Файл: Защиты информации.pdf

80
Чтобы подготовить данные для создания дистрибутивов в УКЦ, сформи- руйте справочники, выбрав в меню Моя сеть → пункт Создать справочники.
На экран будет выведено окно со списком узлов, для которых требуется создать справочники. Нажмите кнопку Создать для всего списка.
Рисунок 39 – Окно «Создание справочников»
Справочники содержат информацию о сетевых узлах, пользователях и их свойствах: идентификаторах, связях, ролях сетевых узлов, адресах и так далее.
Развернуть схему стенда согласно схеме, изображенной на рисунке 40.

81
Центральный офис
ViPNet Client
ViPNet Client
ViPNet
Coordinator
Главный администратор
Администратор
Координатор центральный офис
Рисунок 40 – Схема стенда для лабораторной работы
2 Установка компонентов ViPNet Удостоверяющий
и ключевой центр
2.1 Установка программного компонента
В рамках лабораторной работы ViPNet Удостоверяющий и ключевой центр устанавливается на то же рабочее место, что и серверное приложение.
1. Для установки компонента ViPNet Удостоверяющий и ключевой центр откройте файл Setup.exe из каталога удостоверяющего и ключевого центра
ViPNet Administrator.
2. Подождите, пока на компьютер будет автоматически установлено не- обходимое программное обеспечение, в том числе программа ViPNet CSP.
3. В окне Установка ViPNet Administrator [Удостоверяющий и ключевой
центр] на странице Лицензионное соглашение ознакомьтесь с условиями лицен- зионного соглашения. В случае согласия установите соответствующий флажок.
Затем нажмите кнопку Продолжить.
4. На странице Способ установки нажмите кнопку Установить сейчас.

82
Рисунок 41 – Способ установки
После установки УКЦ потребуется перезагрузка компьютера, программа выдаст соответствующее сообщение. Выполните перезагрузку.
2.2 Первый запуск ViPNet Удостоверяющий и ключевой центр
1. Чтобы начать работу с программой ViPNet Удостоверяющий и ключе- вой центр, выполните запуск программы Пуск
 Все программы  ViPNet 
ViPNet Administrator
 Удостоверяющий и ключевой центр.
2. В окне Начало работы с программой Удостоверяющий и ключевой центр выберите Настройка новой базы данных и нажмите кнопку Продолжить для запуска процедуры первичной инициализации.

83
Рисунок 42 – Выбор базы данных
3. На первой странице мастера инициализации нажмите кнопку Далее.
4. На странице Подключение к базе данных ViPNet Administrator укажите сетевой адрес экземпляра SQL-сервера - Awinnccsql и имя базы данных –
ViPNetAdministrator и нажмите кнопку Далее.
Рисунок 43 – Выбор SQL сервера

84 5. На следующей странице выберите тип проверки при подключении к
SQL-серверу – По имени и паролю пользователя SQL-сервера, укажите имя пользователя – KcaUser, пароль – Number1 и нажмите кнопку Далее.
Рисунок 44 – Задание имени и пароля для подключения к SQL-серверу
6. Имя главного администратора ViPNet компании – Петров Игорь Ва-
сильевич. На странице Создание администратора сети ViPNet задайте имя учетной записи администратора УКЦ – Игорь, и нажмите кнопку Далее.

85
Рисунок 45 – Ввод имени администратора ViPNet
7. На страницах Владелец сертификата введите личные данные, которые будут указаны в сертификате ключа проверки электронной подписи главного администратора ViPNet в соответствии с рисунками 46–48.

86
Рисунок 46 – Ввод данных для издания сертификата администратора
ViPNet (часть 1)
Рисунок 47 – Ввод данных для издания сертификата администратора
ViPNet (часть 2)

87
Рисунок 48 – Ввод данных для издания сертификата администратора
ViPNet (часть 3)
8. На странице Дополнительные сведения о владельце сертификата на- жмите кнопку Далее.
9. На странице Параметры ключа электронной подписи оставьте значе- ния по умолчанию и нажмите кнопку Далее.
10. На странице Срок действия сертификата установите максимальное значение – 192 месяца с настоящего момента.
11. На странице Программные средства флажок «Функционировать в качестве аккредитованного удостоверяющего центра» устанавливать не нужно.
12. На странице Автоматический режим работы нажмите кнопку Да-
лее.
13. На странице Место хранения контейнеров ключа подписи и ключа за-
щиты УКЦ выберите место хранения контейнера ключей администратора – В
файле.
В зависимости от выбранного места хранения будет определен срок дей- ствия ключа электронной подписи. При хранении ключа электронной подписи

88 в файле на компьютере либо на внешнем устройстве, которое не поддерживает алгоритм ГОСТ 34.10-2001, срок действия ключа ограничивается одним годом.
Если ключ электронной подписи хранится на устройстве с поддержкой ГОСТ
34.10-2001 (был непосредственно сформирован на нем), то его срок действия составляет 3 года. Под сроком действия понимается срок использования ключа электронной подписи для подписи издаваемых сертификатов пользователей.
При этом список аннулированных сертификатов может быть подписан и по ис- течении срока действия ключа электронной подписи.
14. На странице Настройка паролей выберите тип создаваемого пароля –
Собственный пароль, способ выдачи пароля пользователя – Сохранять пароль
в файл XPS в папку, нажмите кнопку Далее. На появившейся странице задайте пароль администратора сети ViPNet – Administrator.
Рисунок 49 – Задание пароля администратора
15. На странице готовности к завершению первичной инициализации убедитесь в правильности параметров, заданных на предыдущих страницах мастера. При необходимости изменения параметров вернитесь на нужную страницу с помощью кнопки Назад.
16. Для продолжения работы нажмите кнопку Далее. Поводите указате- лем в пределах окна Электронная рулетка и после успешного завершения ини- циализации нажмите кнопку Закрыть.

89 1. Создана учетная запись администратора УКЦ.
2. Создан ключ электронной подписи и издан сертификат администратора
УКЦ.
3. Созданы мастер-ключи.
4. Установлено соединение с базой данных SQL и произведено ее запол- нение данными.
В случае корректной инициализации появится главное окно программы.
Рисунок 50 – Главное окно УКЦ
Перед началом работы в УКЦ проверьте первоначальные настройки программы. В меню Сервис выберите пункт Настройка. В открывшемся ок- не в разделе Пароли должен быть установлен тип пароля, который будет использоваться при создании новых паролей, – Собственный пароль, а на вкладке Сертификаты – снят флажок Редактировать поля сертификатов
при издании.
2.3 Проверка выданных справочников в ЦУС
Перейти в окно программы Центр управления сетью.
В меню Моя сеть
 пункт Создать справочники. На экран будет выве- дено окно со списком узлов, для которых созданы или требуется создать спра- вочники. Нажмите кнопку Создать для всего списка, если хотя бы для одного узла НЕ создан справочник.

90
2.4 Выдача дистрибутивов ключей
Дистрибутивы ключей необходимы для активации программных продук- тов ViPNet (ViPNet Client, ViPNet Coordinator, ViPNet Policy Manager и т.д.) на сетевых узлах защищенной сети.
Если на сетевом узле зарегистрировано несколько пользователей, то для каждого пользователя узла будет сформирован свой дистрибутив.
Для создания дистрибутивов ключей выполните следующие дейст-
вия:
1. В окне программы ViPNet Удостоверяющий и ключевой центр на па- нели навигации выберите представление Ключевой центр и перейдите в раздел
Моя сеть
 Сетевые узлы.
2. Выделите все сетевые узлы. В контекстном меню выберите пункт Вы-
дать новый дистрибутив ключей...
Рисунок 51 – Выдача дистрибутивов ключей
3. Задайте пароль пользователя – 11111111 по очереди для каждого поль- зователя защищенной сети.

91
Рисунок 52 – Задание пароля пользователя
После окончания выдачи дистрибутивов откроется окно проводника с папкой, содержащей подпапки сетевых узлов с готовыми дистрибутивами.
Рисунок 53 – Папка с дистрибутивами ключей
Администратор УКЦ должен доверенным путем (например, с помощью спец- или фельдъегерской связи, отправки на существующий сетевой узел с помощью программы ViPNet Client или лично в руки по доверенности) пере- дать пользователю следующее:
1. Дистрибутив ключей (dst-файл).
2. Пароль пользователя.

92
3 Резервное копирование и восстановление данных ViPNet
Administrator
3.1 Создание резервной копии в ручном режиме
В программе ViPNet Удостоверяющий и ключевой центр существует воз- можность создания резервных копий конфигурации сети, позволяющих при не- обходимости осуществлять возврат к более ранним конфигурациям.
В состав резервной копии конфигурации сети (файл *.rp) входят сле-
дующие данные:
1. Копия базы данных ViPNet Administrator, в которой содержится ин- формация о структуре сети ViPNet, сведения о сертификатах и списках аннули- рованных сертификатов, изданных в УКЦ, и другие данные.
2. Копия папки, в которой хранится служебная информация УКЦ:
С:\ProgramData\Infotecs\ViPNetAdministrator\KC.
В резервную копию конфигурации сети не включаются:
1. Копии контейнеров ключей администраторов УКЦ. Резервные копии контейнеров ключей требуется создавать отдельно.
2. Справочники и ключи узлов. При необходимости они могут быть соз- даны после восстановления конфигурации сети.
3. Резервные копии автоматически перемещаются в папку
С:\ProgramData\ lnfoTeCS\ViPNetAdministrator\KC\Restore.

93
Рисунок 54 – Содержание каталога Restore
Для создания резервной копии выполните следующие действия:
1. В программе ViPNet Удостоверяющий и ключевой центр в меню Сер-
вис выберите пункт Восстановление конфигурации....
2. В появившемся окне выберите Создать резервную копию текущей
конфигурации и нажмите кнопку Далее.

94
Рисунок 55 – Окно Восстановление конфигурации ViPNet Administrator
3. В окне Создание резервной копии введите комментарий «Резервная ко- пия в ручном режиме» и нажмите кнопку Далее.
4. По завершении операции нажмите кнопку Готово.

95
Рисунок 56 – Окно Создание резервной копии
Рисунок 57 – Окно Завершение создания резервной копии
Чтобы просмотреть список резервных копий, в меню Сервис выбери¬те пункт Восстановление конфигурации... выберите Редактировать список ре-
зервных копий и нажмите кнопку Далее. На экран будет выведено окно с переч- нем созданных резервных копий.

96
Рисунок 58 – Окно Список резервных копий
3.2 Настройка автоматического резервного копирования
В программе ViPNet Удостоверяющий и ключевой центр существует возможность настройки автоматического создания резервных копий конфигу- рации с определенной периодичностью в заданное время.
Зададим настройки таким образом, чтобы резервные копии создавались ежедневно в 03:00 часа. Для этого выполните следующие действия:
1. В меню Сервис выберите пункт Настройки
 Восстановление конфи-
гурации.
2. Установите флажок Автоматически создавать резервные копии каж-
дые..., и укажите периодичность создания резервной копии 1 день, время созда- ния резервной копии – 03:00.

97
Рисунок 59 – Настройка параметров создания резервной копии
Резервные копии будут автоматически перемещаться в папку
С:\ProgramData\lnfoTeCS\ViPNetAdministrator\KC\Restore.
Рекомендуется производить регулярное копирование папки с резервными копиями, расположенной по пути:
C:\ProgramData\InfoTeCSWiPNetAdministrator\KC\Restore на носитель информации, отличный от того, на котором развернуто ПО ViPNet Administrator
(сетевую папку на другом компьютере, съемный жесткий диск).
Для обеспечения возможности полноценного восстановления работоспо- собности ПО ViPNet Administrator требуется вручную создавать резервные ко- пии контейнеров ключей администратора УКЦ. Каталог с контейнерами клю- чей администратора УКЦ расположен по следующему пути: C:\Users\
учетной записи локального администратора Windows, от лица которого была
произведена установка УКЦ> \AppData\Roaming\ Infotecs \ ViPNet
Administrator.
Для доступа к контейнеру с резервными копиями ПО ViPNet Administrator
и ключевой информацией, необходимо в настройках Пуск
 Панель управления

98
 Параметры папок на вкладке Вид установить параметр  Скрытые фай-
лы и папки в режим
 Показать скрытые файлы, папки и диски.
Рисунок 60 – Включение отображения скрытых файлов и папок
3.3 Миграция ПО ViPNet Administrator
Возможны следующие сценарии миграции ПО ViPNet Administrator:
1. Компоненты ViPNet Administrator установлены на одном компьютере и требуется их перенос также на один компьютер (может понадобиться при смене операционной системы или самого компьютера, на котором функционирует
ViPNet Administrator).
2. Компоненты ViPNet Administrator установлены на одном компьютере и требуется разнести их на разные компьютеры (может потребоваться при уже- сточении политики безопасности по отношению к рабочему месту администра- тора сети, например, когда по требованиям безопасности база данных ViPNet
Administrator должна быть размещена на отдельном защищенном компьютере).
Для осуществления миграции ПО ViPNet Administrator необходимы сле- дующие данные:

99 1. Резервная копия конфигурации сети (файл *.rp). Файлы резервных ко- пий находятся в папке
C:\ProgramData\InfoTeCSWiPNetAdministrator\
KCYRestore.
2. Копия архива, содержащего список всех резервных копий, которые создавались при эксплуатации сети (файл rpts_50.stg). Файл архива находится в папке:
C:\ProgramData\InfoTeCS\ViPNetAdministrator\KC\Restore.
3. Копия лицензионного файла (infotecs.reg).
4. Копия папки с контейнерами ключей администратора УКЦ:
С:\Users\<имя учетной записи локального администратора Windows, от
лица которого была произведена установка УКЦ>\AppData\Roaming\
Infotecs\ViPNetAdministrator.
В рамках настоящего практического задания необходимо отработать пер- вый сценарий. Для этого выполните следующие действия:
1. Создайте папку Migration на рабочем столе и скопируйте в нее каталог с контейнерами ключей администратора УКЦ С:\Users\<имя учетной записи
локального администратора Windows, от лица которого была произведена ус-
тановка УКЦ>\AppData \Roaming\Infotecs\ViPNetAdministrator и каталог с ре- зервными копиями C:\ProgramData\InfoTeCS\ViPNetAdministrator\KC\Restore.
2. Завершите работу компонентов ViPNet Administrator [Центр управле- ния сетью] и ViPNet Administrator [Удостоверяющий и ключевой центр].
3. Удалите все компоненты ViPNet Administrator штатными средствами операционной системы (Пуск
 Панель управления  Удаление программы).
4. При удалении ViPNet Administrator [Центр управления сетью] – Сервер подтвердите удаление пользовательских данных и базы данных Центра управ- ления сетью.