Программный комплекс Aladdin TSM Встраиваемый модуль безопасности Aladdin TSM Руководство администратора

реклама
Программный комплекс
Встраиваемый модуль безопасности Aladdin TSM
Программный комплекс Aladdin TSM
Руководство администратора
Листов 55
2013
08.04.2015
[ПК TSM. Руководство администратора]
Аннотация
Настоящий документ содержит сведения, необходимые для администрирования программного
комплекса «Встраиваемый модуль безопасности Aladdin TSM» (далее – ПК TSM).
В документе приведены инструкции по включению, отключению, настройке, эксплуатации, а также
проведению регламентных процедур.
Поскольку при эксплуатации ПК TSM используются идентифицирующие устройства (далее – ИУ), и
некоторые действия с ИУ выполняются не только по командам ПК TSM, это указано по тексту.
Предполагается, что документация на ИУ имеется у пользователя/администратора в наличии.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 2 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Содержание
1. Назначение ....................................................................................................................5
2. Условия применения .......................................................................................................6
2.1. Требования к программному обеспечению .................................................................6
2.2. Требования к аппаратному обеспечению ...................................................................6
2.3. Требования к применяемым ИТ-продуктам.................................................................6
2.4. Ограничения ...........................................................................................................7
2.5. Организационно-технические требования .................................................................7
2.5.1. Общие ...........................................................................................................7
2.5.2. Правила поведения пользователя ...................................................................7
2.5.3. Правила поведения администратора ...............................................................7
3. Задачи, выполняемые администратором ..........................................................................8
3.1. Условия для работы с TSM ........................................................................................8
3.2. Подготовка ИУ пользователей ...................................................................................8
3.3. Работа с TSM ...........................................................................................................8
4. Включение, работа и отключение TSM ........................................................................... 10
4.1. Включение TSM ..................................................................................................... 10
4.2. Режимы TSM .......................................................................................................... 10
4.3. Инициализация TSM ............................................................................................... 10
4.4. Отключение TSM .................................................................................................... 11
4.4.1. С очисткой хранилища ................................................................................. 12
4.4.2. Без очистки хранилища TSM ......................................................................... 12
5. Действия для аутентификации и получения доступа ....................................................... 13
5.1. Аутентификация .................................................................................................... 13
5.2. Доступ к консоли администрирования TSM .............................................................. 14
5.3. Сменить пароль ..................................................................................................... 15
5.4. Получение доступа к BIOS SETUP ............................................................................ 15
6. Администрирование ...................................................................................................... 16
6.1. Продолжить загрузку ............................................................................................. 16
6.2. Управление пользователями ................................................................................... 16
6.2.1. Возможности ............................................................................................... 16
6.2.2. Добавление пользователя ............................................................................ 17
6.2.3. Добавление администратора ......................................................................... 17
6.2.4. Включение, подготовка и отключение корпоративного режима ....................... 18
6.2.5. Определить принадлежность подключенного ИУ ............................................ 19
6.2.6. Очистка идентификатора – памяти подключенного ИУ.................................... 19
6.2.7. Список пользователей – просмотр и выбор учетной записи ............................ 19
6.3. Журнал событий .................................................................................................... 20
6.4. Управление контролем целостности объектов на накопителях компьютера ................ 21
6.4.1. Общие сведения .......................................................................................... 21
6.4.2. Режимы КЦ .................................................................................................. 21
6.4.3. Включение/выключение КЦ .......................................................................... 22
6.5. Работа в меню Параметры системы ......................................................................... 22
6.5.1. Доступ к меню Параметры системы ............................................................... 22
6.5.2. Использование пароля ИУ по умолчанию ....................................................... 23
6.5.3. Максимальное количество попыток ввода пароля .......................................... 24
6.5.4. Отчет TSM ................................................................................................... 25
6.5.5. Обновление TSM .......................................................................................... 25
6.5.6. Отключение TSM .......................................................................................... 26
7. Список пользователей – Действия с учетными записями ................................................. 26
7.1.1. Просмотр детальной информации о пользователе .......................................... 26
7.1.2. Возможные действия с учетной записью ........................................................ 27
7.1.3. Заблокировать/Разблокировать пользователя ................................................ 28
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 3 из 55
08.04.2015
[ПК TSM. Руководство администратора]
7.1.4. Установить/изменить режим КЦ для пользователя .......................................... 29
8. Контроль целостности................................................................................................... 31
8.1. Средства КЦ .......................................................................................................... 31
8.2. Самоконтроль TSM ................................................................................................. 31
8.3. КЦ модуля TSM из среды ОС ................................................................................... 31
8.3.1. На компьютере с ОС Windows ....................................................................... 31
8.3.2. На компьютере с ОС Linux ............................................................................ 32
8.4. КЦ объектов на накопителях компьютера ................................................................ 32
8.4.1. Подготовка КЦ ............................................................................................. 32
8.4.2. Выполнение КЦ ........................................................................................... 34
8.4.3. Обновление списка объектов для КЦ ............................................................. 35
9. Сервисное ПО для ОС Windows ...................................................................................... 35
9.1. Назначение ........................................................................................................... 35
9.2. Установка, запуск .................................................................................................. 36
9.3. Просмотр событий TSM из системного журнала ОС ................................................... 36
9.4. Сервисное приложение – постановка на контроль целостности ................................. 36
9.4.1. Типы объектов ............................................................................................. 36
9.4.2. Выбор объектов ........................................................................................... 38
9.4.3. Виды отметок в дереве файловой системы ..................................................... 38
9.4.4. Использование фильтра в дереве файловой системы ..................................... 39
9.5. Сервисное приложение – сохранение и просмотр журнала событий TSM ................... 40
9.6. Сервисное приложение – сохранение и просмотр сводной информации о TSM ........... 42
10. Сервисное ПО для ОС Linux ......................................................................................... 44
10.1. Постановка на контроль целостности..................................................................... 44
10.2. Просмотр событий TSM из системного журнала ОС ................................................. 44
11. Обязательные значения параметров настроек .............................................................. 46
12. Проблемы и их решение.............................................................................................. 47
12.1. Нарушение целостности ПО или хранилища TSM .................................................... 47
12.2. Проблемы при работе с ИУ .................................................................................... 49
12.3. Другие проблемы ................................................................................................. 50
Приложение. Перечень событий, регистрируемых TSM ....................................................... 51
Перечень терминов и сокращений ..................................................................................... 54
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 4 из 55
08.04.2015
[ПК TSM. Руководство администратора]
1. Назначение
ПК TSM предназначен для:
 защиты от несанкционированного доступа (НСД) к компьютеру до загрузки операционной
системы (ОС);
 регистрации событий доступа к компьютеру, в том числе несанкционированного;
 контроля целостности (КЦ) ПК TSM и программной среды компьютера.
ПК TSM может применяться для защиты автономного компьютера, рабочей станции или сервера в
локальной вычислительной сети.
ПК TSM включает:

модуль TSM, выполняющий основные функции ПК (далее – TSM);

сервисное программное обеспечение (ПО), доступное после загрузки ОС (см. в Табл. 1).
ПК TSM обеспечивает:

идентификацию
устройств (ИУ);

установку и изменение настроек TSM;

управление пользователями TSM:




и
аутентификацию
пользователей
с
применением
идентифицирующих
регистрацию (добавление новых учетных записей) пользователей,
изменение информации о пользователях и настроек ИУ,
удаление учетных записей пользователей,
блокирование/разблокирование доступа пользователей;

средства КЦ (самоконтроль
накопителях компьютера);
и
контроль
целостности
объектов,
размещенных

регистрацию событий TSM в журнале событий, просмотр этого журнала;

вывод сводной информации о версии, настройках, содержании хранилища TSM;

защиту данных TSM, включая очистку памяти;

ограничение доступа к BIOS SETUP.
на
Табл. 1. Сервисное ПО
№
Наименование
Функции
Для ОС семейства Windows, применяется и на компьютерах с установленной ОС Linux
1.
Утилита TSMCheck
Технологическая утилита для проверки
целостности модуля TSM.
Для ОС семейства Windows
2.
Сервисное приложение TSMAdmin
Формирование задания на КЦ объектов,
размещенных на накопителях компьютера,
просмотр и выгрузка в файл журнала
событий и сводной информации о
состоянии ПК TSM.
3.
Служба TSM
Перенос событий журнала TSM в
системный журнал Windows.
Для ОС семейства Linux
4.
Утилита tsmcontrol
Формирование задания на КЦ объектов,
расчет КС заданных объектов.
5.
Утилита tsmlog
Перенос событий из журнала TSM в
системный журнал Linux (Syslog).
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 5 из 55
08.04.2015
[ПК TSM. Руководство администратора]
2. Условия применения
2.1. Требования к программному обеспечению
Для функционирования TSM используется специализированная версия BIOS (Basic Input/Output
System – базовая система ввода-вывода), которая обеспечивает:
 вызов TSM до этапа поиска загрузчика операционной системы компьютера;
 пользовательский интерфейс и интерфейсы взаимодействия с TSM для его
включения/отключения, очистку всех элементов оперативной памяти компьютера,
которые использовались TSM в процессе работы для хранения и обработки информации,
получение после аутентификации информации о роли пользователя из TSM c целью
обеспечения доступа администратора к BIOS SETUP и блокирования такого доступа для
пользователя;
 продолжение работы BIOS после завершения работы TSM.
Сервисное ПО ПК TSM может применяться
установленными на компьютере пользователя.
со
следующими
операционными
системами,
Операционные системы семейства Windows:
 Microsoft Windows XP SP3 (32 бит);
 Microsoft Windows XP SP2 (64 бит);
 Microsoft Windows Vista SP2 (32/64 бит);
 Microsoft Windows 7 (32/64 бит);
 Microsoft Windows Server 2003 SP2 (32/64 бит);
 Microsoft Windows Server 2003 R2 SP2 (32/64 бит);
 Microsoft Windows Server 2008 SP2 (32/64 бит).
При этом на компьютере могут использоваться файловые системы NTFS/FAT32/FAT16.
Операционная система семейства Linux – Kraftway Terminal Linux (ядро версии 3.0.3).
При этом на компьютере могут использоваться файловые системы ext2/ex3/ext4.
2.2. Требования к аппаратному обеспечению
Для работы TSM на рабочей станции необходима материнская плата, свободный объем встроенной
памяти которой составляет не менее 1 Мб.
Конфигурация аппаратных средств рабочей станции должна также удовлетворять требованиям,
изложенным в документации на операционную систему.
В зависимости от количества объектов, целостность которых будет контролироваться TSM, для
хранения списка объектов требуется от 1 до 50 Мбайт пространства накопителя.
В зависимости от применяемого ИУ, компьютер с встроенным TSM должен иметь:
 для работы с USB-ключом eToken или JaCarta – минимум один свободный порт USB;
 для работы со смарт-картой eToken или JaCarta – устройство чтения/записи Athena
ASEDrive IIIe v2 (USB/Keyboard) или v3;
 для работы с идентификатором iButton – считыватель RDS.
2.3. Требования к применяемым ИТ-продуктам
Для работы TSM необходимы ИУ, в качестве которых могут использоваться USB-ключи или смарткарты eToken из состава программно-аппаратного комплекса Электронный ключ eToken 5, USBключи и смарт-карты JaCarta из состава программно-аппаратного комплекса аутентификации
и безопасного хранения информации пользователей JaCarta , идентификаторы iButton.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 6 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Для использования ИУ в корпоративном режиме в их память должен быть записан дополнительный
аутентификатор.
2.4. Ограничения
Объекты КЦ средствами TSM могут быть размещены на накопителях компьютера с учетом
следующих ограничений.
 В режиме IDE (non legacy mode) поддерживается работа только с двумя master-портами
SATA 1 и 2.
Поддерживается одновременное подключение до двух накопителей. Slave-порты SATA 3,
4 не поддерживаются.
 В режиме IDE (legacy mode) поддерживается работа с портами SATA 1, 2, 3 и 4.
Поддерживается одновременное подключение до четырех накопителей.
 В режиме AHCI поддерживается работа с портами SATA 1, 2, 3 и 4. Поддерживается
одновременное подключение до четырех накопителей.
 Работа с RAID-массивами накопителей компьютера не поддерживается.
 Не поддерживаются накопители, размеченные как динамические диски и GPT-диски.
 Разделы накопителя с размером сектора 4096 байт не поддерживаются. Поддерживается
работа только с накопителями компьютера, у которых размер сектора - 512 байт.
2.5. Организационно-технические требования
2.5.1. Общие
Должны быть приняты организационные (организационно-технические) меры, исключающие
неконтролируемый доступ посторонних лиц к компьютерам пользователей в нерабочее время, а
также в рабочее время при отсутствии пользователей.
2.5.2. Правила поведения пользователя
Пользователь должен работать в соответствии с данным Руководством
"Встраиваемый модуль безопасности TSM" и, прежде всего, ознакомиться с ним.
пользователя
ПК
Кроме того, пользователь обязан соблюдать следующие правила работы с ИУ.
 После получения ИУ при необходимости сменить установленный в нем пароль для защиты
доступа к компьютеру.
 Своевременно менять пароль, если этого требует политика безопасности организации.
 При вводе пароля исключать возможность визуального просмотра его набора другими
лицами.
 Не передавать свое ИУ другим лицам, а также не оставлять его без присмотра. Попадание
ИУ в чужие руки несет опасность его компрометации.
 Не сообщать пароль ИУ другим лицам, хранить записанные пароли в недоступном для
других лиц месте. Разглашение пароля означает его компрометацию.
 При утере ИУ немедленно сообщить об этом администратору.
 Беречь ИУ от механических повреждений.
 Не отсоединять ИУ от компьютера во время работы с использующими его приложениями.
Перед отсоединением ИУ от компьютера следует завершить работу всех использующих
его приложений.
2.5.3. Правила поведения администратора
Администратор должен работать в соответствии с руководством администратора «Встраиваемый
модуль безопасности TSM» и, прежде всего, ознакомиться с ней.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 7 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Кроме перечисленного выше, администратор обязан соблюдать правила работы с ИУ, указанные в
п. 2.5.2.
3. Задачи, выполняемые администратором
3.1. Условия для работы с TSM
Перед выполнением любых действий в TSM администратор должен пройти аутентификацию.
Действия администратора при аутентификации на компьютере описаны в п. 5.1.
Для аутентификации используется пароль ИУ, который может быть изменен средствами TSM. Пароль
ключей eToken или JaCarta также может быть изменен в соответствии с эксплуатационными
документами на данные ИУ. Для смены пароля к любому подсоединенному ИУ средствами TSM
выполните действия в соответствии с п. 5.3.
3.2. Подготовка ИУ пользователей
Для штатного режима работы
Подготовка ИУ пользователей выполняется перед их выдачей пользователю.
При подготовке ключей eToken или JaCarta порядок действий следующий.
1) Администратор инициализирует ИУ, при этом устанавливает:
 пароль администратора,
 максимальные значения последовательных попыток аутентификации с неверным паролем
пользователя и администратора.
Состав и порядок действий администратора при инициализации ИУ и критерии качества паролей ИУ
приведены в эксплуатационных документах на ИУ.
Кроме того, ключи JaCarta должны быть предварительно персонализированы в соответствии с их
эксплуатационными документами.
2) Администратор регистрирует ИУ пользователя в TSM, при этом в память ИУ записывается
дополнительный идентификатор. Порядок регистрации пользователей см. в п. 6.2.
При подготовке идентификаторов iButton:
Администратор регистрирует в TSM идентификатор iButton с паролем по умолчанию (1234567890),
при этом в память ИУ записывается дополнительный идентификатор, соответствующий данному
паролю. Порядок регистрации пользователей см. в п. 6.2.
Для корпоративного режима работы
Администратор
передает
корпоративному
пользователю/администратору/гостю
ИУ
с
дополнительными аутентификаторами, соответствующими группе пользователей/ администраторов/
гостей, записанными в память этих ИУ.
3.3. Работа с TSM
Включение TSM
Администратор включает TSM в соответствии с п. 4.1, для перехода в штатный режим работы он
регистрируется как первый администратор в соответствии с п. 4.3.
Для обеспечения восстановления доступа к административным функциям в случае инициализации,
утери или порчи ИУ необходимо зарегистрировать в TSM двух или более пользователей в роли
администратора.
Отключение TSM
При необходимости администратор отключает TSM через интерфейс TSM или интерфейс BIOS SETUP
по сценариям, приведенным в п. 4.4.1, 4.4.2.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 8 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Управление пользователями
Добавление учетных записей пользователей, учетных записей администраторов, просмотр
информации о пользователях, действия с учетными записями пользователей и др. администратор
проводит в соответствии с п. 6.2.
Включение/отключение корпоративного режима
Администратор может включить/отключить корпоративный режим (см. п. 6.2.4).
Просмотр журнала событий
Просмотр журнала событий в TSM администратор проводит в соответствии с п. 6.3, сохранение
информации журнала событий в файл посредством Сервисного приложения для архивирования,
анализа и обработки - с п. 9.5.
Также возможно просматривать события в локальном журнале событий операционной системы:


Windows – см. п. 9.5;
Linux – см. п. 10.2.
Контроль целостности
ПК TSM обеспечивает:



самоконтроль TSM;
контроль целостности модуля TSM из среды ОС;
контроль целостности объектов, размещенных на накопителях компьютера.
Самоконтроль выполняется автоматически после запуска TSM (см. п. 8.2).
Контроль целостности модуля TSM из среды ОС (см. п. 8.3) выполняется средствами утилиты
TSMCheck, если нужно убедиться в соответствии КС встроенного ПО контрольным данным из
Паспорта изделия.
TSMCheck работает из среды ОС Windows, но применяется и на компьютерах, где установлена ОС
Linux. Для проверки
к такому компьютеру должен быть подключен внешний накопитель с
установленной на нем ОС Windows и утилитой TSMCheck. С этого накопителя загружается ОС
Windows и запускается утилита TSMCheck.
КЦ объектов на накопителях компьютера выполняется автоматически перед загрузкой ОС. Для
выполнения КЦ объектов, размещенных на накопителях компьютера администратор предварительно
проводит его подготовку с инициализацией КЦ в TSM. В конфигурации поставки для работы в ОС
Linux КЦ уже частично подготовлен для последующей инициализации. Описание действий
администратора см. в п. 8.4.1.
Описание действий администратора при включении/выключении, просмотре информации о текущем
состоянии КЦ приведено в п. 6.4. Детализированные описания Средств КЦ и функций КЦ даны в
разделе 8.
Для постановки на контроль целостности (формирования или обновления списка контролируемых
объектов) в ОС Windows администратор использует Сервисное приложение (описание работы с
компонентом – см. п. 9.3).
Настройка параметров системы
Администратор устанавливает параметры системы (возможность использования пароля по
умолчанию для ИУ пользователя, количество последовательных неуспешных попыток ввода пароля
при аутентификации пользователя) в соответствии с п. 6.5.
Просмотр отчета о состоянии TSM
Просмотр отчета о состоянии TSM, обновление, отключение TSM администратор проводит в
соответствии с п. 6.5 (см. описание в пункте Отчет TSM). Сохранение отчета о состоянии TSM для
дальнейшего использования в файле в ОС Windows проводится в соответствии с п. 9.6. Просмотр
событий TSM в системном журнале в ОС Linux проводится в соответствии с п. 10.2.
Разблокирование учетной записи пользователя
Если учетная запись пользователя была заблокирована, для ее разблокирования администратор
должен выполнить действия в соответствии с 7.1.3.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 9 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Разблокирование ИУ
Для ключей eToken или JaCarta при превышении пользователем установленного числа попыток
ввода пароля при аутентификации ИУ будет заблокировано. Действия администратора по
разблокированию ИУ пользователя приведены в соответствующих эксплуатационных документах на
ИУ.
Действия в нештатных ситуациях
Описание проблем и способов их решения, а также действия администратора при возникновении
нештатной или аварийной ситуации приведены в разделе 12.
4. Включение, работа и отключение TSM
4.1. Включение TSM
TSM включается посредством BIOS SETUP. Для включения TSM необходимо войти в BIOS SETUP
(порядок действий – см. п. 5.4) и установить параметр Безопасность (Security) -> Модуль TSM в
значение Включен (Enabled).
После включения TSM администратор должен перезагрузить компьютер, выполнить инициализацию
TSM согласно п. 4.3 и аутентифицироваться в TSM (порядок действий – см. п. 5.1).
4.2. Режимы TSM
TSM предусматривает следующие режимы:
— инициализации;
— штатный;
— корпоративный.
После первого включения TSM находится в режиме инициализации. Данный режим позволяет
зарегистрировать первого администратора TSM (порядок действий приведен в п. 4.3) или отключить
TSM без входа в BIOS SETUP.
После того, как первый администратор будет зарегистрирован, TSM переходит в штатный режим
работы. В штатном режиме TSM выполняет все функции и действия в соответствии с его
назначением.
Опционально администратор может включить/отключить корпоративный режим – см. п. 6.2.4,
действия 1) – 4). Безопасность при работе в корпоративном режиме зависит от использования
других средств защиты и/или организационных мер.
4.3. Инициализация TSM
Данный режим позволяет зарегистрировать первого администратора TSM. Для этого выполните
следующие действия.
1) Включите компьютер.
2) Если TSM выключен, зайдите в BIOS SETUP (см. п. 5.4) и включите TSM (см. п. 4.1).
3) После перезагрузки TSM предложит начать процедуру первичной инициализации или
пропустить инициализацию TSM (Рис. 1). Выберите пункт Инициализировать TSM.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 10 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 1. Выбор пункта Инициализировать TSM
Если Вы выберете пункт Отключить TSM, будет продолжена загрузка ОС компьютера, при этом
TSM останется отключенным – при необходимости его можно будет включить – см. действие 2).
4) Если в предыдущем действии Вы выбрали пункт Инициализировать TSM, в строке после
приглашения TSM введите имя и описание первого администратора (Рис. 2).
5) Подключите ИУ администратора.
6) Введите пароль ИУ администратора.
При успешном завершении регистрации администратора появится соответствующее сообщение (Рис. 2).
Рис. 2. Регистрация первого администратора TSM
Примечание.
В момент добавления администратора TSM проверяет знание пароля ИУ, но не назначает его, поэтому при
добавлении администратора необходимо вводить существующий пароль ИУ, а не задавать новый.
После регистрации первого администратора TSM переходит в штатный режим работы.
В случае если ИУ администратора будет инициализирован, утерян или испорчен, восстановление
доступа к административным функциям будет невозможно. Поэтому после окончания процедуры
первичной инициализации настоятельно рекомендуется зарегистрировать в TSM второго или более
пользователей с ролью администратора и регистрировать пользователей, которым будет разрешен
доступ к компьютеру – см. п. 6.2, действия 1) – 11).
4.4. Отключение TSM
Отключение TSM проводится через интерфейс TSM или средствами BIOS SETUP, доступ к которому
возможен только для администратора.
Возможно отключение TSM по сценариям, приведенным в п. 4.4.1, 4.4.2.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 11 из 55
08.04.2015
[ПК TSM. Руководство администратора]
4.4.1. С очисткой хранилища
Данный сценарий подразумевает, что в результате отключения TSM будет безвозвратно удалена
следующая информация:
— информация о пользователях TSM (независимо от роли);
— журналы регистрации событий TSM;
— настройки TSM;
— настройки подсистемы контроля целостности программной среды.
После удаления данной информации TSM переводится в режим инициализации (см. п. 4.1), и после
повторного включения TSM необходимо вновь провести процедуру первичной инициализации (см.
п. 4.3).
Для отключения TSM с очисткой хранилища выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) В открывшемся меню Администрирование (Рис. 7) выберите пункт Параметры системы.
3) В открывшемся окне Параметры системы (Рис. 3) при помощи клавиш со стрелками
выберите пункт Отключить TSM.
Рис. 3. Окно Параметры системы
Прочитайте предупреждение TSM (Рис. 4) и подтвердите отключение с очисткой хранилища, нажав
клавишу Ввод (Enter).
Рис. 4. Окно Отключение TSM
4.4.2. Без очистки хранилища TSM
В данном сценарии TSM отключается с сохранением всех данных и настроек. При повторном
включении состояние TSM (информация о пользователях, журналы, настройки и пр.) будет
восстановлено.
Для отключения TSM без очистки хранилища выполните следующие действия.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 12 из 55
08.04.2015
[ПК TSM. Руководство администратора]
1) Включите (перезагрузите) компьютер.
Примечание.
Перед повторным включением TSM обязательно убедитесь, что у Вас имеется ИУ администратора TSM. В
противном случае доступ к административным функциям TSM, в том числе возможность его отключения, будет
невозможен.
2) Зайдите в BIOS SETUP (см. п. 5.4).
3) Установите параметр Security (Безопасность) -> Модуль TSM
(Disabled).
в значение Выключен
4) Сохраните настройки BIOS и перезагрузите компьютер.
5. Действия для аутентификации и получения доступа
5.1. Аутентификация
Для загрузки операционной системы достаточно пройти аутентификацию.
В случае успешного прохождения аутентификации, если при этом подсистема контроля целостности
активирована, перед загрузкой ОС выполняется автоматический контроль целостности программной
среды компьютера – объектов на накопителях компьютера (см. раздел 7). При отсутствии
нарушений целостности возможны загрузка ОС или действия до ее загрузки.
TSM предусматривает два режима аутентификации: штатный или корпоративный.
Независимо от режима идентификация и аутентификация администраторов проводится путем
проверки наличия ИУ пользователя TSM, знания пароля ИУ и наличия в его памяти дополнительного
аутентификатора (ключа доступа), который записывается в защищенную область памяти ИУ в ходе
регистрации администратора в TSM.
Аутентификация включает следующие действия:
1) Включите компьютер.
2) После приглашения TSM подключите ИУ.
3) Введите пароль ИУ в строке запроса (Рис. 5).
Рис. 5. Ввод пароля ИУ
4) В случае успешного прохождения
автоматически через 5 секунд.
аутентификации
загрузка
ОС
будет
продолжена
Для продолжения загрузки без ожидания в течение 5 секунд нажмите клавишу Ввод («Enter»).
Для отмены автоматической загрузки, доступа к консоли администрирования или смены пароля ИУ
нажмите любую другую клавишу.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 13 из 55
08.04.2015
[ПК TSM. Руководство администратора]
5) При отмене автоматической загрузки откроется окно с меню TSM (Рис. 6), где предлагается
выбор:
 Продолжить загрузку (операционной системы компьютера),
 Администрирование – см. раздел п. 5.2,
 Сменить пароль – см. п. 5.3.
В меню для перемещения по пунктам меню используйте клавиши со стрелками.
Для выбора пункта меню нажмите клавишу Ввод (Enter).
Для возврата на предыдущий уровень меню нажмите клавишу Esc.
В ходе последующей работы в случае каких-либо ошибочных действий администратора система
выдает диагностические сообщения и рекомендации по устранению причины ошибки в центральной
части окна после ввода ошибочной строки. Для таких сообщений описания в данном документе не
приводятся. В остальных случаях обратитесь к разработчику.
Рис. 6. Меню TSM
5.2. Доступ к консоли администрирования TSM
Консоль администрирования предназначена для выполнения административных функций в TSM.
Доступ к консоли возможен только администраторам TSM после прохождения процедуры
аутентификации.
Для входа в консоль администрирования выполните следующие действия.
1) Включите компьютер.
2) Пройдите аутентификацию в TSM с ролью администратора (см. п. 5.1) и отмените
автоматическую загрузку.
3) В открывшемся меню TSM (Рис. 6) выберите пункт Администрирование.
В результате на экране появится окно консоли Администрирование (Рис. 7).
Рис. 7. Консоль администрирования
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 14 из 55
08.04.2015
[ПК TSM. Руководство администратора]
В меню Администрирование (в нижнем поле экрана) предлагается выбор:
 Продолжить загрузку – по завершении выполняемых работ (было и в меню TSM),
 Управление пользователями – см. п. 6.2, раздел 7,
 Журнал событий – см. п. 6.3,
 Контроль целостности – см. п. 6.4,
 Параметры системы – см. п. 6.5,
 Сменить пароль – см. п. 5.3.
5.3. Сменить пароль
В TSM для аутентификации используется пароль ИУ. Пароль ИУ может быть изменен средствами
TSM, а для ключей eToken или JaCarta – и с помощью ПО из соответствующего ПАК (см. подробности
в эксплуатационных документах на данные ИУ).
Администратор TSM имеет возможность смены пароля к любому подсоединенному ИУ.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Подсоедините ИУ, для которого будет изменен пароль.
3) Выберите пункт меню Сменить пароль.
4) В открывшемся окне смены пароля:

ведите текущий пароль ИУ.

введите новый пароль.

повторно введите новый пароль.
5.4. Получение доступа к BIOS SETUP
Доступ к BIOS SETUP может потребоваться как при включенном, так и при отключенном TSM.
Примечание.
Так как порядком поиска загрузчика операционной системы на носителях управляет BIOS, то администратор TSM
может установить порядок загрузки посредством BIOS SETUP и включить TSM. Это обеспечит невозможность
изменения порядка загрузки пользователями компьютера и, соответственно, невозможность загрузки с
запрещенных политикой организации носителей.
При отключенном TSM вход в BIOS SETUP выполняется согласно инструкции к материнской плате
компьютера.
При включенном TSM доступ к изменению настроек компьютера посредством BIOS SETUP возможен
только для администраторов TSM (см. п. 2.5.1) после успешной аутентификации.
Для доступа к BIOS SETUP при включенном TSM выполните следующие действия.
1) Включите или перезагрузите компьютер.
2) Пройдите аутентификацию в TSM с ролью администратора (см. п. 5.1).
3) Во время загрузки компьютера (продолжения работы BIOS) нажмите клавишу DEL для входа
в BIOS SETUP (клавишу входа в BIOS SETUP можно уточнить в инструкции к материнской
плате компьютера).
4) Выберите пункт меню Продолжить загрузку.
В результате на экране появится окно BIOS SETUP.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 15 из 55
08.04.2015
[ПК TSM. Руководство администратора]
6. Администрирование
В данном разделе дано описание функций ПК TSM из меню Администрирование.
6.1. Продолжить загрузку
Выбор пункта меню Продолжить загрузку позволяет продолжить загрузку операционной системы
компьютера по завершении выполняемых работ.
Выйдя из меню Администрирование на предыдущий уровень (нажав клавишу Esc), это можно
сделать и из меню TSM.
6.2. Управление пользователями
6.2.1. Возможности
Для управления пользователями формируются и используются учетные записи.
TSM позволяет суммарно хранить 8 учетных записей. При этом при включении корпоративного
режима задействуются 3 учетных записи. Таким образом, одновременно можно хранить:

8 учетных записей обычных пользователей и администраторов,

или 5 учетных записей обычных пользователей и администраторов и 3 корпоративные
учетные
записи
(корпоративный
администратор,
корпоративный
пользователь
и
корпоративный гость).
Следует учитывать эти ограничения при управлении учетными записями.
Примечание.
Необходимо предусмотреть возможность восстановления доступа к консоли администрирования TSM в случае
выхода из строя ИУ администратора, его инициализации или наступления других обстоятельств, при которых
доступ администратора невозможен.
Для этого рекомендуется добавить дополнительную учетную запись администратора, которая будет
использоваться в качестве резервной, или возложить обязанности по администрированию TSM на двух или более
администраторов с их независимой регистрацией в TSM.
Меню Управление пользователями (Рис. 8) позволяет просматривать список зарегистрированных
пользователей и администраторов, добавлять новых пользователей и администраторов, изменять
информацию о них (имя, описание, идентифицирующее устройство и пр.), определять параметры,
принадлежность подключенного ИУ, удалять данные с подключенных ИУ, удалять учетные записи, а
также включать и отключать корпоративный режим. Для корпоративного режима доступен пункт
Включить/отключить усиленную защиту от копирования электронных ключей.
Рис. 8. Меню Управление пользователями
Пункты меню Управление пользователями и описание соответствующих функций приведено в
Табл. 2.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 16 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Табл. 2. Пункты меню Управление пользователями
Пункт меню
Список пользователей – см. п. 6.2.7,
раздел 7
Функция
Предоставление информация о зарегистрированных
пользователях и администраторах в кратком виде,
переход к работе с учетными записями.
Добавить пользователя – см. п. 6.2.2
Регистрация нового пользователя
Добавить администратора – см. п. 6.2.3
Регистрация нового администратора
Включить/выключить корпоративный
режим – см. п. 6.2.4
Включение/отключение корпоративного режима
Определить принадлежность – см. п. 6.2.5
Определение принадлежности подключенного ИУ
Очистка идентификатора – см. п. 6.2.6
Очистка памяти подключенного ИУ
6.2.2. Добавление пользователя
Для добавления нового пользователя выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
5) Из меню Администрирование (Рис. 7) выберите пункт Управление пользователями.
6) В открывшемся меню Управление пользователями (Рис. 8) выберите пункт Добавить
пользователя.
7) В полученном окне Добавить пользователя (Рис. 9) введите имя и описание нового
пользователя и нажмите клавишу Ввод (Enter).
Рис. 9. Добавление пользователя
8) Затем подключите ИУ нового пользователя.
9) Введите пароль ИУ (или предоставьте возможность для ввода пароля владельцу ИУ) нового
пользователя – для ключей eToken или JaCarta. Для нового идентификатора iButton вводится
пароль 1234567890, и при запросе подтверждения он вводится повторно.
Примечание.
В момент добавления пользователя или администратора TSM проверяет знание пароля ИУ, но не назначает его,
поэтому при добавлении пользователя или администратора необходимо вводить существующий пароль ИУ, а не
задавать новый.
10) На экране появится сообщение об успешном добавлении учетной записи.
11) По окончании работы для возврата на предыдущий уровень меню нажмите клавишу Esc.
Если вы хотите вернуться в меню Администрирование (Рис. 7), нажмите клавишу Esc еще
раз.
6.2.3. Добавление администратора
Для добавления нового администратора выполните следующие действия.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 17 из 55
08.04.2015
[ПК TSM. Руководство администратора]
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Из меню Администрирование (Рис. 7) выберите пункт Управление пользователями.
3) В открывшемся меню Управление пользователями (Рис. 8) выберите пункт Добавить
администратора.
4) В полученном окне Добавить администратора (Рис. 10) введите имя и описание нового
администратора, после чего нажмите клавишу Ввод (Enter).
Рис. 10. Добавление администратора
5) Подключите ИУ нового администратора.
6) Введите существующий пароль ИУ нового администратора (или предоставьте возможность
для ввода пароля владельцу ИУ).
7) По окончании работы для возврата на предыдущий уровень меню нажмите клавишу Esc.
Если вы хотите вернуться в меню Администрирование (Рис. 7), нажмите Esc еще раз.
6.2.4. Включение, подготовка и отключение корпоративного режима
Когда корпоративный режим включен, в меню Управление пользователями на месте строки
Включить корпоративный режим (Рис. 8) будет строка Выключить корпоративный режим.
Чтобы выключить корпоративный режим, выполните следующие действия:
выберите пункт и вы хотите его выключить, выберите Отключить корпоративный режим и
подтвердите выбор нажатием клавиши Ввод (Enter).
Примечание:
TSM может поставляться с уже включенным корпоративным режимом. Следуйте данной инструкции, если
корпоративный режим выключен и его необходимо включить.
Чтобы включить корпоративный режим, выполните следующие действия:
1) Войдите в консоль администрирования TSM (п. 5.2)
2) Из меню Администрирование (Рис. 7) выберите пункт Управление пользователями.
3) В открывшемся меню Управление пользователями (Рис. 8) выберите пункт Включить
корпоративный режим.
4) В открывшемся окне Включить корпоративный режим (Рис. 11) в шестнадцатеричном
формате введите значения дополнительных аутентификаторов для ролей корпоративного
администратора, корпоративного пользователя и корпоративного гостя соответственно.
5) По окончании работы для возврата на предыдущий уровень меню нажмите клавишу Esc.
6) Если вы хотите вернуться в меню Администрирование (Рис. 7), нажмите клавишу Esc еще
раз.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 18 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 11. Ввод значений дополнительных аутентификаторов для корпоративных ролей
6.2.5. Определить принадлежность подключенного ИУ
6.2.6. Очистка идентификатора – памяти подключенного ИУ
6.2.7. Список пользователей – просмотр и выбор учетной записи
Консоль администрирования позволяет просматривать информацию о зарегистрированных
пользователях и администраторах. Информацию можно просматривать в кратком или расширенном
виде.
Для просмотра информации о зарегистрированных пользователях и администраторах в кратком виде
выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Из меню Администрирование (Рис. 7) выберите пункт Управление пользователями.
3) В открывшемся меню Управление пользователями (Рис. 8) Выберите пункт Список
пользователей.
Откроется окно Список пользователей с краткой информацией о пользователях (Рис. 12).
Рис. 12. Окно со списком пользователей
Для каждого пользователя выводится информация, приведенная в Табл. 3.
Табл. 3– Таблица пользователей
Графа таблицы
Описание
Пользователь
Имя пользователя.
Роль
Роль пользователя см. п. 6.2.1.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 19 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Графа таблицы
Описание
Тип ИУ, используемого для аутентификации пользователя.
ID
Для корпоративных учетных записей в данной ячейке нет данных.
Серийный номер ИУ пользователя.
SN
Для корпоративных учетных записей в данной ячейке нет данных.
Добавлен
Дата и время регистрации пользователя в TSM.
Для просмотра детальной информации о пользователе, изменения данных пользователя или
выполнения других предусмотренных действий (см. раздел 7) выберите нужную запись в таблице,
используя клавиши со стрелками, и нажмите клавишу Ввод (Enter).
4) По окончании работы в окне Информация для возврата на предыдущий уровень меню
нажмите клавишу Esc. Если вы хотите вернуться в меню Администрирование (Рис. 7),
нажмите клавишу Esc еще раз.
6.3. Журнал событий
TSM позволяет регистрировать события, возникающие при его работе. Полный перечень событий и
информация, регистрируемая для каждого события, приведены в Приложении.
Для просмотра журнала событий выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Выберите пункт меню Журнал событий.
Откроется окно, содержащее записи о событиях (Рис. 13).
Рис. 13. Журнал событий
Записи журнала хранятся следующем формате:
[Дата события] [Время события] [Код события] [Текст сообщения]
[Пользователь 2] [Строковый параметр 1] [Строковый параметр 2]
[Пользователь
1]
Где: [Код события] – служебное поле, соответствующее виду события, на экране не отображается.
[Текст сообщения] – описание события, выводится на экран после полей с идентификаторами
пользователей.
[Пользователь 1], [Пользователь 2] – идентификаторы пользователей в TSM, наличие данных
полей в записи зависит от вида события.
[Строковый параметр 1 и 2] – служебные поля.
Для упрощения восприятия текст записей журнала при отображении соответствует одной из
категорий (см. Табл. 4).
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 20 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Табл. 4 – Соответствие цвета текста записи и категории
Цвет текста
Описание категории записи
Красный
Записи об ошибках (ошибки аутентификации, контроля целостности
и пр.)
Серый
Записи о штатных событиях
Желтый
Служебная информация
Журнал событий содержит до 300 записей.
При переполнении журнала событий данные о новых событиях записываются поверх самых старых
записей для исключения переполнения журнала.
По окончании работы вернитесь в меню Администрирование (Рис. 7), нажав клавишу Esc.
Примечание.
Администратор TSM в ОС семейства Windows имеет возможность сохранить записи журнала событий в файле
средствами Сервисного приложения (подробнее о работе данного компонента см. раздел 0) для архивирования,
анализа и обработки. Также события журнала автоматически копируются в системный журнал операционной
системы после загрузки ОС (Eventlog в ОС семейства Windows и Syslog в ОС семейства Linux).
6.4. Управление контролем целостности объектов на накопителях
компьютера
6.4.1. Общие сведения
После инициализации КЦ (подробнее об инициализации КЦ см. п. 8.4.1) при последующих
включениях перед загрузкой операционной системы TSM автоматически выполняет КЦ по списку
контролируемых объектов из файла КЦ.
Для каждого объекта из списка вычисляется КС и сравнивается с ее эталонным значением из файла
КЦ. После успешного завершения КЦ загрузка компьютера продолжается.
В случае несовпадения полученных КС с эталонными продолжение загрузки зависит от режима КЦ,
установленного для данного пользователя.
6.4.2. Режимы КЦ
В TSM предусмотрены режимы работы КЦ, приведенные в Табл. 5.
Табл. 5 – Режимы работы КЦ
Режим
Описание
Жесткий
При обнаружении нарушения целостности объектов файловой системы
или секторов накопителей компьютера выводится соответствующее
сообщение, добавляется запись в журнал регистрации событий,
дальнейшая загрузка компьютера блокируется.
Мягкий
При обнаружении нарушения целостности выводится соответствующее
сообщение, добавляется запись в журнал регистрации событий, но
дальнейшая загрузка компьютера не блокируется.
Режим КЦ устанавливается для каждого пользователя индивидуально и по умолчанию имеет
значение Жесткий.
Для администраторов TSM всегда установлен Мягкий режим КЦ.
Порядок действий при просмотре режима КЦ для пользователя приведен в п. 7.1.1, текущее
состояние показывает опция Режим Контроля целостности.
Порядок действий администратора при установке/изменении режима КЦ приведен в п. 7.1.4.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 21 из 55
08.04.2015
[ПК TSM. Руководство администратора]
6.4.3. Включение/выключение КЦ
КЦ включается после выполнения его инициализации (см. п. 8.4.1).
Для просмотра состояния КЦ выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Выберите пункт меню Контроль целостности.
В появившемся окне (Рис. 14) отображается следующая информация о подсистеме КЦ:

Состояние контроля целостности: активен/неактивен;

Контролируется объектов: количество контролируемых объектов файловой системы.
Для отключения КЦ выполните следующие действия.
3) Войдите в консоль администрирования TSM (п. 5.2).
4) Выберите пункт меню Контроль целостности.
В открывшемся окне (Рис. 14) выберите пункт меню Выключить контроль целостности и
нажмите клавишу Ввод (Enter) для подтверждения отключения.
Рис. 14. Окно Контроль целостности
5) По окончании работы вернитесь в меню Администрирование (Рис. 7), нажав клавишу Esc.
6.5. Работа в меню Параметры системы
6.5.1. Доступ к меню Параметры системы
Для доступа к меню Параметры системы выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Из меню Администрирование (Рис. 7) выберите пункт Параметры системы.
В открывшемся меню Параметры системы (Рис. 15) можно получить Отчет, включающий сводную
информацию о состоянии TSM, установить параметры аутентификации, выполнить обновление или
отключить TSM.
Обязательные значения параметров приведены в разделе 11.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 22 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 15. Меню Параметры системы
6.5.2. Использование пароля ИУ по умолчанию
Пароль ИУ по умолчанию имеет значение 1234567890, установленное изготовителем или после
инициализации ИУ с установками по умолчанию.
Настройки TSM по
умолчанию) для ИУ.
умолчанию
запрещают
использование
стандартного
пароля
(пароля
по
Примечание:
Содержание настоящего раздела не относится к ИУ, предназначенным для аутентификации корпоративных
пользователей и гостей, в котором пользователь не должен вводит пароль ИУ.
В случае если пользователь успешно аутентифицировался в TSM с использованием ИУ с паролем по
умолчанию, при такой настройке TSM потребует сменить пароль ИУ, как показано на Рис. 16.
Рис. 16. Смена пароля ИУ
Это требование можно отменить или назначить, выполнив следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) В меню Администрирование (Рис. 7) выберите пункт Параметры системы.
3) В меню Параметры системы (Рис. 15) установите значение параметра Использование
пароля по умолчанию в значение Запрещено (Рис. 17).
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 23 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 17. Установка принудительной смены пароля ИУ
По окончании работы в меню Параметры системы вернитесь в меню Администрирование (Рис.
7), нажав клавишу Esc.
6.5.3. Максимальное количество попыток ввода пароля
TSM ограничивает количество последовательных неуспешных попыток ввода пароля при
аутентификации пользователя в диапазоне от 0 до 15. При этом 0 означает, что количество попыток
ввода пароля не будет ограничиваться TSM, а будет ограничиваться только соответствующим
параметром, установленным в ИУ (см. эксплуатационную документацию на ИУ).
Примечание:
Содержание настоящего раздела не относится к ИУ, предназначенным для аутентификации корпоративных
пользователей и гостей, в котором пользователь не должен вводит пароль ИУ.
В случае превышения ограничения, заданного в TSM, или блокировки ИУ вследствие превышения
заданного в нем количества попыток ввода пароля учетная запись пользователя будет
заблокирована. Для разблокирования учетной записи пользователя выполняются действия в
соответствии с п. 7.1.3. При блокировании ИУ (ключи eToken или JaCarta) пользователя
администратор разблокирует ИУ согласно инструкциям в эксплуатационных документах на ИУ.
Количество попыток ввода пароля для администраторов TSM ограничено только настройками
качества пароля в ИУ.
Для изменения максимального количества ввода пароля выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) В меню Администрирование (Рис. 7) выберите пункт Параметры системы.
3) Из меню Параметры системы (Рис. 15) выберите пункт Макс. попыток ввода пароля
(Рис. 18), нажмите клавишу Ввод («Enter»), задайте число попыток в строке запроса,
появившейся в нижней части окна, и подтвердите ввод, нажав клавишу Ввод («Enter»).
Рис. 18. Установка максимального количества попыток ввода пароля
4) По окончании работы в меню Параметры системы вернитесь в меню Администрирование
(Рис. 7), нажав клавишу Esc.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 24 из 55
08.04.2015
[ПК TSM. Руководство администратора]
6.5.4. Отчет TSM
Отчет содержит следующую информацию:
 серийный номер экземпляра TSM;
 версия программного обеспечения TSM;
 модель материнской платы;
 версия BIOS материнской платы;
 список пользователей TSM, отсортированный по дате и времени регистрации
пользователя;
 информацию о журнале регистрации событий;
 информацию о подсистеме КЦ;
 информацию о параметрах системы.
Для просмотра отчета выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) В меню Администрирование (Рис. 7) выберите пункт Параметры системы.
3) Из меню Параметры системы (Рис. 15) выберите пункт Отчет – откроется окно Отчет TSM
(Рис. 19).
Рис. 19. Окно Отчет TSM
4) По окончании просмотра информации для возврата на предыдущий уровень меню нажмите
клавишу Esc. Если вы хотите вернуться в меню Администрирование (Рис. 7), нажмите
клавишу Esc еще раз.
Примечание.
В ОС Windows администратор TSM имеет возможность записать в файл отчет о состоянии TSM при помощи
Сервисного приложения (см. п. 9.6) для архивирования, анализа и обработки.
6.5.5. Обновление TSM
Файл обновления TSM.upd из комплекта поставки ПК TSM записать на накопитель компьютера
корень файловой системы на любом логическом диске.
в
Для обновления TSM выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) В меню Администрирование (Рис. 7) выберите пункт Параметры системы.
3) Из меню Параметры системы (Рис. 15) выберите пункт Обновление TSM.
4) Из полученного списка найденных на накопителях компьютера файлов обновления TSM
укажите нужный файл.
5) Дождитесь окончания процедуры обновления.
6) Перезагрузите компьютер.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 25 из 55
08.04.2015
[ПК TSM. Руководство администратора]
После обновления или в административном порядке может проводиться КЦ модуля TSM во
встроенной памяти материнской платы компьютера средствами утилиты TSMCheck на соответствие
контрольным данным, указанным в паспорте изделия.
При обновлении необходима непрерывная работа компьютера. При отказе придется обратиться к
изготовителю.
6.5.6. Отключение TSM
Пункт Отключить TSM в меню Параметры системы отключает TSM с очисткой хранилища.
Подробнее см. п. 4.4.1.
7. Список пользователей – Действия с учетными записями
7.1.1. Просмотр детальной информации о пользователе
Для просмотра детальной информации о пользователе,
пользователей выполните следующие действия.
действий
с
учетными
записями
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Из меню Администрирование (Рис. 7) выберите пункт Управление пользователями.
3) В открывшемся меню Управление пользователями (Рис. 8) Выберите пункт Список
пользователей (Рис. 12).
В полученном списке (Рис. 20) выберите в списке нужную учетную запись.
Рис. 20. Выбор записи в списке пользователей
4) Нажмите клавишу Ввод (Enter). Откроется окно Информация с детальной информацией о
пользователе (Рис. 21).
Рис. 21. Детальные сведения и меню действий с учетной записью
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 26 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Детальная информация о пользователе отображается в верхней части окна (см. Табл. 6).
Знаками +/- в Табл. 6 отмечено наличие/отсутствие соответствующего элемента данных при
просмотре учетной записи пользователя с ролью, указанной в наименовании столбца таблицы.
Табл. 6 – Информация о пользователе
Элемент
Описание
П
КП/КГ
Имя
Имя пользователя
+
+
Описание
Описание пользователя
+
+
Роль
Роль пользователя (см. п. 6.2.1)
+
+
Идентификатор
Тип и серийный номер ИУ пользователя
+
-
Ключ доступа
Значение дополнительного аутентификатора
-
+
Добавлен
Дата и время регистрации пользователя в TSM
+
+
Состояние
Состояние блокировки пользователя в TSM
(Заблокирован/Активен). В случае если пользователь
заблокирован, он не сможет успешно аутентифицироваться в
TSM
+
+
Режим контроля целостности
Режим КЦ для пользователя – Мягкий/Жесткий (см. Табл. 5).
+
+
Последний вход
Дата и время последней успешной аутентификации
пользователя в TSM
+
+
Кол-во входов
Общее количество успешных аутентификаций пользователя в
TSM с момента регистрации
+
+
Неуд. входов
Количество последовательных неуспешных попыток
аутентификации с момента последней успешной
аутентификации
+
+
+
-
-
+
+
+
Настройка определяет: Смена пароля разрешена/запрешена.
Смена пароля
Для корпоративного пользователя/гостя Смена пароля всегда
запрешена.
Усиленная защита от
копирования электронных
ключей
Если настройка включена, TSM считывает дополнительный
аутентификатор из защищенной области памяти ИУ. При
выключенной настройке дополнительный аутентификатор
считывается из открытой области ИУ.
Предусмотрена только для корпоративного администратора/
пользователя/гостя.
Если настройка включена, TSM сохраняет пароль ИУ в
специальную область встроенной памяти для последующего
доступа в различные приложения после загрузки ОС.
Для корпоративного пользователя/гостя режим Single Sign-On
всегда отключен.
Single Sign-On
7.1.2. Возможные действия с учетной записью
В нижней части окна (Рис. 21) расположено меню для работы с выбранной учетной записью. Пункты
этого меню и описание соответствующих функций приведено в Табл. 7.
Варианты действий в меню, указанные через косую черту, зависят от значений соответствующих
параметров в учетной записи. Например, если, как показано на Рис. 22, смена пароля разрешена
пользователю, в меню будет пункт Запретить смену пароля, а если запрещена – Разрешить.
Знаками +/- в Табл. 7 отмечено наличие/отсутствие соответствующего пункта меню при просмотре
учетной записи пользователя с ролью, указанной в наименовании столбца таблицы.
Табл. 7 – Меню для работы с учетными записями
Пункт
Изменить имя
© 2011, ЗАО «Аладдин Р.Д.»
Описание
Позволяет изменить имя пользователя.
П
+
КП/КГ
-
Стр. 27 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Пункт
Описание
П
КП/КГ
Изменить описание
Позволяет изменить краткое описание
пользователя.
+
-
Изменить идентификатор
Позволяет заменить ИУ пользователя новым.
+
-
Заблокировать/Разблокировать
пользователя
Позволяет временно заблокировать и
разблокировать выбранную учетную запись
+
+
Назначить “Мягкий”/“Жесткий”
режим контроля целостности
Позволяет изменить режим контроля целостности
для выбранного пользователя (см. п. 6.4.2)
+
+
Запретить/разрешить смену пароля
Позволяет запретить пользователю менять пароль.
+
-
Удалить пользователя
Позволяет удалить учетную запись пользователя.
+
-
Включить/отключить усиленную
защиту от копирования
электронных ключей
Позволяет Включить/отключить усиленную защиту
от копирования электронных ключей.
-
+
Включить/отключить режим Single
Sign-On
Позволяет Включить/отключить режим Single SignOn.
Для выполнения большинства действий с выбранной учетной записью достаточно указать нужную
строку меню, используя клавиши со стрелками, и нажать клавишу Ввод (Enter). Например, чтобы
Запретить смену пароля, Включить/отключить усиленную защиту или режим Single Sign-On.
В остальных случаях следуйте выдаваемым подсказкам. Например, чтобы сменить имя, описание,
Изменить идентификатор (заменить ИУ пользователя новым).
По окончании работы для возврата на предыдущий уровень меню нажмите клавишу Esc.
7.1.3. Заблокировать/Разблокировать пользователя
Если учетная запись пользователя
аутентифицироваться в TSM.
в
TSM
заблокирована,
он
не
сможет
успешно
Примечание:
Содержание настоящего раздела не относится к корпоративным учетным записям, которые создаются при
включении корпоративного режима.
Чтобы Заблокировать (Разблокировать) учетную запись пользователя, выполните следующие
действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Выберите последовательно
пользователей (Рис. 12).
пункты
меню
Управление
пользователями
->
Список
3) Выберите учетную запись заблокированного пользователя.
Нажмите клавишу Ввод (Enter). Откроется окно с детальной информацией о пользователе (Рис. 22).
Рис. 22. Детальная информация о пользователе
4) В нижней части окна в меню для работы с учетными записями пользователей, используя
клавиши со стрелками, выберите пункт Заблокировать (Разблокировать) пользователя
(Рис. 23) и нажмите клавишу Ввод (Enter).
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 28 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 23. Выбор пункта Заблокировать пользователя
5) По окончании работы для возврата на предыдущий уровень меню нажмите клавишу Esc.
Примечание.
Операция Заблокировать/Разблокировать пользователя в TSM относится только к учетной записи TSM. Если
было заблокировано ИУ (превышено число неуспешных попыток аутентификации), то его необходимо
разблокировать дополнительно согласно инструкциям в эксплуатационной документации на ИУ.
7.1.4. Установить/изменить режим КЦ для пользователя
Для установки/изменения режима КЦ для пользователя выполните следующие действия.
1) Войдите в консоль администрирования TSM (п. 5.2).
2) Выберите последовательно
пользователей (Рис. 24).
пункты
меню
Управление
пользователями
->
Список
Рис. 24. Выбор пункта Список пользователей
3) В открывшемся списке зарегистрированных пользователей выберите требуемую учетную
запись (Рис. 25).
Рис. 25. Выбор учетной записи
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 29 из 55
08.04.2015
[ПК TSM. Руководство администратора]
4) Нажмите клавишу Ввод (Enter). Откроется окно с детальной информацией о пользователе
(Рис. 26).
Рис. 26. Выбор пункта Список пользователей
5) В нижней части окна в меню для работы с учетными записями пользователей выберите пункт
Назначить «Жесткий» режим контроля целостности (Рис. 27) и нажмите клавишу Ввод
(Enter).
Рис. 27. Выбор пункта Назначить «Жесткий» режим контроля целостности
Примечание.
Название опции дано для общего случая, оно зависит от текущего режима. Например, если в настоящее время
для пользователя установлен Жесткий режим, название опции – Назначить Мягкий режим КЦ (Рис. 28).
Рис. 28. Выбор пункта Назначить «Мягкий» режим контроля целостности
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 30 из 55
08.04.2015
[ПК TSM. Руководство администратора]
8. Контроль целостности
8.1. Средства КЦ
ПК TSM выполняет:
 самоконтроль TSM;
 КЦ модуля TSM из среды ОС;
 контроль целостности объектов, размещенных на накопителях компьютера.
8.2. Самоконтроль TSM
Самоконтроль выполняется автоматически после запуска TSM. Проверке подлежат программный
код и хранилище TSM. При этом проверяется совпадение полученных контрольных сумм (КС) кода и
секций хранилища с их эталонами.
Самоконтроль не требует инициализации, т.к. эталон КС кода TSM записывается в служебную
секцию при записи TSM в встроенную память материнской платы производителем, а эталоны КС
секций хранилища изменяются автоматически при добавлении в эти секции новых записей.
Если при самоконтроле будет установлено, что целостность TSM нарушена, выводится сообщение
Нарушена целостность модуля безопасности, компьютер заблокирован, и выполняется
команда останова процессора. Далее возможна только перезагрузка системы. Действия
администратора при получении сообщения о нарушении целостности TSM приведены в п. 12.1.
Если целостность TSM не нарушена, он продолжает работу.
8.3. КЦ модуля TSM из среды ОС
8.3.1. На компьютере с ОС Windows
Для проведения проверки необходимо выполнение следующих условий.
1)
На компьютере должна быть установлена соответствующая утилита проверки КС:
 TSMCheck.exe – для платформы 32-бит,
 TSMCheck_x64.exe – для платформы 64-бит.
2) Установка выполняется путем копирования исполняемого модуля с дистрибутивного
накопителя в папку с предварительно установленным сервисным ПО (см. п. 9.2).
TSMCheck запускается на выполнение как любой исполняемый модуль, с правами локального или
доменного администратора.
Для проверки КС модуля TSM выполните следующие действия.
1)
Включите компьютер.
2)
После приглашения TSM подключите идентифицирующее устройство (далее – ИУ).
3)
Введите пароль администратора ИУ.
Загрузка ОС будет продолжена автоматически через 5 секунд.
4)
Войдите в ОС с правами администратора.
5)
Дождитесь окончания загрузки ОС.
6)
Для проверки КС кода модуля TSM в окне ввода командной строки введите:
c:\TSMCheck > *.exe -a 0x6000 -s 0xF0000,
где *.exe – файл TSMCheck.exe (32 или 64-бит версия, в зависимости от установленной
на компьютере ОС).
В окне консоли будет получен результат в виде строки:
Check sum on SPI region [ 0x6000/0xF0000 ]: <КС>,
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 31 из 55
08.04.2015
[ПК TSM. Руководство администратора]
где КС – вычисленная КС для модуля TSM, например 0xC48A02A6.
7)
Для проверки КС кода загрузчика TSM в окне ввода командной строки введите:
c:\TSMCheck > *.exe -a 0x4000 -s 0x1000,
В окне консоли будет получен результат в виде строки:
Check sum on SPI region [ 0x4000/0x1000 ]: <КС>,
где КС – вычисленная КС для модуля TSM.
8)
Убедитесь, что в результате проверки Вы получили КС, совпадающие с указанными в
паспорте изделия, т.е. TSM установлен во встроенную память материнской платы
корректно. Если полученные КС отличаются от указанных, обратитесь в службу
технической поддержки.
На этом проверка КС TSM, установленного во встроенную память материнской платы,
закончена.
будет
8.3.2. На компьютере с ОС Linux
Перед началом проверки необходимо выполнить следующие условия.
1)
К компьютеру должен быть подключен внешний накопитель с установленной на нем ОС
Windows и утилитой TSMCheck.
2)
TSM должен быть предварительно отключен без очистки хранилища.
Для проверки КС TSM, установленного во встроенную память материнской платы,
следующие действия.
1)
Включите компьютер.
2)
Загрузите ОС Windows с внешнего накопителя.
3)
Для проведения проверки выполните действия 6) – 8) п. 8.3.1.
выполните
8.4. КЦ объектов на накопителях компьютера
8.4.1. Подготовка КЦ
Подготовка КЦ объектов, размещенных на накопителях компьютера, включает постановку на КЦ
объектов накопителя и инициализацию КЦ в TSM.
Постановка на КЦ включает подготовку списка объектов для КЦ и расчет их КС и выполняется в
зависимости от ОС, установленной на компьютере.
Во время инициализации КЦ в TSM выполняется проверка эталонных контрольных сумм объектов.
По завершении проверки контрольных сумм подсистема КЦ в TSM будет активирована.
ОС Windows
Работы подготовки КЦ выполняется администратором TSM – два этапа (см. Табл. 8):
1) Постановка на контроль целостности (см. этап 1 в Табл. 8).
До начала выполнения этого этапа администратор должен:
 аутентифицироваться в TSM;
 загрузить ОС;
 запустить Сервисное приложение.
2) Инициализация КЦ в TSM.
Для этого администратор после выполнения этапа 1) должен:
 перезагрузить компьютер и аутентифицироваться в TSM;
 выполнить действия в соответствии с описанием этапа 2 в Табл. 8 .
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 32 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Во время инициализации КЦ TSM выполняет проверку эталонных КС объектов. По завершении
проверки КС подсистема КЦ будет активирована.
Табл. 8 – Этапы подготовки КЦ
№
этапа
Этап
Описание
1.
Постановка на контроль
целостности
Проводится администратором TSM средствами Сервисного
приложения TSM (см. п. 9.4).
2.
Инициализация КЦ
После формирования списка объектов, целостность которых
будет контролироваться TSM, для инициализации КЦ выполните
следующие действия.
1. Войдите в консоль администрирования TSM (п. 5.2).
2. Выберите пункт меню Контроль целостности.
3. Выберите пункт Инициализировать контроль
целостности (Рис. 29).
Рис. 29. Пункт Инициализировать контроль целостности
4. Подтвердите инициализацию, нажав клавишу Ввод
(«Enter»).
5. Дождитесь завершения инициализации КЦ (Рис. 30).
Рис. 30. Завершение инициализации КЦ
6. Вернитесь в меню Контроль целостности, нажав
клавишу Ввод («Enter»).
7. По окончании работы для возврата на предыдущий
уровень меню нажмите клавишу Esc. Если вы хотите
вернуться в меню Администрирование (Рис. 7),
нажмите клавишу Esc еще раз.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 33 из 55
08.04.2015
[ПК TSM. Руководство администратора]
ОС Linux
Для работы с ОС Linux список контролируемых объектов и их КС формируются и вычисляются
производителем и записываются на накопитель компьютера под стандартным именем /etc/.TSM/
3499380D-5BF0-4950-B6E6-6BF51205D8FC. Для инициализации КЦ объектов администратор должен
выполнить действия в соответствии с описанием этапа 2 в Табл. 8.
8.4.2. Выполнение КЦ
При последующих включениях TSM автоматически выполняет КЦ объектов из заданного списка.
До завершения КЦ дальнейшая загрузка компьютера невозможна.
При успешном завершении КЦ появляется сообщение, приведенное на Рис. 31, и загрузка
компьютера продолжается.
Рис. 31. Сообщение об успешном завершении КЦ
При обнаружении нарушения целостности объектов выводится соответствующее сообщение,
подобное приведенному на Рис. 32. Сообщение, которое выводится при обнаружении удаленного
объекта, приведено на Рис. 33.
Рис. 32. Сообщение о нарушении целостности одного из объектов
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 34 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 33. Сообщение при обнаружении удаленного объекта
По окончании КЦ на экран выводится сообщение, содержащее отчет с общим количеством
проверенных объектов и обнаруженных ошибок (Рис. 34).
Рис. 34. Сообщение о завершении КЦ с отчетом о проверенных объектах и обнаруженных ошибках
Дальнейшее продолжение или блокирование загрузки зависит от режима КЦ, установленного для
данного пользователя (подробнее о режимах КЦ см. 6.4.2).
При обнаружении нарушения целостности администратор должен либо восстановить измененные
объекты, либо изменить список контролируемых объектов и/или их контрольные суммы.
8.4.3. Обновление списка объектов для КЦ
Обновление списка объектов для контроля целостности может потребоваться в случаях, когда
выполняется обновление программного обеспечения (ПО) компьютера, установка нового ПО,
модификация операционной системы и пр.
Процедура обновления списка объектов КЦ проводится аналогично Постановке на КЦ в п. 8.4.1.
Предварительно КЦ в модуле TSM должен быть отключен.
9. Сервисное ПО для ОС Windows
9.1. Назначение
В ОС Windows работают Служба TSM и Сервисное приложение.
Служба TSM после загрузки ОС автоматически выгружает записи новых событий в системный
журнал ОС.
Сервисное приложение выполняет следующие задачи:
выбор объектов (секторов диска и файлов) для постановки их на контроль целостности,
вычисления и сохранения эталонных КС выбранных объектов;

просмотр журнала событий TSM и сохранения его в файле;


вывод сводной информации о TSM.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 35 из 55
08.04.2015
[ПК TSM. Руководство администратора]
9.2. Установка, запуск
Для установки Сервисного ПО выполните следующие действия.
1)
При первичной установке с поставленного накопителя сделайте копию в системный раздел
накопителя компьютера.
В папке \Дистрибутив ПК TSM\Программы\Windows выберите установочный файл Программы
установки, соответствующий платформе компьютера, например tsm-1.2-x64.msi.
Запустите Программу установки двойным щелком мыши.
2)
В полученном окне приветствия прочтите Сведения о возможностях установки и нажмите
кнопку Далее. При первичной установке далее выполняется действие 3).
Если Программа установки обнаружит, что Сервисное ПО уже установлено, будет выдано окно
Обслуживание программ с выбором Исправить или Удалить (по умолчанию). Выберите нужное и
нажмите кнопку Далее.
Если выбрано Удалить, в полученном окне с предупреждением, для его подтверждения, нажмите
кнопку Удалить.
До выполнения этой команды может быть получено окно с сообщением о том, что неопознанная
программа хочет получить доступ к этому компьютеру – Программе требуется разрешение на
продолжение. Для продолжения установки нажмите кнопку Продолжить.
В полученном окне Удаление… можно наблюдать за ее выполнением по бегунку и сообщениям о
состоянии удаления.
В полученном окне Программа установки завершена с сообщением об успешном удалении
нажмите кнопку Готово. Для повторной установки Сервисного ПО выполните процедуру с начала.
3)
В полученном окне Лицензионное соглашение, после его прочтения, для продолжения
установки отметьте выбор принимаю условия лицензионного соглашения и нажмите кнопку
Далее.
4)
В полученном окне Папка назначения предлагается папка, которую при желании можно
изменить. Для продолжения установки нажмите кнопку Далее.
5)
В полученном окне Готова к установке программы для продолжения установки нажмите
кнопку Установить.
6)
В полученном окне Установка… можно наблюдать за ее выполнением по бегунку и
сообщениям о состоянии установки.
Если бегунок остается пуст, может быть получено окно с сообщение о том, что неопознанная
программа хочет получить доступ к этому компьютеру – Программе требуется разрешение на
продолжение. Для продолжения установки нажмите кнопку Продолжить.
7)
В полученном окне Программа установки завершена с сообщением об успешной
установке нажмите кнопку Готово.
Сервисное приложение запускается двойным щелчком на файле TSMAdmin.exe (при этом у
пользователя должны быть права локального или доменного администратора).
9.3. Просмотр событий TSM из системного журнала ОС
Для просмотра событий TSM из системного журнала используются стандартные средства ОС
Windows. Просмотр возможен при наличии прав системного администратора.
9.4. Сервисное приложение – постановка на контроль целостности
9.4.1. Типы объектов
Сервисное приложение для ОС Windows позволяет выполнять КЦ следующих типов объектов:

объектов файловой системы (папки, файлы, разделы, в том числе и смонтированные на
папку) (поддерживаются файловые системы NTFS/FAT32/FAT16);
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 36 из 55
08.04.2015

[ПК TSM. Руководство администратора]
объектов таблиц разделов накопителей компьютера:

главные загрузочные записи накопителей (MBR),

расширенные загрузочные записи накопителей (EBR),

загрузочные секторы разделов (Boot sector),

первые 62 сектора после MBR.
Для формирования или обновления списка контролируемых объектов выполните следующие
действия.
3) Включите компьютер.
4) Пройдите аутентификацию в TSM с ролью администратора и загрузкой операционной
системы (см. п. 5.1).
5) Запустите Сервисное приложение с правами локального администратора.
Если пользователь не имеет таких прав, он получит диагностическое сообщение (см. Рис. 35).
Рис. 35. Диагностическое сообщение
6) В окне утилиты выберите действие Постановка на контроль целостности (Рис. 36) и
нажмите кнопку Далее.
Рис. 36. Окно Выбор режима работы
7) В появившемся окне выберите файлы и папки для контроля целостности (Рис. 37).
Рис. 37. Выбор папок для КЦ
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 37 из 55
08.04.2015
[ПК TSM. Руководство администратора]
9.4.2. Выбор объектов
Объекты расположены на двух вкладках. На первой представлено дерево файловой системы 1 (см.
Рис. 37), на второй – объекты таблиц разделов накопителей компьютера, также в виде дерева (см.
Рис. 38).
Рис. 38. Выбор секторов для КЦ
Постановка объекта на КЦ проводится путем установки отметок у соответствующих элементов
дерева.

Постановка файла на КЦ означает добавление данного файла в список контролируемых
объектов.

Постановка папки на КЦ с заданным фильтром означает добавление в список контролируемых
объектов всех файлов внутри этой папки и подпапок, удовлетворяющих выбранному фильтру.
Фильтры можно выбрать из раскрывающегося списка или ввести самостоятельно в строку
Фильтр. Вновь заданные фильтры сохраняются в течение сеанса.

Постановка MBR, EBR, загрузочных секторов и первых 62 секторов на КЦ означает добавление в
список контролируемых параметров соответствующих секторов накопителя компьютера.

Постановка на КЦ расширенного раздела (Partition Extended) означает добавление в список
контролируемых параметров всех дочерних элементов дерева.

Постановка на КЦ физического диска (HDD) означает добавление в список контролируемых
параметров его MBR, первых 62 секторов, а также EBR и загрузочных секторов всех разделов
данного диска.
Формирование списка выполняется на этапе вычисления КС объектов файловой системы.
Выбор объектов разделов накопителей компьютера выполняется по тем же принципам
единственным отличием: для объектов файловой системы есть возможность установки фильтра.
с
9.4.3. Виды отметок в дереве файловой системы
В дереве файловой системы применяется два вида галочек: черная и серая. Черная галочка
означает, что либо соответствующий объект является объектом КЦ, либо стоит на КЦ в составе
другого объекта. Серая галочка означает, что среди дочерних элементов соответствующего объекта
есть объекты КЦ.
Правила расстановки отметок в дереве файловой системы:


1
установка черной галочки на файле означает постановку данного файла на КЦ;
установка черной галочки на папке означает постановку данной папки на КЦ, при этом в
угловых скобках указывается соответствующий фильтр; также черные галочки
автоматически устанавливаются на всех подпапках и файлах, удовлетворяющих выбранному
фильтру;
Представлены все папки и файлы, в том числе скрытые и системные.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 38 из 55
08.04.2015



[ПК TSM. Руководство администратора]
снятие черной галочки с файла означает, что:

если данный файл был самостоятельным объектом КЦ, то он им более не является;

если данный файл стоял на КЦ в составе некоторой папки, то данная папка более не
является объектом КЦ, а все остальные файлы и папки становятся самостоятельными
объектами КЦ;
снятие черной галочки с папки означает то же, что и снятие ее с файла; отличие в том, что
автоматически снимаются все галочки с подпапок и файлов, поставленных на КЦ в составе
данной папки; при этом, если в конечном итоге внутри данной папки остались
самостоятельные объекты КЦ, то черная галочка заменяется на серую;
снятие серой галочки с папки означает снятие с КЦ всех ее дочерних элементов.
9.4.4. Использование фильтра в дереве файловой системы
Особенности:

При постановке галочки на папке в список контролируемых объектов попадают файлы,
соответствующие фильтру;

фильтр не влияет на список отображаемых объектов файловой системы, а является лишь
фильтром групповой операции постановки папки на КЦ;

фильтр выбирается перед постановкой папки на КЦ;

фильтр может указываться отдельно для каждой папки;

фильтр не имеет значения при постановке отдельных файлов на КЦ;

фильтр не имеет значения при снятии файла либо папки с КЦ;

изначально доступно несколько комбинаций фильтров, однако пользователь может их
изменять;

измененные пользовательские фильтры добавляются в список и сохраняются на период
работы приложения.
Примечания:
Постановка на КЦ постоянно меняющихся объектов программно не запрещается. Отслеживание подобных
ситуаций возлагается на администратора, использующего данное приложение.
Невозможна постановка на КЦ файлов, доступ к которым закрыт операционной системой. Примерами таких
файлов являются файлы hiberil.sys и pagefile.sys, расположенные в корне системного раздела. Также
невозможна постановка на КЦ объектов файловой системы, являющихся символьными ссылками (symbolic link)
или символьными связями (junction point). Вместо галочки напротив указанных объектов будет серый квадрат.
Также все папки, являющиеся ссылками, помечаются серым цветом, а в угловых скобках указывается путь к
оригинальной папке.
8) Подтвердите правильность выбора объектов КЦ, нажав кнопку Запустить в окне на Рис. 39.
Рис. 39. Окно с итоговой информацией
После выбора объектов для постановки на КЦ вычисляются эталонные КС. Для вычисления КС
используется алгоритм MD5. Процесс вычисления можно приостановить и продолжить. Вычисление
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 39 из 55
08.04.2015
[ПК TSM. Руководство администратора]
КС для объектов КЦ отображается построчно. Результаты вычисления сохраняются в файле в
формате XML.
Файл имеет фиксированное имя и расположение:
C:\$TSM\3499380D-5BF0-4950-B6E6-6BF51205D8FC
При этом папка $TSM имеет следующие атрибуты:

скрытая,

системная.
Владельцем папки является локальная группа Администраторы, доступ к папке имеют пользователи
Система и Администраторы.
9) Дождитесь сообщения об окончании формирования списка объектов КЦ (Рис. 40).
Рис. 40. Сообщение о завершении операций
10) Нажмите в окне на Рис. 40 кнопку Готово, чтобы завершить работу программы.
11) Перезагрузите компьютер и выполните инициализацию КЦ в TSM (см. описание этапа 2 в
Табл. 8 ).
9.5. Сервисное приложение – сохранение и просмотр журнала
событий TSM
Сохранение журнала TSM в файл выполняется
аутентификации в TSM с ролью администратора.
средствами
Сервисного
приложения
после
Предоставление журнала TSM для просмотра, а также генерация сводной информации выполняют
считывание данных из определенных секций встроенной памяти материнской платы, их
интерпретацию и вывод в удобном для пользователя виде.
Чтобы просмотреть журнал TSM, выполните следующие действия.
1) Включите компьютер.
2) Выполните аутентификацию в TSM с ролью администратора (см. п. 5.1) с загрузкой
операционной системы.
3) Запустите Сервисное приложение.
4) В окне на Рис. 41 выберите пункт меню Выгрузка журнала и нажмите кнопку Далее.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 40 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 41. Выбор пункта меню Выгрузка журнала в окне Сервисного приложения
5) В результате на экране будет получен журнал событий TSM (см. Рис. 42), который можно
просмотреть. Для его сохранения в файле нажмите кнопку Экспортировать в текстовый
файл или Экспортировать в электронную таблицу (расположены под таблицей сведений
из журнала).
Рис. 42. Просмотр и выгрузка (экспорт) журнала TSM
6) Получаемое окно см. на Рис. 43. Укажите имя и расположение файла для сохранения
журнала TSM.
Рис. 43. Выбор имени и расположения для сохранения файла журнала
Примечание.
Файл журнала сохраняется на локальном компьютере в расположении, указанном администратором. За
обеспечение конфиденциальности данных, содержащихся в сформированном при выгрузке файле, несет
ответственность администратор TSM.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 41 из 55
08.04.2015
[ПК TSM. Руководство администратора]
9.6. Сервисное приложение – сохранение и просмотр сводной
информации о TSM
Просмотр сводной информации о TSM проводится средствами Сервисного приложения после
аутентификации в TSM с ролью администратора.
Для сохранения отчета TSM в файл выполните следующие действия.
1) Включите компьютер.
2) Выполните аутентификацию в TSM с ролью администратора (см. п. 5.1) с загрузкой
операционной системы.
3) Запустите Сервисное приложение.
4) В окне (Рис. 44) выберите пункт меню Генерация отчета и нажмите кнопку Далее.
Рис. 44. Выбор пункта Генерация отчета
5) В результате на экране будет получена сводная информация о TSM (см. Рис. 45), которую
можно просмотреть. Для ее сохранения в файле нажмите кнопку под таблицей
Экспортировать в текстовый файл или Экспортировать в электронную таблицу.
Рис. 45. Просмотр и сохранение отчета о текущем состоянии TSM
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 42 из 55
08.04.2015
[ПК TSM. Руководство администратора]
6) Укажите имя и расположение файла отчета TSM в окне на Рис. 46.
Рис. 46. Выбор имени и расположения файла для сохранения
Примечание.
Файл отчета сохраняется на локальном компьютере в расположении, указанном администратором при
выполнении выгрузки. За обеспечение конфиденциальности данных, содержащихся в сформированном при
выгрузке файле, несет ответственность администратор TSM.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 43 из 55
08.04.2015
[ПК TSM. Руководство администратора]
10. Сервисное ПО для ОС Linux
10.1. Постановка на контроль целостности
В ОС семейства Linux администратор не выполняет выбор объектов для вычисления их КС. Список
объектов и их эталонные КС записаны в файле КЦ TSM, Который формируется из
Конфигурационного файла и записывается на накопитель компьютера производителем.
10.2. Просмотр событий TSM из системного журнала ОС
После загрузки ОС информация о событиях TSM средствами утилиты tsmlog автоматически
переносится в системный журнал ОС Linux – Syslog.
Для просмотра событий TSM из журнала Syslog выполните следующие действия:
1) Последовательно введите команды: Пуск -> Браузер Firefox.
2) В открытом окне Firefox в строке меню выбираем команду Файл->Открыть Файл.
3) Находим файл nt/etc/log/tsmlog и нажимаем Ввод.
В окне браузера откроется системный журнал.
4) Для отображения содержимого с правильной кодировкой символов в окне Firefox в строке
меню Вид -> Кодировка и выбираем Юникод (UTF-8) (см. Рис. 47).
Рис. 47. Выбор кодировки в окне браузера Firefox
Вид системного журнала в окне браузера приведен на Рис. 48.
Записи журнала выводятся в формате:
[Номер записи]
[Пользователь 2]
[Дата
события]
[Время
события]
[Текст
сообщения]
[Пользователь
1]
Где: [Текст сообщения] – описание события.
[Пользователь 1], [Пользователь 2] – идентификаторы пользователей в TSM, наличие данных
полей в записи зависит от вида события.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 44 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 48. Просмотр журнала событий в ОС Linux в окне браузера Firefox
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 45 из 55
08.04.2015
[ПК TSM. Руководство администратора]
11. Обязательные значения параметров настроек
В Табл. 9 приведены обязательные значения параметров TSM, которые
администратор. Описание действий при установке параметров см. в п. 6.5.
устанавливает
Табл. 9 – Обязательные значения параметров настроек
Параметр
Значение
Использование пароля по умолчанию
ЗАПРЕЩЕНО
Макс. попыток ввода пароля
15
Контроль целостности
Активен
Контролируется ядро операционной системы, средства
криптографической защиты информации, средства
обработки конфиденциальной информации
2
Режим КЦ для пользователей
Жесткий
Количество администраторов TSM
Не менее двух
Режим восстановления CMOS2
Ignore Clear CMOS
Восстановление CMOS устанавливается в настройках BIOS. См. документацию по материнской плате.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 46 из 55
08.04.2015
[ПК TSM. Руководство администратора]
12. Проблемы и их решение
12.1. Нарушение целостности ПО или хранилища TSM
Проблема 1
После включения компьютера на экран выводится сообщение:
Нарушена целостность модуля безопасности, компьютер заблокирован.
Возможная причина
Нарушена целостность кода и хранилища TSM, встроенного в материнскую плату компьютера.
Причинами нарушения целостности могли быть аппаратный сбой или действия злоумышленника.
Решение
В целях сохранения уровня безопасности при нарушении целостности TSM компьютер блокируется
для всех пользователей, включая администраторов TSM.
Восстановление программного обеспечения материнской платы, в том числе TSM, возможно только в
условиях сервисного центра производителя материнских плат. Обратитесь в сервисный центр.
Проблема 2
После включения компьютера на экран выводится сообщение, показанное на Рис. 49:
Рис. 49. Нарушение целостности журнала
Возможная причина
Нарушена целостность журнала TSM. Причиной нарушения целостности могут стать аппаратный
сбой или действия злоумышленника.
Решение
Необходимо вручную восстановить контрольные суммы журнала событий. Для этого выполните
следующие действия.
1) Нажмите клавишу Ввод («Enter») для продолжения.
2) Войдите в консоль администрирования (п. 5.2), в полученном окне Рис. 50 выберите пункт
Администрирование.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 47 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 50. Консоль администрирования
Из меню, приведенного на Рис. 51, выберите пункт Журнал событий.
Рис. 51. Меню администрирования
3) Выберите пункт Просмотр записей (Рис. 52).
Рис. 52. Выбор пункта меню Просмотр записей
4) В журнале событий найдите поврежденные записи и убедитесь, что содержащаяся в них
информация не является критичной с точки зрения безопасности. Поврежденные записи
выделены красным (Рис. 53).
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 48 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Рис. 53. Просмотр поврежденных записей
5) Вернитесь в предыдущий пункт меню, нажав клавишу Esc.
6) Выберите пункт меню Исправить журнал из меню на Рис. 52. Появится сообщение,
приведенное на Рис. 54.
Рис. 54. Сообщение об исправлении целостности журнала
7) Нажмите Ввод («Enter») для возврата в меню Администрирование.
Важно!
После восстановления контрольных сумм журнала событий TSM работает в штатном режиме. Но записи журнала,
целостность которых была повреждена, не будут восстановлены и будут отображаться в журнале, как показано
на Рис. 53.
Проблема 3
Потеряны последние изменения информации о пользователях TSM.
Возможная причина
Была нарушена целостность информации о пользователях TSM. Причиной нарушения целостности
могут стать аппаратный сбой или действия злоумышленника.
Решение
TSM автоматически восстанавливает информацию о пользователях из резервных копий. Резервные
копии сохраняются автоматически при каждом изменении информации о пользователе. В случае
нарушения целостности будет найдена последняя валидная запись, которая станет актуальной
информацией о пользователе.
12.2. Проблемы при работе с ИУ
Проблема
Заблокировано или отформатировано ИУ администратора.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 49 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Возможная причина
Превышение попыток ввода пароля ИУ, форматирование ИУ.
Решение
Обратитесь ко второму администратору для восстановления дополнительного аутентификатора или
получения нового ИУ.
При отсутствии второго администратора обратитесь в сервисный центр производителя.
12.3. Другие проблемы
При возникновении другой нештатной или аварийной ситуации администратор должен обратиться в
службу технической поддержки производителя. Реквизиты указаны в паспорте изделия.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 50 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Дата
события
Время
события
Приложение. Перечень событий, регистрируемых TSM
Код события
+
+
0x44070005
Включена подсистема
КЦ.
+
-
-
-
+
+
0x44070020
Подсистема КЦ
отключена.
+
-
-
-
+
+
0x44070004
Ошибка при
выполнении КЦ.
+
-
-
-
+
+
0x44070026
Целостность журнала
восстановлена.
+
-
-
-
+
+
0x44070027
Имя пользователя
"%1" изменено на
"%2".
+
+
%1
%2
+
+
0x44070028
Описание
пользователя "%1"
изменено.
+
+
%1
-
+
+
0x44070003
Пользователь
заблокирован.
-
+
-
-
+
+
0x4407002A
Пользователь
разблокирован.
+
+
-
-
+
+
0x4407002C
Установлен "Жёсткий"
режим КЦ.
+
-
-
-
+
+
0x4407002B
Установлен "Мягкий"
режим КЦ.
+
-
-
-
+
+
0x44070029
Пользователь "%1"
удален.
+
+
%1
+
+
0x4407002D
Пароль по умолчанию
разрешен.
+
-
-
-
+
+
0x4407002E
Пароль по умолчанию
запрещен.
+
-
-
-
+
+
0x4407002F
Макс. количество
попыток ввода пароля
изменено на %1.
+
-
%1
-
+
+
0x44070012
Добавлен первый
администратор: %1.
-
+
%1
-
+
+
0x4407000C
Попытка входа
заблокированного
пользователя.
-
+
-
-
+
+
0x4407000A
Попытка входа с
использованием
незарегистрированного ИУ %1.
-
+
%1
-
+
+
0x4407000B
Попытка входа
пользователя в
заблокированную
систему.
-
+
-
-
+
+
0xC407000E
Введён неверный
пароль к ИУ %1.
-
+
%1
-
© 2011, ЗАО «Аладдин Р.Д.»
Текст сообщения
Пользователь 1
Пользователь 2
Строковый
параметр 1
Строковый
параметр 2
Стр. 51 из 55
Время
события
[ПК TSM. Руководство администратора]
Дата
события
08.04.2015
Код события
+
+
0x44070008
Попытка войти с
использованием ИУ, в
котором отсутствует
ключ доступа.
-
+
-
-
+
+
0x44070009
Попытка войти с
использованием ИУ с
неподходящим
ключом доступа.
-
+
-
-
+
+
0x44070002
Вход администратора.
+
-
-
-
+
+
0x44070001
Вход пользователя.
+
-
-
-
+
+
0x4407001E
Смена пароля.
+
+
-
-
+
+
0x4407001F
Смена пароля к ИУ
%1.
+
-
%1
-
+
+
0x44070021
Идентификатор
пользователя %1
изменен на новый.
+
+
%1
-
+
+
0x4407001D
Добавлен новый
администратор: %1.
+
+
%1
-
+
+
0x4407001C
Добавлен новый
пользователь: %1.
+
+
%1
-
+
+
0x44070022
Модуль TSM включен.
-
-
-
-
+
+
0x44070023
Модуль TSM
выключен.
-
-
-
-
+
+
0x44070024
Модуль TSM
деактивирован при
загрузке.
-
-
-
-
+
+
0x44070025
Неизвестное
сообщение BIOS.
-
-
-
-
+
+
0x4407003E
Выполнена очистка
памяти электронного
ключа %1.
+
-
%1
-
+
+
0x4407003D
Процедура контроля
целостности успешно
выполнена.
+
-
-
-
+
+
0x44070039
Инициировано
изменение
пользовательского
имени "%1".
+
+
+
-
+
+
0x4407003A
Инициировано
изменение
пользовательского
описания "%1".
+
+
+
-
+
+
0x44070031
Включен
корпоративный
режим. Добавлены
корпоративные
учетные записи.
+
-
-
-
© 2011, ЗАО «Аладдин Р.Д.»
Текст сообщения
Пользователь 1
Пользователь 2
Строковый
параметр 1
Строковый
параметр 2
Стр. 52 из 55
Время
события
[ПК TSM. Руководство администратора]
Дата
события
08.04.2015
Код события
+
+
0x44070032
Корпоративный режим
отключен.
Корпоративные
учетные записи
удалены.
+
-
-
-
+
+
0x44070034
Отключена усиленная
защита от
копирования
электронных ключей.
+
+
-
-
+
+
0x44070033
Включена усиленная
защита от
копирования
электронных ключей.
+
+
-
-
+
+
0x44070035
Включен запрет на
смену пароля
пользователя.
+
+
-
-
+
+
0x44070036
Отключен запрет на
смену пароля
пользователя.
+
+
-
-
+
+
0x44070037
Включен механизм
Single Sign-On.
+
+
-
-
+
+
0x44070038
Отключен механизм
Single Sign-On
+
+
-
-
+
+
0x4407003B
Инициировано
изменение
максимального
количества попыток
ввода пароля со
значения %1 попыток.
+
-
%1
-
+
+
0xC406000C
Введён неверный
пароль.
-
+
-
-
+
+
0x4407003C
Инициировано
обновление TSM
версии %1.
+
-
+
-
+
+
0x44070030
Произведено
обновление до
версии: %1.
+
-
+
-
Текст сообщения
Пользователь 1
Пользователь 2
Строковый
параметр 1
Строковый
параметр 2
+ в таблице обозначены параметры, отображаемые в записи о данном событии.
– в таблице обозначены параметры, не используемые для записи о данном событии.
Код события, Строковый параметр 1, Строковый параметр 2 – служебные поля.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 53 из 55
08.04.2015
[ПК TSM. Руководство администратора]
Перечень терминов и сокращений
АС
–
автоматизированная система
BIOS
–
Basic Input/Output System (базовая система ввода-вывода).
eTokenID
–
уникальный серийный номер ИУ
ИУ
–
Идентифицирующее устройство.
Консоль
администрирования
–
Консоль управления TSM. Предназначена для выполнения
административных функций и мониторинга системы.
КС
–
Контрольная сумма.
КЦ
–
Контроль целостности.
НСД
–
Несанкционированный доступ.
ОС
–
Операционная система.
ПК
–
Программный комплекс.
ФС
–
Файловая система.
Хранилище TSM
–
Область хранения учетных записей пользователей, журнала
событий и служебной информации во встроенной памяти
материнской платы.
© 2011, ЗАО «Аладдин Р.Д.»
Стр. 54 из 55
Скачать