Организация работы и настройка клиентской части Блокхост-Сеть


- планирование и организация групп и пользователей;
- инициализация аппаратных ключей eToken;
- настройка аутентификации пользователей;
- настройка сетевой печати и общего доступа к папкам и файлам;
- защищенный вход пользователей в систему;


Планирование и организация групп и пользователей


После развертывания клиентской части на рабочих станциях существует возможность их группировки по различным организационным (логическим) принципам, например:

Разумеется это не полный список вариантов, конечный результат группировки определяется потребностями в каждом конкретном случае.

Чтобы воспользоваться этой возможностью, необходимо запустить серверную консоль администрирования «Блокхост-Сеть, в окне Список машин выделить группу Мастер_сервер и нажать кнопку Показывать группы, расположенную в заголовке окна. После этого станут активными пункты меню Управление машинами в разделе Группы, а именно Добавить группу и Синхронизировать группу, а также в контекстном меню окна Список машин появятся пункты по работе с группами:



Для создания новой группы необходимо щелкнуть мышью группу, в которую будет добавляться новая группа, и выбрать пункт меню Управление машинами пункт Добавить группу , или воспользоваться пунктом контекстного меню Добавить группу:



В результате появится группа с именем Новая_группа. Для изменения имени группы можно воспользоваться пунктом контекстного меню Изменить имя.

Для всех групп кроме группы по умолчанию Все_машины можно создавать вложенные группы.

Для добавления рабочей станции в группу просто захватите и перетащите эту рабочую станцию на имя группы. Кроме того, добавить или переместить рабочую станцию в группу можно при помощи команд меню Вырезать и Вставить.

Точно также, как и в случае с группой, с помощью контекстного меню можно переименовать рабочую станцию, дав ей более содержательное имя, чем то, которое она получает после установки(имя компьютера + название домена) :


Пункт контекстного меню Удалить из группы перемещает рабочую станцию в группу по умолчанию Все_машины.

Пункт Удалить из настроек удаляет рабочую станцию из списка контролируемых текущим сервером СЗИ. Для работы с ней потребуется повторная установка клиента.

Ошибочно созданную или более ненужную группу можно удалить. Для этого необходимо выделить ее и нажать клавишу Del или воспользоваться пунктом меню Удалить группу. При этом находившиеся в удаленной группе рабочие станции останутся на сервере СЗИ и будут перемещены в группу Все_машины

Саму группу Все_машины удалить нельзя.

Удаление родительской группы влечет за собой удаление всех вложенных в нее групп, при этом рабочие станции, находившиеся в этих группах, будут перемещены в группу по умолчанию Все_машины.

Действуя таким образом мы создаем нужную нам структуру из групп, вложенных групп и рабочих станций на сервере администрирования СЗИ


Инициализация аппаратных ключей eToken


Может быть уже было озвучено, что в нашем случае СЗИ Блокхост-Сеть была использована только для организации двухфакторной аутентификации пользователей. В качестве аппаратных ключей использовались электронные ключи eToken Pro (Java) 72K. Кроме того, из-за нехватки электронных ключей примерно для трети рабочих станций для аутентификации были использованы флэшки пользователей.

Для использования eToken в качества средства двухфакторной аутентификации необходимо выполнить его первоначальную инициализацию. Звучит страшно, но на самом деле нужно всего лишь задать пароль пользователя (он же пин-код) и пароль администратора. В принципе и этого можно не делать, используя стандартный пин-код носителя (в нашем случае это 1234567890). Однако, так сказать, для повышения уровня защиты информации было решено присвоить каждому носителю уникальный пин-код.

В поставке Блокхост-Сеть 2.0 находится средство для работы с eToken - PKIClient-x32-5.1-SP1.msi и PKIClient-x64-5.1.msi для 32-х и 64-х битных ОС версии 5.1.66.0. У нас уже имелся такой же PKIClient версии 5.1.82.0, поэтому использовали его. Установка средства абсолютно никаких сложностей не вызывает, поэтому рассматривать ее не будет.

Для первоначальной (и не только) инициализации аппаратного ключа запускаем предварительно установленный PKIClient и жмем на кнопку в виде шестеренки Подробный вид:



Щелкаем на пиктограмме с изображением аппаратного ключа eToken и нажимаем кнопку Инициализировать eToken:



В открывшемся окне вводим пароль пользователя, подтверждение пароля пользователя, устанавливаем галочку Пароль администратора, вводим и подтверждаем его. Еще снимаем галочку При первом входе необходимо изменить пароль. Нажимаем кнопку Запуск:



Готово. Для хранения реквизитов пользователей был сделан журнал учета выданных eToken вот такого вида:

Журнал регистрации и учета электронных ключевых носителей информации
для аутентификации/идентификации пользователей СЗИ НСД «Блокхост – Сеть 2.0»

№ п/п

Инвентарный/серийный номер электронного носителя

Дата выдачи

Отметка о получении

Ф.И.О. сотрудника, выдавшего электронный носитель eToken

Отметка о возврате электронного носителя eToken, дата, подпись

Фамилия И.О. сотрудника

подпись

1

2

3

4

5

6

7

Для флэш-накопителей всех этих телодвижений совершать не нужно, их можно сразу прописывать пользователю в серверной консоли Блокхост-Сеть.


Настройка аутентификации пользователей


Настройка аутентификации пользователей - это привязка аппаратного ключа к рабочей станции и определение способов входа на компьютер.

Привязка аппаратного ключа это единственный момент, когда может потребоваться (а может и нет) доступ в серверное помещение. Например Windows 7 не позволяла вставить eToken в рабочую станцию администратора безопасности, войти через удаленный рабочий стол на сервер Блокхоста, запустить там серверную консоль и прописать носитель. Приходилось идти и вставлять носитель непосредственно в сервер, ну и привязывать eToken тоже в серверной, раз уж пришли. Заморачиваться пробросом портов не стали, благо серверная недалеко. А вот в Windows 10 все получилось без походов в серверную.

Итак, запускаем серверную консоль на сервере, находим нужную рабочую станцию – вы ведь уже определили структуру групп и рабочих станций, верно?

В среднем окне щелкаем по элементу списка Список пользователей – в правой части отобразится список пользователей настраиваемой рабочей станции:



В этот список попадают все учетные записи, которые Блокхост-Сеть обнаружит на рабочей станции во время установки клиентской части, включая и системные учетные записи. На рисунке приведен список УЗ для ОС Windows 10. Для Windows 7 в списке пользователей не будет DefaultAccount и WDAGUtilityAccount.

Если учетная запись на клиенте отключена, в этот список она не попадет.

Заметим, что пользователь Гость в списке пользователей на клиенте Блокхост-Сеть это не то же самое, что и учетная запись Гость на клиентской машине. В нашем случае УЗ Гость на клиенте отключена. Пользователь Гость на клиенте Блокхост-Сеть – это служебная запись самого Блокхоста. Учтите, что разработчики категорически не рекомендуют удалять ее из настроек или отключать!

Итак, выбираем по щелчку мыши пользователя, для которого будем прописывать носитель, и жмем на кнопку Управление носителями. В открывшемся окне задаем пин-код и нажимем кнопку Сохранить. Носитель прописан:



Это была картинка, когда пользователю прописывается флэшка. А вот eToken:



Бывает, что Блокхост-Сеть некорректно показывает носитель, точнее не обновляет носитель после предыдущего пользователя. При этой ситуации достаточно нажать кнопку Обновить, расположенную справа от названия носителя.

После прописывания носителя следует определить способ входа пользователя на компьютер.

Для этого раскрываем вниз список пользователей в средней части окна, раскрываем вниз нужного пользователя, выбираем раздел Аутентификация:



Затем в правом окне устанавливаем переключатель в положение Вход с токеном.

Не забываем сохранить изменения:



По умолчанию сразу после установки клиентской части для контролируемой машины устанавливается так называемый «мягкий режим», который в числе прочего позволяет входить в систему и при ошибках проверки аппаратного носителя:



После настройки аппаратного ключа и клиента пользователю под роспись в журнале выдавался eToken (флэшка) и проверялась возможность входа с ключом. При успешном входе мягкий режим необходимо снять:



Настройка сетевой печати и общего доступа к папкам и файлам


Для предоставления общего доступа к папкам и файлам рабочей станции нужно предоставить возможность сетевого входа на нее другим пользователям. Подобный случай – это печать на принтере, физического присоединенного к одному компьютеру, с другого компьютера.

Для реализации этих возможностей запускаем серверную консоль Блокхост-Сеть и выбираем рабочую станцию, к которой необходимо предоставить доступ. Открываем список пользователей:



Жмем по кнопке Добавление пользователя. Откроется окно, состоящее из трех областей:



Область слева – источник или откуда берутся учетные записи – локальный компьютер, рабочая группа или домен

Область посередине – список учетных записей выбранной области. Здесь выбираем нужные учетные записи.

Область справа – выбранные учетные записи. После завершения выбора необходимо нажать кнопку Добавить.

Теперь следует настроить параметры аутентификации добавленных учетных записей на рабочей станции. Как и в прошлом разделе, раскрываем вниз список пользователей в средней части окна, раскрываем вниз нужного пользователя, выбираем раздел Аутентификация и настраиваем как на рисунке:



Проделываем аналогичные действия для всех добавленных нами учетных записей.


Защищенный вход пользователей в систему


Аутентификации пользователей с применением СЗИ Блокхост-Сеть основана на совместном применении политики аутентификации, использующейся в домене Windows, и политики аутентификации, установленной для пользователя в СЗИ. Если идентификационные данные учетной записи пользователя не удовлетворяют хотя бы одной из этих политик, то попытка входа пользователя в ОС будет неудачной.

При входе пользователя в систему его идентификационные данные (имя учетной записи, пароль и аппаратный идентификатор пользователя и PIN-код доступа к нему) проверяются на контролере домена и в локальной базе данных клиента СЗИ.

На практике для пользователя немного меняется внешний вид экрана для ввода реквизитов доступа в систему и порядок действий.

Для Windows 7: при первом входе в систему с установленным клиентом Блокхост-Сеть после ввода Ctrl+Alt+Del необходимо нажать кнопку Сменить пользователя, чтобы получить возможность выбора вида входа.

  1. Вход с аппаратным носителем

    Примеры входа проиллюстрированы для ОС Windows 10: окно для входа примет следующий вид:



  2. Дополнительно к имени учетной записи и паролю для аутентификации необходимо ввести пин-код, назначенный для носителя (естественно вставив сам носитель).

  3. Для входа без аппаратного носителя нужно выбрать пункт Вход пользователя.
  4. Окно для ввода реквизитов доступа примет следующий вид:



      Естественно, этот вид входа должен быть доступен только для встроенной учетной записи локального администратора.

      На этом настройку клиентской части для двухфакторной идентификации пользователе можно считать законченной. В следующей части будут разобраны проблемы эксплуатации СЗИ Блокхост-Сеть.