Вы находитесь на странице: 1из 77

Программно-аппаратный комплекс

“Соболь-PCI”

Руководство администратора

УВАЛ. 00300-26 91
2 Программно-аппаратный комплекс “Соболь-PCI”

© НИП “ИНФОРМЗАЩИТА”, 2003. Все права защищены.


Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия, и на него распространяются все


условия лицензионного соглашения. Без специального письменного разрешения
НИП “ИНФОРМЗАЩИТА” этот документ или его часть в печатном или электронном
виде не могут быть подвергнуты копированию и передаче третьим лицам с
коммерческой целью.
Информация, содержащаяся в этом документе, может быть изменена
разработчиком без специального уведомления, что не является нарушением
обязательств по отношению к пользователю со стороны НИП “ИНФОРМЗАЩИТА”.

Научно-инженерное предприятие
“ИНФОРМЗАЩИТА”

Почтовый адрес: 127018, Москва, а/я 55


Телефон: (7-095) 937-33-85
Факс: (7-095) 219-31-88
e-mail: hotline@infosec.ru
Web: http: // www.infosec.ru
Руководство администратора 3

Оглавление

ВВЕДЕНИЕ.........................................................................................................................5
ГЛАВА 1. ОБЩИЕ СВЕДЕНИЯ ................................................................................6
1.1. Назначение системы Электронный замок ..................................................... 6
1.2. Основные принципы функционирования системы ..................................... 7
1.2.1. Механизм идентификации и аутентификации ............................................................... 7
1.2.2. Подсистема контроля целостности ................................................................................. 8
1.2.3. Подсистема запрета загрузки со съемных носителей.................................................... 9
1.3. Варианты применения системы....................................................................... 9
1.4. Требования к оборудованию и программному обеспечению ................... 10
1.5. Специальные рекомендации по настройке и эксплуатации системы.... 11
ГЛАВА 2. УСТАНОВКА СИСТЕМЫ НА КОМПЬЮТЕР.........................................13
2.1. Установка программного обеспечения......................................................... 13
2.2. Подготовка платы Электронный замок к работе....................................... 15
2.3. Инициализация системы Электронный замок ........................................... 16
2.4. Переключение платы Электронный замок в обычный режим
работы.................................................................................................................. 25
ГЛАВА 3. СНЯТИЕ СИСТЕМЫ...............................................................................26
3.1. Как удалить программное обеспечение........................................................ 26
3.2. Как изъять из компьютера плату Электронный замок ............................ 28
ГЛАВА 4. НАСТРОЙКА И ЭКСПЛУАТАЦИЯ СИСТЕМЫ .....................................29
4.1. Какая информация сообщается администратору при входе.................... 31
4.2. Настройка общих параметров работы системы ......................................... 31
4.3. Управление пользователями .......................................................................... 37
4.3.1. Какая информация сообщается о пользователе ........................................................... 38
4.3.2. Как зарегистрировать пользователя.............................................................................. 40
4.3.3. Как удалить пользователя .............................................................................................. 44
4.3.4. Как принудительно изменить пароль пользователя .................................................... 45
4.3.5. Как изменить информацию о пользователе ................................................................. 46
4.3.5.1. Как сбросить число неудачных попыток входа пользователя в систему ................ 47
4.3.5.2. Как блокировать работу пользователя на компьютере............................................ 48
4.3.5.3. Как разрешить пользователю загрузку со съемных носителей................................. 48
4.3.5.4. Как управлять режимом работы подсистемы контроля целостности.................. 49
4.4. Изменение пароля администратора .............................................................. 49
4.5. Настройка подсистемы контроля целостности........................................... 53
4.5.1. Как сформировать шаблоны заданий на контроль целостности................................ 53
4.5.1.1. Как определить перечень проверяемых файлов........................................................... 55
4.5.1.2. Как определить перечень проверяемых секторов жесткого диска.......................... 57
4.5.2. Как рассчитать эталонные значения контрольных сумм ............................................ 59
4.5.2.1. Расчет контрольных сумм в режиме совместного использования .......................... 59
4.5.2.2. Расчет контрольных сумм средствами Электронного замка................................... 60
4.6. Просмотр записей системного журнала........................................................ 62
4 Программно-аппаратный комплекс “Соболь-PCI”

ПРИЛОЖЕНИЕ A. НАСТРОЙКА ПАРАМЕТРОВ РАБОТЫ ПЛАТЫ


ЭЛЕКТРОННЫЙ ЗАМОК .............................................................. 66
A.1. Как установить режим работы платы........................................................... 66
A.2. Как подключить считыватель........................................................................ 66
A.3. Как подключить интерфейсные кабели подсистемы запрета
загрузки со съемных носителей ...................................................................... 67
ПРИЛОЖЕНИЕ B. СООБЩЕНИЯ ЭЛЕКТРОННОГО ЗАМКА.................................... 68
B.1. Сообщения о событиях, приводящих к блокировке компьютера ........... 68
B.2. Информационные сообщения ......................................................................... 72
B.3. Сообщения подсистемы контроля целостности .......................................... 75
Руководство администратора 5

Введение

Данное руководство предназначено для администратора системы защиты


Программно-аппаратный комплекс “Соболь-PCI” (далее по тексту - Электронный
замок). В нем содержатся сведения, необходимые администратору для установки
системы защиты на компьютер, а также для настройки и эксплуатации системы
Электронный замок. Сведения, необходимые пользователю для работы с системой
защиты, содержатся в документе “Программно-аппаратный комплекс “Соболь-
PCI”. Руководство пользователя”.
6 Программно-аппаратный комплекс “Соболь-PCI”

ГЛАВА 1. Общие сведения

1.1. Назначение системы Электронный замок


Система Электронный замок предназначена для организации защиты
компьютера от входа посторонних пользователей. Под посторонними
пользователями понимаются все лица, не зарегистрированные в системе
Электронный замок как пользователи данного компьютера.
Система Электронный замок обеспечивает:
• регистрацию пользователей компьютера и назначение им персональных
идентификаторов и паролей для входа в систему;
• запрос персонального идентификатора и пароля пользователя при загрузке
компьютера;
• возможность блокирования входа в систему зарегистрированного
пользователя;
• ведение системного журнала, в котором регистрируются события, имеющие
отношение к безопасности системы;
• контроль целостности файлов на жестком диске;
• контроль целостности физических секторов жесткого диска;
• аппаратную защиту от несанкционированной загрузки операционной системы
с гибкого диска и CD-ROM;
• возможность совместной работы с системами защиты семейства Secret Net и
АПК Континент-К.
Система Электронный замок может использоваться в качестве средства защиты
от НСД к техническим, программным и информационным ресурсам ПЭВМ,
обрабатывающих конфиденциальную информацию, не содержащую сведений,
составляющих государственную тайну, при условии соблюдения требований,
изложенных в разделах 9.3-9.5 документа "Программно-аппаратный комплекс
"Соболь-PCI". Паспорт" УВАЛ. 00300-26 ПС, и в разделах 1.4, 1.5 настоящего
документа.
Система Электронный замок может использоваться в качестве средства защиты
от НСД к техническим, программным и информационным ресурсам ПЭВМ,
обрабатывающих информацию, содержащую сведения, составляющие
государственную тайну, при условии проведения проверки требований, изложенных
в разделах 9.3-9.5 документа "Программно-аппаратный комплекс "Соболь-PCI".
Паспорт" УВАЛ. 00300-26 ПС, и в разделах 1.4, 1.5 настоящего документа,
специализированной организацией с последующей экспертизой в в/ч 43753. ПЭВМ с
установленным Комплексом должна удовлетворять требованиям, изложенным в
документе "Специальные требования и рекомендации по защите информации,
составляющей государственную тайну, от утечки по техническим каналам",
утвержденном решением Гостехкомиссии России № 55 от 23.05.97 для объекта
соответствующей категории.
Руководство администратора 7

1.2. Основные принципы функционирования системы


Действие системы Электронный замок состоит в проверке полномочий
пользователя на вход при попытке входа в систему. При предъявлении необходимых
полномочий (персонального идентификатора и пароля) пользователь получает право
работать на компьютере. В отсутствии требуемых полномочий вход в систему
данного пользователя запрещается.
Пользователь наделяется полномочиями, необходимыми ему для допуска к
работе на компьютере, при его регистрации в системе Электронный замок,
установленной на данном компьютере. Регистрация пользователя осуществляется
администратором и состоит в определении имени регистрируемого пользователя,
присвоении ему персонального идентификатора и назначении пароля. Наличие
персонального идентификатора и пароля определяет право пользователя на вход в
систему и работу на компьютере.
Система Электронный замок включает в свой состав следующие средства
защиты компьютера:
• механизм идентификации и аутентификации пользователей, обеспечивающий
проверку полномочий пользователя на вход при попытке входа в систему;
• подсистему контроля целостности, обеспечивающую контроль целостности
файлов на жестком диске и физических секторов жесткого диска;
• подсистему запрета загрузки со съемных носителей, обеспечивающую запрет
загрузки операционной системы с гибкого диска и CD-ROM.

1.2.1. Механизм идентификации и аутентификации


Идентификация (распознавание) и аутентификация (проверка подлинности)
осуществляется при каждом входе пользователя в систему. При загрузке компьютера
система Электронный замок запрашивает у пользователя его персональный
идентификатор и пароль. Осуществляется проверка наличия в системе
зарегистрированного пользователя, которому принадлежит предъявленный при
входе персональный идентификатор. Если предъявлен персональный
идентификатор, не зарегистрированный в системе (не принадлежащий ни одному
пользователю компьютера):
• вход пользователя в систему запрещается;
• в системном журнале регистрируется попытка несанкционированного
доступа к компьютеру.
Аутентификация пользователя осуществляется после его идентификации для
подтверждения права использовать предъявленный персональный идентификатор
для входа в систему. При аутентификации пользователя осуществляется проверка
правильности указанного им пароля. В системе Электронный замок поддерживается
работа с паролями длиной до 16 символов. Вводимый пароль не отображается на
экране компьютера. Если пароль указан неверно (не соответствует предъявленному
идентификатору):
• вход пользователя в систему запрещается;
• в системном журнале регистрируется попытка несанкционированного
доступа к компьютеру;
• счетчик числа неудачных попыток входа данного пользователя в систему
увеличивается на единицу.
8 Программно-аппаратный комплекс “Соболь-PCI”

В том случае, когда число неудачных попыток входа пользователя в систему


превышает максимально допустимое значение этого параметра, вход данного
пользователя в систему блокируется. Если число неудачных попыток не превышает
максимально допустимое значение, счетчик неверных попыток сбрасывается
(приравнивается нулю) при первом успешном входе пользователя в систему.
Служебная информация о регистрации пользователя (имя, номер присвоенного
персонального идентификатора и т.д.) хранится в ОЗУ платы Электронный замок.
В режиме совместного использования Электронного замка с другими системами
защиты (например, системами семейства Secret Net) управление паролями
администратора и пользователя осуществляется с помощью средств
администрирования той системы защиты, совместно с которой функционирует
Электронный замок.

1.2.2. Подсистема контроля целостности


Подсистема контроля целостности предназначена для контроля целостности
файлов и секторов жесткого диска, с целью убедиться, что эти файлы и сектора не
были модифицированы. Для этого вычисляются некоторые контрольные значения
проверяемых объектов и сравниваются с эталонными значениями, заранее
рассчитанными для каждого из этих объектов. Подсистема включает в себя
следующие компоненты:
• модуль контроля целостности;
• программу формирования шаблонов для контроля целостности;
• задания на контроль целостности.

Рис.1 Подсистема контроля целостности

На Рис.1 представлена схема размещения и взаимодействия компонент,


входящих в состав подсистемы контроля целостности.
Руководство администратора 9

Модуль контроля целостности является программным модулем ROM BIOS


платы Электронный замок. Он обеспечивает расчет эталонных значений
контрольных сумм проверяемых файлов и секторов жесткого диска, сохранение
полученных контрольных сумм в файлах заданий на контроль целостности и
проверку контрольных сумм проверяемых объектов при каждой загрузке
компьютера. Контрольные суммы рассчитываются по алгоритму ГОСТ 28147-89 в
режиме имитовставки. При проверке контрольных сумм файлов и секторов
осуществляет сравнение текущих значений контрольных сумм с эталонными
(заранее вычисленными) значениями контрольных сумм этих объектов, хранящихся
в соответствующих файлах заданий на контроль целостности.
Программа формирования шаблонов для контроля целостности
является дополнительным программным обеспечением, поставляемым вместе с
платой Электронный замок и устанавливаемым на жесткий диск компьютера. Эта
программа позволяет определить перечень файлов и физических секторов жестких
дисков, подлежащих контролю, и создать шаблоны заданий на контроль
целостности, содержащие полный путь к каждому контролируемому файлу и
координаты каждого контролируемого сектора.
Задания на контроль целостности содержат информацию о
местоположении контролируемых файлов на жестком диске (полный путь к ним),
координаты контролируемых секторов, а также значения контрольных сумм для
каждого файла или сектора.

1.2.3. Подсистема запрета загрузки со съемных носителей


Подсистема запрета загрузки с гибкого диска и CD-ROM обеспечивает запрет
загрузки операционной системы с этих съемных носителей для всех пользователей
компьютера, кроме администратора.
Администратор может разрешить отдельным пользователям компьютера
выполнять загрузку операционной системы со съемных носителей.

Запрет загрузки осуществляется путем блокирования доступа к устройству


чтения гибких дисков (НГМД) и устройству чтения CD-ROM при запуске и загрузке
компьютера. После того как загрузка компьютера успешно завершена, доступ к этим
устройствам восстанавливается специальной программой-драйвером, входящей в
состав программного обеспечения системы Электронный замок.

1.3. Варианты применения системы


Возможны следующие варианты применения системы Электронный замок:
• как автономное устройство, обеспечивающее защиту автономного
компьютера, а также рабочей станции или сервера, входящих в состав
локальной вычислительной сети;
• устройство, обеспечивающее защиту автономного компьютера, рабочей
станции сети или сервера в составе систем защиты семейства Secret Net.
• устройство, обеспечивающее защиту от несанкционированного
вмешательства посторонних лиц в работу криптографического шлюза
Аппаратно-программного комплекса “Континент-К”.
10 Программно-аппаратный комплекс “Соболь-PCI”

Также, система Электронный замок может функционировать как с


использованием подсистем контроля целостности и запрета загрузки со съемных
носителей, так и без них. Подсистемы контроля целостности и запрета загрузки со
съемных носителей являются дополнительным компонентом системы защиты и
расширяют возможности системы Электронный замок.

1.4. Требования к оборудованию и программному обеспечению


Система Электронный замок может быть установлена только на компьютеры,
оснащенные процессорами семейства INTEL X86 (или совместимыми с ними),
начиная с процессора i486 и выше.
Система Электронный замок поддерживает работу со следующими
модификациями персональных идентификаторов Touch Memory: DS1992, DS1993,
DS1994, DS1995, DS1996.
Для подключения платы Электронный замок, системная плата компьютера
должна быть оснащена системной шиной PCI, и должен быть в наличии хотя бы
один свободный разъем этой шины.
Не допускается использование системным BIOS режима Shadow Memory для
адресного пространства, в котором будет размещаться расширение BIOS,
содержащееся в ПЗУ платы Электронный замок.
Не допускается использование функции “Quick Boot” в случае применения на
защищаемом компьютере менеджера оперативной памяти QEMM, а также
аналогичных функций, реализованных в других программных пакетах. Если на
компьютере используется менеджер памяти QEMM, при нажатии комбинации
клавиш <Ctrl>+<Alt>+<Del> выполняется перезагрузка компьютера с
использованием функции “Quick Boot” этого менеджера памяти. Особенность
функции “Quick Boot” заключается в порядке проведения перезагрузки, при которой
не выполняются расширения BIOS, в том числе расширение BIOS платы
Электронный замок. Чтобы исключить эту возможность, необходимо добавить
параметр BE:N в команду файла CONFIG.SYS, осуществляющую запуск QEMM386.
Этот параметр отключает функцию быстрой перезагрузки (Quick Boot). Например:
DEVICE=C:\QEMM\QEMM386.SYS RAM BE:N.
Работоспособность системы Электронный замок не зависит от типа
использующейся операционной системы, поэтому она может быть установлена на
компьютеры, работающие под управлением различных операционных систем.
Подсистема контроля целостности позволяет контролировать целостность
файлов и секторов дисков в среде ОС FreeBSD с файловой системой UFS, но
комплект поставки не включает программные компоненты, обеспечивающие
управление шаблонами контроля целостности в среде ОС FreeBSD.
Подсистема контроля целостности и подсистема запрета загрузки со съемных
носителей, являющиеся дополнительными компонентами системы Электронный
замок, включают в свой состав программные компоненты. Успешная работа этих
компонент зависит от операционной системы, установленной на компьютер. В
настоящее время комплект поставки системы Электронный замок включает в свой
состав программные компоненты этих подсистем, функционирующие под
управлением следующих операционных систем:
• операционных систем семейства Windows 9x (Windows 95, OSR2, Windows 98)
с файловой системой FAT12, FAT16 или FAT32;
Руководство администратора 11

• Windows NT версий 3.51 и 4.0 с файловой системой NTFS;


• Windows 2000 с файловой системой NTFS и NTFS5.

При применении контроля целостности запрещается использование на


компьютере любых менеджеров загрузки ОС (boot manager),
обеспечивающих функционирование нескольких систем (например, ОС
Windows 9х и ОС Windows NT при использовании boot manager Windows NT).
Невозможен контроль целостности файлов, преобразованных любыми
другими программами, например, криптографии (BestCrypt и т.п.) или
сжатия дисков (Drivespace и т.п.).
Запрещается подвергать сжатию каталог SOBOL, содержащий служебные
файлы подсистемы контроля целостности.
Применение подсистемы контроля целостности для логических дисков,
являющихся наборами томов Windows NT и Windows 2000 (volume set и stripe
set), не поддерживается.

1.5. Специальные рекомендации по настройке и эксплуатации


системы
Для надежной защиты информации средствами системы Электронный замок
рекомендуется установить следующие значения общих параметров работы системы
(см. П.4.2. на стр.31):
• “Минимальная длина пароля пользователя” - не менее 8 символов.
Кроме того, необходимо использовать случайные равновероятные пароли;
• “Предельное число неудачных входов пользователя”- не более 10.
Для надежной защиты информации средствами системы Электронный замок
при ее эксплуатации в режиме совместного использования (см. П.4.2. на стр.31;
описание параметра “Плата функционирует в автономном режиме”)
необходимо соблюдать ряд требований. Режим совместного использования
предназначен для управления параметрами Электронного замка из внешних
приложений и разрешает доступ внешних программ к ОЗУ платы Электронный
замок. Наличие специальных требований обусловлено тем, что задания на изменение
параметров Электронного замка помещаются внешними программами в доступную
им область ОЗУ платы Электронный замок. Для защиты заданий от
несанкционированных изменений и подтверждения полномочий управляющей
программы на внесение изменений необходимо:
• исключить возможность влияния используемого в сети программного
обеспечения на правильность функционирования Электронного замка;
• обеспечить невозможность доступа пользователя к конфигурационной и
служебной информации Электронного замка, включая команды и данные
удаленного управления;
• исключить возможность выполнения функций удаленного управления
(администрирования) Электронным замком любыми субъектами за
исключением администратора Электронного замка;
• при передаче по каналам связи обеспечить целостность команд и данных
удаленного управления с характеристиками не хуже, чем характеристики
функции Электронного замка по контролю целостности программной среды.
Возможность навязывания ложных команд и данных должна быть исключена;
12 Программно-аппаратный комплекс “Соболь-PCI”

• при передаче по каналам связи обеспечить конфиденциальность команд и


данных удаленного управления с характеристиками не хуже, чем
характеристики функции Электронного замка по защите образцов для
проведения идентификации/аутентификации пользователей.
Выполнение перечисленных требований должно проверяться при проведении
исследований работы Электронного замка совместно с программными средствами
защиты информации.
С целью исключения возможности модификации защищенной памяти
Электронного замка в режиме совместного использования рекомендуется
запретить всем пользователям загружать операционную систему с гибкого
диска и CD-ROM диска. Убедитесь, что для каждого пользователя в диалоге
“Редактирование информации пользователя” в строке “Разрешить
загрузку с дискет” установлено значение “Нет” (см. П.4.3.5.3. на стр.48).
Руководство администратора 13

ГЛАВА 2. Установка системы на компьютер

Установка системы Электронный замок на компьютер осуществляется в


следующем порядке:
• выполняется установка программного обеспечения (см. П.2.1. на стр.13);
• плата Электронный замок переключается в режим инициализации и
помещается в свободный разъем системной шины PCI компьютера (см. П.2.2.
на стр.15);
• выполняется процедура инициализации системы Электронный замок (см.
П.2.3. на стр.16);
• плата Электронный замок переключается в режим обычной работы и
помещается в компьютер (см. П.2.4. на стр.25). При этом (если необходимо)
интерфейсные кабели, обеспечивающие работу подсистемы запрета загрузки
со съемных носителей, подключаются к устройствам чтения гибких дисков и
CD-ROM и к плате Электронный замок;
• при необходимости настраивается подсистема контроля целостности (см.
П.4.5. на стр.53).

Установку системы должен осуществлять специально подготовленный


пользователь, который в дальнейшем будет выполнять функции
администратора системы Электронный замок.

2.1. Установка программного обеспечения


Программное обеспечение системы Электронный замок устанавливается до
установки в компьютер платы Электронного замка.
Поместите в считывающее устройство установочную дискету или компакт-диск
(в зависимости от комплекта поставки) и запустите на исполнение файл SETUP.EXE,
находящийся на этом носителе. Выполнить запуск программы установки можно,
например, с помощью программы Проводник (Explorer). Программа выполнит
подготовку к установке.
На экране появится предупреждение об отсутствии платы Электронный замок
в компьютере. Нажмите клавишу <Enter> и продолжите установку.

При продолжении установки на экране появится стартовый диалог программы


установки. Ознакомьтесь с информацией, содержащейся в этом диалоге. Нажмите
кнопку для продолжения установки. Программа установки начнет
копирование файлов на жесткий диск компьютера, и на экране появится
изображение, подобное приведенному на Рис.2.
Для того чтобы отказаться от установки, нажмите кнопку и
подтвердите отказ от установки, нажав кнопку в появившемся на экране
диалоге. В этом случае осуществится возврат в среду Windows. Если же процедуру
установки необходимо продолжить - нажмите кнопку (<Enter>).
14 Программно-аппаратный комплекс “Соболь-PCI”

Рис.2 Копирование файлов

Программа установки создает каталог C:\SOBOL (если он не создан), копирует


файлы программного обеспечения в этот каталог и регистрирует устанавливаемые
компоненты в системном реестре Windows. В том случае, если на установочной
дискете по какой-то причине отсутствует какой-либо из файлов, входящих в
комплект поставки, на экране появится предупреждающее сообщение с указанием
имени отсутствующего файла.
Кроме того, программа установки регистрирует в системе драйвера платы
Электронный замок:
• при установке на компьютер, работающий под управлением операционной
системы семейства Windows 9x, в начало файла CONFIG.SYS добавляется
команда DEVICE=C:\SOBOL\SUNBLOCK.SYS;
• при установке на компьютер, работающий под управлением операционной
системы Windows NT или Windows 2000, в системе регистрируется драйвер
SNELLOCK.SYS.
Драйвера SUNBLOCK.SYS и SNELLOCK.SYS восстанавливают доступ к
устройству чтения гибких дисков (НГМД) и устройству чтения CD-ROM
дисков, заблокированный подсистемой запрета загрузки со съемных
носителей. При использовании подсистемы запрета загрузки без этих
драйверов все пользователи компьютера, кроме администратора и тех
пользователей, для которых установлен “мягкий” режим работы подсистемы
контроля целостности, не смогут работать с данными устройствами.

Затем программа установки формирует шаблоны контроля целостности, при


этом на экран выводится сообщение, представленное на Рис.4.
При установке на компьютер, работающий под управлением операционной
системы семейства Windows 9x, в шаблоны контроля целостности по умолчанию
включаются следующие файлы и сектора:
• из корневого каталога диска C: файлы MSDOS.SYS, IO.SYS, COMMAND.COM;
• все файлы подкаталога SYSTEM из каталога ОС Windows, имеющие
расширения *.SYS, *.DRV, *.VXD;
• сектора - MASTER BOOT RECORD, BOOT SECTOR, PARTITION TABLE.
При установке на компьютер, работающий под управлением операционной
системы Windows NT или Windows 2000, в шаблоны контроля целостности по
умолчанию включаются следующие файлы и сектора:
• из корневого каталога системного диска файлы NTLDR, BOOT.INI,
NTDETECT.COM;
Руководство администратора 15

• все файлы подкаталогов SYSTEM32 и DRIVERS из каталога ОС Windows NT


или Windows 2000, имеющие расширения *.SYS, *.DRV;
• сектора - MASTER BOOT RECORD, BOOT SECTOR, PARTITION TABLE.
Если каталог C:\SOBOL существует и содержит файлы шаблонов контроля
целостности (BOOTFILE.NAM, BOOTFILE.CHK, BOOTSECT.NAM, BOOTSECT.CHK),
имеющие ненулевую длину, программа установки попросит Вас подтвердить
обновление шаблонов контроля целостности, и на экране появится диалог, подобный
представленному на Рис.3.

Рис.3 Подтверждение обновления шаблонов (Windows)

Для обновления шаблонов нажмите кнопку . В этом случае


существующие шаблоны контроля целостности обновляются значениями,
принятыми по умолчанию, т.е. будут содержать файлы и сектора, включаемые в
шаблоны контроля целостности по умолчанию (см. Рис.4). Чтобы отказаться от
обновления, нажмите кнопку , и на экране появится завершающий
диалог программы установки.

Рис.4 Формирование шаблонов контроля целостности

После того как все файлы программного обеспечения успешно скопированы на


жесткий диск компьютера, и все необходимые настройки выполнены, на экране
появится завершающий диалог программы установки. Завершите работу программы,
нажав кнопку или клавишу <Enter>.
В результате установки программного обеспечения в состав меню
будет добавлено подменю ,
содержащее пункт .

2.2. Подготовка платы Электронный замок к работе


Перед установкой платы Электронный замок на компьютер необходимо
переключить ее в режим инициализации, сняв перемычки, установленные на
контактах J0-J1. Эта процедура подробно рассматривается в П.A.1. на стр.66. Если
будет использоваться внутренний считыватель персональных идентификаторов
Touch Memory, подключите его к плате (см. П.A.2 на стр. 66).
16 Программно-аппаратный комплекс “Соболь-PCI”

Запретите использование системной BIOS режима Shadow Memory для


адресного пространства, в котором будет размещаться расширение BIOS
платы Электронный замок. Также рекомендуется закрыть доступ к системной
BIOS паролем.

Установите плату Электронный замок в компьютер. Для этого:


• выключите компьютер (если он включен);
• вскройте корпус компьютера;
• выберите свободный слот системной шины PCI (разъем для плат расширения)
и аккуратно вставьте в него плату Электронный замок;
• закройте корпус компьютера;
• подсоедините штекер внешнего считывателя (если не используется
внутренний считыватель) к разъему платы Электронный замок,
расположенному на задней панели системного блока, и закрепите штекер
крепежными винтами.

2.3. Инициализация системы Электронный замок


После того как плата Электронный замок переведена в режим инициализации и
подключена к компьютеру, включите питание компьютера. На экране появится
изображение, подобное представленному на Рис.5.

Рис.5 Начало инициализации

В нижней строке экрана (называемой Строка сообщений) отображаются


сообщения, выдаваемые системой Электронный замок, а также дополнительная
информация о выполняемом действии.
При загрузке системы Электронный замок в режиме инициализации
выполняется тестирование правильности работы датчика случайных чисел (ДСЧ)
платы Электронный замок. Тестирование ДСЧ заключается в проверке
Руководство администратора 17

равномерности распределения случайных чисел, генерируемых датчиком. При этом


в Строке сообщений отображается соответствующее сообщение (см. Рис.5).
Если тестирование ДСЧ завершено успешно (получен положительный
результат), инициализация системы Электронный замок будет продолжена, и на
экране появится диалог, подобный представленному на Рис.6. Если тестирование
датчика случайных чисел завершилось с ошибкой, в Строке сообщений появится
сообщение об ошибке:
Тест датчика случайных чисел завершился с ошибкой

В этом случае для продолжения работы требуется перезапустить компьютер.


Для этого нажмите любую клавишу. В Строке сообщений появится сообщение:
Для рестарта нажмите любую клавишу…

Нажмите еще раз любую клавишу, и компьютер будет перезагружен. Для


перезапуска компьютера используйте также комбинацию клавиш
<Alt>+<Ctrl>+<Del> или кнопку Reset.

Рис.6 Диалог настройки общих параметров системы

Настройте общие параметры работы системы Электронный замок. Эти


параметры определяют настройки системы, являющиеся общими для всех
пользователей компьютера, и могут быть в дальнейшем изменены (см. П.4.2. на
стр.31).
Параметр “Минимальная длина пароля пользователя” определяет
минимальную длину пароля пользователя в символах (параметр может принимать
значения от 0 до 16; “0” означает - разрешено использовать пустые пароли).
Пользователю нельзя назначить пароль, число символов в котором меньше числа,
заданного этим параметром. Для надежной защиты информации рекомендуется
задавать минимальную длину пароля не менее 8 символов.
Параметр “Предельное число неудачных входов пользователя”
определяет, сколько раз пользователь может допустить ошибку при входе в систему,
указав неверный пароль (параметр может принимать значения от 1 до 65535). Если
число неудачных входов пользователя в систему превысило число, заданное этим
параметром, вход пользователя в систему будет блокирован.
Параметр “Показ статистики пользователю” позволяет разрешить или
запретить вывод на экран при входе пользователя в систему информационного окна,
содержащего сведения о его работе. См. П.1.2. в документе “Программно-
аппаратный комплекс “Соболь-PCI”. Руководство пользователя”.
Параметр “Тестировать ДСЧ для пользователя” позволяет включить или
отключить тестирование правильности работы датчика случайных чисел (ДСЧ)
платы Электронный замок, осуществляющееся при входе пользователей в систему.
18 Программно-аппаратный комплекс “Соболь-PCI”

Нельзя отключить тестирование правильности работы ДСЧ,


осуществляющееся при входе в систему администратора.

Параметр “Контролировать целостность файлов” позволяет включить


или выключить контроль целостности объектов, осуществляющийся при загрузке
пользователем операционной системы.
Этот параметр будет присутствовать в диалоге изменения общих
параметров только в том случае, когда в каталоге C:\SOBOL содержатся
служебные файлы подсистемы контроля целостности (BOOTFILE.CHK,
BOOTFILE.NAM и BOOTSECT.CHK, BOOTSECT.NAM) ненулевой длины.

Для выбора параметра используйте клавиши управления курсором ‘ ’ и ‘ ’.


Чтобы перейти к изменению выбранного параметра (или изменить его), нажмите
клавишу <Enter>. Порядок изменения общих параметров работы системы
Электронный замок подробно рассматривается в П.4.2. на стр.31.
Для выхода из диалога изменения общих параметров и продолжения процедуры
инициализации нажмите клавишу <Esc>. На экране появится изображение,
подобное представленному на Рис.7.

Рис.7 Выбор варианта регистрации администратора

При регистрации администратора системы Электронный замок ему назначается


пароль для входа в систему и присваивается персональный идентификатор.
Служебная информация об администраторе сохраняется в ОЗУ платы Электронный
замок. Также, в персональный идентификатор, присвоенный администратору,
записывается служебная информация о регистрации.
Процедура регистрации может осуществляться в одном из двух вариантов:
• первичная регистрация администратора;
• повторная регистрация администратора.

При первичной регистрации администратора производится инициализация


персонального идентификатора, присваиваемого администратору. В этом случае в
персональный идентификатор записывается служебная информация о регистрации.
Этот вариант используется в том случае, когда данный пользователь не
зарегистрирован ни на одном компьютере как администратор системы Электронный
замок.
Руководство администратора 19

Если пользователь был ранее зарегистрирован как администратор системы


Электронный замок на каком-либо компьютере, ему уже присвоен персональный
идентификатор. Чтобы иметь возможность использовать этот идентификатор на
нескольких компьютерах, оснащенных системой защиты, требуется сохранить
служебную информацию, записанную в персональный идентификатор при
первичной регистрации. В этом случае используйте вариант повторной
регистрации администратора, при котором служебная информация считывается из
персонального идентификатора, но в нее не вносятся изменения.
Если Вы производите инициализацию системы Электронный замок, которая
ранее инициализировалась и находится в эксплуатации, используйте вариант
повторной регистрации.

Чтобы осуществить первичную регистрацию администратора, в меню


“Варианты выбора” выберите с помощью клавиш ‘ ’ или ‘ ’ пункт “Да”. Для
осуществления повторной регистрации - выберите пункт “Нет”. Нажмите
клавишу <Enter> (возврат к предыдущему диалогу - <Esc>).
На экране появится запрос пароля администратора. Если выбран вариант
первичной регистрации, будет запрашиваться новый пароль, как это показано на
Рис.8. При повторной регистрации запрашивается текущий пароль администратора
(старый пароль), как это показано на Рис.9.

Рис.8 Ввод нового пароля администратора

Рис.9 Ввод старого пароля администратора

При определении нового пароля необходимо соблюдать следующие правила:


• пароль может содержать только латинские символы, цифры и служебные
символы, а также не должен содержать символов “пробел”;
• разрешается использовать различные регистры клавиатуры (например, “Dog”
или “dog”); при этом нужно помнить, что заглавные и строчные буквы
воспринимаются как различные (“Dog” и “dog” считаются разными
паролями);
• длина пароля (в символах) не может быть меньше числа, заданного общим
параметром “Минимальная длина пароля пользователя” (см. Рис.6 на
стр.17) и не может превышать 16-ти символов.

Введите с клавиатуры пароль в поле “Введите … пароль :”. Вместо вводимых


символов отображаются символы ‘*’. Чтобы исправить неправильно введенные
символы, используйте клавиши ‘ ’, ‘ ’ и клавиши <BackSpace> или <Delete>.
Завершите ввод, нажав клавишу <Enter> (возврат к предыдущему диалогу - <Esc>).
20 Программно-аппаратный комплекс “Соболь-PCI”

Если значение параметра “Минимальная длина пароля пользователя”


равно “0”, при первичной регистрации администратору можно назначить пустой
пароль. Для этого нажмите клавишу <Enter>, оставив поле ввода пароля
пустым. В этом случае Вы сможете войти в систему без указания пароля -
запрос пароля не появится на экране при входе в систему. См. П.1.1. в документе
“Программно-аппаратный комплекс “Соболь-PCI”. Руководство пользователя”.

В зависимости от выбранного варианта регистрации на экране появится


соответствующий запрос повторного ввода пароля (см. Рис.10 и Рис.11).

Рис.10 Подтверждение нового пароля администратора

Рис.11 Подтверждение старого пароля администратора

Повторно введите тот же пароль в поле “Подтвердите … пароль:” и


нажмите клавишу <Enter> (возврат к запросу пароля - <Esc>). Если при
определении пароля возникли ошибки, в Строке сообщений появится
соответствующее сообщение. В этом случае нажмите любую клавишу и повторите
ввод пароля еще раз.
Если оба значения пароля совпали (и длина нового пароля не меньше заданной
минимальной длины пароля), на экране появится запрос, подобный представленному
на Рис.12.

Рис.12 Запрос персонального идентификатора

Плотно приложите к считывателю персональный идентификатор,


присваиваемый администратору (возврат к запросу пароля - <Esc>). При
неуспешном чтении информации из идентификатора или записи информации в
идентификатор в Строке сообщений появится сообщение об ошибке. В этом
случае повторно приложите идентификатор к считывателю.
Если осуществляется повторная регистрация администратора и служебная
информация успешно прочитана из предъявленного идентификатора, информация о
регистрации администратора сохраняется в ОЗУ платы Электронный замок. Затем
на экране появляется сообщение о завершении инициализации системы защиты,
подобное приведенному на Рис.20 (или диалог, подобный приведенному на Рис.18).
В том случае, если указанный Вами пароль не соответствует предъявленному
идентификатору (пароль был указан неверно или Вы предъявили не принадлежащий
Вам идентификатор), в Строке сообщений появится сообщение:
Неверный персональный идентификатор или пароль
Руководство администратора 21

До тех пор пока идентификатор касается считывателя, это сообщение будет


присутствовать на экране, при изъятии идентификатора из считывателя
осуществится возврат к диалогу выбора варианта регистрации администратора (см.
Рис.7 на стр.18). Повторите процедуру регистрации администратора, правильно
указав старый пароль и предъявив соответствующий идентификатор.
При первичной регистрации администратора производится запись служебной
информации в предъявленный идентификатор. Если персональный идентификатор
регистрировался ранее в системе Электронный замок (на другом компьютере), он
уже содержит служебную информацию. В этом случае на экране появится
предупреждение, подобное представленному на Рис.13. Если же идентификатор не
содержит служебной информации (новый) или в нем нарушена структура данных, на
экране появится сообщение, подобное представленному на Рис.14.

Рис.13 Предупреждение о наличии в идентификаторе служебной


информации

Если Вы уверены в том, что данный персональный идентификатор никем


больше не используется, плотно приложите его к считывателю и подтвердите запись
новой служебной информации, нажав клавишу <Enter>.
Помните, что при записи информации в персональный идентификатор
служебная информация, содержащаяся в памяти идентификатора, будет
полностью утеряна без возможности восстановления. При этом
пользователь, которому принадлежит этот идентификатор, не сможет
больше воспользоваться им для входа в систему.
Для отказа от записи нажмите клавишу <Esc>. При этом на экране вновь
появится запрос персонального идентификатора (см. Рис.12). Повторите процедуру
присвоения идентификатора администратору, предъявив другой персональный
идентификатор.

Рис.14 Запрос на форматирование идентификатора


22 Программно-аппаратный комплекс “Соболь-PCI”

В том случае, если на экране появится сообщение, подобное представленному на


Рис.14, нажмите клавишу <Esc>, чтобы отказаться от форматирования
персонального идентификатора. (При этом на экране вновь появится запрос
персонального идентификатора). Для продолжения процедуры форматирования
нажмите клавишу <Enter>.
При форматировании персонального идентификатора вся информация,
содержащаяся в памяти идентификатора, будет полностью утеряна без
возможности восстановления.
На экране появится сообщение, подобное представленному на Рис.15.

Рис.15 Подтверждение форматирования идентификатора

Если Вы уверены в том, что данный персональный идентификатор необходимо


форматировать, плотно приложите его к считывателю и подтвердите запись новой
служебной информации, нажав клавишу <Enter>.
Для отказа от форматирования нажмите клавишу <Esc>. При этом на экране
появится запрос персонального идентификатора (см. Рис.12). Повторите процедуру
присвоения идентификатора администратору, предъявив другой персональный
идентификатор.
После того как администратору присвоен персональный идентификатор, на
экране появится диалог, подобный представленному на Рис.16.

Рис.16 Создание резервной копии персонального идентификатора


администратора

Администратор может создавать резервные копии своего персонального


идентификатора (для пользователя такая возможность не предусмотрена). При этом
служебная информация, хранящаяся в резервных копиях идентификатора, будет
полностью соответствовать служебной информации, хранящейся в оригинале.
Руководство администратора 23

Созданные резервные копии могут быть использованы администратором для входа в


систему в тех случаях, когда оригинал утерян или испорчен.
Чтобы завершить процедуру инициализации системы без создания резервных
копий персонального идентификатора, выберите (клавишами ‘ ’ или ‘ ’) в меню
“Варианты выбора” пункт “Нет” и нажмите клавишу <Enter>. В этом случае на
экране появляется сообщение о завершении инициализации системы защиты,
подобное приведенному на Рис.20 (или диалог, подобный приведенному на Рис.18).
Для создания резервной копий персонального идентификатора выберите пункт
“Да” и нажмите клавишу <Enter>. На экране появится запрос, подобный
представленному на Рис.17.

Рис.17 Запрос персонального идентификатора

Аккуратно приложите к считывателю персональный идентификатор,


предназначенный для создания резервной копии (возврат к предыдущему диалогу -
<Esc>). При неуспешной записи информации в идентификатор в Строке
сообщений появится сообщение об ошибке. В этом случае повторно приложите
идентификатор к считывателю.
Если персональный идентификатор регистрировался ранее в системе
Электронный замок (на другом компьютере), на экране появится предупреждение,
подобное представленному на Рис.13. Если Вы уверены в том, что данный
персональный идентификатор никем больше не используется, плотно приложите его
к считывателю и нажмите клавишу <Enter>.
Для отказа от записи нажмите клавишу <Esc>, а затем предъявите другой
идентификатор для создания резервной копии.
После записи служебной информации в резервную копию персонального
идентификатора администратора на экране вновь появится диалог, представленный
на Рис.16. При необходимости повторите процедуру создания резервной копии
Вашего персонального идентификатора или откажитесь от создания очередной
резервной копии. В последнем случае на экране появляется сообщение о завершении
инициализации, подобное представленному на Рис.20 (или диалог, подобный
приведенному на Рис.18).
В том случае, если каталог C:\SOBOL содержит служебные файлы подсистемы
контроля целостности (BOOTFILE.CHK, BOOTFILE.NAM и BOOTSECT.CHK,
BOOTSECT.NAM) ненулевой длины, на экране появится диалог, подобный
представленному на Рис.18.
24 Программно-аппаратный комплекс “Соболь-PCI”

Рис.18 Расчет контрольных сумм

Вы можете рассчитать эталонные значения контрольных сумм для объектов


(файлов и секторов), заданных шаблонами контроля целостности до завершения
инициализации системы защиты. Для этого выберите (клавишами ‘ ’ или ‘ ’) в
меню “Варианты выбора” пункт “Да” и нажмите клавишу <Enter>. Начнется
расчет контрольных сумм, при этом на экране будет отображаться процесс расчета
(см. Рис.68 на стр.61). Вы можете прервать это процесс, нажав клавишу <Esc>.
Вы можете произвести расчет эталонных значений контрольных сумм после
завершения процедуры инициализации (см. П.4.5.2. на стр.59).
Чтобы отказаться от немедленного расчета контрольных сумм выберите пункт
“Нет” и нажмите клавишу <Enter>.
Если при расчете контрольных сумм не найден один или несколько файлов,
заданных шаблоном заданий на контроль целостности, по окончании процедуры
расчета на экране появится запрос, подобный представленному на Рис.19.

Рис.19 Подтверждение выключения контроля целостности

Нажмите клавишу <Enter>, чтобы запретить контроль целостности. Если


отключать контроль целостности не требуется, нажмите клавишу <Esc>.
После завершения расчета контрольных сумм на экране появляется сообщение о
завершении инициализации системы защиты (см. Рис.20).

Рис.20 Сообщение о завершении инициализации системы


Руководство администратора 25

Завершив инициализацию системы Электронный замок, выключите питание


компьютера и переключите плату Электронный замок в режим обычной работы.

2.4. Переключение платы Электронный замок в обычный режим


работы
Чтобы переключить плату Электронный замок в обычный режим работы,
выполните следующие действия:
• выключите компьютер (если он включен);
• вскройте корпус компьютера;
• отсоедините штекер внешнего считывателя (если он используется) от разъема
платы Электронный замок, расположенного на задней панели системного
блока, предварительно отвернув крепежные винты;
• аккуратно выньте плату Электронный замок из разъема системной шины PCI;
• установите перемычки на контакты J0-J1 платы (см. П.A.1. на стр.66);
• если Вы предполагаете использовать подсистему запрета загрузки со съемных
носителей, подключите интерфейсные кабели, обеспечивающие работу этой
подсистемы, к устройствам чтения гибких дисков и CD-ROM дисков и к
плате Электронный замок (см. П.A.3. на стр.67);
• аккуратно вставьте плату в разъем системной шины PCI, и закрепите планку
крепления платы крепежным винтом;
• закройте корпус компьютера;
• подсоедините штекер внешнего считывателя (если он используется) к разъему
платы, расположенному на задней панели системного блока, и закрепите
штекер крепежными винтами.
Выполнив все указанные действия, включите компьютер и перейдите к
настройке системы Электронный замок.
26 Программно-аппаратный комплекс “Соболь-PCI”

ГЛАВА 3. Снятие системы

При необходимости система Электронный замок может быть снята с


компьютера. Для полного снятия системы с компьютера необходимо выполнить
следующие действия:
• удалить программное обеспечение системы Электронный замок и выключить
компьютер;
• изъять из компьютера плату Электронный замок.

Удаление программного обеспечения системы Электронный замок с


компьютера может осуществить только администратор системы.
Поэтому прежде чем приступить к удалению, войдите в систему с правами
администратора.
После удаления программного обеспечения обязательно извлеките плату
Электронного замка из компьютера, иначе при каждой загрузке ОС Windows
9x/2000 на экране будет появляться сообщение об обнаружении
неизвестного устройства.

3.1. Как удалить программное обеспечение


Откройте папку . Установите курсор на ярлык
и дважды нажмите левую кнопку мыши. После этого на
экране появится окно, подобное представленному на Рис.21.

Рис.21 Диалог установки и удаления программ Windows


Руководство администратора 27

Если на компьютере установлена ОС Windows 2000, то внешний вид этого


диалога будет отличаться от показанного на Рис.21, но последовательность
действий будет совпадать с описанной ниже.
Диалог “Установка/удаление” содержит список программ, которые могут
быть удалены стандартными средствами Windows. Выберите с помощью мыши из
этого списка элемент “Электронный замок “Соболь”” и нажмите кнопку
(она становится активной, если выбран любой элемент списка). На
экране появится запрос, подобный представленному на Рис.22.

Рис.22 Подтверждение удаления

Для отказа от удаления нажмите кнопку . В этом случае


осуществится возврат в Windows. Чтобы подтвердить удаление выбранного
программного обеспечения, нажмите кнопку . На экране появится окно,
отображающее процесс удаления, подобное приведенному на Рис.23.
Если текущий пользователь системы Электронный замок не обладает
правами администратора, на экране появится соответствующее сообщение.
При этом процедура удаления будет прервана. Нажмите клавишу <Enter>,
чтобы закрыть окно сообщения.

Рис.23 Отображение процесса удаления


28 Программно-аппаратный комплекс “Соболь-PCI”

В процессе удаления осуществляется удаление всех компонент программного


обеспечения и каталога C:\SOBOL, а также соответствующих разделов в системном
реестре Windows. Кроме того, удаляются сведения о загрузке драйверов платы
Электронный замок:
• если компьютер работает под управлением операционной системы семейства
Windows 9x, из файла CONFIG.SYS удаляется команда
DEVICE=C:\SOBOL\SUNBLOCK.SYS;
• если компьютер работает под управлением операционной системы Windows
NT или Windows 2000, из системного реестра удаляются сведения о загрузке
драйвера SNELLOCK.SYS.
После завершения процедуры удаления становится активной кнопка .
Для продолжения работы нажмите эту кнопку.

3.2. Как изъять из компьютера плату Электронный замок


Удалив программное обеспечение системы Электронный замок, выполните
следующие действия:
• выключите компьютер (если он включен);
• вскройте корпус компьютера;
• отсоедините штекер считывателя от разъема платы Электронный замок,
расположенного на задней панели системного блока, предварительно
отвернув крепежные винты;
• аккуратно выньте плату Электронный замок из разъема системной шины PCI;
• если использовалась подсистема запрета загрузки со съемных носителей,
отключите интерфейсные кабели, обеспечивавшие работу этой подсистемы,
заменив их стандартными интерфейсными кабелями, входящими в комплект
поставки компьютера;
• закройте корпус компьютера.
Руководство администратора 29

ГЛАВА 4. Настройка и эксплуатация системы

После того как система Электронный замок установлена на компьютер,


необходимо:
• определить общие параметры работы системы защиты (см. П.4.2. на стр.31);
• зарегистрировать пользователей, допущенных к работе на данном
компьютере (см. П.4.3.2. на стр.40);
• (при необходимости) настроить подсистему контроля целостности (см. П.4.5.
на стр.53).
В процессе эксплуатации системы Электронный замок администратор может:
• просматривать регистрационные записи, помещаемые в системный журнала
во время работы системы защиты (см. П.4.6. на стр.62);
• управлять списком пользователей, зарегистрированных в системе защиты (см.
П.4.3. на стр.37);
• управлять работой подсистемы контроля целостности (см. П.4.5. на стр.53).
Управление работой системы Электронный замок (настройка общих
параметров, управление пользователями и т.д.) осуществляется администратором
безопасности (пользователем, обладающим соответствующими правами) при
запуске компьютера. После того как администратор предъявил свои полномочия при
входе в систему, см. П.1.1. документа “Программно-аппаратный комплекс
“Соболь-PCI”. Руководство пользователя”, на экране появляется информационное
окно, подобное представленному на Рис.27. Разъяснение информации,
содержащейся в этом окне, приводится в П.4.1. на стр.31.
Для продолжения работы нажмите любую клавишу. На экране появится меню
администратора, подобное приведенному на Рис.25.

Если Вы ранее включили режим контроля целостности, т.е. установили


значение ‘Да’ для параметра “Контролировать целостность файлов” (см.
П.4.2. на стр.31), но в настоящий момент в каталоге C:\SOBOL отсутствуют
файлы шаблонов контроля целостности (BOOTFILE.CHK, BOOTFILE.NAM,
BOOTSECT.CHK, BOOTSECT.NAM) или один из них имеет нулевую длину, на
экране появится предупреждение, подобное представленному на Рис.24.

Рис.24 Предупреждение об отсутствии шаблонов контроля целостности


30 Программно-аппаратный комплекс “Соболь-PCI”

Нажмите любую клавишу, чтобы продолжить работу. На экране появится меню


администратора (см. Рис.25). При этом параметр “Контролировать целостность
файлов” примет значение ‘Нет’ (см. П.4.2. на стр.31).

Рис.25 Меню администратора системы Электронный замок

Все действия, выполняемые администратором при настройке и эксплуатации


системы Электронный замок, осуществляются из этого меню.
Выполнив все необходимые действия, Вы можете перейти к загрузке
операционной системы и продолжить работу на компьютере. Для этого выберите с
помощью клавиш ‘ ’ или ‘ ’ в меню администратора пункт “Загрузка
операционной системы”, как это показано на Рис.25, и нажмите клавишу
<Enter>.
В том случае, если режим контроля целостности включен, перед загрузкой
операционной системы начнется проверка целостности заданных файлов и секторов
жесткого диска (см. Рис.68 на стр.61), выполнение которой Вы можете прервать,
нажав клавишу <Esc>.
При возникновении ошибок (не найден заданный файл или изменено
содержимое файла), рекомендуется откорректировать шаблоны заданий на контроль
целостности, исключив из них файлы, отсутствующие на диске (см. П.4.5.1. на
стр.53), и заново произвести расчет эталонных значений контрольных сумм для
проверяемых объектов (см. П.4.5.2. на стр.59). Подробный список сообщений об
ошибках, отображаемых на экране при проведении контроля целостности, сдержится
в П.B.3. на стр.75.
Если же подсистема контроля целостности по каким-либо причинам не
сконфигурирована (или сконфигурирована неверно), на экране появится
предупреждение, подобное приведенному на Рис.26. Рекомендуется произвести
правильную настройку подсистемы контроля целостности (см. П.4.5. на стр.53) или
выключить режим контроля целостности, установив значение ‘Нет’ для параметра
“Контролировать целостность файлов” (см. П.4.2. на стр.31).

Рис.26 Предупреждение

В том случае, если необходимо вернуться к управлению системой Электронный


замок после того как осуществлена загрузка операционной системы, выполните
Руководство администратора 31

действия, предусмотренные операционной системой для перезагрузки компьютера, и


вновь войдите в систему с правами администратора.

4.1. Какая информация сообщается администратору при входе


При входе в систему, после предъявления полномочий администратора, на
экране появляется информационное окно, подобное представленному на Рис.27.

Рис.27 Информация, сообщаемая администратору при входе в систему

В строке “Номер идентификатора:” указан тип и номер персонального


идентификатора, предъявленного администратором при входе в систему.
В строке “Время текущего входа:” приведены время (в формате -
часы : минуты) и дата (в формате - день / месяц / год) момента времени, в который
администратор ввел свой пароль при текущем входе в систему.
В строке “Последнее использование идентификатора:” приведены время
(в формате - часы : минуты) и дата (в формате - день / месяц / год) момента
времени, в который данный персональный идентификатор администратора был
последний раз использован для входа в систему (как удачно, так и неудачно).
Строка “Номер идентификатора последнего пользователя:” содержит
тип и номер персонального идентификатора, который был предъявлен
пользователем компьютера, осуществившим вход в систему последним (перед
текущим входом администратора).
В строке “Время входа последнего пользователя:” приведены время (в
формате - часы : минуты) и дата (в формате - день / месяц / год) момента времени,
в который был осуществлен вход в систему пользователя компьютера,
предшествующий текущему входу администратора (номер персонального
идентификатора этого пользователя содержится в строке “Номер
идентификатора последнего пользователя:”).
Строка “Суммарное количество неудачных попыток входа:” содержит
число, показывающее сколько раз, с момента последней инициализации системы
Электронный замок, пользователи компьютера допустили ошибку при входе в
систему, неверно указав пароль.
Для выхода из режима просмотра информации нажмите любую клавишу.

4.2. Настройка общих параметров работы системы


Общие параметры работы системы Электронный замок определяют настройки
системы защиты, являющиеся общими для всех пользователей данного компьютера.
Чтобы приступить к настройке общих параметров, выберите с помощью клавиш
‘ ’ или ‘ ’ в меню администратора системы пункт “Настройка общих
параметров”, как это показано на Рис.28, и нажмите клавишу <Enter>.
32 Программно-аппаратный комплекс “Соболь-PCI”

Рис.28 Меню администратора (изменение общих параметров)

На экране появится диалог управления общими параметрами системы


Электронный замок, подобный представленному на Рис.29.

Рис.29 Диалог настройки общих параметров системы

Для выбора параметра используйте клавиши управления курсором ‘ ’ и ‘ ’.


Чтобы перейти к изменению выбранного параметра (или изменить его), нажмите
клавишу <Enter>.
Чтобы выйти из диалога настройки общих параметров, нажмите клавишу <Esc>.
При этом сохраняются все изменения, внесенные в общие параметры, и
осуществляется возврат к меню администратора.

Параметр “Минимальная длина пароля пользователя” определяет


минимальную длину пароля пользователя в символах. Пользователю нельзя
назначить пароль, число символов в котором меньше числа, заданного этим
параметром.

Если при увеличении значения этого параметра длина паролей некоторых


пользователей компьютера окажется меньше нового значения параметра, такие
пользователи при входе в систему будут вынуждены сменить свой старый
пароль, иначе они не смогут войти на компьютер. См. П.1.3. в документе
“Программно-аппаратный комплекс “Соболь-PCI”. Руководство пользователя”.

При изменении этого параметра на экране появляется диалог, подобный


приведенному на Рис.30.

Рис.30 Изменение минимальной длины пароля


Руководство администратора 33

Введите с клавиатуры значение минимальной длины пароля пользователя


(минимальное число символов в пароле). Этот параметр может принимать значения
от 0 до 16. Чтобы исправить неправильно введенное значение, используйте клавишу
<BackSpace>.

Если значение этого параметра равно “0”, пользователю можно назначить


пустой пароль, разрешив ему тем самым входить в систему без указания пароля
(запрос пароля не появится на экране при входе в систему). См. П.1.1. в документе
“Программно-аппаратный комплекс “Соболь-PCI”. Руководство пользователя”.

Нажмите клавишу <Enter>, чтобы принять введенное значение. Новое значение


параметра отобразится в соответствующей строке диалога настройки общих
параметров (Рис.29). Для отказа от изменения значения нажмите клавишу <Esc>.
При установленном режиме совместного использования системы Электронный
замок (см. описание параметра “Плата функционирует в автономном
режиме”) значение этого параметра изменить нельзя. Значение параметра
изменяется средствами системы, совместно с которой функционирует Электронный
замок (например, Secret Net 9x).

Параметр “Предельное число неудачных входов пользователя”


определяет, сколько раз пользователь может допустить ошибку при входе в систему,
указав неверный пароль. Если число неудачных входов пользователя в систему
превысило число, заданное этим параметром, вход пользователя в систему будет
блокирован.
Если число неудачных входов пользователя в систему не превышает значение
этого параметра, и пользователь осуществил успешный вход в систему,
значение счетчика неудачных попыток входа автоматически сбрасывается
(приравнивается нулю).
При изменении этого параметра на экране появляется диалог, подобный
приведенному на Рис.31.

Рис.31 Изменение максимального числа неудачных входов пользователя

Введите с клавиатуры число неудачных попыток входа пользователя в систему,


при превышении которого вход пользователя в систему будет блокирован. Этот
параметр может принимать значения от 1 до 65535. Чтобы исправить неправильно
введенное значение, используйте клавиши ‘ ’, ‘ ’ и клавиши <BackSpace> или
<Delete>.
Нажмите клавишу <Enter>, чтобы принять введенное значение. Новое значение
параметра отобразится в соответствующей строке диалога настройки общих
параметров (Рис.29). Для отказа от изменения значения нажмите клавишу <Esc>.
Если включен режим совместного использования системы Электронный замок,
значение этого параметра изменить нельзя. Значение параметра изменяется
средствами системы, совместно с которой функционирует Электронный замок
(например, Secret Net 9x).
34 Программно-аппаратный комплекс “Соболь-PCI”

Параметр “Плата функционирует в автономном режиме” определяет


режим функционирования системы Электронный замок. В автономном режиме
(значение параметра ‘Да’) любым внешним программам запрещается доступ к ОЗУ
платы Электронный замок. При этом управление пользователями, журналом
регистрации, настройка общих параметров осуществляется средствами
администрирования системы Электронный замок без ограничений. Чтобы изменить
значение параметра, выберите его с помощью клавиш ‘ ’ или ‘ ’ и нажмите
клавишу <Enter>.
При установке значения ‘Нет’ система Электронный замок переводится в
режим совместного использования, при котором внешним программам разрешен
доступ к ОЗУ платы Электронный замок. Этот режим позволяет использовать
Электронный замок совместно с другими системами защиты (например, Secret Net
9x). В этом случае часть функций управления системой Электронный замок
осуществляется с помощью средств администрирования системы защиты, совместно
с которой функционирует Электронный замок.
Если Электронный замок не включен в состав другой системы защиты, то он
должен функционировать в автономном режиме. Параметру “Плата
функционирует в автономном режиме” присваивается значение ‘Да’.
В режиме совместного использования список пользователей и журнал
регистрации доступны администратору только для просмотра (в меню
администратора пункт “Работа со списком пользователей” изменится на
“Просмотр списка пользователей”, а пункт “Работа с журналом
регистрации событий” - на “Просмотр журнала регистрации событий”).
Также запрещено изменение паролей администратора и пользователя. В этом случае
в меню администратора не отображается пункт “Смена пароля
администратора” (см. Рис.32), а в меню пользователя - пункт “Смена личного
пароля” (см. Главу 2 документа “Программно-аппаратный комплекс “Соболь-
PCI”. Руководство пользователя”). Смена паролей администратора и пользователя
осуществляется средствами администрирования той системы защиты, совместно с
которой функционирует Электронный замок.

Рис.32 Меню администратора (совместный режим)

Блокируется изменение общих параметров системы, управление которыми


осуществляется средствами администрирования системы защиты, совместно с
которой функционирует Электронный замок. При этом вне зависимости от ранее
установленных значений, параметру “Показ статистики пользователю”
присваивается значение ‘Нет’ - запрещается вывод информационного окна при
входе пользователя, а параметру “Тестировать ДСЧ для пользователя”
присваивается значение ‘Да’ - включается тестирование правильности работы
датчика случайных чисел. Параметры “Контролировать целостность файлов”,
Руководство администратора 35

“Автоматический вход в систему” и “Время ожидания входа в систему”


доступны для изменений.

Параметр “Показ статистики пользователю” позволяет разрешить или


запретить вывод на экран при входе пользователя в систему информационного окна,
содержащего сведения о его работе, см. П.1.2. в документе “Программно-
аппаратный комплекс “Соболь-PCI”. Руководство пользователя”. Если параметр
имеет значение ‘Да’ - при входе пользователя в систему осуществляется вывод
информационного окна. Если значение параметра ‘Нет’ - информационное окно
выводиться не будет.
Чтобы изменить значение параметра, выберите его с помощью клавиш ‘ ’ или
‘ ’ и нажмите клавишу <Enter>.
При установленном режиме совместного использования системы Электронный
замок информационное окно пользователю не выводится - принудительно
устанавливается значение ‘Нет’ и это значение изменить нельзя.

Параметр “Тестировать ДСЧ для пользователя” позволяет включить или


отключить тестирование правильности работы датчика случайных чисел (ДСЧ)
платы Электронный замок, осуществляющееся при входе пользователей в систему.
Если параметр имеет значение ‘Да’ - тестирование правильности работы ДСЧ будет
осуществляться при входе любого пользователя в систему. Если значение параметра
‘Нет’ - тестирование ДСЧ производиться не будет.
Нельзя отключить тестирование правильности работы ДСЧ,
осуществляющееся при входе в систему администратора.
Чтобы изменить значение параметра, выберите его с помощью клавиш ‘ ’ или
‘ ’ и нажмите клавишу <Enter>.
При установленном режиме совместного использования системы Электронный
замок, отключить тестирование правильности работы ДСЧ невозможно
(принудительно устанавливается значение ‘Да’).

Параметр “Контролировать целостность файлов” позволяет включить


(значение параметра ‘Да’) или выключить (значение - ‘Нет’) контроль целостности
объектов, осуществляющийся при загрузке пользователем операционной системы.
При выключенииконтроля целостности объектов, пункт “Расчет
контрольных сумм” в меню администратора не отображается.
Чтобы изменить значение этого параметра, выберите его с помощью клавиш ‘ ’
или ‘ ’ и нажмите клавишу <Enter>.
Если при включении контроля целостности (установке значения параметра
‘Да’) в каталоге C:\SOBOL не обнаружены файлы шаблонов (BOOTFILE.CHK,
BOOTFILE.NAM, BOOTSECT.CHK, BOOTSECT.NAM) или один из них имеет
нулевую длину, на экране появится предупреждение, подобное
представленному на Рис.33.
36 Программно-аппаратный комплекс “Соболь-PCI”

Рис.33 Предупреждение об отсутствии шаблонов контроля целостности

Для продолжения работы нажмите любую клавишу. При этом значение


параметра не изменится.

Параметр “Автоматический вход в систему” предназначен для


организации автоматического запуска компьютера без предъявления персонального
идентификатора Touch Memory. Значение параметра ‘Да’ разрешает загрузку
операционной системы без предъявления идентификатора, значение ‘Нет’ -
запрещает. Для изменения значения параметра, выберите его клавишами ‘ ’ или
‘ ’ и нажмите клавишу <Enter>.

Для организации автоматического входа в систему в спиcке


зарегистрированных пользователей должен содержаться пользователь с
именем AUTOLOAD. Если этот пользователь отсутствует в списке,
автоматический вход в систему невозможен, параметр “Автоматический
вход в систему” недоступен для изменений и имеет значение ‘Нет’.
В режиме совместного использования пользователь с именем AUTOLOAD
создается средствами администрирования той системы защиты, совместно
с которой функционирует Электронный замок.

Автоматическая загрузка операционной системы осуществляется по истечении


некоторого интервала времени, заданного параметром “Время ожидания входа в
систему”. По истечении этого интервала времени, если пользователь не предъявил
персональный идентификатор, выполняется автоматическая загрузка операционной
системы. Для изменения значения параметра, выберите его клавишами ‘ ’ или ‘ ’
и нажмите клавишу <Enter>. На экране появится диалог, подобный приведенному на
Рис.34.

Рис.34 Изменение времени ожидания входа в систему

Введите с клавиатуры значение параметра. Параметр может принимать значения


от 5 до 40 секунд. Нажмите клавишу <Enter>, чтобы принять введенное значение.
Для выхода из диалога без изменения значения параметра нажмите клавишу <Esc>.
Руководство администратора 37

4.3. Управление пользователями


Чтобы приступить к управлению пользователями, выберите клавишами ‘ ’ или
‘ ’ в меню администратора системы пункт “Работа со списком
пользователей”, как это показано на Рис.35, и нажмите клавишу <Enter>.

Рис.35 Меню администратора (управление пользователями)


На экране появится список пользователей (список имен пользователей),
зарегистрированных в системе Электронный замок, подобный представленному на
Рис.36. В верхней части экрана располагается информационное окно, содержащее
сведения о пользователе, имя которого выбрано в списке. Разъяснение информации,
содержащейся в этом окне, приводится в П.4.3.1. на стр.38.
Если в системе защиты нет зарегистрированных пользователей (например, после
инициализации системы), список пользователей будет пуст, а информационное окно
не появится на экран.

Рис.36 Список зарегистрированных пользователей


Выбор имени пользователя в списке (просмотр списка) осуществляется
клавишами ‘ ’ и ‘ ’.
Строка сообщений содержит справочную информацию о назначении клавиш
управления. Для управления списком пользователей используйте следующие клавиши:
• <Enter> - изменить информацию о пользователе (см. П.4.3.5. на стр.46);
38 Программно-аппаратный комплекс “Соболь-PCI”

• <Insert> - зарегистрировать нового пользователя (см. П.4.3.2. на стр.40);


• <Delete> - удалить выбранного пользователя из списка зарегистрированных
пользователей (см. П.4.3.3. на стр.44);
• <Tab> - изменить пароль выбранного пользователя (см. П.4.3.4. на стр.45).
При установленном режиме совместного использования системы Электронный
замок (см. П.4.2. на стр.31; описание параметра “Плата функционирует в
автономном режиме”) администратору разрешается только просматривать
список пользователей (см. Рис.32 на стр.34) и запрещено вносить в него любые
изменения.
Для выхода из режима управления пользователями и возвращения к меню
администратора нажмите клавишу <Esc>.

4.3.1. Какая информация сообщается о пользователе


Информационное окно, подобное представленному на Рис.37, содержит
сведения о пользователе, имя которого выбрано в списке пользователей,
зарегистрированных в системе Электронный замок (см. Рис.36).

Рис.37 Информация о пользователе

В строке “Имя пользователя:” приводится имя, под которым пользователь


зарегистрирован в системе Электронный замок (в данном примере - “user 1”).
В строке “Номер идентификатора:” указан тип и номер персонального
идентификатора, присвоенного пользователю при регистрации в системе
Электронный замок.
В строке “Время последнего входа:” приведены время (в формате -
часы : минуты) и дата (в формате - день / месяц / год) момента времени, в который
пользователь осуществил успешный вход в систему последний раз. Время и дата
фиксируются в момент нажатия пользователем клавиши <Enter> при вводе пароля.
В строке “Общее количество входов:” отображается число попыток входа
пользователя в систему (удачных и неудачных) с момента его регистрации в системе
Электронный замок.
В строке “Количество неудачных попыток входа:” отображается число,
показывающее, сколько раз пользователь допустил ошибку при входе в систему,
неверно указав пароль. Значение, содержащееся в этой строке, может быть изменено
администратором (см. П.4.3.5.1. на стр.47). Количество неудачных попыток входа в
систему ограничено и определяется для всех пользователей компьютера общим
параметром “Предельное число неудачных входов пользователя”(см. П.4.2. на
стр.31).
Руководство администратора 39

Если число неудачных попыток входа пользователя в систему превысит число,


заданное параметром “Предельное число неудачных входов
пользователя”, вход пользователя в систему будет автоматически
блокирован.

В строке “Текущий статус пользователя:” отображается текущий статус


пользователя в системе Электронный замок. Этот параметр может принимать только
два значения: “блокирован” или “не блокирован”. Значение параметра
определяется администратором (см. П.4.3.5.2. на стр.48).

Если этот параметр имеет значение "блокирован" - пользователю запрещено


входить в систему. При попытке входа пользователя в систему, даже если он
правильно ввел пароль, компьютер будет заблокирован, а в системный журнал
добавится соответствующая запись.

В строке “Разрешить загрузку с дискет:” отображается значение


соответствующего параметра. В том случае, если на данном компьютере
используется подсистема запрета загрузки со съемных носителей, входящая в состав
системы Электронный замок, администратор может по своему усмотрению
разрешить некоторым пользователям компьютера осуществлять загрузку
операционной системы с гибкого диска и CD-ROM диска (см. П.4.3.5.3. на стр.48).
Если этот параметр имеет значение “Да”, данному пользователю разрешена загрузка
операционной системы со съемных носителей. Если значение параметра “Нет” - эта
возможность пользователю недоступна.
В том случае, если подсистема запрета загрузки со съемных носителей не
используется на компьютере, значение этого параметра не влияет на работу
пользователя.

В строке “Режим контроля целостности:” отображается значение,


определяющее режим работы подсистемы контроля целостности, установленный для
данного пользователя. Подсистема контроля целостности может функционировать в
двух режимах: “жестком” и “мягком”. Режим работы этой подсистемы может быть
установлен администратором для каждого пользователя компьютера индивидуально
(см. П.4.3.5.4. на стр.49).
Строка “Режим контроля целостности:” не будет присутствовать в
информационном окне, если общий параметр “Контролировать
целостность файлов” имеет значение ‘Нет’ (см. П.4.2. на стр.31), т.е. в том
случае, когда подсистема контроля целостности отключена.

Если в строке содержится значение “Жесткий” - для данного пользователя


установлен “жесткий” режим работы подсистемы контроля целостности. В этом
случае, при обнаружении факта нарушения целостности контролируемых объектов,
система защиты зарегистрирует данное событие в системном журнале, а доступ
пользователя к компьютеру будет блокирован. Если строка содержит значение
“Мягкий”, для пользователя установлен “мягкий” режим работы подсистемы
контроля целостности. Это означает, что при обнаружении факта нарушения
целостности объектов, система защиты зарегистрирует событие в системном
журнале, но при этом разрешит доступ пользователя к компьютеру.
40 Программно-аппаратный комплекс “Соболь-PCI”

4.3.2. Как зарегистрировать пользователя


При регистрации пользователя системы Электронный замок ему присваивается
имя в системе, назначается пароль для входа в систему и присваивается
персональный идентификатор. Служебная информация о пользователе сохраняется в
ОЗУ платы Электронный замок. Также, в персональный идентификатор,
присвоенный пользователю, записывается служебная информация о регистрации.
Для регистрации нового пользователя перейдите в режим управления
пользователями (см. Рис.36 на стр.37) и нажмите клавишу <Insert>. На экране
появится запрос имени пользователя, подобный представленному на Рис.38.
В системе Электронный замок можно зарегистрировать не более 32
пользователей, не считая администратора системы. Если для регистрации нового
пользователя недостаточно свободного места в ОЗУ платы Электронный замок, на
экране появится сообщение о том, что список пользователей исчерпан. Для
добавления нового пользователя необходимо удалить из списка одного или
нескольких пользователей и только после этого повторить процедуру регистрации.

Рис.38 Ввод имени пользователя

Введите с клавиатуры имя регистрируемого пользователя в поле “Имя


пользователя:”. В системе Электронный замок имя пользователя может
содержать до 40 символов и включать символы латинского и русского алфавитов,
цифры и любые служебные символы, включая символ “пробел”. Для переключения в
режим русского алфавита нажмите клавиши <Ctrl>+правый <Shift>, для возврата в
режим латинского алфавита - <Ctrl>+левый <Shift>. Чтобы исправить неправильно
введенные символы, используйте клавиши ‘ ’, ‘ ’ и клавиши <BackSpace> или
<Delete>. Завершите ввод, нажав клавишу <Enter>. (Нажмите клавишу <Esc> для
прекращения процедуры регистрации и возврата к списку пользователей.)
Если введено имя, не совпадающее с именами пользователей, уже
зарегистрированных на компьютере, на экране появится диалог выбора варианта
регистрации пользователя, подобный приведенному на Рис.39.
Имя пользователя должно быть уникальным в системе (на данном
компьютере).
Имя, назначаемое пользователю при его повторной регистрации на другом
компьютере, может отличаться от имени, присвоенном при первичной
регистрации.
Если введенное имя совпадает с именем пользователя, зарегистрированного
ранее, в Строке сообщений появится сообщение об ошибке:
Введенное имя уже зарегистрировано

В этом случае нажмите любую клавишу и повторите ввод еще раз, изменив имя.
Руководство администратора 41

Рис.39 Выбор варианта регистрации пользователя

Процедура регистрации может осуществляться в одном из двух вариантов:


• первичная регистрация пользователя;
• повторная регистрация пользователя.
При первичной регистрации пользователя производится инициализация
персонального идентификатора, присваиваемого пользователю. В персональный
идентификатор записывается служебная информация о регистрации. Этот вариант
используется в том случае, когда данный пользователь не зарегистрирован Вами ни
на одном из компьютеров, оснащенных системой Электронный замок.
Если пользователь был Вами ранее зарегистрирован в системе Электронный
замок, ему уже присвоен персональный идентификатор, в который записана
служебная информация о регистрации. Чтобы дать возможность этому пользователю
осуществлять вход в систему на тех компьютерах, на которых Вы предполагаете его
зарегистрировать, предъявляя один и тот же идентификатор, требуется сохранить
служебную информацию, хранящуюся в идентификаторе. В этом случае используйте
вариант повторной регистрации пользователя, при котором служебная информация
считывается из персонального идентификатора, и в нее не вносятся изменения.
Вы не можете осуществить повторную регистрацию пользователей,
первичная регистрация которых в системе Электронный замок была
произведена другим администратором. При этом другим администратором
считается любой администратор системы Электронный замок, персональный
идентификатор которого не совпадает с вашим идентификатором.
Чтобы осуществить первичную регистрацию пользователя, в меню
“Варианты выбора” выберите с помощью клавиш ‘ ’ или ‘ ’ пункт “Да”. Для
выполнения повторной регистрации - выберите пункт “Нет”. Нажмите клавишу
<Enter> (возврат к запросу имени пользователя - <Esc>).
На экране появится запрос пароля пользователя. Если выбран вариант
первичной регистрации, будет запрашиваться новый пароль, как это показано на
Рис.40. При повторной регистрации запрашивается текущий пароль пользователя
(старый пароль), как это показано на Рис.41.
42 Программно-аппаратный комплекс “Соболь-PCI”

Рис.40 Ввод нового пароля пользователя

Рис.41 Ввод старого пароля пользователя

При определении нового пароля необходимо соблюдать следующие правила:


• пароль может содержать только латинские символы, цифры и служебные
символы, а также не должен содержать символов “пробел”;
• разрешается использовать различные регистры клавиатуры (например, “Dog”
или “dog”); при этом нужно помнить, что заглавные и строчные буквы
воспринимаются как различные (“Dog” и “dog” считаются разными
паролями);
• длина пароля (в символах) не может быть меньше числа, заданного общим
параметром “Минимальная длина пароля пользователя” (см. Рис.29
на стр.32) и не может превышать 16-ти символов.

При повторной регистрации пользователя длина его старого пароля (в


символах) может оказаться меньше числа, заданного общим параметром
“Минимальная длина пароля пользователя”. В этом случае
пользователь будет зарегистрирован, однако, при первом входе в систему он
будет вынужден сменить свой старый пароль, иначе он не сможет загрузить
операционную систему. См. П.1.3. в документе “Программно-аппаратный
комплекс “Соболь-PCI”. Руководство пользователя”.

Введите с клавиатуры пароль пользователя в поле “Введите … пароль:”.


Вместо вводимых символов отображаются символы ‘*’. Чтобы исправить
неправильно введенные символы, используйте клавиши ‘ ’, ‘ ’ и клавиши
<BackSpace> или <Delete>. Завершите ввод, нажав клавишу <Enter> (возврат к
диалогу выбора варианта регистрации - <Esc>).
Если значение параметра “Минимальная длина пароля пользователя”
равно “0”, при первичной регистрации пользователю можно назначить пустой
пароль. Для этого нажмите клавишу <Enter>, оставив поле ввода пароля пустым.
В этом случае пользователь сможет войти в систему без указания пароля
(запрос пароля не появится на экране при входе в систему). См. П.1.1. в документе
“Программно-аппаратный комплекс “Соболь-PCI” Руководство пользователя”.

В зависимости от выбранного варианта регистрации на экране появится


соответствующий запрос повторного ввода пароля (см. Рис.42 и Рис.43).

Рис.42 Подтверждение нового пароля пользователя


Руководство администратора 43

Рис.43 Подтверждение старого пароля пользователя

Повторно введите тот же пароль в поле “Подтвердите … пароль :” и


нажмите клавишу <Enter> (возврат к запросу пароля - <Esc>). Если при
подтверждении пароля возникли ошибки - в Строке сообщений появится
соответствующее сообщение. В этом случае нажмите любую клавишу и повторите
ввод пароля еще раз.
Если оба значения пароля совпали (и длина нового пароля не меньше заданной
минимальной длины пароля), на экране появится запрос, подобный представленному
на Рис.44.

Рис.44 Запрос персонального идентификатора

Плотно приложите к считывателю персональный идентификатор,


присваиваемый пользователю (возврат к запросу пароля - <Esc>). При неуспешном
чтении информации из идентификатора или записи информации в идентификатор в
Строке сообщений появится сообщение об ошибке. В этом случае повторно
прислоните идентификатор к считывателю.
Если осуществляется повторная регистрация пользователя и служебная
информация успешно прочитана из предъявленного идентификатора, информация о
регистрации пользователя сохраняется в ОЗУ платы Электронный замок. Затем на
экране появляется сообщение об успешной регистрации пользователя, подобное
приведенному на Рис.46. В том случае, если указанный пароль пользователя не
соответствует предъявленному идентификатору (пароль был указан неверно или был
предъявлен не принадлежащий пользователю идентификатор) или первичная
регистрация данного пользователя производилась другим администратором, в
Строке сообщений появится сообщение:
Неверный персональный идентификатор или пароль

До тех пор пока идентификатор касается считывателя, это сообщение будет


присутствовать на экране, при изъятии идентификатора из считывателя
осуществится возврат к диалогу выбора варианта регистрации пользователя (см.
Рис.39 на стр.41). Повторите процедуру регистрации, правильно указав старый
пароль и предъявив соответствующий идентификатор.

При первичной регистрации пользователя производится запись служебной


информации в предъявленный идентификатор. Если персональный идентификатор
регистрировался ранее в системе Электронный замок (на другом компьютере), он
уже содержит служебную информацию. В этом случае на экране появится
предупреждение, подобное представленному на Рис.45. Если же идентификатор не
содержит служебной информации (новый) или в нем нарушена структура данных, на
экране появится сообщение о необходимости форматирования идентификатора (см.
Рис.14 на стр.21).
44 Программно-аппаратный комплекс “Соболь-PCI”

Рис.45 Предупреждение о наличии в идентификаторе служебной


информации

Если Вы уверены в том, что данный персональный идентификатор никем


больше не используется, плотно приложите его к считывателю и подтвердите запись
новой служебной информации, нажав клавишу <Enter>.
Помните, что при записи информации в персональный идентификатор
служебная информация, содержащаяся в памяти идентификатора, будет
полностью утеряна без возможности восстановления. При этом
пользователь, которому принадлежит этот идентификатор, не сможет
больше воспользоваться им для входа в систему.
Для отказа от записи нажмите клавишу <Esc>. При этом на экране вновь
появится запрос персонального идентификатора (см. Рис.44). Повторите процедуру
присвоения идентификатора, предъявив другой персональный идентификатор, или
нажмите несколько раз клавишу <Esc>, чтобы вернуться к списку пользователей.
Если регистрация пользователя завершена успешно, на экране появляется
сообщение, подобное представленному на Рис.46.

Рис.46 Сообщение о завершении регистрации пользователя

Нажмите любую клавишу для возврата к списку пользователей.

4.3.3. Как удалить пользователя


Чтобы удалить пользователя из списка пользователей, зарегистрированных в
системе Электронный замок, перейдите в режим управления пользователями. В
появившемся на экране списке, подобном представленному на Рис.47, выберите
(клавишами ‘ ’ или ‘ ’) имя удаляемого пользователя и нажмите клавишу
<Delete>.
Руководство администратора 45

Рис.47 Режим управления пользователями (удаление пользователя)

На экране, в Строке сообщений, отобразится запрос:


Для подтверждения нажмите Enter, для отказа нажмите Esc

Подтвердите удаление пользователя, нажав клавишу <Enter>. В результате,


выбранный пользователь исключается из списка зарегистрированных пользователей,
а служебная информация об этом пользователе удаляется из ОЗУ платы
Электронный замок.
Для отказа от удаления - нажмите клавишу <Esc>.

4.3.4. Как принудительно изменить пароль пользователя


Эта возможность предусмотрена только для экстренной смены пароля
пользователя администратором в случае компрометации пароля. В других
случаях смена пароля должна выполняться пользователем
самостоятельно.
Процедура принудительной смены пароля корректно функционирует в том
случае, если пользователь зарегистрирован с использованием данного
персонального идентификатора только на одном компьютере, оснащенном
системой Электронный замок.
Если пользователь зарегистрирован при помощи данного идентификатора
на нескольких компьютерах, то после принудительной смены пароля доступ
пользователя на все компьютеры, кроме того, на котором
осуществляется смена пароля, будет невозможен. В этом случае
осуществите заново повторную регистрацию пользователя на этих
компьютерах.
Перейдите в режим управления пользователями. В появившемся на экране
списке (см. Рис.47) выберите (клавишами ‘ ’ или ‘ ’) имя пользователя, пароль
которого требуется изменить. Нажмите клавишу <Tab>. На экране появится запрос
персонального идентификатора, подобный представленному на Рис.48.
46 Программно-аппаратный комплекс “Соболь-PCI”

Рис.48 Запрос персонального идентификатора (смена пароля пользователя)

Предъявите персональный идентификатор пользователя, для которого Вы


производите смену пароля.
При изменении пароля пользователя администратором старый пароль
пользователя не запрашивается.

Далее процедура смены пароля пользователя соответствует процедуре смены


пароля администратора, за исключением установки нового пароля для резервных копий
персонального идентификатора администратора (см. П.4.4., начиная с Рис.54 на стр.51).
После того как смена пароля пользователя завершена, осуществляется возврат к
списку пользователей.

4.3.5. Как изменить информацию о пользователе


Перейдите в режим управления пользователями. В появившемся на экране
списке (см. Рис.47) выберите (клавишами ‘ ’ или ‘ ’) имя пользователя,
информацию о котором требуется изменить. Нажмите клавишу <Enter>. На экране
появится изображение, подобное представленному на Рис.49.

Рис.49 Изменение информации о пользователе

Строка сообщений содержит справочную информацию о назначении клавиш


управления.
Вы можете изменить следующую информацию о пользователе:
• сбросить (приравнять нулю) число неудачных попыток входа пользователя в
систему (см. П.4.3.5.1.);
Руководство администратора 47

• изменить статус пользователя (см. П.4.3.5.2.);


• разрешить или запретить пользователю загрузку операционной системы с
гибкого диска и CD-ROM диска (см. П.4.3.5.3.);
• установить для пользователя режим работы подсистемы контроля
целостности (см. П.4.3.5.4.).

Для изменения информации, содержащейся в строке, выберите строку с


помощью клавиш управления курсором ‘ ’ и ‘ ’ и нажмите клавишу <Enter>.
Для выхода из этого режима нажмите клавишу <Esc>. Если информация о
пользователе не была изменена - осуществится возврат к списку пользователей.
Если в информацию о пользователе были внесены изменения, на экране
появится меню запроса, подобное приведенному на Рис.50.

Рис.50 Запрос сохранения изменений

Чтобы сохранить изменения выберите с помощью клавиш ‘ ’ или ‘ ’ пункт


“Да”. Для отказа от сохранения изменений - выберите пункт “Нет”. Нажмите
клавишу <Enter> (<Esc> - возврат к редактированию).

4.3.5.1. Как сбросить число неудачных попыток входа пользователя в


систему
В том случае, когда количество неудачных попыток входа пользователя в
систему превышает ограничение, заданное общим параметром “Предельное
число неудачных входов пользователя” (см. П.4.2. на стр.31), вход
пользователя в систему автоматически блокируется.
Если число неудачных входов пользователя в систему не превышает значение
указанного общего параметра, и пользователь осуществил успешный вход в
систему, значение счетчика неудачных попыток входа сбрасывается
(приравнивается нулю) автоматически.
Администратор может изменить ограничение на число неудачных попыток
входа пользователя в систему двумя способами:
• увеличив значение параметра “Предельное число неудачных входов
пользователя”;
• сбросив (приравняв нулю) число неудачных попыток входа пользователя в
систему.

Изменение значений указанных параметров не приводит к автоматическому


разблокированию входа пользователя в систему. Чтобы разрешить пользователю
работать на компьютере, измените его статус, установив значение “не
блокирован” в строке “Текущий статус пользователя” (см. П.4.3.5.2.).

Чтобы сбросить (приравнять нулю) число неудачных попыток входа


пользователя в систему, выберите имя этого пользователя в списке пользователей
48 Программно-аппаратный комплекс “Соболь-PCI”

(см. Рис.47 на стр.45) и нажмите клавишу <Enter>. Список пользователей исчезнет с


экрана. В диалоге “Редактирование информации пользователя” (см. Рис.49)
с помощью клавиш ‘ ’ или ‘ ’ выберите строку “Количество неудачных
попыток входа” и нажмите клавишу <Enter>. Число, содержащееся в этой строке,
станет равным нулю.
После выполнения указанных действий и сохранения внесенных изменений в
ОЗУ платы Электронный замок (при выходе из режима изменения информации о
пользователе с сохранением изменений) вход в систему данного пользователя будет
разблокирован.

4.3.5.2. Как блокировать работу пользователя на компьютере


Администратор системы Электронный замок может блокировать вход в систему
любого пользователя компьютера (кроме администратора), а также разблокировать
вход пользователя в систему, если ранее он был блокирован.
Для этого выберите в списке пользователей (см. Рис.47 на стр.45) имя
пользователя, вход которого в систему требуется блокировать или разблокировать, и
нажмите клавишу <Enter>. Список пользователей исчезнет с экрана. В диалоге
“Редактирование информации пользователя” (см. Рис.49) с помощью
клавиш ‘ ’ или ‘ ’ выберите строку “Текущий статус пользователя” и
нажмите клавишу <Enter>. Если строка содержала значение “не блокирован”, оно
меняется на значение “блокирован” (блокирование входа пользователя в систему).
И наоборот, если в строке содержалось значение “блокирован”, оно меняется на
значение “не блокирован” (разблокирование входа пользователя в систему).
После выполнения этих действий и сохранения изменений в ОЗУ платы
Электронный замок (при выходе из режима изменения информации о пользователе с
сохранением изменений) вход в систему данного пользователя будет блокирован или
разблокирован, в зависимости от значения, установленного в строке “Текущий
статус пользователя”.

4.3.5.3. Как разрешить пользователю загрузку со съемных носителей


Выберите в списке пользователей (см. Рис.47 на стр.45) имя пользователя,
которому требуется разрешить (запретить) осуществлять загрузку операционной
системы с гибкого диска и CD-ROM диска, и нажмите клавишу <Enter>. Список
пользователей исчезнет с экрана. В диалоге “Редактирование информации
пользователя” (см. Рис.49) с помощью клавиш ‘ ’ или ‘ ’ выберите строку
“Разрешить загрузку с дискет” и нажмите клавишу <Enter>. Если строка
содержала значение “Нет”, оно меняется на значение “Да” (загрузка операционной
системы со съемных носителей разрешается). И наоборот, если в строке содержалось
значение “Да”, оно меняется на значение “Нет” (загрузка операционной системы со
съемных носителей запрещается).
После выполнения этих действий и сохранения изменений в ОЗУ платы
Электронный замок (при выходе из режима изменения информации о пользователе с
сохранением изменений) пользователю будет разрешено или запрещено
осуществлять загрузку операционной системы со съемных носителей.
В том случае, если подсистема запрета загрузки со съемных носителей не
используется на компьютере, значение этого параметра не влияет на работу
пользователя.
Руководство администратора 49

4.3.5.4. Как управлять режимом работы подсистемы контроля целостности


Подсистема контроля целостности может функционировать в двух режимах:
“жестком” и “мягком”. При работе в “жестком” режиме, если обнаружен факт
нарушения целостности контролируемых объектов, система защиты регистрирует
данное событие в системном журнале, а доступ пользователя к компьютеру
блокируется. Если для пользователя установлен “мягкий” режим работы этой
подсистемы, при обнаружении факта нарушения целостности объектов система
защиты регистрирует событие в системном журнале и разрешает доступ
пользователя к компьютеру.
Выберите в списке пользователей (см. Рис.47 на стр.45) имя пользователя, для
которого требуется установить режим работы подсистемы контроля целостности, и
нажмите клавишу <Enter>. Список пользователей исчезнет с экрана. В диалоге
“Редактирование информации пользователя” (см. Рис.49) с помощью
клавиш ‘ ’ или ‘ ’ выберите строку “Режим контроля целостности” и
нажмите клавишу <Enter>.
Строка “Режим контроля целостности” не будет присутствовать в
диалоге, если общий параметр “Контролировать целостность файлов”
имеет значение ‘Нет’ (см. П.4.2. на стр.31), т.е. в том случае, когда
подсистема контроля целостности отключена.

Если строка содержала значение “Жесткий”, оно меняется на значение


“Мягкий” (для пользователя установлен “мягкий” режим работы подсистемы
контроля целостности). И наоборот, если в строке содержалось значение “Мягкий”,
оно меняется на значение “Жесткий” (установлен “жесткий” режим работы
подсистемы).
После выполнения этих действий и сохранения изменений в ОЗУ платы
Электронный замок (при выходе из режима изменения информации о пользователе с
сохранением изменений) для пользователя вступает в силу заданный режим работы
подсистемы контроля целостности.

4.4. Изменение пароля администратора


При необходимости, администратор системы Электронный замок может
изменить свой пароль на вход в систему. При этом информация, содержащаяся в
памяти персонального идентификатора администратора, будет изменена. Если у
администратора имеется несколько копий его персонального идентификатора,
администратору рекомендуется установить новый пароль также и для этих копий.
Если включен режим совместного использования системы Электронный замок
(см. П.4.2. на стр.31; параметр “Плата функционирует в автономном
режиме”), меню администратора не будет содержать пункт “Смена
пароля администратора”. Используйте для смены пароля средства
администрирования системы защиты, совместно с которой функционирует
Электронный замок.

Чтобы изменить пароль, выберите с помощью клавиш ‘ ’ или ‘ ’ в меню


администратора системы пункт “Смена пароля администратора”, как это
показано на Рис.51, и нажмите клавишу <Enter>.
50 Программно-аппаратный комплекс “Соболь-PCI”

Рис.51 Меню администратора (смена пароля)

На экране появится запрос текущего (старого) пароля администратора,


подобный представленному на Рис.52.

Рис.52 Ввод старого пароля

Введите с клавиатуры Ваш текущий пароль в поле “Введите старый


пароль:” и нажмите клавишу <Enter>. Вместо вводимых символов отображаются
символы ‘*’. Чтобы исправить неправильно введенные символы, используйте
клавиши ‘ ’, ‘ ’ и клавиши <BackSpace> или <Delete>. Завершите ввод, нажав
клавишу <Enter> (возврат к меню администратора - <Esc>).
На экране появится запрос, подобный представленному на Рис.53.

Рис.53 Запрос персонального идентификатора

Плотно приложите к считывателю Ваш персональный идентификатор (возврат к


запросу старого пароля - <Esc>). При неуспешном чтении информации из
идентификатора в Строке сообщений появится сообщение об ошибке. В этом
случае повторно приложите идентификатор к считывателю.
После успешного считывания информации из идентификатора осуществляется
сопоставление введенного Вами пароля с информацией, хранящейся в памяти
идентификатора. Если введенный пароль соответствует предъявленному
идентификатору, процедура смены пароля будет продолжена, и на экране появится
запрос нового пароля, подобный приведенному на Рис.54. Иначе в Строке
сообщений появится сообщение о том, что старый пароль введен неверно или
идентификатор не принадлежит администратору. Это сообщение будет
присутствовать в Строке сообщений до тех пор, пока идентификатор касается
считывателя, затем осуществится возврат к вводу старого пароля. Повторите ввод
старого пароля еще раз.
Руководство администратора 51

Рис.54 Ввод нового пароля

Введите новый пароль и нажмите клавишу <Enter> (возврат к меню


администратора - <Esc>). На экране появится запрос повторного ввода пароля,
подобный приведенному на Рис.55.
Если значение параметра “Минимальная длина пароля пользователя”
равно “0”, Вы можете назначить себе пустой пароль. Для этого нажмите
клавишу <Enter>, оставив поле ввода пароля пустым. В этом случае Вы
сможете входить в систему без указания пароля.

При вводе пароля необходимо соблюдать следующие правила:


• пароль может содержать только латинские символы, цифры и служебные
символы, а также не должен содержать символов “пробел”;
• разрешается использовать различные регистры клавиатуры (например, “Dog”
или “dog”); при этом нужно помнить, что заглавные и строчные буквы
воспринимаются как различные (“Dog” и “dog” считаются разными
паролями);
• длина пароля (в символах) не может быть меньше числа, заданного общим
параметром “Минимальная длина пароля пользователя” (см. Рис.6 на
стр.17) и не может превышать 16-ти символов.

Рис.55 Подтверждение нового пароля

Повторно введите тот же пароль в поле “Подтвердите новый пароль:” и


нажмите клавишу <Enter> (возврат к запросу нового пароля - <Esc>). Если при
определении пароля возникли ошибки, в Строке сообщений появится
соответствующее сообщение. В этом случае нажмите любую клавишу и повторите
ввод пароля еще раз.
Если оба значения пароля совпали и длина пароля (в символах) не меньше
заданной минимальной длины пароля, на экране появится запрос, подобный
представленному на Рис.56.

Рис.56 Запрос персонального идентификатора

Аккуратно приложите к считывателю персональный идентификатор (возврат к


меню администратора - <Esc>). При неуспешной записи информации в
идентификатор в Строке сообщений появится сообщение об ошибке. В этом
случае повторно приложите идентификатор к считывателю.
52 Программно-аппаратный комплекс “Соболь-PCI”

После записи в идентификатор служебной информации, соответствующей


новому паролю, и обновления информации в ОЗУ платы Электронный замок на
экране появится диалог, подобный представленному на Рис.57.

Рис.57 Установка нового пароля для резервной копии персонального


идентификатора администратора

Если при инициализации системы Электронный замок Вами были созданы


резервные копии персонального идентификатора администратора, Вы можете
установить новый пароль также и для этих копий.
Рекомендуется устанавливать новый пароль для всех имеющихся резервных
копий персонального идентификатора администратора. Это позволит Вам и
далее пользоваться этими резервными копиями.
Чтобы завершить процедуру смены пароля без установки нового пароля для
резервных копий, выберите (клавишами ‘ ’ или ‘ ’) в меню “Варианты выбора”
пункт “Нет”и нажмите клавишу <Enter> (<Esc> - возврат к меню администратора). В
этом случае осуществится возврат к меню администратора (см. Рис.51 на стр.50).
Чтобы установить новый пароль для резервной копии, выберите пункт “Да” и
нажмите клавишу <Enter>. На экране появится запрос, подобный представленному
на Рис.58.

Рис.58 Запрос персонального идентификатора

Аккуратно приложите к считывателю персональный идентификатор,


являющийся резервной копией идентификатора администратора (возврат к
предыдущему диалогу - <Esc>). При неуспешной записи информации в
идентификатор в Строке сообщений появится сообщение об ошибке. В этом
случае повторно приложите идентификатор к считывателю.
После записи новой служебной информации в идентификатор и обновления
информации в ОЗУ платы Электронный замок на экране вновь появится диалог,
представленный на Рис.57. При необходимости повторите процедуру обновления
резервной копии Вашего персонального идентификатора.
Руководство администратора 53

4.5. Настройка подсистемы контроля целостности


Перед тем как использовать в работе подсистему контроля целостности,
необходимо настроить параметры ее работы. Для этого выполните следующие
действия:
• установите на компьютер программу формирования шаблонов контроля
целостности (см. П.2.1. на стр.13);
• сформируйте шаблоны заданий на контроль целостности (см. П.4.5.1. на
стр.53);
• выполните расчет эталонных значений контрольных сумм для проверяемых
объектов (см. П.4.5.2. на стр.59).

Если при работе в Windows NT или Windows 2000 Вы осуществили смену имен
логических дисков с помощью программы Disk Manager, заново создайте
шаблоны заданий на контроль целостности и рассчитайте эталонные
значения контрольных сумм для проверяемых объектов.

4.5.1. Как сформировать шаблоны заданий на контроль целостности


Шаблоны заданий на контроль целостности (шаблоны контроля целостности)
содержат информацию о местоположении контролируемых файлов на жестком
диске (полный путь к ним) и координаты контролируемых секторов жесткого диска.
Для формирования этих шаблонов используется программа SCHECK.EXE.
Запустите программу SCHECK.EXE. Для этого откройте главное меню Windows
и выберите меню ; выберите подменю
; в этом подменю выберите пункт
и нажмите левую кнопку мыши.

Если плата Электронный замок не установлена в компьютер, на экране


появится соответствующее предупреждение. Нажмите клавишу <Enter>,
чтобы продолжить работу с программой SCHECK.EXE.

На экране появится окно, подобное представленному на Рис.60. При запуске


программа SCHECK.EXE выполняет проверку существующих шаблонов контроля
целостности и осуществляет построение дерева файловой структуры жесткого диска
(дисков) компьютера. Этот процесс отображается в нижней части окна программы в
строке “Построение дерева каталогов…”, и может быть остановлен до своего
завершения при нажатии на кнопку .
Если при проверке шаблонов контроля целостности файлов обнаружен файл,
включенный в шаблон, но отсутствующий на жестком диске компьютера, на экране
появится запрос, подобный представленному на Рис.59.

Рис.59 Подтверждение удаления файла из шаблона


54 Программно-аппаратный комплекс “Соболь-PCI”

Нажмите кнопку , чтобы исключить данный файл из списка


контролируемых файлов. Иначе нажмите кнопку .
Если в ходе проверки целостности контролируемых объектов,
осуществляющейся при входе пользователя в систему, файл, включенный в
список контролируемых файлов, не будет найден на жестком диске
компьютера, пользователь не сможет выполнить загрузку операционной
системы и компьютер будет заблокирован. (Исключение составляют
администратор и те пользователи, для которых установлен “мягкий” режим
работы подсистемы контроля целостности.)

Используйте кнопку (или ), чтобы исключить (или не


исключать) из списка контролируемых файлов все файлы, которые при проверке
шаблона не будут найденные на жестком диске компьютера. При этом данный
запрос больше не будет появляться на экране.

Рис.60 Окно программы SCHECK.EXE


Диалоги окна программы SCHECK.EXE позволяют выбрать объекты,
целостность которых требуется контролировать, и сохранить список этих объектов в
специальных файлах - шаблонах контроля целостности. Чтобы приступить к
формированию шаблона, активизируйте (выберите с помощью мыши) закладку,
содержащую название объекта ( или ).
Запрещается включать в шаблоны контроля целостности файлы и сектора
логических дисков, являющихся наборами томов Windows NT или Windows 2000
(volume set и stripe set).

Для вызова на экран справочной информации нажмите кнопку .


Руководство администратора 55

Для завершения работы с программой SCHECK.EXE нажмите кнопку


. Если Вы не вносили изменений в содержание шаблонов контроля
целостности, окно программы будет немедленно закрыто.
Если Вы внесли изменения в содержание шаблонов контроля целостности и не
сохранили эти изменения, на экране появится запрос, подобный приведенным на
рисунке Рис.61.

Рис.61 Подтверждение сохранения выбранных объектов

Нажмите кнопку , чтобы сохранить список выбранных объектов в


соответствующих файлах шаблонов (BOOTFILE.NAM или BOOTSECT.NAM). После
успешного сохранения окно программы SCHECK.EXE будет закрыто.
Для отказа от сохранения нажмите кнопку . Чтобы продолжить
работу с программой SCHECK.EXE, нажмите кнопку (клавишу <Esc>).

4.5.1.1. Как определить перечень проверяемых файлов


Диалог, подобный представленному на Рис.62, предназначен для формирования
шаблона задания на контроль целостности файлов.

Рис.62 Формирование шаблона контроля целостности файлов


56 Программно-аппаратный комплекс “Соболь-PCI”

Этот диалог позволяет определить файлы (а также каталоги, содержащие


проверяемые файлы), которые будут включены в список проверяемых файлов и
сохранены в файле шаблона задания на контроль целостности (BOOTFILE.NAM).
Категорически запрещается включать в список проверяемых файлов
следующие файлы шаблонов заданий на контроль целостности:
BOOTFILE.CHK и BOOTFILE.NAM из каталога C:\SOBOL.

В центре диалога отображается файловая структура жесткого диска (дисков)


компьютера, представленная в виде дерева. Для просмотра этой структуры,
используйте стандартные операции над деревом объектов, принятые в Windows, а
также полосу прокрутки, расположенную справа.
Все файлы, включенные в список проверяемых файлов в предыдущем сеансе
работы с программой SCHECK.EXE, а также каталоги, содержащие такие
файлы, отмечены символом .

Поле “Выбрано файлов:” содержит общее число файлов, включенных в


список проверяемых файлов, а поле “Общий размер:” - суммарный размер всех
выбранных файлов в байтах.
Чтобы выбрать файл (включить его в список проверяемых файлов) - отметьте
его символом . Для этого подведите курсор мыши к пиктограмме файла ( ) и
нажмите правую кнопку мыши.
Если требуется выбрать несколько файлов, расположенных подряд,
установите отметку на первый из выбираемых файлов, затем подведите
курсор мыши к пиктограмме файла, завершающего ряд выбираемых файлов, и,
удерживая нажатой клавишу <Ctrl> или <Shift>, нажмите правую кнопку мыши.
Пиктограмма файла, выбираемого последним, не должна содержать отметки.
Для выбора файлов, содержащихся в каталоге, подведите курсор мыши к
пиктограмме каталога ( ) и нажмите правую кнопку мыши. Выбор файлов в
каталоге осуществляется по их расширениям в соответствии с критерием, заданным
в поле “Фильтр:”. После выполнения операции каталог, его подкаталоги и все
выбранные файлы отмечаются символом (например - и ).
Чтобы отменить выбор файла (исключить его из списка проверяемых файлов) -
снимите отметку. Для этого подведите курсор мыши к пиктограмме выбранного
ранее файла ( ) и нажмите правую кнопку мыши.
Снятие отметки с нескольких файлов, расположенных подряд, выполняется
также как и выбор нескольких файлов. При этом файл, завершающий ряд
обрабатываемых файлов, должен быть обязательно отмечен.
Для отмены выбора файлов, содержащихся в каталоге, подведите курсор мыши
к пиктограмме каталога ( ), файлы которого были ранее выбраны, и нажмите
правую кнопку мыши. Снятие отметки с файлов, содержащихся в каталоге,
осуществляется в соответствии с критерием, заданным в поле “Фильтр:”.
Чтобы задать критерий (фильтр), определяющий выбор (или отмену выбора)
файлов по заданным расширениям при выполнении операций над каталогами,
введите с клавиатуры в поле “Фильтр:” полные расширения файлов, которые
необходимо отметить (или с которых нужно снять отметку), например – “*.DLL,
*.SYS, *.EXE, *.DRV, *.COM”. Маски при задании расширений не поддерживаются.
Руководство администратора 57

Символ ‘*’ является необязательным параметром, его можно не указывать. Одно


расширение отделяется от другого символами ‘,’ (“запятая”), ‘;’ (“точка с запятой”)
или ‘ ’ (“пробел”). Для отметки файлов с произвольными расширениями введите
“*.*” или “.*”. Редактирование списка расширений осуществляется стандартными
операциями редактирования текста. Ранее заданные значения фильтра сохраняются
и могут быть повторно использованы. Для этого нажмите кнопку и выберите из
открывшегося списка нужное значение фильтра.

Если необходимо снять отметки со всех файлов, выбранных в настоящий


момент, нажмите кнопку и подтвердите свое решение, нажав кнопку
в появившемся на экране окне запроса.
Вы также можете осуществить выбор файлов, включаемых в шаблон контроля
целостности файлов по умолчанию. Для этого нажмите кнопку
(кнопка активна только в том случае, если список выбранных файлов отличается от
принятого по умолчанию) и подтвердите свое решение, нажав кнопку в
появившемся на экране окне запроса. Этот процесс отображается в нижней части
окна программы в строке “Создание списка файлов по умолчанию…”, и
может быть остановлен до своего завершения при нажатии на кнопку .

Выбрав все файлы, подлежащие проверке, нажмите кнопку , чтобы


записать список выбранных файлов в файл шаблона (BOOTFILE.NAM). На экране
появится запрос, подобный представленному на Рис.63.

Рис.63 Подтверждение сохранения выбранных файлов

Нажмите кнопку , чтобы сохранить список выбранных файлов. Для


отказа от сохранения нажмите кнопку .

4.5.1.2. Как определить перечень проверяемых секторов жесткого диска


Диалог, подобный представленному на Рис.64, предназначен для формирования
шаблона задания на контроль целостности физических секторов жесткого диска.
58 Программно-аппаратный комплекс “Соболь-PCI”

Рис.64 Формирование шаблона для контроля целостности секторов

Этот диалог позволяет определить сектора жесткого диска (дисков), которые


будут включены в список проверяемых секторов и сохранены в файле шаблона
задания на контроль целостности (BOOTSECT.NAM). В центре окна отображается
структура жесткого диска (дисков) компьютера, представленная в виде дерева. Для
просмотра этой структуры, используйте стандартные операции над деревом
объектов, принятые в Windows, а также полосу прокрутки, расположенную справа.
Все сектора, включенные в список проверяемых секторов в предыдущем сеансе
работы с программой SCHECK.EXE, отмечены символом .
Чтобы выбрать сектор (включить в список проверяемых секторов) - отметьте его
символом . Для этого подведите курсор мыши к пиктограмме сектора (например,
) и нажмите правую кнопку мыши.
Чтобы отменить выбор сектора (исключить из списка проверяемых секторов) -
снимите отметку. Для этого подведите курсор мыши к пиктограмме выбранного
ранее сектора (например, ) и нажмите правую кнопку мыши.

Если необходимо снять отметки со всех секторов, выбранных в настоящий


момент, нажмите кнопку и подтвердите свое решение, нажав кнопку
в появившемся на экране окне запроса.
Вы также можете осуществить выбор секторов, включаемых в шаблон по
умолчанию. Для этого нажмите кнопку (кнопка активна только в том
случае, если список выбранных секторов отличается от принятого по умолчанию) и
подтвердите свое решение, нажав кнопку в появившемся на экране
окне запроса.
Руководство администратора 59

Выбрав все сектора, подлежащие проверке, нажмите кнопку ,


чтобы записать список выбранных секторов в файл шаблона (BOOTSECT.NAM). На
экране появится запрос, подобный представленному на Рис.63.

Рис.65 Подтверждение сохранения выбранных секторов

Нажмите кнопку , чтобы сохранить список выбранных секторов.


Для отказа от сохранения нажмите кнопку .

4.5.2. Как рассчитать эталонные значения контрольных сумм


После того как сформированы шаблоны заданий на контроль целостности,
необходимо выполнить расчет эталонных значений контрольных сумм для объектов
(файлов и секторов), заданных сформированными шаблонами.
При установленном режиме совместного использования системы Электронный
замок (см. П.4.2. на стр.31; описание параметра “Плата функционирует в
автономном режиме”) расчет контрольных сумм может быть выполнен как
средствами Электронного замка, так и с помощью средств той системы защиты
семейства Secret Net, совместно с которой функционирует Электронный замок.

Если шаблон заданий на контроль целостности сформирован, но не выполнен


расчет контрольных сумм, подсистема контроля целостности не будет
работать правильно. В этом случае зарегистрированные пользователи (кроме
администратора и тех пользователей, для которых установлен “мягкий” режим
работы подсистемы контроля целостности) не смогут войти в систему.

4.5.2.1. Расчет контрольных сумм в режиме совместного использования


При совместном использовании системы Электронный замок с системой защиты
семейства Secret Net (Secret Net 9x, Secret Net NT) процедурой расчета эталонных
значений контрольных сумм можно управлять из программы подготовки шаблонов.
Для выбора режима расчета эталонных значений контрольных сумм объектов,
заданных сформированными шаблонами, нажмите в окне программы подготовки
шаблонов кнопку (см. Рис.62 на стр.55 или Рис.64 на стр.58). На
экране появится запрос, подобный представленному на Рис.66.
60 Программно-аппаратный комплекс “Соболь-PCI”

Рис.66 Выбор режима расчета контрольных сумм

При совместном использовании Электронного замка с системой защиты Secret


Net NT диалог выбора режима на экран не выводится. Расчет контрольных
сумм всегда выполняется средствами Электронного замка по заданию,
переданному системой Secret Net NT.

Отметьте поле “Программный”, чтобы немедленно рассчитать значения


контрольных сумм средствами системы Secret Net 9x.
Отметьте поле “Электронным замком”, чтобы рассчитать значения
контрольных сумм средствами Электронного замка. В этом случае система защиты
Secret Net передаст задание на перерасчет контрольных сумм Электронному замку.
Выполнение этого задания осуществляется автоматически при первом входе любого
пользователя в систему Электронный замок. При этом процесс расчета
отображается на экране подобно тому, как это показано на Рис.68.
Нажмите кнопку , чтобы подтвердить выбор режима. Для отказа от
расчета нажмите кнопку .

4.5.2.2. Расчет контрольных сумм средствами Электронного замка


Перезагрузите компьютер и войдите в систему с правами администратора.
Выберите с помощью клавиш ‘ ’ или ‘ ’ в меню администратора системы пункт
“Расчет контрольных сумм”, как это показано на Рис.67, и нажмите клавишу
<Enter>.

Пункт “Расчет контрольных сумм” не будет присутствовать в меню


администратора, если общий параметр “Контролировать целостность
файлов” имеет значение ‘Нет’ (см. П.4.2. на стр.31), т.е. в том случае, когда
подсистема контроля целостности отключена.

Рис.67 Меню администратора (расчет контрольных сумм)


Руководство администратора 61

Начнется расчет эталонных значений контрольных сумм для объектов, заданных


шаблонами заданий на контроль целостности. При этом на экране появится окно,
подобное представленному на Рис.68, которое отображает процесс расчета
контрольных сумм. Вы можете прервать это процесс, нажав клавишу <Esc>.

Рис.68 Расчет контрольных сумм

Поле “Текущий статус:” содержит полосу прогресса, отображающую


процесс расчета контрольной суммы для текущего объекта, а поле “Осталось
обработать:” содержит число объектов (файлов и секторов), для которых еще
осталось рассчитать контрольные суммы.
В Строке сообщений отображается число ошибок (поле “Найдено
ошибок:”), возникших при расчете контрольных сумм.
Расчет контрольных сумм считается завершившимся успешно, если в процессе
расчета не зафиксировано ни одной ошибки (поле “Найдено ошибок:” содержит
значение “0”). В этом случае осуществляется возврата к меню администратора.
Если при расчете контрольных сумм не найден один из файлов, заданных
шаблоном заданий на контроль целостности, процедура расчета контрольных сумм
прерывается, а на экран выводится соответствующее сообщение об ошибке, подобно
тому, как это показано на Рис.69. Нажмите любую клавишу для продолжения
расчета.
62 Программно-аппаратный комплекс “Соболь-PCI”

Рис.69 Ошибки при расчете контрольных сумм

При возникновении ошибок откорректируйте шаблоны заданий на контроль


целостности, исключив из них файлы, отсутствующие на диске (см. П.4.5.1. на
стр.53), и заново произведите расчет эталонных значений контрольных сумм.
Подробный список сообщений об ошибках, отображаемых на экране при
проведении контроля целостности, сдержится в П.B.3. на стр.75.

4.6. Просмотр записей системного журнала


Системный журнал предназначен для хранения записей о событиях,
регистрируемых системой Электронный замок при осуществлении пользователями
попыток входа в систему. Записи системного журнала хранятся в специальной
области ОЗУ платы Электронный замок. Размер этой области памяти ограничен и
позволяет хранить не более 80 записей о регистрируемых событиях.
При заполнении всей области памяти для хранения системного журнала новые
записи сохраняются на месте уже существующих записей, затирая их. Если
системный журнал полностью заполнен (хранит 80 записей), следующая запись,
сохраняемая в журнале, заменит запись, сохраненную в журнале ранее других
(самую старую запись).
Для просмотра записей системного журнала выберите (клавишами ‘ ’ или ‘ ’)
в меню администратора пункт “Работа с журналом регистрации событий”,
как это показано на Рис.70, и нажмите клавишу <Enter>.
Руководство администратора 63

Рис.70 Меню администратора (просмотр системного журнала)

Если системный журнал пуст (не содержит ни одной записи), в Строке


сообщений появится следующее сообщение:
Журнал регистрации событий пуст

Для возврата к меню администратора нажмите любую клавишу.


Если системный журнал содержит регистрационные записи, на экране появится
изображение, подобное представленному на Рис.71.

Рис.71 Просмотр системного журнала

Окно “Журнал регистрации событий” содержит список записей, представленный


в виде таблицы. Записи приводятся в порядке убывания времени регистрации
соответствующих им событий, т.е. вверху списка содержится запись о событии,
произошедшем последним, а внизу списка содержится запись о событии, произошедшем
ранее всех остальных. Просмотр записей осуществляется клавишами ‘ ’ и ‘ ’.
Столбцы таблицы содержат следующие сведения о зарегистрированных
событиях:
• первый ( ) и второй ( ) столбцы содержат соответственно время (в
формате - часы : минуты) и дату (в формате - день / месяц / год) момента
регистрации события;
64 Программно-аппаратный комплекс “Соболь-PCI”

• третий столбец ( ) содержит имя пользователя, действия которого при


попытке входа в систему вызвали регистрацию события. Если при входе в
систему был предъявлен персональный идентификатор, не принадлежащий
ни одному из зарегистрированных пользователей, - третий столбец содержит
тип идентификатора, а четвертый ( ) - номер этого идентификатора;
• пятый столбец ( ) содержит описание зарегистрированных событий
(полный перечень регистрируемых событий приводится в Табл.1).

Если Вы удалите пользователя, в регистрационные записи системного


журнала, связанные с именем этого пользователя, будут внесены следующие
изменения. Третий столбец ( ) вместо имени этого пользователя
отобразит тип персонального идентификатора, принадлежавшего
пользователю, а четвертый столбец ( ) - номер этого идентификатора.

При необходимости все записи системного журнала могут быть удалены. (Если
установлен режим совместного использования системы Электронный замок,
удаление записей журнала запрещено.) Для удаления записей нажмите клавишу
<Del>. В Строке сообщений появится запрос:

Для подтверждения нажмите Enter, для отказа нажмите Esc

Нажмите клавишу <Enter>, чтобы подтвердить удаление регистрационных


записей. В результате вся информация, хранящаяся в системном журнале, будет
уничтожена. Для отказа от удаления - нажмите клавишу <Esc>.
Для выхода из режима просмотра системного журнала и возврата к меню
администратора нажмите клавишу <Esc>.
Руководство администратора 65

Табл.1 События, регистрируемые системой “Электронный замок”


Наименование события Пояснения
Вход администратора Вход в систему осуществил администратор
Вход пользователя Пользователь осуществил успешный вход в систему
Добавлен новый Администратор добавил нового пользователя в список
пользователь пользователей системы Электронный замок
Администратор удалил пользователя из списка пользователей
Пользователь удален системы Электронный замок
При осуществлении попытки входа в систему был предъявлен
персональный идентификатор, принадлежащий
Неправильный пароль зарегистрированному пользователю, но пароль был указан
неверно
При осуществлении попытки входа в систему был предъявлен
Идентификатор не персональный идентификатор, не принадлежащий ни одному из
зарегистриров. пользователей, зарегистрированных на данном компьютере, или
при входе администратора был указан неверный пароль
При проверке целостности объектов, осуществлявшейся перед
загрузкой операционной системы, обнаружено несовпадение
Ошибка при контроле
эталонных значений контрольных сумм проверяемых объектов и
целостности их текущих значений для одного из проверяемых объектов или
отсутствуют файлы шаблонов контроля целостности
Администратор не сконфигурировал подсистему контроля
целостности после инициализации системы Электронный замок
Не рассчитаны
(не выполнил расчет эталонных значений контрольных сумм для
контрольные суммы контролируемых объектов). По этой причине компьютер был
заблокирован при попытке входа пользователя в систему
Пользователь Пользователь, вход которого в систему блокирован, осуществил
заблокирован попытку входа в систему
Количество неудачных попыток входа данного пользователя в
Превышено число систему превысило ограничение, заданное значением общего
попыток входа параметра “Предельное число неудачных входов
пользователя” (см. П.4.2. на стр.31)
Система Электронный замок переведена в автономный режим
Переход в автономный
работы (см. П.4.2. на стр.31; описание пункта “Плата
режим функционирует в автономном режиме”)
Система Электронный замок переведена в режим совместного
Переход в сетевой использования с другими системами защиты (см. П.4.2. на стр.31;
режим описание пункта “Плата функционирует в автономном
режиме”)
Удаление системного Зафиксирован факт удаления записей системного журнала
журнала
Обработаны внешние Запросы данных из ОЗУ платы Электронный замок, поступившие
запросы от внешних программ, обработаны без ошибок
Ошибка КС внешнего Не идентифицирована внешняя программа, от которой поступил
запроса запрос на доступ к ОЗУ платы Электронный замок
Ошибка внешнего Невозможно обработать запрос данных из ОЗУ платы
запроса Электронный замок, поступивший от внешней программы.
От внешней программы получен и обработан запрос на удаление
Запрос Все
из списка пользователей всех пользователей системы
пользователи удалены Электронный замок
От внешней программы получен и обработан запрос на
Запрос Добавление
добавление нового пользователя в список пользователей системы
пользователя Электронный замок
От внешней программы получен и обработан запрос на удаление
Запрос Удаление
пользователя из списка пользователей системы Электронный
пользователя замок
66 Программно-аппаратный комплекс “Соболь-PCI”

Приложение A. Настройка параметров работы


платы Электронный замок

Настройка параметров работы платы Электронный замок осуществляется с


помощью перемычек, размещенных на плате. На Рис.72 представлена схема
расположения перемычек на плате Электронный замок.

Рис.72 Расположение перемычек на плате Электронный замок

Контакты реле R0-R1-R2 используются для подключения интерфейсных


кабелей, обеспечивающих работу подсистему запрета загрузки со съемных
носителей.

A.1. Как установить режим работы платы


Режим работы платы Электронный замок определяется положением перемычек
на контактах J0-J1, размещенных на плате (см. Рис.72).
Режим инициализации платы устанавливается снятием перемычек,
установленных на контактах J0-J1.
Для переключения платы в режим обычной работы, установите перемычки на
контакты J0-J1.

A.2. Как подключить считыватель


В комплект поставки платы Электронный замок может входить внешний или
внутренний считыватель персональных идентификаторов Touch Memory.
Руководство администратора 67

Для подключения внешнего считывателя подсоедините штекер считывателя к


разъему платы Электронный замок, расположенному на крепежной планке (см.
Рис.72), и закрепите штекер крепежными винтами.
Для подключения внутреннего считывателя подсоедините штекер считывателя к
разъему TM, расположенному на самой плате Электронный замок (см. Рис.72).

A.3. Как подключить интерфейсные кабели подсистемы запрета


загрузки со съемных носителей
• отключите стандартные интерфейсные кабели, входящие в комплект поставки
компьютера, от устройства чтения гибких дисков (НГМД) и от устройства
чтения CD-ROM дисков. Если в комплект поставки системы Электронный
замок входит кабель, обеспечивающий блокировку электропитания
устройства чтения CD-ROM дисков, - отключите кабель, обеспечивающий
электропитание устройства чтения CD-ROM дисков, от этого устройства;
• подключите к этим устройствам интерфейсные кабели, входящие в комплект
поставки системы Электронный замок. Если в комплект поставки системы
Электронный замок входит кабель, обеспечивающий блокировку
электропитания устройства чтения CD-ROM дисков, - подключите этот
кабель к разъему стандартного кабеля электропитания (отключенного Вами
от данного устройства). Затем подключите кабель блокировки
электропитания устройства чтения CD-ROM дисков к разъему
электропитания данного устройства;
• подсоедините двухштырьковый разъем, имеющийся на интерфейсных
кабелях системы Электронный замок (а также, на кабеле блокировки
электропитания устройства чтения CD-ROM дисков) к любому из контактов
реле R0-R1-R2 платы Электронный замок (см. Рис.72).

Отключение кабелей, обеспечивающих работу подсистемы запрета загрузки со


съемных носителей, выполняется в порядке, обратном указанному выше.
68 Программно-аппаратный комплекс “Соболь-PCI”

Приложение B. Сообщения Электронного замка

B.1. Сообщения о событиях, приводящих к блокировке


компьютера
В системе Электронный замок ряд событий может приводить к блокировке
компьютера. При этом на экран (в Строке сообщений) выводится сообщение о
характере события, приведшего к блокировке компьютера. Затем (при нажатии
любой клавиши) компьютер блокируется, и на экране появляется сообщение:
Компьютер заблокирован...

Причина: Произошло одно из событий, приводящих к блокировке компьютера.


Действие: Выясните причину блокировки компьютера.

Следующие сообщения могут предшествовать блокировке компьютера


(сообщения приведены в алфавитном порядке):
Для нормальной работы платы требуется процессор 486 и выше

Причина: Для нормальной работы платы Электронный замок необходим


процессор класса не ниже i486. Данный компьютер не удовлетворяет
предъявляемому требованию. Компьютер блокируется для входа всех
пользователей, в том числе для входа администратора.
Действие: Установите плату Электронный замок на компьютер с требуемыми
характеристиками процессора.
Нарушена целостность внутренних структур

Причина: При записи значений настроек системы в ОЗУ платы Электронный


замок произошел сбой (по техническим причинам, например, внезапно
отключено питание компьютера, или в результате изменения
энергонезависимой памяти платы Электронный замок). В результате
этого текущие значения контрольных сумм настроек (общие параметры,
список пользователей, журнал регистрации и т.д.), рассчитываемые при
старте системы, не совпали с эталонными значениями контрольных
суммы. Компьютер заблокирован для входа всех пользователей кроме
администратора.
Действие: Возможны два варианта действий. В первом случае, если нарушена
ключевая информация (при этом администратор не сможет войти в
систему), проведите инициализацию системы Электронный замок (см.
П.2.3. на стр.16). Во втором случае возможен вход в систему с правами
администратора. При появлении на экране этого сообщения выполните
перерасчет эталонных значений контрольных сумм настроек системы,
нажав клавишу <Enter>. Затем проверьте корректность настроек. Если
нарушены настройки общих параметров или списка пользователей,
повторно выполните их настройку (см. П.4.2. на стр.31 и П.4.3.2. на
Руководство администратора 69

стр.40). Если нарушена целостность журнала регистрации, очистите


журнал (см. П.4.6. на стр.62).
Нарушена целостность журнала регистрации событий

Причина: При записи в журнал произошел сбой (по техническим причинам,


например, внезапно отключено питание компьютера, или в результате
изменения энергонезависимой памяти платы Электронный замок). В
результате этого текущее значение контрольной суммы журнала,
рассчитываемое при старте системы, не совпало с эталонным значением
контрольной суммы. Компьютер заблокирован для входа всех
пользователей кроме администратора.
Действие: Очистите журнал регистрации событий (см. П.4.6. на стр.62).

Нарушена целостность списка пользователей

Причина: При записи информации в список пользователей произошел сбой (по


техническим причинам, например, внезапно отключено питание
компьютера, или в результате изменения энергонезависимой памяти
платы Электронный замок). В результате этого текущее значение
контрольной суммы списка пользователей, рассчитываемое при старте
системы, не совпало с эталонным значением контрольной суммы.
Компьютер заблокирован для входа всех пользователей кроме
администратора.
Действие: Перезагрузите компьютер. Если сбой повторяется, заново произведите
регистрацию пользователей компьютера (см. П.4.3.2. на стр.40). При
повторении ситуации обратитесь к поставщику системы Электронный
замок.
Не удается выбрать для работы внешний считыватель персонального
идентификатора

Причина: Неисправен внешний считыватель, или используется неверный тип


внешнего считывателя. Компьютер блокируется для входа всех
пользователей, в том числе для входа администратора.
Действие: Замените внешний считыватель.

Не удается определить адрес платы

Sobol Card: Failed to detect the board. System is halted…

Причина: При старте системы Электронный замок не найден порт ввода/вывода,


адрес которого находится в диапазоне адресов портов ввода/вывода,
используемых в системе Электронный замок. Компьютер блокируется
для входа всех пользователей, в том числе для входа администратора.
Действие: Проверьте исправность платы Электронный замок и разъема системной
шины PCI, в который установлена плата.
70 Программно-аппаратный комплекс “Соболь-PCI”

Соболь: Невозможно найти свободный сегмент памяти для продолжения


работы

Sobol Card: Failed to find a free memory segment to relocate ROM to. System is
halted…

Причина: В первых 640 Кб оперативной памяти компьютера недостаточно


свободного места для работы системы Электронный замок. Компьютер
блокируется для входа всех пользователей, в том числе для входа
администратора.
Действие: Необходимо обеспечить загрузку расширения BIOS платы Электронный
замок до загрузки расширений BIOS других аппаратных устройств,
которыми оборудован компьютер.
Производится поиск подходящего сегмента памяти

Причина: Система Электронный замок пытается найти необходимое для работы


свободное место в первых 640 Кб оперативной памяти компьютера.
Действие: Не требуются.

Ошибка чтения ОЗУ

Причина: Произошла ошибка при чтении внутреннего ОЗУ системы Электронный


замок. Компьютер блокируется для входа всех пользователей, в том
числе для администратора.
Действие: Перезагрузите компьютер. Если сообщение вновь появилось на экране,
проверьте исправность платы Электронный замок и разъема, к которому
она подключена.
Ошибка записи ОЗУ

Причина: Произошла ошибка при записи информации в ОЗУ системы


Электронный замок. Компьютер блокируется для входа всех
пользователей, в том числе для администратора.
Действие: Перезагрузите компьютер. Если сообщение вновь появилось на экране,
проверьте исправность платы Электронный замок и разъема, к которому
она подключена.
Нарушена целостность ОЗУ

Причина: Выявлены нарушения в структуре ОЗУ системы Электронный замок.


Компьютер блокируется для входа всех пользователей, в том числе для
администратора.
Действие: Перезагрузите компьютер. Если сообщение вновь появилось на экране,
проверьте исправность платы Электронный замок и разъема, к которому
она подключена. Если ошибку устранить не удалось, выполните
инициализацию системы Электронный замок (см. П.2.3. на стр.16).
Руководство администратора 71

Вы превысили предельное число неудачных попыток входа

Причина: Количество неудачных попыток входа данного пользователя в систему


превысило величину параметра “Предельное число неудачных
входов пользователя” (см. П.4.2. на стр.31). Компьютер блокируется
для входа данного пользователя.
Действие: Сбросьте число неудачных попыток входа в систему для данного
пользователя (см. П.4.3.5.1. на стр.47).
Подсистема контроля целостности не сконфигурирована

Причина: На компьютере не сконфигурирована подсистема контроля целостности.


Компьютер заблокирован для входа всех пользователей, кроме
администратора и тех пользователей, для которых установлен “мягкий”
режим работы подсистемы контроля целостности.
Действие: Выполните настройку подсистемы контроля целостности (см. П.4.5. на
стр.53).
Ваш вход в систему запрещен Администратором

Причина: Администратор запретил работу данного пользователя (для параметра


“Текущий статус пользователя:” установлено значение
“блокирован”). Компьютер блокируется для входа данного
пользователя.
Действие: При необходимости разрешите пользователю работу на компьютере,
установив значение “не блокирован” для параметра “Текущий
статус пользователя:” (см. П.4.3.5.2. на стр.48).
Тест датчика случайных чисел завершился с ошибкой

Причина: При старте системы Электронный замок происходит тестирование


датчика случайных чисел. Если результат тестирования не
соответствует требованиям ГОСТ, компьютер блокируется для входа
всех пользователей, в том числе для входа администратора.
Действие: Перезагрузите компьютер. При повторе ошибки тестирования проверьте
правильность подключения платы Электронный замок и
работоспособность разъема шины PCI, к которому она подключена.
Тест корректности работы процессора завершился с ошибкой

Причина: При старте системы Электронный замок происходит тестирование


корректности работы процессора. Если обнаружено, что процессор
работает некорректно (неправильно выполняет команды переходов,
арифметические операции и т.д.), то компьютер блокируется для входа
всех пользователей, в том числе и для входа администратора.
Действие: Проверьте исправность процессора.
72 Программно-аппаратный комплекс “Соболь-PCI”

Чтение flash-памяти завершилось с ошибкой

Причина: Произошла ошибка при чтении flash-памяти системы Электронный


замок. Компьютер блокируется для входа всех пользователей, в том
числе для входа администратора.
Действие: Проверьте исправность платы Электронный замок и разъема шины PCI,
к которому она подключена.
Целостность кода нарушена

Причина: Нарушена целостность кода прошивки платы Электронный замок, или


неверно выполняется алгоритм контроля целостности. Компьютер
блокируется для входа всех пользователей, в том числе для входа
администратора.
Действие: Удалите плату Электронный замок из компьютера и проверьте
корректность функционирования ОЗУ компьютера с помощью
доступных тестов.

B.2. Информационные сообщения


Некоторые сообщения программы являются информационными и носят
характер предупреждения.
Введенное имя уже зарегистрировано

Причина: При регистрации пользователя в системе Электронный замок


использовано имя пользователя, уже зарегистрированное в системе.
Действие: Введите другое имя пользователя.

Введенные пароли не совпадают

Причина: При регистрации пользователя (в том числе администратора) и при


смене личного пароля (пользователя и администратора) осуществляется
процедура подтверждения пароля. При несовпадении введенных
вариантов пароля на экран выводится приведенное выше сообщение.
Действие: Повторите ввод пароля.

Минимальная длина пароля … символа(ов)

Причина: При регистрации пользователя (в том числе администратора) и при


смене личного пароля (пользователя и администратора) введен пароль,
длина которого (в символах) меньше числа, заданного общим
параметром “Минимальная длина пароля пользователя” (см.
Рис.29 на стр.32).
Действие: Введите пароль допустимой длины.

Данный персональный идентификатор не администраторский

Причина: Предъявленный персональный идентификатор не принадлежит


администратору.
Действие: Предъявите персональный идентификатор администратора.
Руководство администратора 73

Данный персональный идентификатор не принадлежит текущему


пользователю

Причина: Предъявленный персональный идентификатор не принадлежит


текущему пользователю.
Действие: Предъявите персональный идентификатор текущего пользователя.

Данный персональный идентификатор ранее не использовался в системе

Причина: Предъявленный персональный идентификатор ранее не регистрировался


в системе.
Действие: Сообщение носит информационный характер и не влияет на ход
регистрации. Продолжите регистрацию.
Данный персональный идентификатор регистрируется впервые

Причина: Предъявленный персональный идентификатор ранее не регистрировался


в системе.
Действие: Сообщение носит информационный характер и не влияет на ход
регистрации. Продолжите регистрацию.
Персональный идентификатор испорчен

Причина: Предъявленный персональный идентификатор испорчен и не может


использоваться.
Действие: Используйте работоспособный персональный идентификатор.

Можно убрать персональный идентификатор…

Причина: Завершена процедура чтения информации из идентификатора или


записи информации в идентификатор.
Действие: Уберите идентификатор из считывателя.

Журнал регистрации событий пуст

Причина: Журнал регистрации событий не содержит записей.


Действие: Сообщение носит информационный характер. Продолжайте работу.

Модифицировано содержимое идентификатора или он не принадлежит


системе

Причина: При повторной регистрации пользователя (в том числе администратора)


обнаружено, что предъявленный идентификатор впервые
регистрируется в системе, или его содержимое изменено (умышленно, в
результате сбоя и т.п.).
Действие: Используйте идентификатор регистрируемого пользователя.

Неверный персональный идентификатор или пароль

Причина: Предъявлен незарегистрированный в системе персональный


идентификатор, или введен пароль, не соответствующий
предъявленному идентификатору.
Действие: Предъявите зарегистрированный в системе идентификатор, правильно
введите пароль.
74 Программно-аппаратный комплекс “Соболь-PCI”

Плотнее удерживайте персональный идентификатор!!!

Причина: Идентификатор приложен к считывателю не достаточно аккуратно,


информация не может быть считана.
Действие: Повторно приложите идентификатор к считывателю.

Старый пароль введен неверно

Причина: При смене личного пароля старый пароль введен с ошибкой.


Действие: Введите старый пароль правильно.

Старый пароль введен неверно или идентификатор не администраторский

Причина: При смене пароля администратора старый пароль введен с ошибкой, или
предъявлен идентификатор, не принадлежащий администратору.
Действие: Предъявите идентификатор администратора, правильно введите пароль.

Персональные идентификаторы типов ds1990A и ds1991 системой не


поддерживаются

Причина: Предъявлен персональный идентификатор DS1990A или DS1991, не


поддерживаемый системой Электронный замок.
Действие: Используйте идентификаторы DS1992, DS1993, DS1994, DS1995,
DS1996, поддерживаемые системой Электронный замок.

Персональный идентификатор уже зарегистрирован на данном компьютере

Причина: При регистрации нового пользователя предъявлен идентификатор,


принадлежащий другому пользователю, зарегистрированному на этом
компьютере.
Действие: Предъявите свободный идентификатор, не принадлежащий другим
пользователям данного компьютера.
Производится чтение из ОЗУ…

Причина: Выполняется операция чтения информации из ОЗУ платы Электронный


замок.
Действие: Сообщение носит информационный характер. Если это сообщение
слишком долго присутствует на экране, возможно, произошел сбой в
работе системы. В этом случае перезагрузите компьютер.
Производится запись в ОЗУ…

Причина: Выполняется операция записи информации в ОЗУ платы Электронный


замок.
Действие: Сообщение носит информационный характер. Если это сообщение
слишком долго присутствует на экране, возможно, произошел сбой в
работе системы. В этом случае перезагрузите компьютер.
Руководство администратора 75

B.3. Сообщения подсистемы контроля целостности


При расчете контрольных сумм объектов, заданных шаблоном заданий на
контроль целостности, на экран выводятся следующие сообщения об ошибках. В том
случае, если ошибочная ситуация возникла при проведении контроля целостности во
время входа пользователя в систему, компьютер блокируется для входа всех
пользователей, кроме администратора и тех пользователей, для которых установлен
“мягкий” режим работы подсистемы контроля целостности.
**** Не удается выделить память для работы

Причина: Для выполнения процедуры контроля целостности недостаточно


свободной памяти в первых 640 Кб памяти компьютера.
Действие: Необходимо обеспечить загрузку расширения BIOS платы Электронный
замок до загрузки расширений BIOS других аппаратных устройств,
которыми оборудован компьютер.
**** Файл для контроля секторов разрушен или не найден

Причина: Указанный файл шаблона контроля целостности секторов


(BOOTSECT.NAM или BOOTSECT.CHK) не найден или нарушена его
структура.
Действие: Выполните настройку подсистемы контроля целостности (см. П.4.5. на
стр.53), заново сформировав шаблон задания на контроль целостности
физических секторов жесткого диска.
**** Файл для контроля файлов разрушен или не найден

Причина: Указанный файл шаблона контроля целостности файлов


(BOOTFILE.NAM или BOOTFILE.CHK) не найден или нарушена его
структура.
Действие: Выполните настройку подсистемы контроля целостности (см. П.4.5. на
стр.53), заново сформировав шаблон задания на контроль целостности
файлов.
**** Ошибка при чтении файла для контроля секторов

Причина: При чтении информации из указанного файла шаблона контроля


целостности секторов (BOOTSECT.NAM или BOOTSECT.CHK)
произошла ошибка.
Действие: Выполните настройку подсистемы контроля целостности (см. П.4.5. на
стр.53), заново сформировав шаблон задания на контроль целостности
физических секторов жесткого диска.
**** Ошибка при записи файла для контроля секторов

Причина: При записи информации в указанный файл шаблона контроля


целостности секторов (BOOTSECT.NAM или BOOTSECT.CHK)
произошла ошибка.
Действие: Выполните настройку подсистемы контроля целостности (см. П.4.5. на
стр.53), заново сформировав шаблон задания на контроль целостности
физических секторов жесткого диска.
76 Программно-аппаратный комплекс “Соболь-PCI”

**** Ошибка при чтении файла для контроля файлов

Причина: При чтении информации из указанного файла шаблона контроля


целостности файлов (BOOTFILE.NAM или BOOTFILE.CHK) произошла
ошибка.
Действие: Выполните настройку подсистемы контроля целостности (см. П.4.5. на
стр.53), заново сформировав шаблон задания на контроль целостности
файлов.
**** Ошибка при записи файла для контроля файлов

Причина: При записи информации в указанный файл шаблона контроля


целостности файлов (BOOTFILE.NAM или BOOTFILE.CHK) произошла
ошибка.
Действие: Выполните настройку подсистемы контроля целостности (см. П.4.5. на
стр.53), заново сформировав шаблон задания на контроль целостности
файлов.
**** Изменилось содержимое сектора

Причина: Эталонное значение контрольной суммы указанного сектора не совпало


с текущим значением контрольной суммы, рассчитанным для этого
сектора. Содержимое сектора модифицировано.
Действие: Выясните и устраните причину, по которой содержимое сектора
изменилось. Выполните расчет эталонных значений контрольных сумм
(см. П.4.5.2. на стр.59).
**** Ошибка при чтении содержимого сектора

Причина: Для указанного сектора не удалось рассчитать текущее значение


контрольной суммы. Доступ к сектору на чтение завершился с ошибкой.
Действие: Выясните и устраните причину, по которой содержимое сектора
недоступно для чтения. Выполните расчет эталонных значений
контрольных сумм (см. П.4.5.2. на стр.59).
**** Изменилось содержимое файла, либо файл отсутствует

Причина: Эталонное значение контрольной суммы указанного файла не совпало с


текущим значением контрольной суммы, рассчитанным для этого
файла, либо файл не найден по указанному пути.
Действие: Выясните и устраните причину, по которой содержимое файла
изменилось, либо причину, по которой файл не найден. При
необходимости исключите этот файл из шаблона задания на контроль
целостности файлов (см. П.4.5.1. на стр.53), и заново выполните расчет
эталонных значений контрольных сумм (см. П.4.5.2. на стр.59).
Руководство администратора 77

**** Ошибка при чтении файла, либо файл отсутствует

Причина: Для указанного файла не удалось рассчитать текущее значение


контрольной суммы. Доступ к файлу на чтение завершился с ошибкой.
Действие: Выясните и устраните причину, по которой содержимое файла
недоступно для чтения. Если файл отсутствует по указанному пути,
исключите его из шаблона задания на контроль целостности файлов (см.
П.4.5.1. на стр.53), и заново выполните расчет эталонных значений
контрольных сумм (см. П.4.5.2. на стр.59).
**** Процесс остановлен по желанию администратора

Причина: Процесс расчета контрольных сумм для проверяемых объектов


остановлен администратором.
Действие: Не требуются.