 |
Терминальный вход: Опрос удаленных считывателей
|
|
|
|
При терминальном входе на защищенный Dallas Lock 8.0 компьютер, остается возможность работы с аппаратными идентификаторами за исключением USB-Flash-накопителей. Чтобы терминальный сервер «увидел» аппаратные идентификаторы, подключенные к клиенту, необходимо в свойствах RDP-клиента в разделе «Локальные устройства и ресурсы» поставить флажок «Последовательные порты» для носителей Touch Memory и «Смарт-карты» - для остальных поддерживаемых носителей (USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключиRutoken и Rutoken ЭЦП) (рис. 64).
Рис. 64. Настройка подключения к удаленному рабочему столу
| 4.4. Доверенная загрузка | 
|
Данный функционал доступен только для Dallas Lock 8.0 редакции «С».
Доверенная загрузка персональногокомпьютера необходима для того, чтобы воспрепятствовать несанкционированному запуску компьютера еще до этапа загрузки операционной системы. Это способ наиболее надежной защиты информации. Он обеспечивает высокую степень защищённости секретной и конфиденциальной информации.
Функция доверенной загрузки доступна в системе защиты Dallas Lock 8.0 редакции «C», её обеспечивает специальный модуль доверенной загрузки.
Активированный модуль доверенной загрузки позволяет следующее:
1. Администратору безопасности назначать Pin-коды пользователям, необходимые для загрузки ПК.
2. Создавать преобразованные области жесткого диска.
Прозрачное преобразование (кодирование) дисков необходимо для защиты работы с данными на жестких дисках в обход системы защиты Dallas Lock 8.0. Данный механизм доступен только при включенном модуле доверенной загрузки.
Модуль доверенной загрузки в терминах Dallas Lock 8.0 называется загрузчиком. Авторизация в модуле доверенной загрузки осуществляется только по PIN-коду, без использования аппаратной идентификации.
|
|
|
| 4.4.1. Включение модуля доверенной загрузки | 
|
Для того чтобы активировать доверенную загрузку, необходимо в оболочке администратора в верхнем меню выбрать категорию «Параметры безопасности», далее – «Доверенная загрузка» и нажать кнопку «Включить» (рис. 65).
Рис. 65. Включение механизма доверенной загрузки
Появится окно включения режима доверенной загрузки с вводом параметров (рис. 66).
Рис. 66. Окно включения доверенной загрузки
В данном окне необходимо назначить Pin-код для администратора безопасности. Этот Pin‑код будет являться средством авторизации в модуле доверенной загрузки. Он имеет особый статус: используя его можно выполнить операцию по аварийному дешифрованию жесткого диска.
В качестве Pin-кодов может использоваться любая комбинация символов, удовлетворяющих установленным политикам назначения пароля (см. раздел «Настройка параметров входа»). Флажок в поле «отобразить PIN-коды» изменит скрытые под значками звездочек символы на явные.
Перед включением необходимо определить алгоритм шифрования дисков, выбрав его из выпадающего списка. После включения режима доверенной загрузки алгоритм изменить не удастся. Система защиты Dallas Lock 8.0 позволяет выбрать алгоритм преобразования XOR32 или преобразование по ГОСТ 28147-89.
После установки параметров необходимо нажать «OK». Система сообщит об успешном включении модуля загрузки и потребует перезагрузить компьютер. Следующий вход на защищенный компьютер осуществится с предварительной авторизацией в загрузчике.
| Примечание.Включение режима доверенной загрузки может занять несколько минут, иногда до 10-ти. |
Для выключения модуля доверенной загрузки, необходимо на панели действий нажать кнопку «Выключить». Система выключит режим доверенной загрузки и попросит перезагрузить операционную систему компьютера. Записи о созданных в системе Pin‑кодах (см. следующий раздел) удалятся.
|
|
|
Выключение модуля доверенной загрузки возможно при условии отсутствия преобразованных областей жесткого диска (подробнее в разделе «Прозрачное преобразование дисков»).
| 4.4.2. Создание Pin-кода пользователя | 
|
После входа в операционную систему при активном модуле загрузчика в оболочке администратора вкладка «Доверенная загрузка» автоматически откроется на дополнительной вкладке этого модуля - «Pin-коды». В списке основного окна вкладки присутствуют записи об имеющихся в системе Pin-кодах для модуля загрузки (рис. 67).
Рис. 67. Вкладка Pin-коды
Чтобы создать новый Pin-код пользователя необходимо нажать на панели действий кнопку «Добавить pin». Откроется окно создания Pin-кода (рис. 68).
Рис. 68. Окно создания Pin-кода для загрузчика
В окне создания Pin-кода необходимо заполнить следующие параметры:
Имя PIN-кода (произвольное название для идентификации в списке);
поля «Старый PIN-код» и «Новый PIN-код» доступны при редактировании уже созданного;
флажок в поле «отобразить PIN-коды» позволит явно увидеть скрытые под звездочками символы;
Настройка автоматического входа в операционную систему. При включении и заполнении параметров этого блока для пользователя при вводе данного Pin-кода поля для авторизации в Windows («Имя пользователя» и «Домен») будут автоматически заполнены указанными здесь;
Включение автоматического входа в загрузчике (путем выбора количества входов) позволит осуществить вход в операционную систему, минуя заполнение поля ввода Pin-кода, автоматически, через загрузчик с теми параметрами и значением Pin, которые указаны для данного Pin‑кода.
В блоке «Настройки»:
флажок в поле «PIN-код отключен» позволит вместо удаления временно отключить выбранный Pin-код;
флажок в поле «PIN-код администратора» установит статус, с которым для данного Pin-кода станет доступна функция аварийного декодирования в загрузчике (подробнее в разделе «Декодирование преобразованных областей жесткого диска»).
| Примечание. Созданные Pin-коды не привязаны ни к одной учетной записи и могут являться средством авторизации в загрузчике для любого пользователя. |
Редактирование параметров Pin-кода доступно после двойного клика по имени необходимого Pin в списке. При редактировании откроется тоже окно свойств Pin-кода, что и при его создании. В данном окне станет доступным замена старого Pin-кода на новый.
|
|
|
|
| Примечание. Комбинация символов для каждого Pin-кода должна быть уникальной, в противном случае система выведет сообщение об ошибке. |
| 4.4.3. Вход на компьютер при активном загрузчике |
|
Вход на защищенный компьютер при активном модуле доверенной загрузки происходит с предварительной авторизацией в загрузчике (рис. 69).
Рис. 69. Вход в модуле доверенной загрузки компьютера
Авторизация в загрузчике происходит без использования устройства «мышь». Для авторизации в загрузчике доступны только клавиши букв и цифр основной, цифр дополнительной клавиатуры, клавиши «Esc», «Backspace», «Enter», «F1», «F2».Переключение раскладки клавиатуры происходит нажатием комбинации клавиш «Ctrl»+«Shift».
Для осуществления входа в загрузчике необходимо ввести Pin-код. Дополнительное нажатие клавиши «F1» отобразит скрытые под значками звездочек символы в явном виде. Действие в поле для клавиши «F2» обязательно должно быть указано как «Загрузка» (данное действие стоит по умолчанию).
После ввода Pin-кода в загрузчике необходимо нажать «Enter». После этого начнется стандартная загрузка операционной системы.
Далее вход на ПК будет осуществляться под индивидуальной учетной записью пользователя (подробнее в разделе «Вход на защищенный компьютер»).
| Примечание. При включенном режиме доверенной загрузки, при загрузке компьютера к нему не должны быть подключены загрузочные USB-flash-диски. |
| Внимание! Если модуль доверенной загрузки Dallas Lock 8.0 включен, но при этом он не отработал корректно, например если была произведена попытка загрузки с CD диска, позволяющего обойти MBR DL и загрузить ОС напрямую, то на экране появится сообщение системы: «Нарушена целостность данных загрузчика», и в журнале системы защиты появится запись аналогичная сообщению. В этом случае, если у учетной записи, под которой заходит пользователь, включена блокировка при нарушении целостности (она включена по умолчанию), то учетная запись заблокируется, и дальнейший вход в ОС будет невозможен. В любом случае загрузка ОС в обход загрузчика Dallas Lock 8.0 невозможна, если системный диск был преобразован (см. раздел «Прозрачное преобразование»). |
|
|
|
| Примечание. Следует учесть, что если используется USB-клавиатура, то для корректной работы данной клавиатуры в модуле доверенной загрузки, необходимо включить в BIOS компьютера опцию USB Keyboard Support (значение «Enabled»), в зависимости от устройства данная опция идентична USB Device Legacy Support или USB Legacy Support. В противном случае использование USB -клавиатуры будет не возможно и следует подключить PS/2 клавиатуру. |
| 4.4.4. Прозрачное преобразование дисков |
|
Данный функционал доступен только для Dallas Lock 8.0 редакции «С».
В состав системы защиты Dallas Lock 8.0‑C входит подсистема прозрачного преобразования жесткого диска. Она позволяет осуществить преобразование информации, хранящейся на локальных, а также съемных жестких дисках.
При попытке работы с преобразованным жестким диском в обход системы защиты Dallas Lock 8.0, например, при извлечении жесткого диска из одного ПК и подключении его к другому, данные будут защищены.
Прозрачное преобразование становится доступным после включения модуля доверенной загрузки. При включении доверенной загрузки выбирается алгоритм преобразования жесткого диска: XOR32 или ГОСТ 28147-89. Алгоритм XOR32 имеет низкую криптостойкость, но зато очень быстр. ГОСТ, наоборот, имеет высокую криптостойкость, но медленен. Преобразование с использованием алгоритма ГОСТ 28147-89 может происходить заметно медленнее. Выбор алгоритма преобразования зависит от политик информационной безопасности, принятых в организации. Подсистема позволяет настраивать и размер преобразуемой части жесткого диска.
| Примечание. Выполнять преобразование диска (полное или частичное), можно только убедившись, что сам модуль доверенной загрузки корректно загружает ПК по Pin-коду. |
Для преобразования дисков необходимо:
1. Включить модуль доверенной загрузки (см. выше).
2. Перейти на вкладку «Список зон» («Параметры безопасности» => «Доверенная загрузка» => «Список зон») и нажать действие «Добавить зону»[10] (рис. 70).
Рис. 70. Добавление зоны прозрачного преобразования диска
Откроется окно создания зоны жесткого диска для прозрачного преобразования (рис. 71).
Рис. 71. Параметры создания зоны преобразования
3. В данном окне необходимо выбрать диск. Указать область выбранного диска, которую необходимо преобразовать:
|
|
|
весь диск;
системную область диска;
произвольную область (с указанием размера).
4. Нажать кнопку «OK» и подтвердить операцию. После чего сразу начнется процесс преобразования выбранной зоны жесткого диска (рис. 72).
Рис. 72. Ход процесса преобразования
В окне хода выполнения процесса преобразования его можно приостановить и продолжить, выбрав запись о процессе в списке основного окна и нажав кнопку на панели действий.
После преобразования на данной вкладке консоли администратора в списке процессов появится запись о параметрах данного процесса преобразования.
Далее работа с данными жесткого диска, имеющего преобразованные области, на защищенном Dallas Lock 8.0 компьютере никак не будет отличаться от работы с непреобразованными областями.
Чтобы удалить зону преобразования, т.е. произвести раскодирование жесткого диска или его части, необходимо выделить его в списке и нажать кнопку «Удалить зону» на панели действий, далее подтвердить операцию. Запустится процесс обратного преобразования, который также можно приостановить и возобновить позже.
|
| Примечание. Выбор действия «Аварийное восстановление» клавишей F2 при входе в загрузчике необходимо для обратного преобразования дисков до этапа загрузки ОС и доступно только с Pin-кодом администратора. Декодирование диска на данном этапе является необходимым для восстановления работоспособности компьютера при сбое системы защиты (раздел Восстановление компьютера при сбое системы защиты). |
|
|
|
