрузочный диск, то нет и возможности перехватить загрузку при старте контроллера «Аккорда». Разметить диск и отформатировать его в одной из файловых систем, которые поддерживает СЗИ «Аккорд», вставить любой загрузочный диск. Контроллер находится в технологическом режиме. В этом случае не выполняется старт программы микропроцессора на плате контроллера и загрузка не перехватывается. Перевести контроллер в рабочий режим. Нет реакции на прикосновение ТМ-идентификатором к контактному устройству (съемнику). Причина: Кабель контактного устройства подключен неверно. 1. Выключить компьютер. 2. Поменять полярность подключения проводов к контактному устройству, которое связано с разъемом на плате контроллера. При попытке стереть в контроллере Аккорд-5.5 mini-pcie базу данных пользователей (контроллер в технологическом режиме) выдается сообщение: Контроллер неисправен либо не установлен. Программа очистки базы данных пользователей запускается из многозадачной ОС(Windows 95/98, Windows NT/2000/XP) В многозадачной ОС каждой программе или процессу выделяется виртуальная память, а программа очистки БД пользователей работает с платой контроллера по физическому адресу. загрузить на компьютере со сменного носителя MS DOS или Windows 95/98 в режиме Command prompt only. Очистить базу данных пользователей. Версия программы очистки БД не соответствует версии контроллера. Причина: Для каждой версии контроллера используется своя программа очистки БД пользователей. Контроллеру Аккорд-5.5 mini-pcie соответствует программа IP55.EXE. используйте программу, соответствующую типу контроллера. Контроллер работает нормально, но после выполнения процедур идентификации/аутентификации и контроля целостности загрузка ОС не выполняется (в левом верхнем углу темного экрана мигает курсор). Компьютер заражен загрузочным вирусом. Комплекс «Аккорд АМДЗ» аппаратно берет на себя процесс загрузки ПЭВМ. Если все процедуры контроля и идентификации пользователя выполнены правильно, то загрузка передается стандартному загрузчику ОС по определенному адресу. Компьютерные вирусы, которые располагаются в загрузочной области жесткого диска, обычно помещают себя в область 6
Источник