ПАК "Соболь". Версия 4 - Код Безопасности

Программно-аппаратный комплекс

СобольВерсия 4

Руководство администратора

RU.88338853.501410.019 91 1 КБ-ЭД/202

© Компания "Код Безопасности", 2020. Все права защищены.

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условиялицензионного соглашения. Без специального письменного разрешения компании "КодБезопасности" этот документ или его часть в печатном или электронном виде не могут бытьподвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без спе-циального уведомления, что не является нарушением обязательств по отношению к пользо-вателю со стороны компании "Код Безопасности".

Почтовый адрес: 115127, Россия, Москва, а/я 66ООО "Код Безопасности"

Телефон: 8 495 982-30-20

E-mail: [email protected]

Web: https://www.securitycode.ru

© КОМПАНИЯ "КОД БЕЗОПАСНОСТИ"

2ПАК "Соболь". Версия 4Руководство администратора

ОглавлениеСписок сокращений 5

Введение 6

Общие сведения 7Назначение 7Принципы функционирования 8

Механизм идентификации и аутентификации 8Механизм блокировки несанкционированной загрузки операционной системысо съемных носителей 10Механизм контроля целостности 10Механизм сторожевого таймера 13Механизм регистрации событий 14Механизм контроля работоспособности компонентов комплекса 14

Требования к оборудованию и программному обеспечению 14Условия обеспечения безопасности информации и соответствия предъяв-ляемым требованиям 15

Подготовка к эксплуатации 15Ввод в эксплуатацию 16Эксплуатация 18Обновление собственного ПО 18Специальные требования 19

Установка и удаление комплекса 20Порядок установки комплекса 20Установка платы PCIe 20Установка платы Mini PCIe Half 23Установка платы M.2 27Инициализация комплекса 28

Запуск инициализации 29Настройка системных параметров 30Настройка общих параметров 32Настройка параметров журнала событий 35Настройка параметров паролей 36Регистрация администратора 38Настройка параметров КЦ и расчет контрольных сумм 43Завершение инициализации 46

Перевод комплекса в рабочий режим 47Удаление комплекса 48Изъятие платы PCIe 48Изъятие платы Mini PCIe Half 49Изъятие платы M.2 50

Настройка и эксплуатация комплекса 52Вход администратора 52Меню администратора 55Параметры загрузки ОС 57Режим работы комплекса 58Настройка общих параметров 60Настройка параметров паролей 61Управление пользователями 62

Регистрация пользователя 63Настройка параметров учетной записи 67Удаление учетной записи пользователя 68Удаление всех учетных записей пользователей 69Принудительная смена пароля и аутентификатора пользователя 69Настройка автоматической загрузки ОС для пользователя 71

Контроль целостности 72Смена аутентификатора администратора 73



Смена пароля администратора 76Работа с журналом событий 78

Просмотр журнала 78Поиск записей 79Очистка журнала 81Экспорт журнала 81Настройка параметров журнала 83

Контроль работоспособности компонентов комплекса 84Служебные операции 85

Копирование идентификатора администратора 86Форматирование идентификатора 87Программная инициализация платы 88Установка системного времени и даты 88Сохранение кода расширения UEFI/BIOS 89Обновление кода расширения UEFI/BIOS 90

Завершение настройки комплекса 91

Управление шаблонами КЦ 92Назначение встроенного ПО комплекса 92Создание шаблона КЦ 92Запуск встроенного ПО комплекса 94Создание группы ресурсов 95Добавление ресурсов в группу 97

Добавление файлов 97Добавление переменных реестра 99Добавление ключей реестра 100Добавление секторов диска 101Добавление конфигурации оборудования 102

Настройка контроля групп и ресурсов 103Управление ресурсами 103

Свойства групп и ресурсов 103Сортировка 104Экспорт и импорт ресурсов 104

Удаление групп и ресурсов 107

Приложение 108Сообщения комплекса "Соболь" 108

Сообщения об ошибках при загрузке комплекса 108Сообщения о событиях, приводящих к блокировке компьютера 109Предупреждающие и информационные сообщения 110Сообщения механизма контроля целостности 112Сообщения об ошибках при тестировании комплекса 114

События, регистрируемые комплексом "Соболь" 114Эксплуатация в режиме совместного использования 116

Меню администратора 117Общие параметры 117Параметры паролей 117Управление пользователями 117Смена пароля и аутентификатора 118Контроль целостности 118Работа с журналом событий 118

Системные параметры при сетевой загрузке ОС 119Информационное окно 120Создание скриншотов 120

Терминологический справочник 121

Документация 122



Список сокращенийАН Аутентифицирующий носитель

АП Абонентский пункт

АПКШ Аппаратно-программный комплексшифрования

ДСЧ Датчик случайных чисел

ИС Информационная система

КС Контрольная сумма

КЦ Контроль целостности

НСД Несанкционированный доступ

ОС Операционная система

ПАК Программно-аппаратный комплекс

ПЛИС Программируемая логическая интегральная схема

ПО Программное обеспечение

ПЭК Персональная электронная карта

СЗИ Средство защиты информации

СКЗИ Средство криптографической защиты информации

API Application Programming Interface — программный интерфейсприложения

BIOS Basic Input/Output System — базовая система ввода-вывода

M.2 PCI Express M.2 (Type 2230-D4-A-E)

Mini PCIe Mini PCI Express

Mini PCIe Half Mini PCI Express Half

NVRAM Nonvolatile Random Access Memory — энергонезависимаяпамять

PCIe PCI Express

SMBIOS System Management BIOS— системное управление BIOS

UEFI Unified Extensible Firmware Interface — унифицированныйрасширяемый интерфейс прошивки



ВведениеДанное руководство предназначено для администраторов изделия "Программно-аппаратный комплекс "Соболь". Версия 4" RU.88338853.501410.019 (далее —комплекс, комплекс "Соболь", ПАК, ПАК "Соболь"). В нем содержатся сведения,необходимые для установки, настройки и эксплуатации комплекса "Соболь".Сведения о настройке вспомогательного ПО комплекса приводятся в документе[2].Сведения, необходимые пользователю комплекса "Соболь", содержатся в доку-менте [3].

Структураруководства

Материал руководства организован следующим образом:• Глава 1 содержит общие сведения о защитных механизмах комплекса "Со-

боль";• Глава 2 содержит порядок установки и удаления комплекса;• Глава 3 содержит инструкции по настройке и эксплуатации комплекса;• Глава 4 содержит инструкции по управлению шаблонами КЦ с исполь-

зованием встроенного ПО комплекса;• Приложение содержит пояснение сообщений комплекса "Соболь", пере-

чень событий, регистрируемых комплексом, и другую дополнительнуюинформацию о работе комплекса;

• Документация содержит перечень эксплуатационных документов, вхо-дящих в комплект поставки ПАК "Соболь".

Внутренние ссылки обычно содержат указание на номер страницы с нужнымисведениями. Важная и дополнительная информация оформлена в виде при-мечаний, начинающихся со слов Внимание,Пояснение, Совет и др.

Другиеисточникиинформации

Сайт в интернете. Информация о продуктах компании "Код Безопасности"представлена на сайте https://www.securitycode.ru/products/.Служба технической поддержки. Связаться со службой технической под-держки можно по телефону 8 800 505- 30- 20 или по электронной почте[email protected] . Страница службы технической поддержки на сайтекомпании https://www.securitycode.ru/services/tech-support/.Учебные курсы. Освоить аппаратные и программные продукты компании"Код Безопасности" можно в авторизованных учебных центрах. Переченьучебных центров и условия обучения представлены на сайтекомпании https://www.securitycode.ru/company/education/training-courses/. Свя-заться c представителем компании по вопросам организации обучения можно поэлектронной почте [email protected].



https://www.securitycode.ru/products/

mailto:[email protected]

https://www.securitycode.ru/services/tech-support/

https://www.securitycode.ru/company/education/training-courses/

mailto:[email protected]

Глава 1Общие сведенияНазначение

Комплекс "Соболь" предназначен для предотвращения несанкционированногодоступа посторонних лиц к ресурсам защищаемого компьютера.Комплекс "Соболь" реализует следующие основные функции:• идентификация и аутентификация пользователей компьютера при входе в

ИС с помощью персональных идентификаторов (см. Табл.1 на стр.9);• защита от несанкционированной загрузки ОС со съемных носителей — дис-

кет, оптических и магнитооптических дисков, ZIP-устройств, USB-устройстви др.;

• контроль целостности программного и аппаратного обеспечения защи-щаемого компьютера до загрузки ОС:• файлов;• физических секторов жесткого диска;• элементов системного реестра компьютера;• журнала транзакций;• PCI-устройств;• структур SMBIOS;

• блокировка компьютера при условии, что после его включения управлениене передано расширению UEFI/BIOS комплекса "Соболь";

• контроль работоспособности основных компонентов комплекса — датчикаслучайных чисел, энергонезависимой памяти, персональных иденти-фикаторов;

• регистрация событий, имеющих отношение к безопасности ИС;• совместная работа с АПКШ "Континент", СКЗИ "Континент-АП", СЗИ Secret

Net LSP, СЗИ Secret Net Studio.

Пояснение. Работа комплекса "Соболь" совместно с другими СЗИ осуществляется в режимесовместного использования. Особенности этого режима представлены на стр.116.

Комплекс "Соболь" может использоваться при создании:• автоматизированных систем до класса защищенности 1Б включительно;• государственных информационных систем до 1 класса защищенности

включительно;• информационных систем персональных данных до 1 уровня защищенности

включительно;• автоматизированных систем управления производственными и техноло-

гическими процессами до 1 класса защищенности включительно;• значимых объектов КИИ до 1 категории значимости включительно;• информационных систем общего пользования 2 класса.Комплекс "Соболь" может применяться для обеспечения защиты автономныхкомпьютеров, а также рабочих станций и серверов, входящих в состав локальнойвычислительной сети.



Принципы функционированияДействие комплекса "Соболь" состоит в проверке полномочий пользователя навход в ИС. Если предъявлены необходимые атрибуты — персональный иден-тификатор и пароль, — пользователь получает право на вход. При их отсутствиивход в ИС данного пользователя запрещается.

Пояснение. Пользователь получает доступ к компьютеру после регистрации в списке пользо-вателей комплекса "Соболь". Регистрация пользователей осуществляется администратором и со-стоит в присвоении пользователю имени, персонального идентификатора и пароля. Регистрацияадминистратора осуществляется при инициализации комплекса.

В комплексе "Соболь" реализованы следующие основные защитные механизмы:• идентификация и аутентификация пользователей (см. стр.8);• блокировка несанкционированной загрузки ОС со съемных носителей (см.

стр.10);• контроль целостности программного и аппаратного обеспечения защи-

щаемого компьютера (см. стр.10);• сторожевой таймер (см. стр.13);• регистрация событий, имеющих отношение к безопасности ИС (см. стр.14);• контроль работоспособности основных компонентов комплекса (см. стр.14).

Пояснение. Комплекс "Соболь" может функционировать как с использованиеммеханизмов КЦ и сто-рожевого таймера, так и без них.

Комплекс "Соболь" функционирует в двух режимах — режиме инициализации ирабочем режиме.Режим инициализации предназначен для подготовки комплекса к эксплу-атации. В данном режиме выполняются настройка системных, общих пара-метров, параметров паролей, журнала и КЦ; регистрация администратора;расчет эталонных контрольных сумм.В комплексе "Соболь" реализованы два способа инициализации — аппаратный ипрограммный.Аппаратная инициализация выполняется перед началом эксплуатации комп-лекса, в том числе при первой установке платы в компьютер. Также она можетприменяться для сброса всех ранее настроенных параметров. Предварительнонеобходимо переключить плату в режим инициализации.Программная инициализация выполняется в рабочем режиме при необхо-димости изменения параметров, настроенных при установке платы комплекса вкомпьютер. Данный способ не требует переключения платы в режим инициа-лизации.Рабочий режим — это режим эксплуатации комплекса. В данном режимефункционируют защитные механизмы ПАК "Соболь", а также выполняются на-стройка параметров и диагностика комплекса, управление пользователями, ра-бота с журналом событий, служебные операции.

Механизм идентификации и аутентификацииМеханизм идентификации и аутентификации обеспечивает проверку пол-номочий пользователя на доступ к ИС при попытке входа в ИС.Идентификация (распознавание) и аутентификация (проверка подлинности)пользователя осуществляются при каждом входе в ИС, защищеннуюПАК "Соболь".Для идентификации пользователя в комплексе "Соболь" используются уни-кальные номера аппаратных устройств — идентификаторов. При аутенти-фикации осуществляется проверка правильности указанного пользователемпароля с использованием аутентификатора пользователя.



Пояснение. Аутентификатор — структура данных, хранящаяся в персональном идентификаторепользователя.

Табл.1 Идентификаторы, используемые в комплексе "Соболь"

Идентификаторы iButtonUSB-идентификаторы

USB-ключи Смарт-карты

DS1992 eToken PRO eToken PRO

DS1993 eToken PRO (Java) eToken PRO (Java)

DS1994 ESMART Token 64k ESMART Token 64k

DS1995 JaCarta-2 PKI/ГОСТ JaCarta-2 ГОСТ

DS1996 JaCarta-2 ГОСТ JaCarta-2 PKI/ГОСТ

JaCarta SF/ГОСТ Рутокен ЭЦП SC

Рутокен S (RF) Рутокен 2151

Рутокен 2151 (RF) Рутокен Lite SC

Рутокен Lite (RF) Рутокен ЭЦП 2.0

Рутокен ЭЦП 2.0 (RF) ПЭК

Рутокен ЭЦП 2.0 2100(RF)

Guardant-ID

USB-ключи, USB-считыватели смарт-карт Athena ASEDrive IIIe USB V2/V3, USB-считыватели, соответствующие стандарту CCID, а также USB-считыватели дляидентификаторов iButton (далее — USB-считыватели) подключаются к штатнымUSB- разъемам компьютера. Идентификаторы iButton подключаются к кон-тактному устройству или USB-считывателю для iButton.В зависимости от типа предъявляемого идентификатора в комплексе "Соболь"поддерживаются двухфакторный (для iButton) и усиленный двухфакторный (дляUSB-идентификаторов) способы аутентификации.При двухфакторной аутентификации пользователь предъявляет персональныйидентификатор и вводит пароль.При усиленной двухфакторной аутентификации пользователь предъявляет пер-сональный идентификатор, вводит PIN-код персонального идентификатора и за-тем вводит пароль.Для идентификаторов, поддерживающих усиленную двухфакторную аутен-тификацию, производителем установлен PIN-код по умолчанию (см. примечаниениже). Для повышения эффективности защиты информации от НСД ре-комендуется установить PIN-код, отличный от значения по умолчанию.

Внимание!• Смена PIN-кода выполняется с использованием средств производителя идентификатора.• В случае установки PIN-кода администратор обязан при выдаче пользователю идентификатора

сообщитьему установленный PIN-код.• PIN-коды USB-идентификаторов по умолчанию:

• для Рутокен S (RF), Рутокен ЭЦП 2.0 (RF), Рутокен ЭЦП 2.0 2100 (RF), Рутокен Lite (RF),Рутокен 2151 (RF), Рутокен ЭЦП SC, Рутокен 2151, Рутокен Lite SC, Рутокен ЭЦП 2.0,ESMARTToken 64k—12345678;

• для eToken PRO, eToken PRO (Java), JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ,Guardant-ID—1234567890.

Если PIN-код по умолчанию не подходит, обратитесь к производителю идентификатора.

В случае предъявления персонального идентификатора, не зарегистри-рованного в ПАК "Соболь":• вход пользователя в ИС запрещается;• в журнале регистрации событий фиксируется попытка НСД к компьютеру.



В случае ввода пароля, не соответствующего предъявленному идентификатору:• вход пользователя в ИС запрещается;• счетчик неудачных попыток входа пользователя в ИС увеличивается на еди-

ницу;

Пояснение.• Если число неудачных попыток входа пользователя достигает максимально допустимого зна-

чения, установленного администратором, вход данного пользователя в ИСблокируется.• Если число неудачных попыток меньше максимально допустимого значения, счетчик неу-

дачных попыток сбрасывается при первом успешном входе пользователя в ИС.

• в журнале событий фиксируется попытка НСД к компьютеру.Служебная информация о регистрации пользователя (имя, номер присвоенногоперсонального идентификатора и т. д.) хранится в энергонезависимой памятикомплекса "Соболь".Максимальное количество пользователей комплекса определяется администра-тором (см. Табл.4 на стр.32, параметр "Максимальное количество пользователейи событий журнала").В комплексе "Соболь" администратору доступны следующие дополнительныевозможности по управлению процедурами идентификации, аутентификации,смены пароля и аутентификатора пользователя:• ограничение времени, отводящегося пользователю для предъявления пер-

сонального идентификатора и ввода пароля при входе в ИС;• режим использования случайных паролей для процедур смены пароля

пользователя и администратора, а также процедуры регистрации новогопользователя;

• настройка параметров паролей (срок действия, сложность, минимальная дли-на, минимальное число измененных символов).

Внимание! В режиме совместного использования управление паролями и аутентификаторамиадминистратора и пользователя осуществляется инструментами СЗИ, совместно с которымфункци-онирует ПАК "Соболь".

Механизм блокировки несанкционированной загрузкиоперационной системы со съемных носителейБлокировка несанкционированной загрузки ОС с внешних съемных носителей(дискет, оптических и магнитооптических дисков, ZIP-устройств, USB-устройстви др.) осуществляется путем блокирования доступа к указанным устройствам смомента включения компьютера до завершения процесса загрузки ОС. Послеуспешной загрузки ОС доступ к этим устройствам восстанавливается.Запрет распространяется на всех пользователей компьютера, за исключениемадминистратора.

Пояснение.• Администратор может разрешитьотдельнымпользователям компьютера выполнять загрузкуОС

со съемных носителей (см. стр.67).• Администратор может назначить доверенным загрузчик ОС на съемном носителе (см. стр.31). В

этом случае загрузка ОС будет осуществляться с помощью доверенного загрузчика, даже еслидля пользователя настроен запрет загрузки со съемных носителей.

Механизм контроля целостностиМеханизм КЦ предназначен для отслеживания изменений параметров про-граммных и аппаратных ресурсов компьютера до загрузки ОС.Используемый в комплексе "Соболь" механизм КЦ позволяет контролироватьобъекты, приведенные в таблице ниже.



Дополнительно имеется возможность контроля журнала транзакций NTFS, EXT3,EXT4. Контролируются сведения о незавершенных операциях, а также це-лостность объектов и шаблонов КЦ при наличии незавершенных операций. Дан-ная процедура контроля предшествует процедуре КЦ файлов, секторов жесткогодиска и элементов системного реестра.

Табл.2 Объекты КЦ комплекса "Соболь"

Объект КЦ Пояснение

Файлы Контролируются одиночные файлы, группы файлов, каталогов иподкаталогов, расположенных на жестком диске компьютера

Секторыжесткогодиска

Контролируются служебные области жесткого диска (Master Boot Record,NTFS Boot Sector и др.)

Элементысистемногореестра

Контролируются элементы (объекты) системного реестра ОСWindows:• ключи реестра;• параметры (переменные)

PCI-устройства

Контролируются устройства, использующие шины стандарта PCI, PCIeс установленными в системе соответствующими драйверами. Режимыконтроля:• упрощенный (контроль наличия/отсутствия PCI-устройства);• стандартный (контроль стандартного 256-байтногоконфигурационного адресного пространства, выделяемого каждомуPCI-устройству);

• расширенный (контроль стандартного 256-байтного и расширенного4-килобайтного конфигурационного адресного пространства,выделяемого каждому PCI-устройству)

SMBIOS Контролируются структуры SMBIOS, содержащие информацию окомпонентах системной платы (сведения о производителе, процессоре,системных слотах, памяти, UEFI/BIOS и др.)

Реализация КЦ в комплексе "Соболь" основана на вычислении контрольныхсумм проверяемых объектов и их сравнении с ранее рассчитанными эталоннымиконтрольными суммами.Списки подлежащих контролю объектов содержатся в шаблонах КЦ, которымиможно управлять:• в автономном режиме — с использованием встроенного ПО (см. стр.92) или

вспомогательного ПО (см. документ [2]) комплекса;• в режиме совместного использования — с использованием вспомогательного

ПО или инструментов СЗИ, совместно с которым функционирует комплекс(см. стр.118).

Пояснение.• Шаблон КЦ представляет собой служебный файл, содержащий данные для идентификации и

контрольные суммы объектов КЦ.Шаблоны КЦ хранятся на жестком диске компьютера.• Встроенное ПО комплекса работает с единым шаблоном формата json. Шаблон КЦ создается

администратором комплекса вручную. Управление осуществляется с использованием ин-терфейса ПАК "Соболь".

• Вспомогательное ПО комплекса работает сшаблонами для разных категорий объектов КЦ:• files.nam, files.chk—шаблоны КЦфайлов;• sectors.nam, sectors.chk—шаблоны КЦ секторов жесткого диска;• registry.nam, registry.chk—шаблоны КЦ элементов системного реестра;• pci.nam, pci.сhk—шаблоны КЦ PCI-устройств;• smbios.nam, smbios.сhk—шаблоны КЦ структур SMBIOS.Шаблоны КЦ создаются при установке вспомогательного ПО. Управление осуществляется сиспользованием вспомогательного ПО, устанавливаемого в ОС.

Возможность расчета эталонных контрольных сумм объектов КЦ пре-доставляется администратору ПАК "Соболь" (в автономном режиме, в режиме сов-местного использования) или администратору СЗИ, совместно с которым



функционирует ПАК "Соболь" (в режиме совместного использования). Рас-считанные значения эталонных контрольных сумм объектов КЦ записываются вшаблоны КЦ. После этого рассчитываются контрольные суммы самих шаблоновКЦ, и их значения сохраняются в защищенной памяти комплекса.Значения контрольных сумм рассчитываются с использованием ключа КЦ по од-ному из следующих алгоритмов:• ГОСТ 28147–89 в режиме выработки имитовставки;

Внимание! Данный алгоритм необходимо применять в режиме совместного использования идля совместимости с ранними версиями комплекса.

• "Магма" (ГОСТ Р 34.12-2015, ГОСТ 34.12-2018) в режиме выработки ими-товставки и режиме гаммирования с обратной связью по выходу(ГОСТ Р 34.13-2015, ГОСТ 34.13-2018).

Проверка контрольных сумм объектов КЦ осуществляется при входе админи-стратора и пользователей в ИС. Сначала рассчитываются контрольные суммы ша-блонов КЦ, которые сравниваются со значениями, сохраненными в защи-щенной памяти ПАК "Соболь". После этого рассчитываются и проверяются конт-рольные суммы всех объектов КЦ. При обнаружении нарушений целостности ша-блонов или объектов КЦ в журнале событий регистрируется соответствующеесобытие.В ПАК "Соболь" имеется возможность периодического обновления ключа КЦ, ис-пользуемого для расчета контрольных сумм. В этом случае с заданным ин-тервалом выполняются следующие действия:• при входе администратора и пользователей в ИС выполняется проверка конт-

рольных сумм объектов КЦ;• при успешном завершении проверки обновляется ключ КЦ;• выполняется перерасчет эталонных контрольных сумм объектов КЦ.Если на этапе проверки контрольных сумм обнаружены ошибки, то обновлениеключа КЦ и перерасчет эталонных контрольных сумм не выполняются. В жур-нале комплекса регистрируется соответствующее событие.В ПАК "Соболь" реализованы два режима работы КЦ — жесткий и мягкий. Режимработы устанавливается администратором для каждого пользователя ком-пьютера индивидуально.В жестком режиме при обнаружении нарушений целостности шаблонов илиобъектов КЦ ключ КЦ не обновляется, вход пользователя в ОС запрещается и ком-пьютер блокируется.В мягком режиме при обнаружении нарушений целостности шаблонов илиобъектов КЦ ключ КЦ не обновляется, вход пользователя в ОС разрешается.

Внимание! При использовании механизма КЦ следует учесть, что:• запрещается использование на компьютере любых менеджеров загрузки ОС (boot manager),

обеспечивающихфункционирование несколькихОС;• запрещается подвергать сжатию каталог, содержащий шаблоны КЦ;• в шаблоне КЦ не допускается использование символьных ссылок и жестких ссылок в файловой

системе NTFS (NTFS Symbolic Link и NTFS Hardlink) и точек соединения ОС Windows (WindowsJunction Point);

• невозможен КЦ файлов, преобразованных любыми другими программами, например, крип-тографии (BestCrypt и т. п.) или сжатия дисков (Drivespace и т. п.);

• применение механизма КЦ для логических дисков, расположенных на динамических дисках и/илиявляющихся наборами томов (например, LVM, StripeSet, Volume set, Software RAID), не поддер-живается.



Механизм сторожевого таймераМеханизм сторожевого таймера обеспечивает блокировку доступа к компьютерупри условии, что после включения компьютера и по истечении заданного ин-тервала времени, называемого временем ожидания сторожевого таймера, управ-ление не передано расширению UEFI/BIOS комплекса.Блокировка доступа к компьютеру может осуществляться:• путем принудительной автоматической перезагрузки компьютера с помощью

стандартной процедуры Reset. Для блокировки используется кабель RST ме-ханизма сторожевого таймера (см. п. А, Рис.1 на стр.13);

• путем принудительного автоматического выключения питания компьютера.Для блокировки могут использоваться следующие компоненты:• устройство блокировки питания (см. п. Б, Рис.1 на стр.13);

Пояснение. Устройство блокировки питания предназначено для использования в компью-терахформфактора ATX.

• кабель PWR механизма сторожевого таймера с T-Tap соединителями(см. п. В, Рис.1 на стр.13) для параллельного подключения к жилам стан-дартного кабеля кнопки "Power";

• соединители (см. п. Г, Рис.1 на стр.13) для параллельного подключениякабеля RST к жилам стандартного кабеля кнопки "Power".

Рис.1 Компоненты ПАК "Соболь" для механизма сторожевого таймера

Для использования механизма сторожевого таймера необходимо правильно под-ключить к плате комплекса "Соболь" кабель RST, кабель PWR или устройствоблокировки питания. Без подключения кабеля или устройства механизм сто-рожевого таймера не функционирует.В ПАК "Соболь" на базе платы PCIe для повышения эффективности функцио-нирования механизма сторожевого таймера на плате установлен разъем питанияSATA. Подключение к нему кабеля питания SATA компьютера позволяет под-держать работоспособность механизма в случае отключения подачи питания наразъем PCIe системной платы (например, при запрещении в UEFI/BIOS Setupиспользования слота PCIe).



Рекомендуемое время ожидания сторожевого таймера определяется авто-матически на этапе инициализации комплекса. Администратор может кор-ректировать значение времени ожидания в режиме инициализации и рабочемрежиме комплекса. Максимальное значение параметра составляет65534 секунды.

Внимание! Во избежание потери приложений, вызванной срабатыванием механизма сторожевоготаймера во время выхода компьютера из ждущего режима, не используйте ждущий режим вОС семейства Windows, если в параметрах UEFI/BIOS включен энергосберегающий режим ACPI "S3"или "S4" (Suspend To RAM). В этих случаях рекомендуется вместо ждущего режима использовать спя-щий режимили изменитьэнергосберегающий режимUEFI/BIOS.

Механизм регистрации событийСобытия, регистрируемые комплексом "Соболь", хранятся в журнале событий.Журнал событий размещается в специальной области энергонезависимой па-мяти платы. Размер этой области памяти ограничен.

Пояснение. Максимальное количество записей журнала может составлять 1000, 2000 или 3000событий в зависимости от максимального количества пользователей комплекса (см. Табл.4 настр.32, параметр "Максимальное количество пользователей и событий журнала").

В ПАК "Соболь" реализованы следующие функции для работы с журналом собы-тий:• экспорт записей журнала в файл;• поиск событий в журнале по времени их формирования и по типу;• автоматическая перезапись событий при 100-процентном заполнении жур-

нала;• задание временного периода аудита журнала.

Механизм контроля работоспособности компонентов комплексаМеханизм контроля работоспособности ПАК "Соболь" предназначен для про-верки корректности функционирования следующих компонентов комплекса:• память платы;• датчик случайных чисел;• персональный идентификатор.Проверка выполняется посредством тестирования компонентов. Данную про-цедуру можно запустить перед инициализацией комплекса или в рабочем ре-жиме.

Совет. Перед инициализацией комплекса рекомендуется выполнить тестирование всех компо-нентов.

Требования к оборудованию и программному обеспечениюКомплекс "Соболь" устанавливается на компьютеры, оснащенные 64- раз-рядными процессорами. Для подключения платы комплекса на системной платекомпьютера должен быть свободный разъем шины стандарта PCIe (версия 1.0а ивыше), либо стандарта Mini PCIe, либо стандарта M.2.Комплекс "Соболь" функционирует с файловыми системами NTFS, FAT16, FAT32,EXT2, EXT3, EXT4.Системный жесткий диск должен иметь структуру разделов GPT и не менее50 Мбайт свободного пространства.Минимальное разрешение экрана, поддерживаемое ПАК "Соболь", – 1024x768.Работоспособность комплекса "Соболь" не зависит от типа используемой ОС.

Пояснение. Для управления шаблонами КЦ может использоваться вспомогательное ПО, кор-ректная работа которого зависит от ОС компьютера. Системные требования для установки вспо-могательного ПОПАК "Соболь" указаны в документе [2].



Для функционирования механизма сторожевого таймера системная пла-та компьютера должна удовлетворять хотя бы одному из следующих условий:• наличие разъема для подачи сигнала системного сброса Reset;• наличие разъема для подключения устройства блокировки питания;• возможность параллельного подсоединения к жилам стандартного кабеля

кнопки "Power".При подаче сигнала сброса Reset на разъем системной платы компьютера, к кото-рому подключен кабель RST механизма сторожевого таймера, должна обес-печиваться перезагрузка компьютера.При подаче сигнала на разъем питания системной платы компьютера, к которомуподключено устройство блокировки питания, а также на стандартный кабелькнопки "Power", к которому подключен кабель RST или кабель PWR механизмасторожевого таймера, должно обеспечиваться выключение питания ком-пьютера. Возможность влияния на этот механизм со стороны программных иаппаратных средств компьютера (например, путем отключения из UEFI/BIOSSetup) должна быть исключена.Разъем питания системной платы компьютера должен отвечать требованиям спе-цификации ATX и иметь 20 или 24 контакта. Блок питания должен удов-летворять требованиям спецификации ATX.

Условия обеспечения безопасности информации исоответствия предъявляемым требованиям

Изделие "Программно- аппаратный комплекс "Соболь"RU.88338853.501410.019 в исполнениях:• PCI Express (вариант 1). Плата RU.88338853.501410.019 95 1, версия кода

расширения UEFI/BIOS – 4.3.358.0, версия кода ПЛИС – 13.6;• Mini PCI Express Half (вариант 1). Плата RU.88338853.501410.019 97 1, вер-

сия кода расширения UEFI/BIOS – 4.3.358.0, версия кода ПЛИС – 13.4;• PCI Express M.2 (вариант 1). Плата RU.88338853.501410.019 88 1, версия ко-

да расширения UEFI/BIOS – 4.3.358.0, версия кода ПЛИС – 13.5может использоваться при условии выполнения следующих требований:• соблюдение условий, указанных в предписании на эксплуатацию ком-

пьютера с установленным ПАК;• сохранение в тайне аутентификаторов и паролей администратора и пользо-

вателей, а также информации, записанной в энергонезависимую память пла-ты ПАК;

• соблюдение условий, перечисленных ниже, и правил эксплуатации, установ-ленных в эксплуатационной документации ПАК.

Подготовка к эксплуатацииДо начала эксплуатации ПАК "Соболь" должны быть выполнены следующиеусловия:1. Рабочее место, в составе которого предполагается использование ПАК, долж-

но соответствовать условиям применения, приведенным в разделе "Тре-бования к оборудованию и программному обеспечению" (см. стр.14).

2. Должны быть обеспечены установка, конфигурирование и управление ПАК всоответствии с эксплуатационной документацией.

3. Должна быть обеспечена невозможность осуществления действий, направ-ленных на нарушение физической целостности средств вычислительной тех-ники, доступ к которым контролируется с применением ПАК.

4. Должен быть обеспечен надежный источник меток времени для записи собы-тий аудита безопасности ПАК.

5. Персонал, ответственный за функционирование ПАК, должен обеспечиватьфункционирование ПАК в соответствии с эксплуатационной документацией.



6. Должен быть определен перечень объектов программной среды компьютера,целостность которых контролируется средствами ПАК. Сформированныйперечень должен быть достаточным для гарантированной загрузки штатнойоперационной системы, контроля целостности программных средств защитыинформации (при их наличии) и контроля необходимых файлов пользо-вателей.

Ввод в эксплуатациюПри вводе ПАК в эксплуатацию должны выполняться следующие требования:1. При использовании ПАК в государственных информационных системах

4 класса защищенности должны быть установлены следующие значенияпараметров:• "Максимальный срок действия пароля (дней)" — "180";• "Ограничение срока действия пароля" — "Да";• "Минимальная длина пароля" — "6", алфавит пароля не менее 30 сим-

волов;• "Проверка сложности пароля" — "ВКЛ", при этом:

• "Наличие хотя бы одной цифры" — "ВКЛ";• "Наличие хотя бы одной строчной буквы" — "ВКЛ";

• "Предельное число неудачных входов пользователя" — от "3" до "10";• "Режим контроля целостности" — "Мягкий".

2. При использовании ПАК в государственных информационных системах3 класса защищенности должны быть установлены следующие значенияпараметров:• "Максимальный срок действия пароля (дней)" — "120";• "Ограничение срока действия пароля" — "Да";• "Минимальная длина пароля" — "6", алфавит пароля не менее 60 сим-


• "Наличие хотя бы одной цифры" — "ВКЛ";• "Наличие хотя бы одной заглавной буквы" — "ВКЛ";• "Наличие хотя бы одной строчной буквы" — "ВКЛ";

• "Предельное число неудачных входов пользователя" — от "3" до "10";• "Режим контроля целостности" — "Мягкий".



• "Наличие хотя бы одной цифры" — "ВКЛ";• "Наличие хотя бы одной заглавной буквы" — "ВКЛ";• "Наличие хотя бы одной строчной буквы" — "ВКЛ";

• "Предельное число неудачных входов пользователя" — от "3" до "8";• "Контроль файлов", "Контроль секторов" — "Да", кроме этого необходимо

настроить механизм контроля целостности;• "Контроль журнала транзакций" — "Да";• "Контроль элементов реестра" — "Да" (для ПАК, устанавливаемых в ком-

пьютеры, работающие под управлением ОС семействаWindows);• "Число попыток тестирования ДСЧ" — "1";



• "Ограничение времени на вход в систему (мин.)" — не более "5", но неравное "0";

• "Время ожидания сторожевого таймера (сек.)" — определяется авто-матически на этапе инициализации ПАК;

• "Период тестирования сторожевого таймера (дней)" — "1";• "Время ожидания автоматического входа в систему" — "0";• для всех пользователей при их регистрации необходимо установить зна-

чения параметров:• "Режим контроля целостности" — "Жесткий";• "Запрет загрузки с внешних носителей" — "Да".



• "Наличие хотя бы одной цифры" — "ВКЛ";• "Наличие хотя бы одной заглавной буквы" — "ВКЛ";• "Наличие хотя бы одной строчной буквы" — "ВКЛ";• "Наличие хотя бы одного специального символа" — "ВКЛ";

• "Предельное число неудачных входов пользователя" — от "3" до "4";• "Контроль файлов", "Контроль секторов" — "Да", кроме этого необходимо

настроить механизм контроля целостности;• "Контроль журнала транзакций" — "Да";• "Контроль элементов реестра" — "Да" (для ПАК, устанавливаемых в ком-

пьютеры, работающие под управлением ОС семействаWindows);• "Число попыток тестирования ДСЧ" — "1";• "Ограничение времени на вход в систему (мин.)" — не более "5", но не

равное "0";• "Время ожидания сторожевого таймера (сек.)" — определяется авто-

матически на этапе инициализации ПАК;• "Период тестирования сторожевого таймера (дней)" — "1";• "Время ожидания автоматического входа в систему" — "0";• для всех пользователей при их регистрации необходимо установить зна-

чения параметров:• "Режим контроля целостности" — "Жесткий";• "Запрет загрузки с внешних носителей" — "Да".

5. При использовании ПАК "Соболь" в автоматизированных системах классовзащищенности 1Б, 1В, 2А, 3А, а также в ИС общего пользования 2 классакомплекс должен эксплуатироваться только в автономном режиме:• "Текущий режим работы" — "автономный".

6. При использовании ПАК "Соболь" в автоматизированных системах классовзащищенности 1Г, 1Д, 2Б, 3Б, а также в ГИС, АСУ ТП до 1 класса защищен-ности включительно, ИСПДн до 1 уровня защищенности включительно, зна-чимых объектах КИИ до 1 категории значимости включительно комплексможет эксплуатироваться в автономном режиме или в режиме совместногоиспользования с внешними СЗИ:• "Текущий режим работы" — "автономный" или "режим совместного

использования".



7. После настройки параметров работы ПАК должна быть произведена на-стройка механизма контроля целостности программной среды, а также рас-считаны эталонные контрольные суммы.

8. Запрещается регистрация пользователя с именем AUTOLOAD.

ЭксплуатацияПри эксплуатации ПАК "Соболь" должны выполняться следующие требования:1. Администратор должен проводить своевременную смену собственного па-

роля и аутентификатора исходя из срока их действия.2. В случае блокирования учетной записи пользователя должно проводиться ис-

следование причин блокирования. При невозможности определения причинблокирования, а также в случае выявления факта несанкционированногодоступа к информации учетные записи данного пользователя должны бытьудалены со всех ПАК, где он был зарегистрирован, и при необходимости про-ведена его перерегистрация (на первом ПАК должна быть проведена пер-вичная регистрация).

3. При утере основного или резервного аутентифицирующего носителя (АН)администратора ПАК или компрометации его содержимого должна быть про-ведена переинициализация всех ПАК, обслуживаемых данным администра-тором. При утере АН пользователя или компрометации его содержимогоучетные записи данного пользователя должны быть удалены со всех ПАК,где он был зарегистрирован. В случае компрометации содержимого АН он мо-жет быть повторно использован, при этом на первом ПАК должна выпол-няться первичная регистрация администратора/пользователя.

4. После удаления учетных записей пользователя со всех ПАК, где он был за-регистрирован, должна быть удалена информация с его АН (см. стр.87). АН,использовавшиеся для регистрации администратора или пользователей, вдальнейшем могут быть использованы для регистрации других админи-страторов или пользователей, при этом на первом ПАК они могут при-меняться для регистрации администратора/пользователя только в режимепервичной регистрации.

5. Администратор должен обеспечить срок хранения информации о зарегистри-рованных событиях безопасности не менее трех месяцев.

6. Должен обеспечиваться пересмотр перечня событий безопасности, подле-жащих регистрации, не менее чем один раз в год, а также по результатамконтроля (мониторинга) обеспечения уровня защищенности информации, со-держащейся в информационной системе (для систем 2 и 1 класса защищен-ности).

7. Перед выводом из эксплуатации ПАК должна быть проведена очистка вну-тренней энергонезависимой памяти платы путем проведения инициа-лизации ПАК.

Обновление собственного ПОИспользование встроенной функции ПАК "Соболь" по обновлению собственногоПО может осуществляться только по согласованию с экспертной организацией собязательной регистрацией установленным порядком указанных действий вэксплуатационной документации (паспорт).



Специальные требованияПомимо требований предписания на эксплуатацию компьютеров, при исполь-зовании ПАК "Соболь" должны выполняться следующие специальные тре-бования:1. Должна обеспечиваться контролируемая зона, в пределах которой постоянно

размещаются стационарные технические средства с установленным ПАК.Контролируемая зона включает пространство (территорию, здание, часть зда-ния), в котором исключено неконтролируемое пребывание работников (со-трудников) оператора и лиц, не имеющих постоянного допуска на объектыинформационной системы (не являющихся работниками оператора), а такжетранспортных, технических и иных материальных средств.

2. Должна осуществляться защита от внешних воздействий в соответствии стребованиями законодательства Российской Федерации (национальных стан-дартов, технических регламентов), предусматривающая:• выполнение норм и правил пожарной безопасности;• выполнение норм и правил устройства и технической эксплуатации элек-

троустановок, а также соблюдение параметров электропитания и за-земления технических средств;

• обеспечение необходимых для эксплуатации технических средств тем-пературно-влажностного режима и условий по степени запыленности воз-духа.

3. Должны быть определены лица, допущенные к компьютерам с установ-ленным ПАК, а также в помещения и сооружения, в которых они уста-новлены.

4. Должен быть осуществлен учет физического доступа к компьютерам сустановленным ПАК, а также в помещения и сооружения, в которых они уста-новлены.



Глава 2Установка и удаление комплексаПорядок установки комплекса

Установка комплекса "Соболь" осуществляется в следующем порядке:• установка вспомогательного ПО комплекса (при необходимости);

Пояснение.• В автономном режиме ПАК "Соболь" может функционировать как со вспомогательным ПО,

так и без него.• Для корректного функционирования ПАК "Соболь" в режиме совместного использования

необходимо установитьвспомогательное ПО.• Порядок установки и эксплуатации вспомогательного ПОприведен в документе [2].

• установка платы комплекса (см. стр.20 для PCIe, стр.23 для Mini PCIe Half,стр.27 для M.2);

• инициализация комплекса (см. стр.28);• перевод комплекса в рабочий режим (см. стр.47).

Установка платы PCIeДля установки платы PCIe:

1. Выключите компьютер, откройте корпус компьютера.2. Установите переключатель платы SW1-1 в положение OFF (см. Рис.2 на

стр.20).

Рис.2 Расположение разъемов на плате PCIe



3. Для использования механизма сторожевого таймера:Перезагрузкакомпьютера,кабель RST

• в режиме автоматической перезагрузки компьютера:• отключите штекер стандартного кабеля кнопки "Reset" от разъема

Reset материнской платы;• подключите штекер стандартного кабеля кнопки "Reset" к разъему

RST платы комплекса "Соболь" (см. Рис.2 на стр.20);• подключите штекер кабеля механизма сторожевого таймера к разъ-

ему WD платы. Затем подключите другой штекер этого кабеля к разъ-ему Reset материнской платы;

• подключите кабель блока питания компьютера к разъему SATA платыPCIe (см. Рис.2 на стр.20);

Выключениекомпьютера,24-ATX

• в режиме автоматического выключения питания компьютера (вариант24-контактного разъема АТХ):• отключите стандартный кабель питания от разъема АТХ материнской

платы;• подключите стандартный кабель питания к разъему Х4 устройства

блокировки питания (см. Рис.1 на стр.13);• подключите разъем Х5 к разъему Х3;• подключите разъемы Х2 и Х6 к разъему питания АТХ материнской пла-

ты;• подключите разъем Х1 к разъему RL платы PCIe (см. Рис.2 на стр.20);• подключите кабель блока питания компьютера к разъему SATA платы

PCIe (см. Рис.2 на стр.20);Выключениекомпьютера,20-ATX

• в режиме автоматического выключения питания компьютера (вариант20-контактного разъема АТХ):• отключите стандартный кабель питания от разъема АТХ материнской

платы;• подключите стандартный кабель питания к разъему Х3 устройства

блокировки питания (см. Рис.1 на стр.13);• подключите разъем Х2 к разъему питания АТХ материнской платы;• подключите разъем Х1 к разъему RL платы PCIe (см. Рис.2 на стр.20);• подключите кабель блока питания компьютера к разъему SATA платы

PCIe (см. Рис.2 на стр.20);Выключениекомпьютера,кабель PWR

• в режиме автоматического выключения питания компьютера (вариант ка-беля PWR механизма сторожевого таймера):• закрепите T-Tap соединители (см. п. В, Рис.1 на стр.13) на жилах стан-

дартного кабеля кнопки "Power" с помощью плоскогубцев (см. Шаг 1,Рис.3 на стр.22);

• подключите штекер X1 кабеля PWR механизма сторожевого таймера(см. п. В, Рис.1 на стр.13) к разъему WD платы. Затем подключите дру-гие два штекера этого кабеля к T-Tap соединителям, закрепленным нажилах стандартного кабеля кнопки "Power" (см. Шаг 2, Рис.3 настр.22);

• подключите кабель блока питания компьютера к разъему SATA платыPCIe (см. Рис.2 на стр.20);



Рис.3 Подключение кабеля PWR механизма сторожевого таймера

Выключениекомпьютера,кабель RST исоединители

• в режиме автоматического выключения питания компьютера (вариант па-раллельного подключения кабеля RST механизма сторожевого таймера кстандартному кабелю кнопки "Power" с помощью соединителей):• отрежьте штекер RST от кабеля RST механизма сторожевого таймера,

чтобы жилы кабеля остались свободными (см. Шаг 1, Рис.4 настр.23);

• вставьте одну из свободных жил кабеля RST механизма сторожевоготаймера в соединитель (см.Шаг 2, Рис.4 на стр.23);

• вставьте жилу стандартного кабеля кнопки "Power" в соединитель(см.Шаг 3, Рис.4 на стр.23);

• опустите металлический зажим соединителя до упора с помощью плос-когубцев (см.Шаг 4, Рис.4 на стр.23);

• закройте крышку соединителя до щелчка (см.Шаг 5, Рис.4 на стр.23);• повторите Шаг 2 – Шаг 5 (см. Рис.4 на стр.23 ) для вторых жил со-

единяемых кабелей;• подключите штекер X1 кабеля RST механизма сторожевого таймера к

разъему WD платы PCIe.



Рис.4 Параллельное подключение кабеля RST механизма сторожевоготаймера к стандартному кабелю кнопки "Power" с помощьюсоединителей

4. Выберите свободный слот системной шины PCIe и установите в него платуПАК "Соболь".

5. При необходимости подключите к плате считыватель iButton:• при использовании внешнего считывателя подключите его штекер к разъ-

ему платы, расположенному на задней панели системного блока;• при использовании внутреннего считывателя подключите его штекер к

разъему TM.6. Закройте корпус системного блока.7. При необходимости подключите USB-считыватель.

Установка платы Mini PCIe HalfВ зависимости от формфактора защищаемого компьютера плата комплексаMini PCIe Half (см. Рис.5 на стр.24) может устанавливаться автономно или с адап-тером. Реализованы четыре варианта адаптеров для платы Mini PCIe Half, раз-личающихся габаритными размерами и возможностью подключениявнешнего/внутреннего считывателя iButton:• вариант 1 (см. Рис.6 на стр.24) с возможностью подключения внутреннего и

внешнего считывателей iButton;• вариант 2 (см. Рис.7 на стр.24 ) и вариант 3 (см. Рис.8 на стр.25 ) с воз-

можностью подключения внешнего считывателя iButton;• вариант 4 (см. Рис.9 на стр.25) с возможностью подключения внутреннего

считывателя iButton.



Рис.5 Расположение разъемов на плате Mini PCIe Half

Рис.6 Расположение разъемов на адаптере для плат Mini PCIe Half,M.2 (вариант 1)






Для установки платы Mini PCIe Half совместно с адаптером:

1. Выключите компьютер, откройте корпус компьютера.2. Установите переключатель S1- 1 платы в положение OFF (см. Рис.5 на

стр.24).3. Подключите кабель адаптера к соответствующим разъемам платы (см. Рис.5

на стр.24) и адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24, Рис.8 на стр.25или Рис.9 на стр.25).



Reset материнской платы;• при использовании адаптера варианта 1 подключите штекер стан-

дартного кабеля кнопки "Reset" к разъему RST адаптера (см. Рис.6 настр.24);

• при использовании адаптера варианта 2, 3 или 4 оставьте штекерстандартного кабеля кнопки "Reset" не подключенным;

• подключите штекер X1 кабеля RST механизма сторожевого таймера(см. п. А, Рис.1 на стр.13) к разъему WD адаптера (см. Рис.6 на стр.24,Рис.7 на стр.24 , Рис.8 на стр.25 или Рис.9 на стр.25 ). Затем под-ключите другой штекер этого кабеля к разъему Reset материнскойплаты;

Выключениекомпьютера,кабель PWR

• в режиме автоматического выключения питания компьютера (вариант ка-беля PWR механизма сторожевого таймера):• закрепите T-Tap соединители на жилах стандартного кабеля кнопки

"Power" с помощью плоскогубцев (см. Шаг 1, Рис.3 на стр.22);



• подключите штекер X1 кабеля PWR механизма сторожевого таймерак разъему WD адаптера. Затем подключите другие два штекера этогокабеля к T-Tap соединителям, закрепленным на жилах стандартногокабеля кнопки "Power" (см. Шаг 2, Рис.3 на стр.22);







• закройте крышку соединителя до щелчка (см.Шаг 5, Рис.4 на стр.23);• повторите Шаг 2 – Шаг 5 (см. Рис.4 на стр.23) для вторых жил со-


разъему WD адаптера.5. Выберите свободный слот Mini PCIe и установите в него плату ПАК "Соболь".6. Закрепите адаптер в системном блоке защищаемого компьютера.

Пояснение. Адаптер может быть прикреплен к кронштейну Standard/Low Profile, установлен всвободный слот системного блока защищаемого компьютера или закреплен каким-либо другимспособом.

7. При необходимости подключите к адаптеру считыватель iButton:• при использовании внешнего считывателя подключите его штекер к со-

ответствующему разъему адаптера варианта 1, 2 или 3 (см. Рис.6 настр.24, Рис.7 на стр.24 или Рис.8 на стр.25);

• при использовании внутреннего считывателя подключите его штекер кразъему TM адаптера варианта 1 или 4 (см. Рис.6 на стр.24 или Рис.9 настр.25).

8. Закройте корпус компьютера.9. При необходимости подключите USB-считыватель.

Для автономной установки платы Mini PCIe Half:

1. Выключите компьютер, откройте корпус компьютера.2. Установите переключатель S1- 1 платы в положение OFF (см. Рис.5 на

стр.24).3. Выберите свободный слот Mini PCIe и установите в него плату ПАК "Соболь".

Закройте корпус компьютера.4. При необходимости подключите USB-считыватель.



Установка платы M.2В зависимости от формфактора защищаемого компьютера плата комплекса M.2(см. Рис.10 на стр.27) может устанавливаться автономно или с адаптером. Ре-ализованы четыре варианта адаптера для платы M.2 (см. описание адаптеровдля платы Mini PCIe Half на стр.23).

Рис.10 Расположение разъемов на плате M.2

Для установки платы M.2 совместно с адаптером:

1. Выключите компьютер, откройте корпус компьютера.2. Установите переключатель SW1-1 платы в положение OFF (см. Рис.10 на

стр.27).3. Подключите кабель адаптера к соответствующим разъемам платы M.2 (см.

Рис.10 на стр.27) и адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24, Рис.8 настр.25 или Рис.9 на стр.25).



Reset, расположенного на материнской плате;• при использовании адаптера варианта 1 подключите штекер стан-

дартного кабеля кнопки "Reset" к разъему RST адаптера (см. Рис.6 настр.24);

• при использовании адаптера варианта 2, 3 или 4 оставьте штекерстандартного кабеля кнопки "Reset" не подключенным;

• подключите штекер X1 кабеля RST механизма сторожевого таймера(см. п. А, Рис.1 на стр.13) к разъему WD адаптера (см. Рис.6 на стр.24,Рис.7 на стр.24 , Рис.8 на стр.25 или Рис.9 на стр.25 ). Затем под-ключите другой штекер этого кабеля к разъему Reset материнскойплаты;

Выключениекомпьютера,кабель PWR

• в режиме автоматического выключения питания компьютера (вариант ка-беля PWR механизма сторожевого таймера):• закрепите T-Tap соединители на жилах стандартного кабеля кнопки

"Power" с помощью плоскогубцев (см. Шаг 1, Рис.3 на стр.22);• подключите штекер X1 кабеля PWR механизма сторожевого таймера

к разъему WD адаптера. Затем подключите другие два штекера этогокабеля к T-Tap соединителям, закрепленным на жилах стандартногокабеля кнопки "Power" (см. Шаг 2, Рис.3 на стр.22);









• закройте крышку соединителя до щелчка (см.Шаг 5, Рис.4 на стр.23);• повторите Шаг 2 – Шаг 5 (см. Рис.4 на стр.23) для вторых жил со-


разъему WD адаптера.5. Выберите свободный слот M.2 и установите в него плату ПАК "Соболь".6. Закрепите адаптер в системном блоке защищаемого компьютера.

Пояснение. Адаптер может быть прикреплен к кронштейну Standard/Low Profile, установлен всвободный слот системного блока защищаемого компьютера или закреплен каким-либо другимспособом.

7. При необходимости подключите к адаптеру считыватель iButton:• при использовании внешнего считывателя подключите его штекер к со-

ответствующему разъему адаптера варианта 1, 2 или 3 (см. Рис.6 настр.24, Рис.7 на стр.24 или Рис.8 на стр.25);

• при использовании внутреннего считывателя подключите его штекер кразъему TM адаптера варианта 1 или 4 (см. Рис.6 на стр.24 или Рис.9 настр.25).

8. Закройте корпус компьютера.9. При необходимости подключите USB-считыватель.

Для автономной установки платы M.2:

1. Выключите компьютер, откройте корпус компьютера.2. Установите переключатель платы SW1-1 в положение OFF (см. Рис.10 на

стр.27).3. Выберите свободный слот M.2 и установите в него плату ПАК "Соболь". За-

кройте корпус компьютера.4. При необходимости подключите USB-считыватель.

Инициализация комплексаИнициализация комплекса "Соболь" выполняется в следующем порядке:1. Проверка и настройка системных параметров (см. стр.30).2. Настройка общих параметров комплекса (см. стр.32).3. Настройка параметров журнала событий (см стр.35).4. Настройка параметров паролей (см. стр.36).5. Регистрация администратора комплекса (см. стр.38).6. Настройка КЦ и расчет контрольных сумм (см. стр.43).

Внимание! Перед запуском процедуры инициализации отключите от USB-портов компьютера всеустройства класса USBMassStorage Device (флеш-накопители, CD-, DVD-приводы и т. п.).



Запуск инициализацииДля запуска процедуры инициализации:

1. Включите питание компьютера.Управление передастся ПАК "Соболь". Запустятся процедуры тестированияДСЧ и памяти платы.

Внимание! Если после включения компьютера управление не передалось ПАК "Соболь", вы-полните следующие действия:• в UEFI/BIOS Setup разрешите загрузкумодулей расширения UEFI/BIOS сетевых плат;• подключите механизм сторожевого таймера (см. п. 3 процедуры на стр.21 для PCIe, п. 4 на

стр.25 для Mini PCIe Half, п. 4 на стр.27 для M.2);• в UEFI/BIOS Setup определите платуПАК "Соболь" первым загрузочным устройством.В этом случае загрузка ОС осуществляется только с жесткого диска при условии его наличия вменю загрузки UEFI/BIOS Setup.

После успешного завершения тестирования на экране появится окно режимаинициализации.

Рис.11 Окно режима инициализации ПАК "Соболь"

Пояснение. Если тестирование завершилось с ошибкой, компьютер будет заблокирован длявсех пользователей, включая администратора. Подробная информация об ошибке приведенана стр.108.

Обозначение "И" в правом верхнем углу окна свидетельствует о том, чтокомплекс работает в режиме инициализации.Меню в левой части окна содержит опции, доступные в режиме инициа-лизации:• "Инициализация платы " — запуск процедуры инициализации комп-

лекса;• "Диагностика платы" — проверка работоспособности компонентов комп-

лекса;



Совет. Перед инициализацией комплекса рекомендуется проверить работоспособностьвсех его компонентов. Для этого в опции "Диагностика платы " выберите команду"Выполнить все тесты". Подробные инструкции по опции "Диагностика платы" содержатсяна стр.84.

• "Служебные операции" — установка системного времени и даты, выпол-нение операций с идентификаторами и кодом расширения UEFI/BIOS.Подробные инструкции по выполнению этих действий содержатся настр.85.

Пояснение. Пункты меню "Диагностика платы " и "Служебные операции" становятся недо-ступными после настройки системных параметров в процессе инициализации (см. стр.29).

Основная часть окна справа от меню содержит информацию о выполняемойкоманде (ход выполнения, параметры, сообщения и др.), а также управ-ляющие кнопки.Информационная строка в нижней части окна содержит назначение управ-ляющих клавиш.Для навигации и управления используйте левую кнопку мыши или следую-щие клавиши:• <Ctrl>+<1>/<Ctrl>+<2> — установка курсора в меню/основную часть

окна;• <Tab> — перемещение курсора по пунктам меню/параметрам;• <Enter> — выбор пункта меню/параметра;• <Пробел> — изменение значения параметра (при необходимости вве-

дите новое значение с помощью клавиатуры);• <F1> — список управляющих клавиш;• <F2> — справочная информация о комплексе (см. стр.120).

Пояснение. При настройке параметров комплекса могут использоваться дополнительныеуправляющие клавиши.

2. Выберите в меню пункт "Инициализация платы".Запустится процедура инициализации комплекса. В верхней части окнаотобразятся шаги процедуры инициализации.

Пояснение. В процессе инициализации комплекса "Соболь" можно возвращаться на пре-дыдущие шаги и корректировать параметры, пока не выполнена регистрация администратора(см. стр.38).

Настройка системных параметровВнимание! После настройки системных параметров при переходе на следующий шаг инициа-лизации пункты меню "Диагностика платы" и "Служебные операции" станут недоступными.

Окно настройки системных параметров имеет вид, подобный представленномуна Рис.11 на стр.29.

Пояснение. При загрузке ОС с сетевых плат системные параметры отличаются от представленныхв данном разделе. Описание параметров сетевой загрузки ОСприведено на стр.119.

1. Установите значения системных параметров, используя таблицу ниже.

Пояснение.При загрузке ОСс сетевых плат используйте Табл.8 на стр.119.

2. Нажмите кнопку "Вперед" для сохранения изменений и перехода к сле-дующему шагу.



Табл.3 Системные параметры ПАК "Соболь"

Опция загрузки

Отображает используемый менеджер загрузки ОС.Для изменения параметра перезагрузите компьютер и настройте параметры загрузки ОСв UEFI/BIOS Setup

Том ОС

Отображает диск и раздел, на которые установлена ОС.Для изменения параметра перезагрузите компьютер и настройте параметры загрузки ОСв UEFI/BIOS Setup

Загрузчик ОС

Отображает полное имя используемого загрузчика ОС (имя файла, путь к файлу).Для изменения параметра перезагрузите компьютер и настройте параметры загрузки ОСв UEFI/BIOS Setup

Доверенный загрузчик ОС на съемном носителе

Позволяет назначить доверенным загрузчик ОС на съемном носителе. Может приниматьзначения:• "ВКЛ" — назначить доверенным загрузчик, указанный в параметре "Загрузчик ОС";• "ВЫКЛ" — не назначать доверенным загрузчик ОС на съемном носителе.Значение по умолчанию — "ВЫКЛ".Особенности:• параметр доступен для настройки только при съемном загрузочном диске;• при значении "ВКЛ" загрузка ОС будет осуществляться с помощью доверенногозагрузчика, даже если для пользователя настроен запрет загрузки со съемныхносителей;

• при изменении параметров загрузки ОС параметру автоматически присваиваетсязначение "ВЫКЛ"

Модель

Отображает модель жесткого диска, на который установлена ОС.Для изменения параметра перезагрузите компьютер и настройте параметры загрузки ОСв UEFI/BIOS Setup

Контроль серийного номера

Отображает серийный номер жесткого диска, на который установлена ОС, и позволяетего контролировать. Может принимать значения:• "ВКЛ" — контролировать серийный номер жесткого диска;• "ВЫКЛ" — не контролировать серийный номер жесткого диска.Значение по умолчанию — "ВЫКЛ"

Контроль порта подключения

Отображает порт системной платы компьютера, к которому подключен жесткий диск сустановленной ОС, и позволяет его контролировать. Может принимать значения:• "ВКЛ" — контролировать порт подключения жесткого диска;• "ВЫКЛ" — не контролировать порт подключения жесткого диска.Значение по умолчанию — "ВЫКЛ"

Системное время и дата

Отображает системное время и дату. Если отображаются неправильные данные, введитекорректные значения



Настройка общих параметровОкно настройки общих параметров имеет вид, подобный следующему.

1. Установите значения общих параметров, используя таблицу ниже.

Внимание! Параметры "Максимальное количество пользователей и событий журнала" и "Вер-сия математических преобразований" настраиваются только при инициализации комплекса. Врабочем режиме значения параметров изменитьневозможно.

Для сброса настроек нажмите кнопку "По умолчанию".2. Нажмите кнопку "Вперед" для сохранения изменений и перехода к сле-

дующему шагу.Для возврата к предыдущему шагу нажмите кнопку "Назад". Изменения вэтом случае также сохраняются.

Табл.4 Общие параметры комплекса "Соболь"

Максимальное количество пользователей и событий журнала

Определяет максимальное количество учетных записей пользователей, которое можнобудет создать при эксплуатации комплекса, а также максимально возможное количествозаписей журнала событий при выбранном количестве пользователей. Может приниматьзначения:• 100 пользователей, 3000 событий;• 200 пользователей, 2000 событий;• 300 пользователей, 1000 событий.Значение по умолчанию — 100 пользователей, 3000 событий

Внимание! Параметр настраивается при инициализации комплекса. В рабочем режиме значениепараметра изменитьневозможно.



Число попыток тестирования ДСЧ

Определяет число попыток тестирования правильности работы ДСЧ, выполняемого привключении компьютера. Может принимать значение от 1 до 3. Значение по умолчанию —3.При первой удачной попытке тестирование прекращается, и работа комплексапродолжается. Если же число неудачных попыток тестирования достигло заданногозначения, выдается сообщение об ошибке тестирования ДСЧ

Показ статистики пользователю

Позволяет настроить вывод на экран информационного окна после успешнойидентификации пользователя. Может принимать значения:• "ВКЛ" — разрешить вывод информационного окна пользователю;• "ВЫКЛ" — запретить вывод информационного окна пользователю.Значение по умолчанию — "ВЫКЛ"

Предельное число неудачных входов пользователя

Определяет допустимое количество неудачных попыток входа пользователей в ИС.Может принимать значение от 0 до 255. Значение по умолчанию — 10.Особенности:• если значение равно 0 — количество неудачных попыток входа пользователей в ИСне ограничено;

• если число неудачных попыток входа пользователя достигает допустимогоколичества, вход этого пользователя в ИС автоматически блокируется;

• если пользователь успешно зашел в ИС раньше, чем число неудачных попыток входадостигло допустимого количества, значение счетчика неудачных попыток входаавтоматически сбрасывается (приравнивается нулю)

Ограничение времени на вход в систему

Определяет интервал времени в минутах, отводящийся пользователям на вход в ИС.Может принимать значение от 0 до 20. Значение по умолчанию — 0.Особенности:• если значение равно 0 — время, отводящееся пользователям на вход в ИС, неограничено;

• при входе пользователя в ИС на экране отсчитывается время, оставшееся дляпредъявления идентификатора и ввода пароля. Если пользователь не успел заотведенное время выполнить эти действия, на экране появится сообщение озавершении сеанса входа в ИС;

• параметр недоступен для изменения при присвоении параметру "Время ожиданияавтоматического входа" значения, отличного от 0 (см. ниже)

Время ожидания автоматического входа

Определяет интервал времени в секундах, по истечении которого автоматическивыполняется загрузка ОС. Может принимать значения 0 и от 5 до 40. Значение поумолчанию — 0.Особенности:• если значение равно 0 — автоматическая загрузка ОС без предъявленияперсонального идентификатора пользователя или администратора запрещена;

• для организации автоматического запуска компьютера в списке зарегистрированныхпользователей должен присутствовать пользователь с именем AUTOLOAD. Если этотпользователь отсутствует в списке, автоматическая загрузка ОС невозможна, данныйпараметр недоступен для управления и ему присвоено значение 0;

• в случае наличия в списке зарегистрированных пользователей пользователя сименем AUTOLOAD доступ к параметру блокируется при присвоении параметру"Ограничение времени на вход в систему" значения, отличного от 0



Время ожидания сторожевого таймера

Определяет интервал времени в секундах, по истечении которого осуществляетсяавтоматическая блокировка компьютера, при условии что за это время управление непередано расширению UEFI/BIOS комплекса "Соболь".Рекомендуемое время ожидания сторожевого таймера определяется автоматически наэтапе инициализации комплекса и устанавливается в качестве значения по умолчанию.В дальнейшем администратор может корректировать значение параметра в диапазоне отрекомендуемого значения до 65534 секунд с дискретностью 1 секунда

Пояснение. При использовании ПАК "Соболь" на платформах без монитора рекомендуется уста-новить время ожидания сторожевого таймера на 7-10 секунд больше значения, определенногоавтоматически. Это связано с тем, что загрузка компьютера без монитора может выполнятьсядольше, что может привести к срабатыванию механизма сторожевого таймера до передачи управ-ления расширению UEFI/BIOS комплекса.

Период тестирования сторожевого таймера

Определяет периодичность тестирования механизма сторожевого таймера в днях. Можетпринимать значение от 0 до 999. Значение по умолчанию — 0.Особенности:• тестирование выполняется с заданной периодичностью при входе пользователя вИС;

• если значение равно 0, тестирование не выполняется

Звуковые сигналы

Позволяет настроить звуковой сигнал для следующих событий:• отсчет времени, оставшегося для предъявления учетных данных (см. параметр"Ограничение времени на вход в систему" выше);

• автоматический вход в ИС без предъявления учетных данных.Параметр может принимать значения:• "ВКЛ" — звуковой сигнал включен;• "ВЫКЛ" — звуковой сигнал выключен.Значение по умолчанию — "ВЫКЛ"

Версия математических преобразований

Определяет алгоритм, используемый для расчета контрольных сумм. Может приниматьзначения:• "1989" — алгоритм ГОСТ 28147–89 в режиме выработки имитовставки;• "2015/2018" — алгоритм "Магма" (ГОСТ Р 34.12-2015, ГОСТ 34.12-2018) в режимевыработки имитовставки (ГОСТ Р 34.13-2015, ГОСТ 34.13-2018).

Значение по умолчанию — "1989"

Внимание!• Для применения комплекса в режиме совместного использования, а также для обеспечения

совместимости с ранними версиями комплекса необходимо установить значение "1989".• Администратор, обслуживающий несколько комплексов "Соболь", должен на всех об-

служиваемых комплексах установитьодинаковую версию математических преобразований.• Параметр настраивается при инициализации комплекса. В рабочем режиме значение па-

раметра изменитьневозможно.



Настройка параметров журнала событийОкно "Параметры журнала событий" имеет вид, подобный следующему.

1. Установите значения параметров журнала событий, используя таблицуниже.

Пояснение. Настройка параметров журнала событий может выполняться во время инициа-лизации комплекса или в рабочем режиме (см. стр.78).

Для возвращения к исходным значениям параметров нажмите кнопку"По умолчанию".

2. Нажмите кнопку "Вперед" для сохранения изменений и перехода к сле-дующему шагу.Для возврата к предыдущему шагу нажмите кнопку "Назад". Изменения вэтом случае также сохраняются.

Табл.5 Параметры журнала событий ПАК "Соболь"

Максимальный размер журнала

Определяет максимальное количество записей журнала событий. Диапазон значенийзависит от общего параметра "Максимальное количество пользователей и событийжурнала" (см. Табл.4 на стр.32). Может принимать значения:• от 100 до 3000;• от 100 до 2000;• от 100 до 1000.Значение по умолчанию — 1000

Периодичность аудита

Определяет периодичность проведения аудита журнала событий ПАК "Соболь" вмесяцах. Может принимать значение от 0 до 12. Значение по умолчанию — 0.Особенности:• если значение равно 0, аудит не проводится;• если значение равно от 1 до 12 — каждые 1...12 месяцев комплекс будет выдаватьадминистратору предупреждение о необходимости провести аудит



Перезапись событий

Позволяет настроить процедуру перезаписи событий при заполнении журнала на100%. Может принимать значения:• "ВКЛ" — перезапись событий выполняется;• "ВЫКЛ" — перезапись событий не выполняется.Значение по умолчанию — "ВЫКЛ"

Настройка параметров паролейОкно настройки параметров паролей имеет вид, подобный следующему.

1. Установите значения параметров паролей, используя таблицу ниже.Для сброса настроек нажмите кнопку "По умолчанию".

2. Нажмите кнопку "Вперед" для сохранения изменений и перехода к сле-дующему шагу.Для возврата к предыдущему шагу нажмите кнопку "Назад". Изменения вэтом случае также сохраняются.

Табл.6 Параметры паролей ПАК "Соболь"

Минимальная длина пароля

Определяет минимальную длину пароля в символах. Может принимать значение от 0 до16. Значение по умолчанию — 8.Особенности:• если значение равно 0, пользователю можно назначить пустой пароль (запроспароля на экране не появится);

• если значение равно от 0 до 5 и параметр "Проверка сложности пароля" установленв значение "ВКЛ" (см. ниже), минимальная длина пароля станет равной 6;

• если при увеличении значения длина паролей некоторых пользователей окажетсяменьше минимальной, при входе в ИС этим пользователям необходимо будет сменитьпароль



Проверка сложности пароля

Позволяет настроить проверку сложности пароля на основе установленных параметровсложности (см. ниже). Может принимать значения:• "ВКЛ" — проверять сложность пароля;• "ВЫКЛ" — не проверять сложность пароля.Значение по умолчанию — "ВЫКЛ".При установке значения "ВКЛ" параметры сложности пароля автоматически принимаютзначение "ВКЛ" (см. ниже)

Наличие хотя бы одной цифры

Наличие хотя бы одной заглавной буквы

Наличие хотя бы одной строчной буквы

Наличие хотя бы одного специального символа

Отсутствие повторяющихся символов

Отсутствие последовательности цифр

Позволяют установить требования сложности к паролям ПАК "Соболь". Могут приниматьзначения:• "ВКЛ" — требование установлено;• "ВЫКЛ" — требование не установлено.Значение по умолчанию — "ВЫКЛ".Особенности:• при отключенной проверке сложности пароля (см. выше) параметры недоступны дляизменения;

• при включении проверки сложности пароля (см. выше) параметры становятсядоступными для изменения и автоматически принимают значение "ВКЛ"

Алфавит пароля

Отображает количество символов, из которых можно составить пароль. Подсчетосуществляется автоматически при установке параметров сложности пароля (см. выше)

Минимальное число измененных символов нового пароля

Определяет количество символов, которые необходимо изменить в новом пароле посравнению со старым. Может принимать значение от 0 до 127. Значениепо умолчанию — 0.Особенности:• если значение равно 0 — можно назначать пароль, не отличающийся от старого;• если значение данного параметра превышает значение параметра "Минимальнаядлина пароля", для корректной смены пароля необходимо соблюсти следующиеусловия:• длина нового пароля должна быть не менее значения параметра "Минимальноечисло измененных символов нового пароля";

• все символы нового пароля должны отличаться от соответствующих символовстарого пароля

Максимальный срок действия пароля

Определяет период времени в днях, на протяжении которого действителен текущийпароль пользователя. Может принимать значение от 0 до 999. Значениепо умолчанию — 120.Особенности:• если значение равно 0 — срок действия пароля не ограничен;• по истечении заданного периода времени текущий пароль перестает бытьдействительным. При входе в ИС пользователю будет предложено сменить свойпароль, без чего он не сможет загрузить ОС;

• если для пользователя включен режим замены аутентификатора при смене пароля(см. Табл.7 на стр.67), ограничение срока действия пароля распространяется и нааутентификатор пользователя;

• данное ограничение действует только для тех пользователей, у которых параметру"Ограничение срока действия пароля" присвоено значение "ВКЛ" (см. Табл.7 настр.67)



Регистрация администратораВнимание! После регистрации администратора возврат на предыдущие шаги инициализации комп-лекса станет невозможным.

При регистрации администратору присваиваются следующие атрибуты:• аутентификатор и пароль;• персональный идентификатор.Регистрация может выполняться первично (см. стр.39) и повторно (см. стр.42).При первичной регистрации в персональный идентификатор админи-стратора записываются новые служебные данные о регистрации. Если иден-тификатор содержит данные, записанные в идентификатор при инициализациидругого ПАК "Соболь", они будут уничтожены, и администратор не сможет управ-лять работой другого комплекса.При повторной регистрации администратора служебная информация, за-писанная в идентификатор при первичной регистрации, считывается из иден-тификатора без изменения, что позволяет администратору использовать один итот же идентификатор для входа в ИС на нескольких компьютерах, оснащенныхкомплексами "Соболь".

Внимание! Повторная регистрация администратора возможна только при установке той же версииматематических преобразований, которая использовалась при первичной регистрации админи-стратора (см. шаг инициализации "Настройка общих параметров" на стр.32).

При переходе на шаг регистрации администратора на экране появится запрос навыбор варианта процедуры регистрации.

Рис.12 Запрос при регистрации администратора



Первичнаярегистрация

Совет.Прежде чем приступить к первичной регистрации администратора, приготовьте нужное коли-чество идентификаторов, в том числе и для создания резервных копий персонального иден-тификатора администратора. Рекомендуется создать как минимум одну резервную копию.

Для первичной регистрации администратора:

1. В окне запроса (см. Рис.12 на стр.38) нажмите кнопку "Да".На экране появится окно для ввода и подтверждения пароля администратора.

2. В поле "Введите новый пароль:" введите пароль администратора или восполь-зуйтесь функцией генерации случайного пароля.

Внимание!Парольдолжен содержать только следующие символы:• 1234567890—цифры;• abcdefghijklmnopqrstuvwxyz—латинские буквы нижнего регистра (строчные);• ABCDEFGHIJKLMNOPQRSTUVWXYZ—латинские буквы верхнего регистра (заглавные);• _$!@#;%^:&?*)(-+=/|.,<>`~"\—специальные символы.Если включена проверка сложности пароля, пароль должен удовлетворять требованиям слож-ности, установленнымна шаге инициализации "Настройка параметров паролей" (см. стр.36).

Для генерации случайного пароля нажмите кнопку "Сгенерировать" или кла-вишу <F8>.

Пояснение.Особенности генерации случайного пароля:• если включена проверка сложности пароля, сгенерированный парольудовлетворяет требо-

ваниям сложности, установленным на шаге инициализации "Настройка параметров па-ролей" (см. стр.36);

• если проверка сложности пароля выключена, сгенерированный пароль состоит из цифр илатинских букв нижнего регистра (строчных);

• пароль, сгенерированный ПАК "Соболь", можно редактировать.

Для просмотра пароля установите переключатель "Показать пароль" в по-ложение "ВКЛ" или нажмите сочетание клавиш <Alt>+<F8>.

3. В поле "Подтвердите новый пароль:" повторно введите пароль.4. Нажмите "Вперед".



Пояснение. При обнаружении ошибки ввода пароля комплекс выдаст сообщение с описаниемошибки (см. стр.110). Нажмите кнопку "ОК" в окне с сообщениеми введите корректный пароль.

При успешном вводе пароля на экране появится запрос персонального иден-тификатора.

5. Предъявите идентификатор, присваиваемый администратору комплекса.

Пояснение.• Если идентификатор уже предъявлен (идентификатор iButton касается считывателя /

USB-ключ находится в USB-разъеме / смарт-карта находится в USB-считывателе), комплексавтоматически считывает его.

• Если одновременно предъявлено несколько идентификаторов, считывается первыйнайденный комплексом идентификатор.

• Если предъявлен USB-идентификатор, имеющий PIN-код, на экране появится окно запросаPIN-кода. Введите PIN-код и нажмите кнопку "ОК". PIN-коды по умолчанию приведены настр.9.

• Если идентификатор предъявлен неправильно, окно запроса останетсяна экране. Повторно предъявите идентификатор.

• Если идентификатор регистрировался ранее на другом компьютере и ужесодержит служебную информацию, на экране появится предупреждение.



Если вы уверены в том, что данный идентификатор никем больше неиспользуется, нажмите "Да" и повторно предъявите идентификатор.

Внимание! При записи информации в персональный идентификатор служебная инфор-мация, содержащаяся в его памяти, будет полностью утеряна без возможности восста-новления. При этом пользователь, которому принадлежит этот идентификатор, не сможетбольше воспользоваться имдля входа в ИС.

Если вы хотите использовать другой персональный идентификатор, наж-мите "Нет" и повторите п. 5.

• Если структура данных персонального идентификатора нарушена,комплекс выдаст сообщение об ошибке с предложением выполнитьформатирование идентификатора.

Внимание! Для устранения нарушений структуры данных персонального идентификаторанеобходимо его отформатировать.При форматировании идентификатора iButton вся информация, содержащаяся в его па-мяти, будет полностью утеряна без возможности восстановления.При форматировании USB- ключей/смарт- карт будет утеряна только информация, от-носящаяся к ПАК "Соболь" и программам, его использующим.

Для форматирования идентификатора в окне с сообщением нажмите"Да". Идентификатор будет отформатирован и подготовлен к даль-нейшей работе.Для продолжения работы без форматирования нажмите "Нет" и предъ-явите другой идентификатор.

Совет. Форматирование идентификатора можно выполнить позже с использованием слу-жебной операции "Форматирование идентификатора" (см. стр.87).

После успешного присвоения администратору персонального иден-тификатора на экране отобразится результат операции и кнопка "Создать ре-зервную копию" для создания копии персонального идентификатора.

Пояснение. Резервные копии персонального идентификатора могут использоватьсяадминистратором для экстренного входа в ИС в тех случаях, когда оригинал испорчен или уте-рян. Рекомендуется создать как минимум одну резервную копию персонального иден-тификатора администратора.

6. Выберите вариант продолжения процедуры:• если вы уверены в том, что создавать резервные копии не требуется,

перейдите к п. 9;• для создания резервной копии персонального идентификатора админи-

стратора нажмите "Создать резервную копию".На экране появится запрос персонального идентификатора.

7. Предъявите персональный идентификатор, приготовленный для создания ре-зервной копии идентификатора администратора.

Пояснение.При появлении на экране запросов и сообщений действуйте в соответствии с п. 5.

При успешном создании резервной копии на экране отобразится результатоперации.

8. Повторите п. 6.9. Нажмите "Вперед".



Повторнаярегистрация Для повторной регистрации администратора:

1. В окне запроса (см. Рис.12 на стр.38) нажмите кнопку "Нет".На экране появится диалог для ввода пароля администратора.

2. Введите с клавиатуры пароль, назначенный администратору при его пер-вичной регистрации в другом комплексе "Соболь", и нажмите "Вперед".На экране появится запрос на предъявление идентификатора.

3. Предъявите персональный идентификатор, присвоенный администраторупри его первичной регистрации в другом комплексе "Соболь".





При успешном предъявлении идентификатора выполняется сопоставлениевведенного пароля с информацией, хранящейся в памяти идентификатора.• Если введенный пароль указан неверно или предъявлен не принад-

лежащий администратору идентификатор, комплекс выдаст сообщение"Неверный идентификатор или пароль".Нажмите кнопку "ОК" в окне с сообщением. В окне "Регистрация Ад-министратора. Шаг 2" нажмите кнопку "Отмена". На экране вновь поя-вится запрос, предлагающий выбрать режим регистрацииадминистратора (см. Рис.12 на стр.38).

• Если введенный пароль соответствует предъявленному идентификатору,выполнится считывание служебной информации из идентификатора и за-пись этой информации в энергонезависимую память комплекса. Нажмитекнопку "Вперед" для сохранения изменений и перехода к следующемушагу. Для возвращения к предыдущему шагу нажмите кнопку "Назад".



Настройка параметров КЦ и расчет контрольных суммОкно "Контроль целостности" имеет вид, подобный следующему.

Внимание! Настройка параметров контроля целостности может выполняться во времяинициализации комплекса или в рабочем режиме (см. стр.72).

1. Выберите способ управления шаблонами КЦ в раскрывающемся списке па-раметра "ПО управления шаблонами КЦ":• "Вспомогательное" — с использованием вспомогательного ПО ПАК "Со-

боль";

Пояснение. Вспомогательное ПО устанавливается и эксплуатируется в ОС компьютера.Инструкции приведены в документе [2].

• "Встроенное" — с использованием встроенного ПО комплекса.

Пояснение. Для управления шаблонами КЦ с использованием встроенного ПО в области"Управление шаблонами КЦ" нажмите кнопку "Запустить" и следуйте инструкциям состр.92.

2. Установите значения параметров "Том с шаблонами КЦ:", "Каталог с ша-блонами КЦ:" одним из следующих способов:• Нажмите кнопку "Найти". Комплекс выполнит поиск шаблонов КЦ в стан-

дартных каталогах комплекса (см. примечание ниже). При наличии ша-блонов КЦ в стандартных каталогах значения параметров установятсяавтоматически.

Пояснение.• Стандартным каталогом хранения шаблонов КЦ в ОСсемействаWindows является ката-

лог \Sobol.• Стандартными каталогами хранения шаблонов КЦ в ОС семейства Linux являются

/sobol и /boot/sobol.• Если стандартные каталоги с шаблонами КЦ не найдены или в каталогах отсутствуют

шаблоны КЦ, комплекс выдаст соответствующее сообщение об ошибке. Следуйтерекомендациям со стр.113.



• Если шаблоны КЦ созданы в других каталогах, выберите том сшаблонамиКЦ в раскрывающемся списке и введите путь к каталогу с шаблонами КЦв соответствующее поле.

Пояснение. Для каталогов, размещающихся на дисках с файловой системой FAT16 иFAT32, длинные имена (более 8 символов) нужно указывать в краткой форме (например"progra~1"). Узнать краткую форму записи имени можно с помощью команды DIR или ме-неджеров файлов, например Total Commander.

Если каталог с шаблонами КЦ найден и находящиеся в нем шаблоны КЦ кор-ректны, параметры КЦ станут доступными для изменения.

Пояснение.• Параметры "Контроль секторов", "Контроль файлов", "Контроль элементов реестра",

"КонтрольSMBIOS" примут значение "ВКЛ".• Параметр "КонтрольPCI-устройств" примет значение "Упрощенный".

3. Поставьте на контроль нужные типы объектов КЦ.• Для постановки на контроль секторов/файлов/элементов реестра/SMBIOS

установите переключатель для нужного типа объектов в положение"ВКЛ".

• Для постановки на контроль PCI-устройств выберите нужный вариантконтроля в раскрывающемся списке "Контроль PCI-устройств" (см. Табл.2на стр.11, объект КЦ "PCI-устройства").

• Для постановки на контроль журнала транзакций установите соответ-ствующий переключатель в положение "ВКЛ".

4. Настройте параметр "Интервал обновления ключа КЦ":• для периодического обновления ключа КЦ установите количество дней,

через которое необходимо его обновлять (от 1 до 999);• для отключения обновления ключа КЦ установите значение 0.

Пояснение.• Параметр доступен только при выборе версии математических преобразований "2015/2018"

на этапе настройки общих параметров при инициализации комплекса (см. стр.34).• Значение параметра по умолчанию—0.

5. Выполните расчет эталонных контрольных сумм объектов КЦ. Для этого в об-ласти "Расчет контрольных сумм" нажмите кнопку "Запустить".На экране будет отображаться процесс расчета (см. рисунок ниже).



Пояснение.• Цветовые обозначения процесса расчета:

• зеленый – успешный расчет контрольных сумм;• красный – при расчете контрольных сумм возникли ошибки;• черный – информационные сообщения.

• По умолчанию отображаются только этапы расчета и ошибки, возникающие в процессе рас-чета. Для показа всех результатов расчета установите переключатель "Показывать толькоэтапы и ошибки" в положение "ВЫКЛ".

При обнаружении ошибки комплекс выдаст сообщение с ее описанием. Озна-комьтесь с сообщением, используя перечень сообщений механизма КЦ настр.112. Нажмите кнопку "ОК" в окне с сообщением об ошибке.

Совет. Если уведомления комплекса в процессе расчета контрольных сумм не нужны, по-ставьте отметку "Больше не спрашивать" в окне с сообщениемоб ошибке.

Для прерывания процедуры расчета контрольных сумм нажмите кнопку"Остановить" или клавишу <Esc>.

6. По окончании процедуры расчета контрольных сумм проведите анализрезультатов и нажмите "Готово".

Пояснение.Если PCI-устройства поставлены на контроль, то при отключении контролируемогоустройства от шины PCI и последующем расчете контрольных сумм может возникнуть группасообщений об ошибках. В этом случае при анализе результатов расчета следует обращать вни-мание только на ошибки типа "Объект не найден". Остальные ошибки этой группы возникают из-за особенности назначения адресов для PCI-устройств в UEFI: при удалении одного устройстваи перезагрузке компьютера конфигурационные данные и адреса устройств могут меняться.

На экране появится окно "Контроль целостности". Если расчет контрольныхсумм какого-либо объекта КЦ завершился с ошибкой, то рядом с параметромКЦ соответствующего типа объектов появится сообщение об ошибке (см.рисунок ниже).



7. В окне "Контроль целостности" нажмите кнопку "Вперед".Если расчет контрольных сумм завершился с ошибками, комплекс выдастпредупреждение.

Для завершения процедуры инициализации нажмите кнопку "Да".

Пояснение. Для возврата к настройке параметров КЦ и расчету контрольных сумм нажмитекнопку "Нет".

Завершение инициализацииПо окончании инициализации на экране появится сообщение о завершениипроцедуры и необходимости перевести плату в рабочий режим.

Для завершения процедуры:

1. Нажмите кнопку "ОК". Компьютер выключится автоматически.2. Переведите комплекс в рабочий режим (см. ниже).



Перевод комплекса в рабочий режимДля перевода в рабочий режим комплекса на базе платы PCIe:

1. Выключите компьютер, откройте корпус системного блока.2. При наличии подключенного к плате комплекса "Соболь" считывателя

iButton отсоедините считыватель от платы:• при использовании внешнего считывателя отключите его штекер от разъ-

ема платы, расположенного на задней панели системного блока;• при использовании внутреннего считывателя отключите его штекер от

разъема TM.3. Извлеките плату комплекса "Соболь" из разъема шины PCIe.4. Установите переключатель SW1-1 в положение ON (см. Рис.2 на стр.20).5. Установите плату комплекса "Соболь" в разъемшины PCIe.6. При необходимости подключите к плате считыватель iButton:

• при использовании внешнего считывателя подключите его штекер к разъ-ему платы, расположенному на задней панели системного блока;

• при использовании внутреннего считывателя подключите его штекер кразъему TM платы.

7. Закройте корпус системного блока.Выполнив все указанные действия, включите компьютер и перейдите к нас-тройке комплекса "Соболь" (см. стр.52).

Для перевода в рабочий режим комплекса на базе платы Mini PCIeHalf:

1. Выключите компьютер, откройте корпус компьютера.2. Переключите плату комплекса "Соболь" в рабочий режим. Для этого уста-

новите переключатель S1-1 в положение ON (см. Рис.5 на стр.24).3. Закройте корпус компьютера.Выполнив все указанные действия, включите компьютер и перейдите к нас-тройке комплекса "Соболь" (см. стр.52).

Для перевода в рабочий режим комплекса на базе платы M.2:

1. Выключите компьютер, откройте корпус компьютера.2. Переключите плату комплекса "Соболь" в рабочий режим. Для этого уста-

новите переключатель SW1-1 в положение ON (см. Рис.10 на стр.27).3. Закройте корпус компьютера.Выполнив все указанные действия, включите компьютер и перейдите к нас-тройке комплекса "Соболь" (см. стр.52).



Удаление комплексаДля удаления комплекса "Соболь" необходимо выполнить следующие действия:• удалить вспомогательное ПО комплекса, если оно было установлено;

Пояснение. Порядок удаления вспомогательного ПО комплекса "Соболь" приведен в доку-менте [2].

• изъять плату комплекса из компьютера (см. стр.48 для PCIe, стр.49 для MiniPCIe Half, стр.50 для M.2).

Внимание! После удаления ПАК "Соболь" вся служебная информация о его настройке сохраняетсяв неизменном виде в энергонезависимой памяти платы комплекса. Данный комплекс можно уста-новить и использовать без повторной инициализации при условии сохранности регистрационнойинформации в персональных идентификаторах администратора и пользователей. Для этого необ-ходимо обеспечить условия хранения платы ПАК "Соболь", исключающие возможность бес-контрольного доступа к ней.Для удаления служебной информации из памяти комплекса используйте процедуру инициализацииплаты с первичной регистрацией администратора (см. стр.28).

Изъятие платы PCIeДля изъятия платы PCIe:

1. Выключите компьютер. Откройте корпус компьютера.2. При наличии подключенного к плате комплекса "Соболь" считывателя

iButton отсоедините считыватель от платы:• при использовании внешнего считывателя отключите его штекер от разъ-

ема платы, расположенного на задней панели системного блока;• при использовании внутреннего считывателя отключите его штекер от

разъема TM платы (см. Рис.2 на стр.20).3. Извлеките плату комплекса "Соболь" из разъема шины PCIe.4. Если использовался механизм сторожевого таймера в режиме авто-

матической перезагрузки компьютера, выполните следующие действия:• отключите кабель RST механизма сторожевого таймера от разъема WD

платы комплекса "Соболь" (см. Рис.2 на стр.20) и от разъема Reset мате-ринской платы;

• отключите штекер кабеля кнопки "Reset" от разъема RST платы комп-лекса "Соболь" (см. Рис.2 на стр.20) и подключите этот штекер к разъемуReset материнской платы;

• извлеките кабель блока питания компьютера из разъема SATA платыкомплекса (см. Рис.2 на стр.20).

5. Если использовался механизм сторожевого таймера в режиме автомати-ческого выключения питания компьютера, выполните следующие действия:• вариант 24-контактного разъема АТХ:

• отключите разъем Х1 устройства блокировки питания (см. п. Б, Рис.1на стр.13) от разъема RL платы PCIe (см. Рис.2 на стр.20);

• отключите разъемы Х2 и Х6 от разъема питания АТХ материнской пла-ты;

• отключите разъем Х5 от разъема Х3;• отключите стандартный кабель питания АТХ от разъема Х4 устрой-

ства блокировки питания;• подключите стандартный кабель питания к разъему АТХ материнской

платы;• извлеките кабель блока питания компьютера из разъема SATA платы

комплекса (см. Рис.2 на стр.20);



• вариант 20-контактного разъема АТХ:• отключите разъем Х1 устройства блокировки питания (см. п. Б, Рис.1

на стр.13) от разъема RL платы PCIe (см. Рис.2 на стр.20);• отключите разъем Х2 от разъема питания АТХ материнской платы;• отключите стандартный кабель питания АТХ от разъема Х3 устрой-

ства блокировки питания;• подключите стандартный кабель питания к разъему АТХ материнской

платы;• извлеките кабель блока питания компьютера из разъема SATA платы

комплекса (см. Рис.2 на стр.20);• вариант кабеля PWR механизма сторожевого таймера:

• отключите кабель PWR механизма сторожевого таймера от разъемаWD платы комплекса (см. Рис.2 на стр.20) и от T-Tap соединителей(см. п. В, Рис.1 на стр.13), оставив последние закрепленными на жи-лах стандартного кабеля кнопки "Power" для обеспечения изоляции;

• извлеките кабель блока питания компьютера из разъема SATA платыкомплекса (см. Рис.2 на стр.20);

• вариант параллельного подключения кабеля RST механизма сторожевоготаймера к стандартному кабелю кнопки "Power" с помощью со-единителей:• отключите кабель RST механизма сторожевого таймера от разъемаWD

платы PCIe (см. Рис.2 на стр. 20 ). Оставьте соединители за-крепленными на жилах стандартного кабеля кнопки "Power" для обес-печения изоляции;

• извлеките кабель блока питания компьютера из разъема SATA платыкомплекса (см. Рис.2 на стр.20).

6. Закройте корпус системного блока.

Изъятие платы Mini PCIe HalfДля изъятия адаптера и платы Mini PCIe Half:

1. Выключите компьютер. Откройте корпус компьютера.2. При наличии подключенного к адаптеру считывателя iButton отсоедините

считыватель от адаптера:• при использовании внешнего считывателя отключите его штекер от со-

ответствующего разъема адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24или Рис.8 на стр.25);

• при использовании внутреннего считывателя отключите его штекер отразъема TM адаптера (см. Рис.6 на стр.24 или Рис.9 на стр.25).

3. Извлеките плату из разъема Mini PCIe.4. Извлеките адаптер из слота системного блока компьютера.5. Если использовался механизм сторожевого таймера в режиме авто-


адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24, Рис.8 на стр.25 или Рис.9на стр.25) и от разъема Reset материнской платы;

• в случае использования адаптера варианта 1 отключите штекер кабелякнопки "Reset" от разъема RST адаптера (см. Рис.6 на стр.24 ) и под-ключите этот штекер к разъему Reset материнской платы.



6. Если использовался механизм сторожевого таймера в режиме автомати-ческого выключения питания компьютера, выполните следующие действия:• вариант кабеля PWR механизма сторожевого таймера:

• отключите кабель PWR механизма сторожевого таймера от разъемаWD адаптера (см. Рис.6 на стр.24 , Рис.7 на стр.24 , Рис.8 на стр.25или Рис.9 на стр.25 ) и от T-Tap соединителей (см. п. В, Рис.1 настр.13), оставив последние закрепленными на жилах стандартногокабеля кнопки "Power" для обеспечения изоляции;


адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24, Рис.8 на стр.25 илиРис.9 на стр.25 ). Оставьте соединители закрепленными на жилахстандартного кабеля кнопки "Power" для обеспечения изоляции.

7. Закройте корпус компьютера.

Для изъятия платы Mini PCIe Half:

1. Выключите компьютер. Откройте корпус компьютера.2. Извлеките плату из разъема Mini PCIe.3. Закройте корпус компьютера.

Изъятие платы M.2Для изъятия адаптера и платы M.2:

1. Выключите компьютер. Откройте корпус компьютера.2. При наличии подключенного к адаптеру считывателя iButton отсоедините

считыватель от адаптера:• при использовании внешнего считывателя отключите его штекер от со-

ответствующего разъема адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24или Рис.8 на стр.25);

• при использовании внутреннего считывателя отключите его штекер отразъема TM адаптера (см. Рис.6 на стр.24 или Рис.9 на стр.25).

3. Извлеките плату из разъема M.2.4. Извлеките адаптер из слота системного блока компьютера.5. Если использовался механизм сторожевого таймера в режиме авто-


адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24, Рис.8 на стр.25 или Рис.9на стр.25) и от разъема Reset материнской платы;

• в случае использования адаптера варианта 1 отключите штекер кабелякнопки "Reset" от разъема RST адаптера (см. Рис.6 на стр.24 ) и под-ключите этот штекер к разъему Reset материнской платы.

6. Если использовался механизм сторожевого таймера в режиме автомати-ческого выключения питания компьютера, выполните следующие действия:• вариант кабеля PWR механизма сторожевого таймера:

• отключите кабель PWR механизма сторожевого таймера от разъемаWD адаптера (см. Рис.6 на стр.24 , Рис.7 на стр.24 , Рис.8 на стр.25или Рис.9 на стр.25 ) и от T-Tap соединителей (см. п. В, Рис.1 настр.13), оставив последние закрепленными на жилах стандартногокабеля кнопки "Power" для обеспечения изоляции;




адаптера (см. Рис.6 на стр.24, Рис.7 на стр.24, Рис.8 на стр.25 илиРис.9 на стр.25 ). Оставьте соединители закрепленными на жилахстандартного кабеля кнопки "Power" для обеспечения изоляции.

7. Закройте корпус компьютера.

Для изъятия платы M.2:

1. Выключите компьютер. Откройте корпус компьютера.2. Извлеките плату из разъема M.2.3. Закройте корпус компьютера.



Глава 3Настройка и эксплуатация комплекса

При вводе комплекса в эксплуатацию администратору необходимо выполнитьвход в ИС (см. ниже), зарегистрировать пользователей комплекса (см. стр.63) инастроить параметры их учетных записей (см. стр.67).В процессе эксплуатации комплекса администратор может:• управлять параметрами загрузки ОС (см. стр.57);• управлять общими параметрами комплекса (см. стр.60);• управлять параметрами паролей (см. стр.61);• управлять списком пользователей и параметрами учетных записей (см.

стр.62);• менять свой пароль (см. стр.76) и аутентификатор (см. стр.73);• менять пароли и аутентификаторы пользователей (см. стр.69);• работать с журналом событий (см. стр.78);• управлять работой механизма КЦ (см. стр.72);• проверять работоспособность комплекса (см. стр.84);• осуществлять ряд служебных операций (см. стр.85).Инструкция по завершению настройки комплекса приведена на стр.91.

Вход администратораВнимание! Перед входом в ИС отключите от USB-портов компьютера все устройства класса USBMassStorage Device (флеш-накопители, CD-, DVD-приводы и т. п.).

Для входа администратора в ИС:

1. Включите питание или выполните перезагрузку компьютера.Управление будет передано комплексу "Соболь". Запустятся процедуры те-стирования ДСЧ и памяти платы.

Пояснение. При загрузке ПАК "Соболь" могут возникнуть ошибки, приводящие к блокировкекомпьютера. При этом на экран выводится сообщение об ошибке. Перечень сообщений и дейст-вия по устранению ошибок приведены на стр.108.

После успешного завершения тестирования на экране появится окно с запро-сом персонального идентификатора.



В правом верхнем углу окна указывается режим работы комплекса: "А" — ав-тономный режим, "С" — режим совместного использования.

Пояснение. Если включен режим ограничения времени, отводящегося на вход в ИС(см. Табл.4 на стр.32, параметр "Ограничение времени на вход в систему"), на экране будет отоб-ражаться время, оставшееся для предъявления идентификатора и ввода пароля. Если за от-веденное время действия не выполнены, компьютер будет заблокирован. В этом случаеперезагрузите компьютер и повторите вход в ИС.

2. Предъявите персональный идентификатор администратора.

Пояснение.• Если идентификатор уже предъявлен (идентификатор iButton касается считывателя / USB-

ключ находится в USB-разъеме / смарт-карта находится в USB-считывателе), комплекс авто-матически считывает его.

• Если одновременно предъявлено несколько идентификаторов, считывается первыйнайденный комплексом идентификатор. Для смены идентификатора нажмите <Esc>.

После успешного считывания идентификатора на экране появится окно дляввода пароля.

3. Введите пароль администратора.

Пояснение. Для отказа от ввода пароля нажмите <Esc>. На экране вновь появится запрос пер-сонального идентификатора.

4. Нажмите кнопку "Войти".

Пояснение.• Если предъявлен незарегистрированный идентификатор или введен неверный пароль,

комплекс выдаст предупреждение: "Неверный идентификатор или пароль". Нажмите любуюклавишу и повторите еще раз действия 2–4 данной процедуры.

• При появлении сообщения "Пароль не удовлетворяет требованиям к минимальной длинеи/или сложности пароля" нажмите кнопку "ОК" и смените пароль (см. стр.76).

При вводе правильного пароля на экране появится информационное окно(см. рисунок ниже).



Информационное окно содержит следующие сведения:

Номеридентификатора

Тип и номер персонального идентификатора, предъявленногоадминистратором при входе в ИС

Время текущеговхода

Время ("часы:минуты") и дата ("день/месяц/год"), когдаадминистратор ввел свой пароль при текущем входе в ИС

Имя последнегопользователя

Имя пользователя комплекса "Соболь", выполнившего вход в ИСпоследним перед текущим входом администратора.Сведения отсутствуют, если зарегистрированный пользовательне осуществлял вход в ИС или его учетная запись после входабыла удалена из списка пользователей комплекса "Соболь"

Номеридентификаторапоследнегопользователя

Тип и номер персонального идентификатора пользователя,который выполнил вход в ИС последним перед текущим входомадминистратора.Сведения отсутствуют, если не указано имя последнегопользователя

Время входапоследнегопользователя

Время ("часы:минуты") и дата ("день/месяц/год") входа в ИСпользователя, выполнившего вход последним перед текущимвходом администратора.Сведения отсутствуют, если не указано имя последнегопользователя

Суммарноеколичествонеудачныхпопыток входа

Количество ошибок, допущенных пользователями при входе вИС, подсчитанное с момента последней инициализациикомплекса. Ошибками являются неверное предъявлениеидентификатора и неверный ввод пароля.Сведения отсутствуют, если учетные данные были предъявленыбез ошибок

5. Выберите вариант продолжения процедуры:• Для загрузки ОС нажмите кнопку "Загрузка ОС".

Пояснение. Если включен аудит журнала событий (см. Табл.5 на стр.35, параметр "Пе-риодичность аудита") и появилось предупреждение о необходимости провести аудит, кноп-ка "Загрузка ОС" будет недоступна. Нажмите кнопку "Настройки". На экране появится окнопросмотра журнала событий (Рис.18 на стр.78).

Если включен механизм КЦ, перед загрузкой ОС начнется проверкацелостности заданных объектов.



Пояснение.• Для прерывания проверки нажмите кнопку "Остановить" или клавишу<Esc>.• При обнаружении ошибки проверка останавливается и на экран выводится сообщение

об ошибке. Ознакомьтесь с сообщением (подробный список сообщений об ошибкахсодержится на стр.112). Для продолжения проверки нажмите "ОК" в сообщении об ошиб-ке.

• Если уведомления комплекса в процессе расчета контрольных сумм не нужны, по-ставьте отметку "Больше не спрашивать" в окне с сообщениемоб ошибке.

• После окончания проверки и загрузки ОС устраните причины возникновения ошибок.Далее заново рассчитайте контрольные суммы объектов КЦ (см. стр.72).

По окончании проверки нажмите кнопку "Готово". Начнется загрузка ОС.• Для настройки комплекса нажмите кнопку "Настройки".

На экране появится меню администратора комплекса (см. ниже).

Меню администратораПри переходе к настройкам ПАК "Соболь" появится окно, подобное следующему.

Рис.13 Меню администратора ПАК "Соболь"

В правом верхнем углу окна указывается режим работы комплекса: "А" — ав-тономный режим, "С" — режим совместного использования.Меню в левой части окна содержит операции, доступные администратору в рабо-чем режиме.

Пояснение. В режиме совместного использования часть пунктов меню недоступна. Особенностинастройки комплекса в этом режиме приведены на стр.116.

Основная часть окна справа от меню содержит информацию о выполняемой ко-манде (ход выполнения, параметры, сообщения и др.) и управляющие кнопки.Информационная строка в нижней части окна содержит назначение управ-ляющих клавиш.



Для управления используйте левую кнопку мыши или следующие клавиши:• <Ctrl>+<1>/<Ctrl>+<2> — установка курсора в меню/основную часть ок-

на;• <Tab> — перемещение курсора по пунктам меню/параметрам;• <Enter> — выбор пункта меню/параметра;• <Пробел> — изменение значения параметра (при необходимости введите но-

вое значение с помощью клавиатуры);• <F2> — справочная информация о комплексе (см. стр.120).

Пояснение. При настройке параметров комплекса могут использоваться дополнительные управ-ляющие клавиши. Для просмотра полного перечня управляющих клавишнажмите <F1>.

Выберите пункт меню администратора и выполните настройку параметров ПАК"Соболь":• "Загрузка ОС" — просмотр и настройка параметров загрузки ОС, загрузка ОС

после настройки комплекса (см. стр.57);• "Режим работы" — изменение режима работы комплекса (см. стр.58);• "Список пользователей" — управление пользователями комплекса

(см. стр.62);• "Журнал событий" — работа с журналом событий комплекса (см. стр.78);• "Общие параметры" — настройка общих параметров комплекса (см. стр.60);• "Параметры паролей" — настройка параметров паролей комплекса (см.

стр.61);• "Контроль целостности" — настройка механизма КЦ, расчет контрольных

сумм объектов КЦ (см. стр.72), запуск встроенного ПО управления шалонамиКЦ (см. стр.92);

• "Смена пароля" — изменение пароля администратора (см. стр.73);• "Смена аутентификатора" — изменение аутентификатора администратора

(см. стр.73);• "Диагностика платы" — проверка работоспособности комплекса (см. стр.84);• "Служебные операции" — создание резервной копии и форматирование

идентификатора, программная инициализации комплекса, сохранение и об-новление кода расширения UEFI/BIOS (см. стр.85).



Параметры загрузки ОСПри выборе в меню администратора пункта "Загрузка ОС" окно примет вид,подобный представленному на рисунке ниже. Окно содержит параметры за-грузки ОС и загрузочного устройства, а также кнопку загрузки ОС.

Внимание! При изменении параметров загрузки в UEFI/BIOS Setup в окне "Параметры загрузки ОС"появится сообщение об изменении и кнопка "Сохранить". Для сохранения новых параметров за-грузки ОСнажмите кнопку "Сохранить".

Рис.14 Окно "Параметры загрузки ОС" при изменении параметровзагрузки в UEFI/BIOS Setup

Пояснение.Параметры загрузки ОСпри загрузке с сетевых плат приведены на стр.119.

Для настройки параметров:

1. Установите значения параметров, используя Табл.3 на стр.31 (за исклю-чением параметра "Системное время и дата").

Пояснение.• При загрузке ОС с сетевых плат для настройки параметров загрузки используйте Табл.8 на

стр.119.• Изменение системного времени и даты выполняется с помощью соответствующей команды

в пункте меню "Служебные операции" (см. стр.88).

2. Для сохранения изменений нажмите кнопку "Сохранить".



Режим работы комплексаПри выборе в меню администратора пункта "Режим работы" окно примет вид,подобный следующему.

Параметр "Текущий режим работы" отображает режим функционирования комп-лекса и может принимать значения:• "автономный" — комплекс функционирует автономно;• "режим совместного использования" — комплекс функционирует совместно с

другими СЗИ.

Для переключения комплекса в режим совместного использования:

Внимание! При переключении комплекса в режим совместного использования:• список пользователей и журнал событий очищаются;• права администратора ПАК "Соболь" ограничиваются (см. стр.116).

1. В окне "Изменение режима работы" нажмите кнопку "Изменить".На экране появится запрос на подтверждение действия (см. рисунок ниже).



2. Выберите дальнейшее действие:• для возврата в меню администратора и последующего экспорта журнала

событий нажмите кнопку "Нет";• для перехода на следующий шаг нажмите кнопку "Да".На экране появится запрос персонального идентификатора.


Пояснение.Для отмены изменения режима нажмите кнопку "Отмена".

В идентификатор запишется служебная информация, которая хранится взащищенной энергонезависимой памяти платы. На экране появится сооб-щение об успешной записи данных.

4. Нажмите кнопку "Вперед".На экране появится сообщение об успешном включении режима совместногоиспользования.

5. Нажмите кнопку "Готово".

Для переключения комплекса в автономный режим:

Внимание! При переключении комплекса в автономный режим:• список пользователей и журнал событий очищаются;• администратор ПАК "Соболь" наделяется полными правами по настройке комплекса.

1. В окне "Изменение режима работы" нажмите кнопку "Изменить".На экране появится запрос на подтверждение действия.

2. Нажмите кнопку "Да" в окне запроса.

Пояснение.Для отмены изменения режима нажмите кнопку "Нет" в окне запроса.



Настройка общих параметровВнимание! Настройка некоторых общих параметров недоступна в режиме совместного исполь-зования (см. стр.117).

При выборе в меню администратора пункта "Общие параметры" окно приметвид, подобный следующему.


1. Установите значения общих параметров комплекса, используя Табл.4 настр.32.

2. Нажмите кнопку "Сохранить" для сохранения изменений.Для возврата к ранее установленным значениям нажмите кнопку "Отмена".Для установки значений по умолчанию нажмите кнопку "По умолчанию".



Настройка параметров паролейВнимание! Настройка параметров паролей недоступна в режиме совместного использования (см.стр.117).

При выборе в меню администратора пункта "Параметры паролей" окно приметвид, подобный следующему.


1. Установите значения параметров паролей комплекса, используя Табл.6 настр.36.

2. Нажмите кнопку "Сохранить" для сохранения изменений.Для возврата к ранее установленным значениям нажмите кнопку "Отмена".Для установки значений по умолчанию нажмите кнопку "По умолчанию".



Управление пользователямиВнимание! Управление пользователями недоступно в режиме совместного использования. Списокпользователей и параметры учетных записей доступны только для просмотра (см. стр.117).

При выборе в меню администратора пункта "Список пользователей" окно приметвид, подобный следующему.

Рис.15 Окно управления пользователями

В области "Пользователи" отображается список пользователей. Максимальноеколичество учетных записей определяется параметром "Максимальное коли-чество пользователей и событий журнала" (см. Табл.4 на стр.32), значение кото-рого устанавливается при инициализации комплекса. Если нетзарегистрированных пользователей (например, после инициализации комп-лекса), список пользователей пуст.В области "Параметры учетной записи пользователя" отображаются параметрыучетной записи пользователя, выбранного в списке. Порядок настройки пара-метров приведен на стр.67.Сверху расположена панель управления пользователями с командами:• "Добавить" (<Ins>)— зарегистрировать нового пользователя (см. ниже);• "Удалить" (<Del>) — удалить учетную запись пользователя, выбранного в

списке (см. стр.68);• "Удалить всех пользователей" (<Ctrl>+<Del>) — удалить учетные записи

всех зарегистрированных пользователей (см. стр.69);• "Сменить пароль" (<Ctrl>+<P>) — принудительно сменить пароль и аутен-

тификатор пользователя, выбранного в списке (см. стр.69).

Пояснение.Для просмотра полного перечня управляющих клавишнажмите клавишу<F1>.



Регистрация пользователяПри регистрации нового пользователя комплекса "Соболь" ему присваиваютсяследующие атрибуты:• имя;• аутентификатор и пароль;• персональный идентификатор.Учетная запись зарегистрированного пользователя сохраняется в энерго-независимой памяти комплекса.Регистрация пользователя может выполняться первично (см. стр.63) и повторно(см. стр.66).При первичной регистрации в персональный идентификатор пользователязаписывается новая служебная информация о регистрации.При повторной регистрации служебная информация, записанная в пер-сональный идентификатор при первичной регистрации пользователя на другомкомпьютере, считывается из идентификатора без изменения. В этом случае поль-зователь может использовать один и тот же идентификатор для входа в ИС нанескольких компьютерах, оснащенных комплексами "Соболь".

Внимание! Повторная регистрация пользователя возможна только при установке той же версии ма-тематических преобразований, которая использовалась при первичной регистрации пользователя(см. шаг инициализации "Настройка общих параметров" на стр.32).

Совет. При регистрации пользователя на нескольких компьютерах, оснащенных комплексами "Со-боль", действуйте по следующей схеме: на первом из них выполните первичную регистрацию пользо-вателя, а на всех остальных —повторную. В этом случае пользователь сможет входить в ИС на всехэтих компьютерах, используя один и тот же персональный идентификатор.

Первичнаярегистрацияпользователя

Внимание! Если идентификатор уже содержит служебную информацию о регистрации пользо-вателя на другом компьютере, оборудованном комплексом "Соболь", она будет уничтожена, и поль-зовательне сможет работатьна том компьютере.

Для первичной регистрации пользователя:

1. На панели управления пользователями (см. Рис.15 на стр.62) выберите ко-манду "Добавить" или нажмите клавишу <Insert>.

Пояснение.При появлении предупреждения комплекса о том, что список пользователей ис-черпан, удалите из списка одну или несколько учетных записей (см. стр.68) и повторите про-цедуру регистрации.

На экране появится запрос имени пользователя.2. Введите имя нового пользователя и нажмите кнопку "Вперед".

Пояснение.• Имя пользователя может содержать до 40 символов латинского и русского алфавита, в том

числе цифры и любые служебные символы, включая <Пробел>.• Для смены раскладки клавиатуры нажмите клавишу<F12>.• Если введено имя, совпадающее с именем одного из зарегистрированных пользователей,

комплекс выдаст предупреждение "Пользователь с таким именем уже зарегистрирован". На-жмите кнопку "ОК" в окне с сообщениеми введите другое имя.

На экране появится запрос на выбор варианта процедуры регистрации(см. рисунок ниже).



Рис.16 Запрос при регистрации пользователя

3. Нажмите кнопку "Да".На экране появится запрос пароля пользователя.

4. Введите с клавиатуры пароль пользователя или воспользуйтесь функцией ге-нерации случайного пароля, нажав кнопку "Сгенерировать" или клавишу<F8>.Для просмотра пароля нажмите сочетание клавиш <Alt>+<F8> или уста-новите переключатель "Показать пароль" в значение "ВКЛ".

Пояснение.При вводе пароля с клавиатуры учитывайте следующие особенности:• если длина введенного пароля меньше минимально допустимого числа символов, после

подтверждения пароля и нажатия кнопки "Вперед" комплекс выдаст предупреждение "Ми-нимальная длина пароля … символа(ов)". Нажмите "ОК" и введите пароль еще раз, учи-тывая данное ограничение;

• парольможет содержать только следующие символы:• 1234567890—цифры;• abcdefghijklmnopqrstuvwxyz—латинские буквы нижнего регистра (строчные);• ABCDEFGHIJKLMNOPQRSTUVWXYZ — латинские буквы верхнего регистра (за-

главные);• _$!@#;%^:&?*)(-+=/|.,<>`~"\—специальные символы;

• если включена проверка сложности пароля, пароль должен удовлетворять требованиямсложности, заданнымпараметрами паролей комплекса "Соболь" (см. стр.61).

При генерации случайного пароля учитывайте следующие особенности:• если включена проверка сложности пароля, сгенерированный парольудовлетворяет требо-

ваниям сложности, заданнымпараметрами паролей комплекса "Соболь" (см. стр.61);• если проверка сложности пароля выключена, сгенерированный пароль состоит из цифр и

латинских букв нижнего регистра (строчных);• пароль, сгенерированный ПАК "Соболь", можно редактировать.

5. В поле "Подтвердите новый пароль:" повторно введите пароль.

Внимание! После регистрации сообщите парольпользователю.

6. Нажмите "Вперед".



Пояснение. При обнаружении ошибки ввода пароля комплекс выдаст сообщение с описаниемошибки (см. стр.110). Нажмите "ОК" и введите корректный пароль.


7. Предъявите персональный идентификатор, присваиваемый пользователю.






• Если идентификатор регистрировался ранее на другом компьютере и ужесодержит служебную информацию, на экране появится предупреждение.

Если вы уверены в том, что данный идентификатор никем больше неиспользуется, нажмите "Да" и повторно предъявите идентификатор.

Внимание! При записи информации в персональный идентификатор служебная инфор-мация, содержащаяся в его памяти, будет полностью утеряна без возможности восста-новления. При этом пользователь, которому принадлежит этот идентификатор, не сможетбольше воспользоваться имдля входа в ИС.

Если вы хотите использовать другой персональный идентификатор, наж-мите кнопку "Нет" и повторите п. 7.

• Если структура данных персонального идентификатора нарушена,комплекс выдаст сообщение об ошибке с предложением выполнитьформатирование идентификатора.

Внимание! Для устранения нарушений структуры данных персонального идентификаторанеобходимо его отформатировать.При форматировании идентификатора iButton вся информация, содержащаяся в его па-мяти, будет полностью утеряна без возможности восстановления. При форматированииUSB-ключей/смарт-карт будет утеряна только информация, относящаяся к ПАК "Соболь" ипрограммам, его использующим.

Для форматирования идентификатора в окне с сообщением нажмитекнопку "Да". Идентификатор будет отформатирован и подготовлен к даль-нейшей работе.Для продолжения работы без форматирования нажмите кнопку "Нет" ипредъявите другой идентификатор.



Совет. Форматирование идентификатора можно выполнить позже с использованием слу-жебной операции "Форматирование идентификатора" (см. стр.87).

После успешного присвоения пользователю персонального идентификатораи сохранения учетной записи пользователя в энергонезависимой памятикомплекса на экране появится сообщение "Пользователь успешно за-регистрирован".

8. Нажмите кнопку "Завершить".Имя нового пользователя появится в списке пользователей. Перейдите к нас-тройке параметров учетной записи этого пользователя (см. стр.67).

Повторнаярегистрацияпользователя

Внимание! Для повторной регистрации необходимо личное присутствие пользователя, так как зап-рашивается его текущий пароль.

Для повторной регистрации пользователя:

1. Выполните действия 1–2 процедуры первичной регистрации пользователя.

Пояснение.Имя, назначаемое пользователю при повторной регистрации, может отличаться отимени, назначенного при первичной регистрации на другом компьютере.

2. В окне запроса (см. Рис.16 на стр.64) нажмите кнопку "Нет".На экране появится запрос пароля.

3. Попросите пользователя ввести его текущий пароль и нажмите кнопку"Вперед".На экране появится запрос персонального идентификатора.

4. Предъявите персональный идентификатор, присвоенный пользователю приего первичной регистрации на другом компьютере.






• Если введенный пароль не соответствует предъявленному иденти-фикатору (указан неправильный пароль или предъявлен иден-тификатор, не принадлежащий пользователю), комплекс выдастсообщение "Неверный идентификатор или пароль".Нажмите кнопку "ОК" в окне с сообщением и повторите действия 2–4.

• Если введенный пароль соответствует предъявленному идентификатору,выполняется считывание служебной информации из идентификатора изапись этой информации в энергонезависимую память комплекса.

После успешной записи служебной информации в память комплекса на эк-ране появится сообщение "Пользователь успешно зарегистрирован". Имя но-вого пользователя появится в списке пользователей.

5. Перейдите к настройке параметров учетной записи зарегистрированногопользователя (см. ниже).



Настройка параметров учетной записиПараметры учетной записи пользователя определяют ее текущее состояние ипозволяют выбрать режимы работы защитных механизмов для данного пользо-вателя.


1. В области "Пользователи" (см. Рис.15 на стр.62) выберите имя пользователя,параметры учетной записи которого нужно изменить.

2. В области "Параметры учетной записи пользователя" настройте нужные пара-метры, используя таблицу ниже.

3. Нажмите кнопку "Сохранить" для сохранения изменений.

Табл.7 Параметры учетной записи пользователя

Имя пользователя

Отображает имя, присвоенное пользователю при регистрации в списке пользователей

Идентификатор

Отображает тип и номер персонального идентификатора пользователя

Время последнего входа

Отображает время ("часы:минуты") и дату ("день/месяц/год") последнего успешноговхода пользователя в ИС

Общее количество входов

Отображает число удачных попыток входа пользователя в ИС с момента регистрации всписке пользователей

Количество неудачных попыток входа

Отображает количество неудачных попыток входа пользователя в ИС:• 0, если число неудачных попыток входа пользователя во время последнего сеансавхода в ИС меньше значения общего параметра "Предельное число неудачныхвходов пользователя" (см. Табл.4 на стр.32), и пользователь завершил сеансуспешным входом в ИС;

• больше 0, если число неудачных попыток входа пользователя во время последнегосеанса входа в ИС достигло числа, заданного общим параметром "Предельное числонеудачных входов пользователя" (см. Табл.4 на стр.32). При этом вход пользователяв ИС блокируется автоматически. Для разблокирования входа пользователя в ИСприсвойте параметру "Текущий статус пользователя" значение "Не блокирован" (см.ниже)

Текущий статус пользователя

Позволяет настроить возможность входа в ИС для пользователя. Может приниматьзначения:• "Блокирован" — вход пользователя в ИС запрещен;• "Не блокирован" — вход пользователя в ИС разрешен.Если вход пользователя в ИС запрещен, при попытке входа этого пользователя комплексвыдает предупреждение "Вход в систему запрещен администратором" и компьютерблокируется

Режим контроля целостности

Определяет режим работы механизма КЦ для пользователя. Может принимать значения:• "Жесткий" — при обнаружении нарушений целостности контролируемых объектоввход пользователя в ИС запрещается, компьютер блокируется, в журналерегистрируется событие "Ошибка при контроле целостности";

• "Мягкий" — при обнаружении нарушений целостности контролируемых объектоввход пользователя в ИС разрешается, компьютер не блокируется, в журналерегистрируется событие "Ошибка при контроле целостности"



Запрет загрузки с внешних носителей

Позволяет запретить пользователю загружать ОС со съемных носителей — дискет,DVD/CD-ROM, ZIP-устройств, магнитооптических дисков, USB-устройств и др. Можетпринимать значения:• "ВКЛ" — загрузка ОС со съемных носителей запрещена;• "ВЫКЛ" — загрузка ОС со съемных носителей разрешена

Запрет смены пароля

Позволяет запретить пользователю самостоятельно менять пароль. Может приниматьзначения:• "ВКЛ" — смена пароля запрещается;• "ВЫКЛ" — смена пароля разрешается.При установке данного параметра в значение "ВКЛ" параметр "Замена аутентификаторапри смене пароля" становится недоступным для изменения

Пояснение. Для смены пароля пользователя, у которого истекло время действия пароля и кото-рому запрещена самостоятельная смена пароля, выполните следующие действия:• войдите в ИСна правах администратора, снимите запрет на смену пароля пользователем и пе-

резагрузите компьютер;• дайте возможностьпользователю выполнитьвход в ИСи сменитьсвой пароль;• перезагрузите компьютер;• войдите в ИСна правах администратора, запретите пользователю самостоятельно менять па-

рольи перезагрузите компьютер.

Ограничение срока действия пароля

Позволяет установить режим устаревания пароля пользователя. Может приниматьзначения:• "ВКЛ" — режим устаревания пароля включен;• "ВЫКЛ" — режим устаревания пароля отключен.При включении этого режима по истечении периода времени, заданного общимпараметром "Максимальный срок действия пароля" (см. Табл.6 на стр.36), текущийпароль пользователя перестает быть действительным. При входе в ИС пользователюбудет предложено сменить свой пароль, без чего он не сможет загрузить ОС.Если для пользователя включен режим замены аутентификатора при смене пароля, тоограничение срока действия пароля распространяется и на аутентификаторпользователя.Для присвоения параметру значения "ВКЛ" требуется присутствие пользователя.Попросите его ввести свой пароль и предъявить персональный идентификатор. Еслипароль введен правильно, параметру будет присвоено значение "ВКЛ"

Замена аутентификатора при смене пароля

Позволяет установить режим принудительной замены аутентификатора при сменепароля пользователем. Может принимать значения:• "ВКЛ" — при смене пароля выполняется также смена аутентификатора;• "ВЫКЛ" — при смене пароля аутентификатор не меняется

Удаление учетной записи пользователяДля удаления учетной записи:

1. В области "Пользователи" (см. Рис.15 на стр.62) выберите имя пользователя,учетную запись которого нужно удалить.

2. На панели управления пользователями выберите команду "Удалить" или наж-мите клавишу <Delete>.На экране появится запрос на удаление пользователя.

3. Нажмите кнопку "Да" в окне запроса.Учетная запись пользователя будет удалена из энергонезависимой памятикомплекса. Имя этого пользователя будет исключено из списка.



Удаление всех учетных записей пользователейДля удаления всех учетных записей:

1. На панели управления пользователями (см. Рис.15 на стр.62) выберите ко-манду "Удалить всех пользователей" или нажмите сочетание клавиш<Ctrl>+<Delete>.На экране появится запрос на удаление всех пользователей.

2. Нажмите кнопку "Да" в окне запроса.Учетные записи всех пользователей будут удалены из энергонезависимой па-мяти комплекса. Список пользователей будет пуст.

Принудительная смена пароля и аутентификаторапользователяПеред принудительной сменой пароля и аутентификатора пользователя примитево внимание следующее:1. Эта возможность предусмотрена только для экстренной смены пароля и

аутентификатора пользователя администратором в случае компрометации па-роля. Во всех остальных случаях смена пароля выполняется пользователемсамостоятельно (см. документ [3]).

2. Процедура принудительной смены пароля и аутентификатора приводит к кор-ректному результату только тогда, когда пользователь зарегистрирован сиспользованием данного персонального идентификатора на одном ком-пьютере, оснащенном комплексом "Соболь".

3. Если пользователь зарегистрирован с помощью данного идентификатора нанескольких компьютерах, то после принудительной смены пароля и аутен-тификатора он потеряет доступ ко всем компьютерам, кроме того, на которомвыполнена процедура смены. В этом случае следует выполнить повторнуюрегистрацию пользователя на остальных компьютерах.

Для принудительной смены пароля и аутентификатора пользователя:

1. В области "Пользователи" (см. Рис.15 на стр.62) выберите имя пользователя,для которого нужно сменить пароль и аутентификатор.

2. На панели управления пользователями выберите команду "Сменить пароль"или нажмите сочетание клавиш <Ctrl>+<P>.На экране появится предупреждение и запрос на продолжение действия(см. рисунок ниже).



3. Если вы уверены в необходимости смены пароля и аутентификатора пользо-вателя, нажмите кнопку "Да".На экране появится диалог для ввода нового пароля пользователя.

Пояснение. Текущий парольпользователя в данном случае не запрашивается.

4. Введите с клавиатуры новый пароль пользователя или воспользуйтесь функ-цией генерации случайного пароля, нажав кнопку "Сгенерировать" или кла-вишу <F8>.Для просмотра пароля нажмите сочетание клавиш <Alt>+<F8> или уста-новите переключатель "Показать пароль" в значение "ВКЛ".







ваниям сложности, заданнымпараметрами паролей комплекса "Соболь" (см. стр.61);• если проверка сложности пароля выключена, сгенерированный пароль состоит из цифр и


5. В поле "Подтвердите новый пароль:" повторно введите пароль.6. Нажмите "Вперед".



Пояснение. При обнаружении ошибки ввода пароля комплекс выдаст сообщение с описаниемошибки (см. стр.110). Нажмите кнопку "ОК" и введите корректный пароль.


7. Предъявите персональный идентификатор пользователя.






• Если предъявленный идентификатор не принадлежит пользователю,комплекс выдаст сообщение "Неверный идентификатор или пароль".Нажмите кнопку "ОК" в окне с сообщением. Предъявите идентификаторпользователя или нажмите "Отмена" и повторите процедуру смены па-роля.

При успешном считывании идентификатора на экране появится сообщение"Пароль успешно изменен".

8. Нажмите кнопку "Завершить".

Настройка автоматической загрузки ОС для пользователяВ ПАК "Соболь" реализована возможность автоматической загрузки ОС дляпользователей после предъявления идентификатора. Это может понадобитьсяпри использовании комплекса на платформах без устройств ввода данных (кла-виатура, мышь).

Пояснение. Устройство ввода данных понадобится для входа пользователя при обнаружении на-рушений целостности в мягком режиме КЦ.

Для настройки автоматической загрузки ОС:

1. Установите значение общего параметра (см. стр.60):• "Показ статистики пользователю" — "ВЫКЛ".

2. Установите значения параметров паролей (см. стр.61):• "Минимальная длина пароля" — 0;• "Проверка сложности пароля" — "ВЫКЛ".

3. Настройте параметры учетной записи пользователя, которому необходимонастроить автоматическую загрузку ОС (см. стр.67):• установите пользователю пустой пароль;• "Запрет смены пароля" — "ВКЛ";• "Ограничение срока действия пароля" — "ВЫКЛ".

4. Установите значения параметров журнала событий (см. стр.83):• "Перезапись событий" — "ВКЛ";• "Периодичность аудита" — 0.



Контроль целостностиВнимание! В режиме совместного использования администратору ПАК "Соболь" недоступен выборПО управления шаблонами КЦ (см. стр.118).

При выборе в меню администратора пункта "Контроль целостности" окно приметвид, подобный следующему.

Рис.17 Окно настройки параметров КЦ

Для настройки механизма КЦ и расчета контрольных сумм:

1. Установите значения параметров КЦ, используя инструкцию по настройке КЦв режиме инициализации комплекса (см. стр.43, пп. 1-5).

2. Нажмите кнопку "Сохранить" для сохранения изменений.Для отмены изменений нажмите кнопку "Отмена".

3. Выполните расчет контрольных сумм объектов КЦ, используя инструкцию понастройке КЦ в режиме инициализации комплекса (см. стр.44, пп. 6-7).

4. Если выбран способ управления шаблонами КЦ с использованием встроен-ного ПО комплекса "Соболь", можно перейти к корректировке шаблонов КЦ.Для этого в области "Управление шаблонами КЦ" нажмите кнопку "За-пустить".Инструкции по работе со встроенным ПО управления шаблонами КЦ при-ведены в главе 4 (см. стр.92).



Смена аутентификатора администратораВнимание! Смена аутентификатора администратора недоступна в режиме совместного исполь-зования. Особенности настройки комплекса в этом режиме приведены на стр.116.

При смене аутентификатора администратора изменяется содержимое его пер-сонального идентификатора.

Внимание! Так как режим устаревания пароля не действует для администратора комплекса "Со-боль", то администратор должен выполнять смену пароля и аутентификатора самостоятельно с пе-риодичностью, установленной политикой безопасности организации.

Для смены аутентификатора администратора:

1. В меню администратора выберите пункт "Смена аутентификатора".2. Нажмите кнопку "Сменить".

На экране появится запрос пароля администратора.3. Введите текущий пароль администратора и нажмите кнопку "Вперед".

На экране появится запрос персонального идентификатора.

Совет.До предъявления персонального идентификатора администратора можно отказаться отсмены аутентификатора. Для этого нажмите кнопку "Отмена".






При правильном предъявлении идентификатора выполняется сопоставлениевведенного пароля с информацией, хранящейся в памяти идентификатора:• Если старый пароль не соответствует предъявленному идентификатору,

комплекс выдаст сообщение "Неверный идентификатор или пароль".Нажмите кнопку "ОК" в окне с сообщением. Предъявите идентификаторадминистратора или нажмите кнопку "Отмена" и повторите процедурусмены аутентификатора.

• Если введенный пароль соответствует предъявленному идентификатору:• При первой смене аутентификатора новый аутентификатор записы-

вается в персональный идентификатор администратора. При этом ста-рый аутентификатор сохраняется в памяти персональногоидентификатора. В результате после смены аутентификатора админи-стратор не теряет доступ к другим компьютерам, на которых он за-регистрирован в качестве администратора комплекса "Соболь".

• При всех последующих сменах аутентификатора комплекс выдастпредупреждение (см. рисунок ниже).



Внимание! Персональный идентификатор администратора хранит два аутен-тификатора — текущий и старый. При записи нового аутентификатора в память пер-сонального идентификатора старый аутентификатор удаляется, а текущийсохраняется, что позволяет администратору осуществлять доступ к другим компью-терам, на которых он зарегистрирован в качестве администраторакомплекса "Соболь".Если администратор с момента последней смены аутентификатора ни разу не вы-полнил вход на какой-либо из этих компьютеров, он потеряет право доступа к нему, таккак старый аутентификатор, который требуется для аутентификации администраторана этом компьютере, удален из персонального идентификатора.В этом случае рекомендуется прекратить процедуру смены аутентификатора, выпол-нитьвход на соответствующие компьютеры и только затем сменитьаутентификатор.

Для прекращения процедуры смены аутентификатора нажмите кноп-ку "Нет" в окне с предупреждением.Для записи нового аутентификатора в персональный идентификаторадминистратора нажмите кнопку "Да" и предъявите идентификаторадминистратора.

После успешной записи служебной информации на экране появится преду-преждение и запрос на смену аутентификатора на резервной копии пер-сонального идентификатора администратора (см. рисунок ниже).



Внимание! После смены аутентификатора до выполнения следующей смены обязательно вой-дите с новым аутентификатором на все компьютеры, на которых вы зарегистрированы в ка-честве администратора комплекса "Соболь". Это необходимо для сохранения доступа ккомпьютерам.

5. При отсутствии резервных копий нажмите кнопку "Нет". Процедура сменыаутентификатора будет завершена.При наличии резервных копий нажмите кнопку "Да". На экране появится зап-рос персонального идентификатора.

Совет. Рекомендуется менять аутентификатор на всех резервных копиях персонального иден-тификатора администратора, созданных при инициализации комплекса "Соболь". Это позволитвам и далее пользоваться ими.

6. Предъявите персональный идентификатор, являющийся резервной копиейидентификатора администратора.


USB-ключ находится в USB-разъеме /смарт-карта находится в USB-считывателе), комплексавтоматически считывает его.




• Если предъявленный идентификатор не является резервной копией иден-тификатора администратора, комплекс выдаст сообщение "Неверныйидентификатор или пароль".Нажмите кнопку "ОК" в окне с сообщением. Предъявите идентификатор,являющийся резервной копией персонального идентификатора админи-стратора.



При правильном предъявлении идентификатора в него записывается новыйаутентификатор администратора. После этого на экране вновь появится диа-лог, предлагающий изменить аутентификатор на следующей резервной ко-пии.

7. Перейдите к п. 5.

Смена пароля администратораВнимание! Смена пароля администратора недоступна в режиме совместного использования. Осо-бенности настройки комплекса в этом режиме приведены на стр.116.

При смене пароля администратора изменяется содержимое его персональногоидентификатора.

Внимание! Так как режим устаревания пароля не действует для администратора комплекса "Со-боль", администратор должен выполнять смену пароля и аутентификатора самостоятельно с пе-риодичностью, установленной политикой безопасности организации.

Для смены пароля администратора:

1. В меню администратора выберите пункт "Смена пароля".2. Нажмите кнопку "Сменить".

На экране появится запрос текущего (старого) пароля администратора.

Совет.До предъявления персонального идентификатора администратора можно отказаться отсмены пароля. Для этого нажмите кнопку "Отмена".

3. Введите текущий (старый) пароль администратора и нажмите кнопку"Вперед".На экране появится запрос нового пароля администратора.

4. В поле "Введите новый пароль:" введите с клавиатуры новый пароль админи-стратора или воспользуйтесь функцией генерации случайного пароля, на-жав кнопку "Сгенерировать" или клавишу <F8>.Для просмотра пароля нажмите сочетание клавиш <Alt>+<F8> или уста-новите переключатель "Показать пароль" в значение "ВКЛ".







ваниям сложности, установленнымпараметрами паролей комплекса "Соболь" (см. стр.61);• если проверка сложности пароля выключена, сгенерированный пароль состоит из цифр и


5. В поле "Подтвердите новый пароль:" повторно введите новый пароль.6. Нажмите кнопку "Вперед".

Пояснение. При обнаружении ошибки ввода пароля комплекс выдаст сообщение с описаниемошибки (см. стр.110). Нажмите кнопку "ОК" в окне с сообщениеми введите корректный пароль.




Совет.До предъявления персонального идентификатора администратора можно отказаться отсмены пароля. Для этого нажмите "Отмена".






При правильном предъявлении идентификатора выполняется сопоставлениестарого пароля с информацией, хранящейся в памяти идентификатора:• Если старый пароль не соответствует предъявленному идентификатору,

комплекс выдаст сообщение "Неверный идентификатор или пароль".Нажмите кнопку "ОК" в окне с сообщением. Предъявите идентификаторадминистратора или нажмите "Отмена" и повторите процедуру смены па-роля.

• Если старый пароль соответствует предъявленному идентификатору, видентификатор записывается служебная информация, соответствующаяновому паролю администратора.

После успешной записи служебной информации на экране появится запрос"Установить новый пароль для резервной копии персонального иден-тификатора администратора?".

8. При отсутствии резервных копий нажмите кнопку "Нет". Процедура сменыпароля будет завершена.При наличии резервных копий нажмите кнопку "Да". На экране появится зап-рос персонального идентификатора.

Совет. Рекомендуется устанавливать новый пароль для всех резервных копий персональногоидентификатора администратора, созданных при инициализации комплекса "Соболь". Этопозволит вам и далее пользоваться ими.

9. Предъявите персональный идентификатор, являющийся резервной копиейидентификатора администратора.


USB-ключ находится в USB-разъеме /смарт-карта находится в USB-считывателе), комплексавтоматически считывает его.


• Если предъявлен USB-идентификатор, имеющий PIN-код, на экране появится окно запросаPIN-кода. Введите PIN-код и нажмите кнопку "ОК". PIN-коды по умолчанию приведенынастр.9.


• Если предъявленный идентификатор не является резервной копией иден-тификатора администратора, комплекс выдаст сообщение "Неверныйидентификатор или пароль".Нажмите "ОК" в окне с сообщением. Предъявите идентификатор, яв-ляющийся резервной копией персонального идентификатора админи-стратора.



При правильном предъявлении идентификатора в него записывается слу-жебная информация, соответствующая новому паролю администратора. По-сле этого на экране вновь появится запрос на установку нового пароля дляочередной резервной копии идентификатора.

10.Перейдите к п. 8.

Работа с журналом событийПри выборе в меню администратора пункта "Журнал событий" окно примет вид,подобный следующему.

Рис.18 Окно "Журнал событий"

В верхней части окна "Журнал событий" доступны три вкладки:• "Просмотр журнала событий" — просмотр журнала (см. ниже), поиск записей

по заданным параметрам (см. стр.79), очистка журнала (см. стр.81);• "Экспорт журнала событий" — экспорт журнала в файл (см. стр.81);• "Параметры журнала событий" — настройка параметров журнала (см.

стр.83).

Просмотр журналаДля просмотра журнала:

1. В окне "Журнал событий" выберите вкладку "Просмотр журнала событий"(см. Рис.18 на стр.78).В основной части окна расположен журнал событий.Записи о событиях, зарегистрированных комплексом "Соболь", представ-ляются в табличной форме и выделяются цветом:• красный — критичные события;• черный — события, связанные с успешными действиями пользователей и

администратора ПАК "Соболь", а также информационные сообщения.



Каждая строка таблицы содержит сведения об одном событии. События ран-жируются в порядке от последнего зарегистрированного (вверху таблицы) кпервому (внизу таблицы).Столбцы таблицы содержат следующие сведения о событиях:

Время Время регистрации события в формате "часы:минуты"

Дата Дата регистрации события в формате "день/месяц/год"

Пользователь Имя пользователя, действия которого привели к регистрациисобытия. Для администратора, а также для пользователей, незарегистрированных на данном компьютере (в том числеудаленных из списка пользователей ПАК "Соболь"), указываетсятип предъявленного при входе персонального идентификатора

Номер ЭИ Номер персонального идентификатора пользователя, действиякоторого привели к регистрации события

Описание Описание (тип) события

Статус Результат события. При успешном завершении событиюприсваивается статус "Успех", иначе — "Ошибка"

2. Изучите содержание журнала регистрации событий.Для построчного перемещения по записям используйте клавиши <�> и <�>,для постраничного — клавиши <PgUp> и <PgDn>, для прокрутки записей —полосу прокрутки.Перечень событий, регистрируемых ПАК "Соболь", приведен на стр.114.

Поиск записейПоиск записей в журнале событий ПАК "Соболь" осуществляется по времени ихформирования и по типу. Можно использовать два параметра поиска одно-временно.

Для поиска записей по времени:

1. В окне "Журнал событий" выберите вкладку "Просмотр журнала событий"(см. Рис.18 на стр.78). Нажмите кнопку "Поиск" или клавишу <F3>.На экране появится окно "Параметры поиска" (см. рисунок ниже).



Рис.19 Окно "Параметры поиска"

2. Установите переключатель "Поиск по времени событий" в положение "ВКЛ".Параметры "Начало событий:" и "Окончание событий:" станут доступнымидля изменения.

3. В строку "Начало событий:" введите нижнюю границу интервала времени вформате "часы:минуты день/месяц/год".

4. В строку "Окончание событий:" введите верхнюю границу интервала вре-мени в формате "часы:минуты день/месяц/год".

5. Нажмите кнопку "Выбрать".На экране появятся записи, удовлетворяющие условиям поиска.

Для поиска записей по типу:

1. В окне "Журнал событий" выберите вкладку "Просмотр журнала событий"(см. Рис.18 на стр.78). Нажмите кнопку "Поиск" или клавишу <F3>.На экране появится окно "Параметры поиска" (см. Рис.19 на стр.80).

2. Установите переключатель "Поиск по типу событий" в положение "ВКЛ".3. Выберите необходимый тип событий и нажмите кнопку "Выбрать".

Совет. Для выбора всех типов событий нажмите "Выделить все". Для отмены выбора нажмите"Очиститьвсе".

На экране появятся записи, удовлетворяющие условиям поиска.



Очистка журналаВнимание!• Прежде чем выполнитьочистку журнала, ознакомьтесьс его содержанием.• Функция очистки журнала недоступна в режиме совместного использования (см. стр.118).

Для очистки журнала:

1. В окне "Журнал событий" выберите вкладку "Просмотр журнала событий"(см. Рис.18 на стр.78 ). Нажмите кнопку "Очистить" или нажмите клавишу<Delete>.На экране появится запрос на очистку журнала.

2. Нажмите кнопку "Да" в окне запроса.Все имеющиеся записи будут удалены из журнала. При этом в журнал до-бавится новая запись — "Удаление журнала".

Экспорт журналаЭкспорт журнала событий комплекса "Соболь" выполняется в заранее со-зданный для этой цели файл. Файл создается в ОС двумя способами:• с использованием командной строки (см. ниже);• с использованием вспомогательного ПО комплекса "Соболь" (см. документ

[2]).

Для создания файла с использованием командной строки:

1. Запустите командную строку в ОС семейства Windows или терминал в ОС се-мейства Linux.

2. Перейдите в каталог, в котором необходимо создать файл.

Пояснение.Можно создатьфайл в стандартном каталоге комплекса:• в ОСсемействаWindows—в каталоге \Sobol;• в ОСсемейства Linux—в каталоге /sobol или /boot/sobol.Если стандартный каталог не найден, создайте его на системномдиске.

3. Введите команду:• в ОС семействаWindows:

fsutil file createNew log.csv 360000

• в ОС семейства Linux:

dd if=/dev/zero of=log.csv count=1 bs=360000

Пояснение.• Имя файла может бытьлюбым.• Файл для экспорта журнала должен иметьрасширение .csv. Например, log.csv.• Размер файла равен количеству записей, умноженному на 360. Максимально возможное

количество записей журнала указано в общемпараметре "Максимальное количество пользо-вателей и событий журнала" (см. Табл.4 на стр.32). Таким образом, в команде созданияфайла могут бытьуказаны следующие размерыфайла журнала:• при 1000 событий—360000;• при 2000 событий—720000;• при 3000 событий—1080000.

• ВОСсемейства Linux размер файла может быть также указан в другомформате:• при 1000 событий—360К;• при 2000 событий—720К;• при 3000 событий—1080К.

Для экспорта журнала в файл:

1. В окне "Журнал событий" выберите вкладку "Экспорт журнала событий"(см. Рис.18 на стр.78).



На экране появится окно параметров экспорта.

2. Укажите том и имя файла для экспорта журнала.3. Нажмите кнопку "Экспорт".

При успешном выполнении экспорта на экране появится сообщение "Экс-порт журнала завершен". В журнале появится соответствующее событие.

Пояснение. Просмотреть экспортируемый журнал можно с помощью текстового редактора ли-бо электронной таблицы. Столбцы с данными разделяются табуляцией, а сами данные за-ключаются в двойные кавычки.

Ошибки, которые могут возникнуть при экспорте журнала, приведены настр.111.



Настройка параметров журналаВнимание! Настройка некоторых параметров журнала событий недоступна в режиме совместногоиспользования (см. стр.118).

Для настройки параметров журнала событий в рабочем режиме:

1. В окне "Журнал событий" выберите вкладку "Параметры журнала событий"(см. Рис.18 на стр.78).На экране появится окно, подобное следующему:

2. Настройте параметры журнала, используя Табл.5 на стр.35.3. Нажмите кнопку "Сохранить" для сохранения изменений.

Для возврата к ранее установленным значениям нажмите кнопку "Отмена".Для установки значений по умолчанию нажмите кнопку "По умолчанию".



Контроль работоспособности компонентов комплексаВыберите пункт "Диагностика платы":• в меню режима инициализации комплекса (см. Рис.11 на стр.29);• в меню администратора в рабочем режиме комплекса (см. ниже).

Рис.20 Окно "Диагностика платы" (рабочий режим)

В ПАК "Соболь" реализованы следующие процедуры проверки работо-способности:• "Тест памяти платы" — проверяет работоспособность NVRAM платы комп-

лекса. В ходе проверки осуществляются попытки доступа на чтение и записьдля каждого сегмента двух банков памяти.

Внимание! Во время выполнения теста памяти платы запрещается перезагружать компьютери отключатьпитание. Это может привести к потере данных, хранящихся в NVRAM.

• "Тест датчика случайных чисел" — проверяет работоспособность двух-канального аппаратного ДСЧ комплекса.

• "Тест идентификатора" — проверяет правильность записи/чтения данныхв/из идентификатор(а).

Внимание! Во время выполнения теста идентификатор должен быть предъявлен: USB-ключдолжен находиться в разъеме USB / идентификатор iButton должен касаться считывателя /смарт-карта должна находиться в USB-считывателе.

• "Выполнить все тесты" — выполняет все тесты параллельно.

Совет. При использовании процедуры "Выполнить все тесты" запрос персонального иден-тификатора на экран не выводится. Поэтому заранее предъявите предназначенный для про-верки идентификатор.

Для запуска процедур проверки работоспособности комплекса:

1. Нажмите кнопку "Запустить" в области нужного теста.Начнется тестирование. На экране будет отображаться ход процесса.Для прерывания процедуры проверки нажмите кнопку "Отмена".



По завершении тестирования комплекс выдаст сообщение с результатамипроверки.

Пояснение.Окончание тестирования сопровождается звуковым сигналом.

2. Ознакомьтесь с результатами проверки и нажмите кнопку "ОК" в окне с со-общением.Ошибки, которые могут возникнуть при тестировании компонентов комп-лекса, приведены на стр.114.

Внимание! При возникновении ошибки чтения памяти платы компьютер блокируется для вхо-да всех пользователей, включая администратора. Более подробная информация об этой ошиб-ке приведена на стр.109.

Служебные операцииВыберите пункт "Служебные операции":• в меню режима инициализации комплекса (см. Рис.11 на стр.29);• в меню администратора в рабочем режиме (см. ниже).

Рис.21 Окно "Служебные операции" (рабочий режим)

Администратор ПАК "Соболь" может выполнить следующие служебные опе-рации:• копирование идентификатора администратора (см. ниже);• форматирование идентификатора (см. стр.87);• программная инициализация платы (см. стр.88);• установка системного времени и даты (см. стр.88);• сохранение кода расширения UEFI/BIOS (стр.89);• обновление кода расширения UEFI/BIOS (см. стр.90).



Пояснение. Операции "Копирование идентификатора администратора" и "Программная ини-циализация платы" доступны только в рабочем режиме комплекса.Операция "Обновление кода расширения UEFI/BIOS" становится доступной после установкипереключателя SW1-2 на плате PCIe / M.2, S1-2 на плате Mini PCIe Half в положение ON (см. Рис.2 настр.20,Рис.5 на стр.24,Рис.10 на стр.27).

Копирование идентификатора администратораДля создания резервной копии идентификатора администратора:

1. В окне "Служебные операции" (см. рисунок выше) в области "Копированиеидентификатора администратора" нажмите кнопку "Запустить".На экране появится запрос учетных данных администратора.

2. В поле "Введите пароль:" введите текущий пароль администратора.3. Предъявите персональный идентификатор администратора.





4. Нажмите кнопку "Вперед".Если предъявленный идентификатор не принадлежит администратору иливведен неверный пароль, на экране появится сообщение "Неверный иден-тификатор или пароль".Предъявите идентификатор администратора и введите корректный пароль.При корректном предъявлении учетных данных администратора на экранепоявится запрос идентификатора для создания резервной копии (см. рисунокниже).



5. Нажмите кнопку "ОК" в окне с сообщением.На экране появится запрос персонального идентификатора.

6. Предъявите идентификатор, приготовленный для создания резервной копииидентификатора администратора.





При успешном предъявлении идентификатора на экране появится сооб-щение "Идентификатор готов к записи...".

7. Нажмите кнопку "Копировать".При успешном копировании идентификатора на экране появится соответ-ствующее сообщение.

8. Нажмите кнопку "Завершить".

Форматирование идентификатораВнимание!• Форматированию подлежат только те идентификаторы, которые не зарегистрированы на ком-

пьютере, используемомдля форматирования.• При форматировании идентификатора iButton все данные, содержащиеся в его памяти, будут

утеряны без возможности восстановления. При форматировании USB-ключей будут утерянытолько данные, относящиеся к комплексу "Соболь" и программам, его использующим.

Для форматирования идентификатора:

1. Предъявите идентификатор, который необходимо форматировать.

Пояснение. Если одновременно предъявлено несколько идентификаторов, считывается пер-вый найденный комплексом идентификатор.

2. В окне "Служебные операции" (см. Рис.21 на стр.85) в области "Формати-рование идентификатора" нажмите кнопку "Запустить".На экране появится запрос на подтверждение действия (см. рисунок ниже).



3. Если вы уверены, что хотите форматировать идентификатор, нажмите "Да".

Пояснение.Если предъявлен USB-идентификатор, имеющий PIN-код, на экране появится окнозапроса PIN-кода. Введите PIN-код и нажмите кнопку "ОК". PIN-коды по умолчанию приведенынастр.9.

При успешном завершении форматирования на экране появится соответ-ствующее сообщение.

Программная инициализация платыПояснение. Программная инициализация выполняется в рабочем режиме комплекса и не требуетпереключения платы в режиминициализации.

Для выполнения программной инициализации платы:

1. В окне "Служебные операции" в области "Программная инициализация пла-ты" нажмите кнопку "Запустить" (см. Рис.21 на стр.85).На экране появится запрос на подтверждение действия.

2. Для продолжения процедуры инициализации нажмите "Да".3. Выполните процедуру инициализации комплекса, начиная с настройки сис-

темных параметров (см. стр.30).По окончании инициализации на экране появится сообщение "Ини-циализация платы завершена. Компьютер будет перезагружен".

4. Нажмите "ОК".Компьютер перезагрузится автоматически.

Установка системного времени и датыДля установки системного времени и даты:

1. В окне "Служебные операции" в области "Установка системного времени и да-ты" нажмите кнопку "Установить" (см. Рис.21 на стр.85).На экране появится окно для ввода системного времени и даты (см. рисунокниже).



2. Введите корректные значения и нажмите "Сохранить".

Внимание! При переводе системного времени/даты назад необходимо избегать его от-ставания от времени/даты установки пароля пользователя. В случае отставания вход пользо-вателя в ИСбудет заблокирован.

При успешном изменении системного времени и даты на экране появитсясоответствующее сообщение.

Сохранение кода расширения UEFI/BIOSКод расширения UEFI/BIOS комплекса "Соболь" может быть сохранен в заранеесозданный для этой цели файл. Файл создается в ОС двумя способами:• с использованием командной строки (см. ниже);• с использованием вспомогательного ПО комплекса "Соболь" (см. документ

[2]).

Для создания файла с использованием командной строки:


2. Перейдите в каталог, в котором необходимо создать файл.

Пояснение.Можно создатьфайл в стандартном каталоге комплекса:• в ОСсемействаWindows—в каталоге \Sobol;• в ОСсемейства Linux—в каталоге /sobol или /boot/sobol.Если стандартный каталог не найден, создайте его на системномдиске.

3. Введите команду:• в ОС семействаWindows:

fsutil file createNew bios.bin 2000000


dd if=/dev/zero of=bios.bin count=1 bs=2M

Пояснение.Имя файла может бытьлюбым.

Файл будет создан в выбранном каталоге.

Для сохранения кода расширения UEFI/BIOS в файл:

1. В окне "Служебные операции" в области "Сохранение кода расширенияUEFI/BIOS" нажмите кнопку "Запустить" (см. Рис.21 на стр.85).На экране появится окно выбора файла (см. рисунок ниже).



Рис.22 Окно выбора файла

2. При необходимости измените том и полное имя файла.3. Нажмите кнопку "Выбрать".

Пояснение. Если путь к файлу указан неправильно, на экране появится сообщение об ошибке.Нажмите кнопку "ОК" в окне с сообщениеми повторите процедуру сохранения.Учитывайте, что для файлов, размещающихся на дисках с файловой системой FAT16 и FAT32,длинные имена (более 8 символов) нужно указывать в краткой форме, например "pci-m~1.bin".Узнать краткую форму записи имени можно с помощью команды DIR или менеджеров файлов,например, Total Commander.

При успешном сохранении кода расширения UEFI/BIOS на экране появитсясоответствующее сообщение.

Обновление кода расширения UEFI/BIOSВнимание!• При обновлении кода расширения UEFI/BIOS все настройки комплекса сбрасываются.• Перед обновлением кода расширения UEFI/BIOS установите переключатель SW1-2 на плате

PCIe / M.2, S1-2 на плате Mini PCIe Half в положение ON (см. Рис.2 на стр.20, Рис.5 на стр.24,Рис.10 на стр.27).

• После обновления кода расширения UEFI/BIOS необходимо выполнить инициализацию комп-лекса "Соболь".

Для обновления кода расширения UEFI/BIOS:

1. В окне "Служебные операции" в области "Обновление кода расширенияUEFI/BIOS" нажмите кнопку "Запустить" (см. Рис.21 на стр.85).На экране появится окно выбора файла, содержащего код расширенияUEFI/BIOS (см. Рис.22 на стр.90).

2. При необходимости измените том и полное имя файла.3. Нажмите кнопку "Выбрать".

Пояснение. Если путь к файлу указан неправильно, на экране появится сообщение об ошибке.Нажмите кнопку "ОК" в окне с сообщениеми повторите процедуру обновления.Учитывайте, что для файлов, размещающихся на дисках с файловой системой FAT16 и FAT32,длинные имена (более 8 символов) нужно указывать в краткой форме, например "pci-m~1.bin".Узнать краткую форму записи имени можно с помощью команды DIR или менеджеров файлов,например, Total Commander.

Начнется процедура обновления кода расширения BIOS. На экране будетотображен ход процесса (см. рисунок ниже).



По окончании процедуры на экране появится сообщение о выключении ком-пьютера.

4. Нажмите кнопку "ОК" в окне с сообщением.Компьютер будет выключен.

5. Выполните инициализацию комплекса "Соболь" (аппаратную (см. стр.28 )или программную (см. стр.88)).

Завершение настройки комплексаВыберите вариант завершения работы с комплексом:• если продолжение работы на компьютере не требуется, выключите питание

компьютера;• если требуется продолжить работу на компьютере, выберите в меню админи-

стратора команду "Загрузка ОС" и нажмите кнопку "Загрузить ОС" (см. Рис.11на стр.29).Если функционирует механизм КЦ, перед загрузкой ОС начнется проверкацелостности заданных объектов. По окончании проверки нажмите кнопку"Готово" в окне проверки КЦ.

Пояснение.• Для прерывания проверки нажмите кнопку "Остановить" в окне проверки КЦ или клавишу

<Esc>.• При обнаружении ошибки проверка останавливается и на экран выводится сообщение об

ошибке. Ознакомьтесь с сообщением (подробный список сообщений об ошибках содержитсяна стр.112). Для продолжения проверки нажмите кнопку "ОК" в окне с сообщением.

• Если уведомления комплекса в процессе проверки не нужны, поставьте отметку "Больше неспрашивать" в окне с сообщениемоб ошибке.

• После окончания проверки КЦ и загрузки ОСустраните причины возникновения ошибок. Да-лее выполните расчет контрольных сумм (см. стр.72).

Начнется загрузка ОС.



Глава 4Управление шаблонами КЦ

В ПАК "Соболь" для постановки объектов КЦ на контроль и снятия их с контроляиспользуются шаблоны КЦ.Шаблон КЦ представляет собой служебный файл с информацией об объектах, це-лостность которых необходимо контролировать при функционировании ме-ханизма КЦ ПАК "Соболь".Шаблон КЦ содержит:• ресурсы — данные для идентификации объектов КЦ;• контрольные суммы объектов КЦ.Данная глава содержит инструкции по управлению шаблонами КЦ с исполь-зованием встроенного ПО ПАК "Соболь" (далее — ПО управления шаблонами КЦ,встроенное ПО комплекса).

Назначение встроенного ПО комплексаВстроенное ПО ПАК "Соболь" позволяет управлять шаблонами КЦ из менюадминистратора комплекса посредством следующих операций над ресурсами:• создание групп ресурсов (см. стр.95);• добавление ресурсов в группу (см. стр.97);• переименование группы, перемещение ресурсов между группами (см.

стр.103);• сортировка ресурсов (см. стр.104);• экспорт и импорт ресурсов (см. стр.104);• удаление групп и ресурсов (см. стр.107).Встроенное ПО работает с шаблоном КЦ, созданным администратором комплекса(см. стр.92).На компьютерах под управлением ОС семейства Windows ПО управления ша-блонами КЦ позволяет контролировать:• файлы;• секторы жесткого диска;• элементы (объекты) системного реестра;• PCI-устройства;• структуры SMBIOS.На компьютерах под управлением ОС семейства Linux ПО управления ша-блонами КЦ позволяет контролировать файлы и секторы жесткого диска. В средеОС CentOS 7.3 дополнительно можно поставить на контроль PCI-устройства иструктуры SMBIOS.

Создание шаблона КЦШаблон КЦ может быть создан вручную в ОС с использованием команднойстроки.

Для создания шаблона КЦ:


2. Перейдите в стандартный каталог комплекса:• в ОС семействаWindows— в каталог \Sobol;• в ОС семейства Linux — в каталог /sobol или /boot/sobol.



Пояснение.Если стандартных каталогов комплекса нет, создайте их на системном томе.

3. Создайте шаблон КЦ и его резервную копию с помощью команд:• в ОС семействаWindows:

fsutil file createNew icheck.json 34000000fsutil file createNew icheck_backup.json 34000000


dd if=/dev/zero of=icheck.json count=1 bs=32Mdd if=/dev/zero of=icheck_backup.json count=1 bs=32M

В стандартном каталоге комплекса будут созданы шаблон КЦ и его резервнаякопия (файлы icheck.json и icheck_backup.json соответственно). При ре-дактировании шаблонов КЦ с помощью встроенного ПО комплекса из-менения будут сохраняться в шаблоне КЦ и его резервной копии.



Запуск встроенного ПО комплексаДля запуска ПО управления шаблонами КЦ:

1. В меню администратора (см. Рис.13 на стр.55 ) выберите пункт "Контрольцелостности".

2. В отобразившемся окне (см. Рис.17 на стр.72 ) в области "Управление ша-блонами КЦ" нажмите кнопку "Запустить".На экране появится главное окно программы.

Рис.23 Главное окно ПО управления шаблонами КЦ

В левой части главного окна расположена область "Группы", которая содер-жит список групп ресурсов и кнопки вызова команд управления группамиресурсов.В правой части главного окна расположена область "Ресурсы", которая содер-жит список ресурсов группы, выбранной в области "Группы ресурсов", а так-же кнопки вызова команд управления ресурсами.



Создание группы ресурсовДля создания группы:

1. В области "Группы" главного окна ПО управления шаблонами КЦ (см. Рис.23

на стр.94) нажмите кнопку .На экране появится окно для ввода имени группы.

Рис.24 Окно "Создание группы ресурсов. Шаг 1"

2. Введите имя группы ресурсов.

Пояснение.Для смены раскладки клавиатуры нажмите клавишу<F12>.

3. Выберите дальнейшее действие:• Для создания пустой группы нажмите кнопку "Создать".

Новая группа отобразится в области "Группы".• Для создания группы и добавления в нее ресурсов установите переклю-

чатель "Заполнить группу" в положение "ВКЛ" и нажмите кнопку "Да-лее".На экране появится окно для выбора типа ресурсов (см. рисунок ниже).



4. Перейдите к инструкции по добавлению нужного типа ресурсов:• файлы (см. стр.97);• переменные реестра (см. стр.99);• ключи реестра (см. стр.100);• секторы диска (см. стр.101);• конфигурация оборудования (см. стр.102).



Добавление ресурсов в группуДля добавления ресурсов в группу:

1. В области "Группы" главного окна ПО управления шаблонами КЦ (см. Рис.23на стр.94) выберите нужную группу.

2. В области "Ресурсы" нажмите кнопку "Добавить".На экране появится окно выбора типа добавляемых ресурсов.

Рис.25 Окно "Добавление ресурсов. Шаг 1"

Примечание. При добавлении ресурсов в процессе создания группы (см. стр.95) заголовок ок-на отличается от представленного на рисунке выше.

3. Перейдите к инструкции по добавлению нужного типа ресурсов:• файлы (см. подраздел ниже);• переменные реестра (см. стр.99);• ключи реестра (см. стр.100);• секторы диска (см. стр.101);• конфигурация оборудования (см. стр.102).

Добавление файловДля добавления файлов в группу:

1. В окне выбора типа ресурсов (см. рисунок выше) в раскрывающемся спискевыберите тип "Файл".На экране появятся способы добавления файлов.

2. Выберите способ добавления файлов:• "Выбранные файлы или каталоги" — для добавления любых файлов или

каталогов;



• "Файлы из каталога по фильтру" — для добавления файлов опре-деленного формата.При выборе данного способа укажите нужные форматы файлов.

3. Нажмите кнопку "Далее".На экране появится окно выбора каталогов и файлов.

В левой части окна отображается структура каталогов. В правой части отобра-жаются файлы выбранного каталога.

Пояснение. При добавлении файлов способом "Файлы из каталога по фильтру" отображаетсятолько структура каталогов; файлы выбранного каталога не отображаются. При добавлении ка-талога в шаблон КЦ автоматически добавятся файлы нужного формата, имеющиеся в каталоге.

4. Выберите нужные каталоги и файлы для добавления в шаблон КЦ.

Пояснение.При выборе каталогов и файлов учитывайте следующие особенности:• Для выбора файла установите для него отметку .• Выбор каталога может обозначаться следующимобразом:

• – содержимое каталога выбрано частично/вложенные каталоги не раскрыты ифайлы не выбраны;

• – выбраны все файлы и вложенные каталоги.

• Для выбора каталога с вложенными каталогами необходимо раскрыть все вложенные ка-талоги.

5. Нажмите кнопку "Добавить".

Пояснение.• Если ресурсы добавляются в процессе создания группы, нажмите кнопку "Создать".• Для возврата к предыдущемушагу нажмите кнопку "Назад".• Для отмены добавления ресурсов нажмите кнопку "Отменить".



Ресурсы будут добавлены в группу. На экране появится главное окно ПОуправления шаблонами КЦ.


Пояснение.Для возврата в меню администратора комплекса нажмите кнопку "Назад".

Добавление переменных реестраПримечание.Данная функция доступна только для ОСWindows.

Для добавления переменных реестра в группу:

1. В окне выбора типа ресурсов (см. Рис.25 на стр.97 ) в раскрывающемсясписке выберите тип "Переменная реестра".На экране появится параметр "Том ОС".

2. Выберите том с ОСWindows.3. Нажмите кнопку "Далее".

На экране появится окно выбора переменных реестра.

В левой части окна отображается структура разделов реестра. В правой частиотображаются переменные выбранного раздела/подраздела.

4. Выберите переменные реестра для добавления в шаблон КЦ.

Пояснение.При выборе переменных реестра учитывайте следующие особенности:• Для выбора переменной установите для нее отметку .• Выбор раздела реестра может обозначаться следующимобразом:

• – содержимое раздела выбрано частично/подразделы не раскрыты и переменныене выбраны;

• – выбраны все переменные и подразделы.

• Для выбора раздела с подразделами необходимо раскрытьвсе подразделы.








Добавление ключей реестраПримечание.Данная функция доступна только для ОСWindows.

Для добавления ключей реестра в группу:

1. В окне выбора типа ресурсов (см. Рис.25 на стр.97 ) в раскрывающемсясписке выберите тип "Ключ реестра".На экране появится параметр "Том ОС".

2. Выберите том с ОСWindows.3. Нажмите кнопку "Далее".

На экране появится окно выбора ключей реестра.

4. Выберите ключи реестра для добавления в шаблон КЦ.

Пояснение.При выборе ключей реестра учитывайте следующие особенности:• Выбор раздела реестра может обозначаться следующимобразом:

• – содержимое раздела выбрано частично/подразделы не раскрыты и ключи не вы-браны;

• – выбраны все ключи и подразделы.

• Для выбора раздела с подразделами необходимо раскрытьвсе подразделы.








Добавление секторов дискаДля добавления секторов диска в группу:

1. В окне выбора типа ресурсов (см. Рис.25 на стр.97 ) в раскрывающемсясписке выберите тип "Сектор диска".

2. Нажмите кнопку "Далее".На экране появится окно выбора секторов диска.

3. Выберите секторы диска для добавления в шаблон КЦ.

Пояснение.При выборе секторов диска учитывайте следующие особенности:• Для выбора сектора диска установите для него отметку .• Для выбора всех секторов диска установите отметку для нужного диска.• При частичном выборе секторов диска для данного диска будет установлена отметка .








Добавление конфигурации оборудованияПримечание.Данная функция доступна только для ОСWindows.

Для добавления конфигурации оборудования в группу:

1. В окне выбора типа ресурсов (см. Рис.25 на стр.97 ) в раскрывающемсясписке выберите тип "Конфигурация оборудования".

2. Нажмите кнопку "Далее".На экране появится окно выбора оборудования.

3. Выберите оборудование для добавления его конфигурации в шаблон КЦ.

Пояснение.При выборе оборудования учитывайте следующие особенности:• Для выбора конкретного устройства установите для него отметку .• Выбор группы устройств может обозначаться следующимобразом:

• – содержимое группы выбрано частично/вложенные группы не раскрыты и устрой-ства не выбраны;

• – выбраны все устройства и вложенные группы.

• Для выбора группы устройств с вложенными группами необходимо раскрытьвсе вложенныегруппы.








Настройка контроля групп и ресурсовДля постановки на контроль/снятия с контроля группы:


2. Установите отметку:

• — для постановки выбранной группы на контроль;

• — для снятия выбранной группы с контроля.Группа и все ресурсы данной группы будут поставлены на контроль/сняты сконтроля.

Для постановки на контроль/снятия с контроля ресурса:


2. В области "Ресурсы" для нужного ресурса установите отметку:

• — для постановки ресурса на контроль;

• — для снятия ресурса с контроля.Ресурс будет поставлен на контроль/снят с контроля.

Примечание.Если ресурсы группы поставлены на контрольчастично, для данной группы будет

установлена отметка .

Управление ресурсами

Свойства групп и ресурсовСвойства групп и ресурсов позволяют переименовывать группы, просматриватьинформацию о ресурсах и перемещать ресурсы между группами.

Для переименования группы:


2. Нажмите кнопку .На экране появится окно для ввода имени группы.

3. Введите новое имя группы.

Пояснение.Для смены раскладки клавиатуры нажмите клавишу<F12>.

4. Нажмите кнопку "Сохранить".

Для просмотра сведений о ресурсе:

1. В области "Ресурсы" главного окна ПО управления шаблонами КЦ (см. Рис.23на стр.94) выберите нужный ресурс.

2. Выберите команду "Свойства".На экране появится окно со следующей информацией о ресурсе:• имя ресурса;• путь к ресурсу;• тип ресурса;• список групп, в которые этот ресурс входит.

Для перемещения ресурса между группами:

1. В области "Ресурсы" главного окна ПО управления шаблонами КЦ (см. Рис.23на стр.94) выберите нужный ресурс.

2. Выберите команду "Свойства".



3. В списке групп установите отметки для групп:

• — для включения ресурса в группу;

• — для исключения ресурса из группы.

СортировкаСортировка ресурсов может быть выполнена по имени, пути и типу в ал-фавитном порядке (прямом и обратном).

Для сортировки ресурсов:

• В области "Ресурсы" главного окна ПО управления шаблонами КЦ (см. Рис.23на стр.94) в нужном столбце выберите команду сортировки.

Выполнится сортировка ресурсов по выбранному столбцу.

Экспорт и импорт ресурсовВ операциях экспорта и импорта ресурсов важную роль играют метки. Они поз-воляют установить соответствие между дисками и томами компьютеров.При экспорте ресурсов администратор присваивает метки дискам и томам ком-пьютера, с которого экспортируются ресурсы. При импорте администратор со-относит метки из импортируемого файла с дисками и томами компьютера, накоторый импортируются ресурсы.

Примечание. Функции экспорта и импорта рекомендуется использовать на компьютерах с оди-наковой конфигурацией и одинаковым комплектом установленного ПО.

Перед экспортом ресурсов необходимо создать файл для экспорта.

Для создания файла:


2. Перейдите в каталог, в котором хотите создать файл для экспорта ресурсов.3. Создайте файл с помощью команд:

• в ОС семействаWindows:

fsutil file createNew export.json 34000000


dd if=/dev/zero of=export.json count=1 bs=32M

Примечание.• Имя файла может бытьлюбым.• Можно создатьфайл большего размера.

Для экспорта ресурсов:


на стр.94) нажмите кнопку .На экране появится окно для указания параметров экспорта (см. рисунокниже).



2. Укажите параметры экспорта:• в раскрывающемся списке "Том" выберите том, на котором расположен

файл для экспорта ресурсов;• в поле "Имя файла" введите полное имя файла для экспорта ресурсов.

3. Нажмите кнопку "Далее".На экране появится окно выбора групп ресурсов для экспорта.

4. Выберите группы для экспорта.5. Нажмите кнопку "Далее".

На экране появится окно назначения меток.6. Присвойте метки дискам и/или томам с объектами КЦ.7. Нажмите кнопку "Экспорт".

На экране будет отображен процесс экспорта.

Примечание.Для остановки процесса нажмите кнопку "Прервать".

По завершении процесса на экране будет указано время, за которое был вы-полнен экспорт.


Для импорта ресурсов:


на стр.94) нажмите кнопку .На экране появится окно для указания параметров импорта (см. рисунокниже).



2. В раскрывающемся списке "Том" выберите том, на котором расположен им-портируемый файл.

3. В поле "Имя файла" введите полное имя импортируемого файла.4. В раскрывающемся списке "Тип вносимых изменений" выберите один из ва-

риантов:

Предварительная очистка

Перед импортом все группы и ресурсы текущего шаблона КЦ будут удалены. Послеимпорта шаблон КЦ будет содержать только группы и ресурсы из импортируемогофайла

Добавление к существующим

В шаблон КЦ будут добавлены группы и ресурсы из импортируемого файла ссохранением уже имеющихся.При импорте возможна ситуация дублирования групп. Для настройки дублированияимеется параметр "С учетом существующих групп":• "ВКЛ" — исключается дублирование групп;• "ВЫКЛ" — группы с одинаковым наименованием дублируются, при этомдобавляемый объект каждой пары будет иметь имя: имя_объектаN, где N —порядковый номер дублируемого объекта

Пояснение.Ресурсы не дублируются.

5. Нажмите кнопку "Далее".На экране появится окно для установления соответствия меток из им-портируемого файла дискам и/или томам компьютера.

6. Соотнесите метки с дисками и/или томами компьютера.7. Нажмите кнопку "Импорт".

На экране будет отображен процесс импорта.

Примечание.Для остановки процесса нажмите кнопку "Прервать".

По завершении процесса на экране будет указано время, за которое был вы-полнен импорт.




Удаление групп и ресурсовВнимание! При удалении группы все ресурсы, входящие в эту группу, будут удалены.

Для удаления группы или ресурса:

1. В области "Группы" или "Ресурсы" главного окна ПО управления шаблонамиКЦ (см. Рис.23 на стр.94) выберите группу или ресурс, которые хотите уда-лить.

2. Нажмите кнопку .На экране появится запрос на подтверждение операции.

3. Нажмите кнопку "Да" в окне запроса.

Примечание.Для отмены действия нажмите кнопку "Нет".

4. Для сохранения изменений нажмите кнопку "Сохранить" в главном окне ПОуправления шаблонами КЦ.

Для удаления всех групп и ресурсов:


на стр.94) нажмите кнопку .2. На экране появится предупреждение.

3. Нажмите кнопку "Да".

Примечание.Для отмены действия нажмите "Нет".

4. Для сохранения изменений нажмите кнопку "Сохранить" в главном окне ПОуправления шаблонами КЦ.



ПриложениеСообщения комплекса "Соболь"

Сообщения об ошибках при загрузке комплексаПри загрузке комплекса "Соболь" могут возникнуть ошибки, приводящие к бло-кировке компьютера. При этом на экран выводится сообщение из таблицы ниже.

Sobol Card: Watchdog timer triggered. System halted

Причина Превышено время ожидания механизма сторожевого таймера

Действие Отключите от компьютера все съемные носители и перезагрузитекомпьютер. При повторе ошибки проведите инициализацию комплекса"Соболь" (см. стр.28)

Sobol Card: Please enable HPET (High Precision Event Timer) in BIOS Setup.System halted

Причина Отключен аппаратный таймер HPET системной платы компьютера

Действие Перезагрузите компьютер. В UEFI/BIOS Setup включите функцию HPET

Sobol Card: Internal error [код ошибки]. System halted

Причина Возникла ошибка при обращении к комплексу

Действие Перезагрузите компьютер. При повторе ошибки обратитесь в техническуюподдержку ООО "Код Безопасности", сообщив код ошибки

Sobol Card: Firmware error [код ошибки]. System halted

Причина Повреждена энергонезависимая память платы, в которой хранится кодрасширения UEFI/BIOS комплекса

Действие Обратитесь в техническую поддержку ООО "Код Безопасности", сообщивкод ошибки

Sobol Card: Memory integrity error. Reinitialization required. System halted

Причина Повреждена энергонезависимая память платы, в которой хранитсяслужебная информация о настройках комплекса. К повреждению можетпривести перезагрузка компьютера во время обращения кэнергонезависимой памяти платы

Действие Проведите инициализацию комплекса "Соболь" (см. стр.28)

Sobol Card: OS boot forbidden. System halted

Причина UEFI/BIOS системной платы компьютера настроен некорректно

Действие В UEFI/BIOS Setup отключите функцию Fast Boot

Sobol Card: Random numbers generator error. System halted

Причина При старте комплекса "Соболь" выполняется тестирование ДСЧ. Еслирезультат тестирования не соответствует требованиям ГОСТ, компьютерблокируется для входа всех пользователей, включая администратора

Действие Перезагрузите компьютер. При повторе ошибки тестирования проверьтеправильность подключения платы комплекса "Соболь" иработоспособность разъема шины M.2/Mini PCIe/PCIe, в которыйустановлена плата. Если ошибка снова возникает, обратитесь втехническую поддержку ООО "Код Безопасности"



Сообщения о событиях, приводящих к блокировке компьютераПри эксплуатации комплекса "Соболь" ряд событий может приводить к бло-кировке компьютера. При этом на экран выводится сообщение о характере собы-тия, которое привело к блокировке.

Срок действия пароля истек. Обратитесь к администратору

Причина Истек срок действия пароля пользователя, а смена пароля пользователемзапрещена администратором

Действие Снимите запрет смены пароля пользователем (см. стр.68)

Вход в систему запрещен администратором

Причина 1 Администратор заблокировал вход в ИС для данного пользователя —параметру "Текущий статус пользователя" присвоено значение "бло-кирован" (см. стр.67). Компьютер блокируется при попытке входа дан-ного пользователя

Причина 2 Количество неудачных попыток входа пользователя в ИС превысиловеличину параметра "Предельное число неудачных входов пользователя"(см. стр.33). Компьютер блокируется для входа данного пользователя

Действие Чтобы разрешить пользователю вход в ИС, присвойте параметру"Текущий статус пользователя" его учетной записи значение "Неблокирован" (см. стр.67)

Журнал событий заполнен на 90%. Очистите журнал или включитеперезапись событий

Причина Журнал ПАК "Соболь" заполнен на 90%

Действие Компьютер блокируется для входа всех пользователей, кромеадминистратора. Очистите журнал (см. стр.81) либо включитеперезапись событий (см. параметр "Перезапись событий" в Табл.5 настр.35)

Произошла системная ошибка. Нарушена целостность записей пользователя

Причина При записи информации в список пользователей произошел сбой потехническим причинам (например, было внезапно отключено питаниекомпьютера, что привело к изменению энергонезависимой памятикомплекса "Соболь"). В результате текущая контрольная сумма спискапользователей, рассчитываемая при старте ПАК "Соболь", не совпала сэталонной контрольной суммой. Компьютер заблокирован для входа всехпользователей, кроме администратора

Действие Перезагрузите компьютер. Если сбой повторяется, очистите списокпользователей (см. стр.69) и заново выполните их регистрацию(см. стр.63). При повторении ситуации обратитесь в техническуюподдержку ООО "Код Безопасности"

Нарушена целостность журнала событий. Вход разрешен толькоадминистратору

Причина При записи в журнал событий произошел сбой по техническим причинам(например, было внезапно отключено питание компьютера, что привело кизменению энергонезависимой памяти комплекса "Соболь"). В результатеэтого текущая контрольная сумма журнала, рассчитываемая при стартеПАК "Соболь", не совпала с эталонной контрольной суммой. Компьютерзаблокирован для входа всех пользователей, кроме администратора

Действие Очистите журнал событий комплекса (см. стр.81)

Параметры загрузки изменены. Загрузка запрещена

Причина В UEFI/BIOS Setup изменены параметры загрузки (например, порядокзагрузочных устройств)

Действие Выполните одно из следующих действий:• сохраните новую конфигурацию загрузки в комплексе "Соболь" (см.стр.57);

• установите прежние значения параметров загрузки в UEFI/BIOS Setup



Загрузочный диск является внешним носителем. Загрузка запрещена

Причина Пользователем выполняется попытка загрузки ОС со съемных носителейпри установленном запрете загрузки

Действие Выполните одно из следующих действий:• отключите съемный носитель;• разрешите пользователю выполнять загрузку ОС со съемныхносителей, установив для параметра "Запрет загрузки с внешнихносителей" его учетной записи значение "ВЫКЛ" (см. стр.68)

Предупреждающие и информационные сообщенияСледующие сообщения ПАК "Соболь" предупреждают о неправильных дей-ствиях или информируют о текущем состоянии комплекса.

Пояснение. В данном разделе не указаны сообщения с вариантами дальнейших действий. Такиесообщения и рекомендации к ним приведены в инструкциях.

Сообщения при вводе пароля

Введенные пароли не совпадают

Причина При регистрации администратора/пользователя либо при смене пароляадминистратора/пользователя введенный пароль не совпал с егоподтверждением

Действие Повторите ввод пароля

Минимальная длина пароля … символа(ов)

Причина При регистрации администратора/пользователя либо при смене пароляадминистратора/пользователя введен пароль, число символов в которомменее числа, заданного параметром "Минимальная длина пароля" (см.стр.36)

Действие Введите пароль допустимой длины

Новый пароль совпадает со старым

Причина При смене пароля администратора/пользователя введен новый пароль,совпадающий с текущим. Сообщение появляется, если параметру"Минимальное число измененных символов нового пароля" присвоенозначение, отличное от 0 (см. стр.37)

Действие Введите пароль, отличающийся от текущего

Недостаточно измененных символов по сравнению со старым паролем

Причина При смене пароля администратора/пользователя введен новый пароль,отличающийся от текущего на меньшее количество символов, чемзначение параметра "Минимальное число измененных символов новогопароля" (см. стр.37)

Действие Введите пароль, отличающийся от текущего на количество символов,большее или равное значению параметра "Минимальное числоизмененных символов нового пароля" (см. стр.37)



Пароль должен быть не меньше N символов

Причина При смене пароля пользователем введен новый пароль,удовлетворяющий значению параметра "Минимальная длина пароля",но содержащий меньшее количество символов, чем значение параметра"Минимальное число измененных символов нового пароля" (всообщении это N).При смене пароля пользователя администратором данное сообщение непоявляется

Действие 1 Подскажите пользователю установить пароль длиной не менее N сим-волов

Действие 2 Установите для параметра "Минимальное число измененных символовнового пароля" значение, равное или меньшее значения параметра"Минимальная длина пароля"

Сообщения при регистрации пользователя

Пользователь с таким именем уже зарегистрирован

Причина При регистрации нового пользователя указано имя, уже имеющееся всписке пользователей комплекса "Соболь"

Действие Введите другое имя пользователя

Персональный идентификатор уже зарегистрирован на данном компьютере

Причина При регистрации нового пользователя предъявлен идентификатор,принадлежащий другому пользователю, зарегистрированному на этомкомпьютере

Действие Повторите присвоение персонального идентификатора пользователю,предъявив идентификатор, не принадлежащий другим пользователямданного компьютера

Сообщения о журнале событий

Журнал заполнен на 70%

Причина Журнал ПАК "Соболь" заполнен на 70%

Действие Сообщение носит информационный характер, выводится дляадминистратора и пользователя. Продолжайте работу

Запись в файл невозможна

Причина Возникла ошибка при экспорте журнала событий

Действие Заново создайте файл для экспорта журнала событий и повторитепроцедуру экспорта журнала (см. стр.81). При повторном появленииошибки обратитесь в техническую поддержку ООО "Код Безопасности"

Файл не найден

Причина Не найден файл для экспорта журнала событий

Действие Создайте файл для экспорта журнала событий и повторите процедуруэкспорта журнала (см. стр.81)

Сообщения при действиях с идентификаторами

Идентификатор не принадлежит текущему пользователю

Причина Предъявленный персональный идентификатор не принадлежиттекущему пользователю

Действие Предъявите персональный идентификатор текущего пользователя

Неверный PIN для идентификатора ...

Причина Введен неверный PIN-код

Действие Введите правильный PIN-код



Неверный идентификатор или пароль

Причина Предъявлен персональный идентификатор, не зарегистрированный вПАК "Соболь", или введен пароль, не соответствующий предъявленномуидентификатору

Действие Предъявите принадлежащий вам идентификатор, введите правильныйпароль

Сообщения механизма контроля целостностиПри обнаружении ошибок механизма КЦ на экран выводятся сообщения из та-блиц ниже.

Пояснение.• Если ошибка КЦ выявлена при входе пользователя в ИС и для этого пользователя установлен

жесткий режимКЦ, компьютер блокируется.• При работе с вспомогательным и встроенным ПО управления шаблонами КЦ сообщения могут

различаться.

Расчет контрольных сумм

Расчет контрольных сумм ... завершился с ошибкой

Причина Во время расчета КС объекта КЦ произошла ошибка

Действие Выясните и устраните причину, из-за которой произошла ошибка.Рассчитайте КС

Контроль объектов

Изменилось содержимое объекта

Причина Эталонная КС указанного объекта КЦ не совпала с текущей КС,рассчитанной для этого объекта

Действие Выясните и устраните причину, из-за которой изменилось содержимоеобъекта КЦ. Рассчитайте КС

Изменилось содержимое шаблонов КЦ

Причина Модифицировано содержимое шаблонов КЦ

Действие Если изменение шаблонов КЦ вызвано корректировкой спискаконтролируемых объектов с использованием ПО управления шаблонамиКЦ (встроенного или вспомогательного), рассчитайте КС.В остальных случаях выясните причину модификации шаблонов КЦ,устраните ее, а затем рассчитайте КС

Ошибка записи шаблонов КЦ

Причина Произошла ошибка при записи данных в шаблоны КЦ

Действие Создайте новые шаблоны КЦ и рассчитайте КС

Ошибка чтения шаблонов КЦ

Причина Произошла ошибка при чтении данных из шаблонов КЦ


Ошибка чтения объекта

Причина Для указанного объекта КЦ не удалось рассчитать КС. Доступ к объекту начтение завершился с ошибкой

Действие Выясните и устраните причину, по которой содержимое указанногообъекта КЦ недоступно для чтения. Рассчитайте КС



Объект не найден

Причина Указанный объект КЦ не найден

Действие Выясните и устраните причину, по которой указанный объект КЦ ненайден. При необходимости исключите этот объект из шаблонов КЦ ирассчитайте КС

Шаблоны КЦ не найдены в стандартных каталогах комплекса

Причина Не найдены стандартные каталоги для шаблонов КЦ или не найденышаблоны КЦ в стандартных каталогах комплекса.Стандартные каталоги для шаблонов КЦ:• в ОС семейства Windows — каталог \Sobol на системном диске;• в ОС семейства Linux — каталоги /sobol и /boot/sobol на системномдиске

Действие При использовании вспомогательного ПО комплекса:• для создания шаблонов КЦ установите или переустановитевспомогательное ПО;

• для использования имеющихся шаблонов КЦ укажите том и каталог снужными шаблонами КЦ.

При использовании встроенного ПО комплекса:• для создания шаблона КЦ следуйте инструкции со стр.92;• для использования имеющегося шаблона КЦ укажите том и каталог снужным шаблоном КЦ

Шаблоны КЦ повреждены

Причина Нарушена структура шаблонов КЦ


Размер шаблона КЦ слишком мал

Причина Размер шаблона КЦ слишком мал для корректной работы комплекса

Действие Увеличьте размер файла до минимально допустимого значения (см.стр.92)

Ошибка журнала транзакций на томе, содержащем файл шаблонов

Ошибка журнала транзакций на томе, содержащем файл контрольных сумм

Ошибка журнала транзакций на томе, содержащем объект

Причина В журнале транзакций могут содержаться данные о незавершенныхизменениях

Действие Загрузите ОС. При выходе из ОС завершите все файловые операции

Формат шаблонов КЦ не поддерживается

Причина Версия формата шаблонов КЦ не поддерживается комплексом "Соболь"

Действие Обратитесь к поставщику комплекса

Не удалось сохранить резервную копию шаблонов КЦ

Причина В стандартном каталоге комплекса отсутствует резервная копия шаблоновКЦ. При этом изменения сохраняются в основные шаблоны КЦ

Действие Выполните вход в ОС и создайте файл icheck_backup.json в стандартномкаталоге комплекса (см. стр.92)



Сообщения об ошибках при тестировании комплексаПри обнаружении ошибок в ходе проверки работоспособности комплекса "Со-боль" (см. стр.84) на экран выводятся следующие сообщения.

Ошибки тестирования ДСЧ

Тест канала 0 ДСЧ неудачен … раз(а) из … попыток

Тест канала 1 ДСЧ неудачен … раз(а) из … попыток

Причина Указанное число раз проверка равномерности распределения случайныхчисел, генерируемых ДСЧ, завершилась неудачей

Действие Повторите проверку ДСЧ. При многократном повторении данногорезультата обратитесь в техническую поддержку ООО "Код Безопасности"

Ошибки тестирования идентификатора

Ошибка чтения данных идентификатора

Ошибка при записи данных: идентификатор неисправен

Причина Произошла ошибка при записи/чтении данных в/из идентификатор(а).Возможно, неисправен идентификатор или считыватель

Действие Повторите тест, предъявив другой идентификатор. Если тест завершилсябез ошибок — идентификатор/считыватель исправен. Выполнитеформатирование предъявленного ранее идентификатора и повторите тест.Если ошибка устойчиво повторяется — идентификатор неисправен,обратитесь в в техническую поддержку ООО "Код Безопасности"

Ошибка чтения идентификатора: устройство отсутствует в считывателе

Причина При последовательном выполнении всех тестов во время проверкиидентификатора не был предъявлен персональный идентификатор

Действие Предъявите персональный идентификатор и повторите процедуру иливыполните проверку идентификатора отдельно от остальных проверок

События, регистрируемые комплексом "Соболь"Событие Описание события

Автоматическийперерасчет КС

Расчет эталонных КС выполнен по запросу, поступившему отвнешней программы

Администраторсменил парольпользователя

Администратор успешно выполнил принудительную сменупароля пользователя, имя которого указано во втором столбцетаблицы записей

Администраторсменил свойпароль

Администратор успешно выполнил смену своего пароля длявхода в ИС

Время/датаустановки пароляопережаетсистемное

Время или дата установки пароля пользователя опережаетсистемное время или дату защищаемого компьютера

Входадминистратора

Администратор осуществил успешный вход в ИС

Вход пользователя Пользователь осуществил успешный вход в ИС

Добавлен новыйпользователь

Администратор добавил нового пользователя в списокпользователей комплекса



Событие Описание события

Запрос:Добавлениепользователя

От внешней программы получен и успешно обработан запрос надобавление нового пользователя в список пользователейкомплекса

Запрос: Удалениепользователя

От внешней программы получен и успешно обработан запрос наудаление пользователя из списка пользователей комплекса

Идентификаторне зарегистрирован

При входе в ИС был предъявлен идентификатор, непринадлежащий ни одному из пользователей,зарегистрированных на данном компьютере.При входе администратора был указан неверный пароль

Изменениешаблонов КЦ

Внесены изменения в шаблоны КЦ

Измененосистемное время идата

Администратор в рабочем режиме комплекса изменил системноевремя или дату

Измененыпараметрызагрузочного диска

Произошла смена основного загрузочного диска компьютера

Импорт ресурсов Выполнен импорт ресурсов в шаблон КЦ

Не рассчитаныконтрольныесуммы

Администратор не настроил механизм КЦ после инициализациикомплекса — не выполнил расчет КС. Если попытку входа в ИСвыполнял пользователь, для которого включен жесткий режимКЦ, его вход в систему был заблокирован

Неправильныйпароль

При попытке входа в ИС был предъявлен идентификатор,принадлежащий зарегистрированному пользователю, но парольбыл указан неверно.Ранее дважды была выполнена смена аутентификаторасредствами других ПАК "Соболь", и при этом пользователь ниразу не выполнил вход в ИС на данном компьютере

Обнаруженперевод системнойдаты назад

Во время загрузки ПАК "Соболь" обнаружен принудительныйперевод системного времени назад

Обновление ключаКЦ

Успешно выполнено обновление ключа КЦ, используемого длярасчета контрольных сумм объектов КЦ

Обработанывнешние запросы

Запросы данных из энергонезависимой памяти комплекса,поступившие от внешних программ, обработаны без ошибок

Ошибка внешнегозапроса

Невозможно обработать запрос данных из энергонезависимойпамяти комплекса, поступивший от внешней программы

Ошибка КС впамятиидентификатора

Обнаружена ошибка при проверке КС содержимогоперсонального идентификатора

Ошибкаобновления ключаКЦ

Ключ КЦ, используемый для расчета контрольных сумм объектовКЦ, не обновлен при достижении заданного времениобновления ключа КЦ по причине обнаружения ошибок припроверке целостности объектов перед загрузкой ОС

Ошибка приконтролецелостности

При проверке целостности объектов перед загрузкой ОСобнаружено несовпадение эталонных и текущих КС

Ошибка приэкспорте журнала

Объем выгружаемых событий превосходит размер файла для экс-порта журнала событий

Перерасчетконтрольных сумм

Выполнен расчет эталонных контрольных сумм

Переход вавтономный режим

Администратор включил автономный режим работы комплекса

Переход в режимсовместногоиспользования

Администратор включил режим совместного использования



Событие Описание события

Пользовательблокирован

Пользователь, вход которого в ИС блокирован, осуществилпопытку входа

Пользовательсменил свойпароль

Пользователь, имя которого указано в третьем столбце таблицызаписей, успешно выполнил смену своего пароля для входа в ИС

Пользовательудален

Администратор удалил пользователя из списка пользователейкомплекса

Превышено числопопыток входа

Количество неудачных попыток входа данного пользователя в ИСпревысило значение соответствующего параметра

Скорректировановремя последнеговхода

Осуществлено изменение времени последнего входа пользо-вателя в соответствии с коррекцией администратором системноговремени защищаемого компьютера

Сменааутентификатораадминистратора

Администратор успешно выполнил смену своегоаутентификатора

Сменааутентификаторапользователя

Указанный пользователь успешно выполнил смену своегоаутентификатора

Удаление журнала Администратор выполнил очистку журнала событийПАК "Соболь"

Экспорт журналазавершен

Завершена процедура экспорта журнала событий ПАК "Соболь"

Экспорт ресурсов Выполнен экспорт ресурсов из шаблона КЦ

Эксплуатация в режиме совместного использованияРежим совместного использования позволяет применять ПАК "Соболь" совместнос другими средствами защиты (например, СЗИ Secret Net Studio). В этом случаечасть функций управления передается СЗИ, совместно с которым функци-онирует комплекс.Эксплуатация комплекса в режиме совместного использования имеет следующиеособенности:• ограничено управление некоторыми общими параметрами;• запрещено управление параметрами паролей;• запрещено управление пользователями;• запрещена смена пароля и аутентификатора;• ограничено управление механизмом КЦ;• ограничено управление журналом событий.



Меню администратораВ режиме совместного использования часть пунктов меню администратораПАК "Соболь" недоступна.

Общие параметрыПри инициализации комплекса для параметра "Версия математических преоб-разований" необходимо установить значение "1989".В режиме совместного использования недоступно управление параметрами:• "Показ статистики пользователю". Параметру принудительно присваивается

значение "ВЫКЛ" — при входе пользователей в систему информационное ок-но на экран не выводится;

• "Предельное число неудачных входов пользователя";• "Время ожидания автоматического входа";• "Звуковые сигналы".Подробная информация об общих параметрах содержится в Табл.4 на стр.32.

Параметры паролейВ режиме совместного использования недоступно управление параметрами па-ролей. Настройка осуществляется инструментами СЗИ, совместно с которымфункционирует комплекс.Подробная информация о параметрах паролей комплекса "Соболь" содержится вТабл.6 на стр.36.

Управление пользователямиВ режиме совместного использования администратору разрешается толькопросматривать список пользователей и запрещается вносить в него любые из-менения, в том числе менять параметры учетных записей.Управление пользователями осуществляется инструментами СЗИ, совместно скоторымфункционирует комплекс.



Смена пароля и аутентификатораВ режиме совместного использования администратору и пользователям не раз-решается менять свой пароль и аутентификатор средствами управлениякомплекса "Соболь".Смена пароля и аутентификатора осуществляется инструментами СЗИ, совместнос которымфункционирует комплекс.

Контроль целостностиВ режиме совместного использования администратору ПАК "Соболь" недоступенвыбор ПО управления шаблонами КЦ.Управление шаблонами КЦ возможно с использованием вспомогательного ПОкомплекса или инструментов СЗИ, совместно с которыми функционируеткомплекс.

Пояснение.• В режиме совместного использования вспомогательное ПО позволяет добавлять в шаблоны КЦ

следующие объекты:• в ОСсемействаWindows – PCI-устройства и SMBIOS;• в ОСсемейства Linux – файлы и секторы жесткого диска.

• Порядок установки и эксплуатации вспомогательного ПОприведен в документе [2].

Работа с журналом событийВ режиме совместного использования при работе с журналом событий недо-ступны следующие функции:• очистка журнала;• настройка параметров "Максимальный размер журнала" и "Периодичность

аудита".Очистка журнала выполняется инструментами СЗИ, совместно с которымфункци-онирует комплекс.Подробная информация о параметрах журнала событий ПАК "Соболь" содер-жится в Табл.5 на стр.35.



Системные параметры при сетевой загрузке ОСОкно настройки системных параметров при сетевой загрузке ОС имеет вид,подобный представленному на рисунке ниже.

Рис.26 Системные параметры при сетевой загрузке ОС

Описание параметров приведено в таблице ниже.

Табл.8 Системные параметры ПАК "Соболь" при сетевой загрузке ОС

Опция загрузки

Отображает используемый менеджер загрузки ОС.Для изменения параметра перезагрузите компьютер и настройте параметры загрузки ОСв UEFI/BIOS Setup

Сетевой загрузчик ОС

Отображает имя используемого загрузчика ОС.Для изменения параметра перезагрузите компьютер и настройте параметры загрузки ОСв UEFI/BIOS Setup

MAC-адрес

Отображает MAC-адрес загрузочной сетевой карты.Для изменения параметра перезагрузите компьютер и настройте параметры загрузки ОСв UEFI/BIOS Setup

Контроль IP- и MAC-адреса

Отображает IP-адрес загрузочной сетевой карты, а также позволяет контролировать IP- иMAC-адрес загрузочной сетевой карты. Может принимать значения:• "ВКЛ" — контролировать IP- и MAC-адрес загрузочной сетевой карты;• "ВЫКЛ" — не контролировать IP- и MAC-адрес загрузочной сетевой карты.Значение по умолчанию — "ВЫКЛ"



Контрольная сумма сетевого загрузчика ОС

Отображает контрольную сумму используемого загрузчика ОС. Проверка контрольнойсуммы выполняется при каждой загрузке комплекса

Системное время и дата

Позволяет настроить системное время и дату. Если отображаются неправильныеданные, введите корректные значения

Пояснение.Параметр отображается только при инициализации комплекса.

Информационное окноДля просмотра сведений о комплексе нажмите клавишу <F2>. На экране поя-вится информационное окно.

Окно содержит следующие сведения о комплексе "Соболь".

Пункт Пояснение

Версия кода расширенияUEFI/BIOS

Номер текущей версии кода расширения UEFI/BIOSкомплекса

Тип платы Формфактор платы комплекса

Версия ПЛИС Номер текущей версии кода ПЛИС платы

Создание скриншотовВ ПАК "Соболь" имеется возможность создания скриншотов при работе с комп-лексом.

Для создания скриншотов:

1. На съемном носителе в корневом каталоге создайте папку "sblscreenshots".2. Подключите съемный носитель к компьютеру, на котором установлен ПАК

"Соболь".3. При работе с комплексом для создания скриншота нажмите клавишу <F11>.

Скриншот будет сохранен в папку "sblscreenshots".



Терминологический справочникА

Аутентификатор Структура данных, хранящаяся в персональном идентификаторепользователя (в преобразованном виде), которая наравне спаролем пользователя участвует в процедуре аутентификации

Аутентификация Проверка принадлежности субъекту (объекту) доступапредъявленного им идентификатора

И

Идентификатор,персональныйидентификатор

Аппаратное устройство, в которое с помощью специальнойтехнологии занесены идентификационные признаки в видекодовой информации. В качестве идентификаторов в комплексе"Соболь" используются таблетки iButton, USB-ключи и смарт-карты (см. Табл.1 на стр.9)

Идентификационныйпризнак

Уникальный признак субъекта доступа, позволяющийоднозначно выделить идентифицируемый субъект средимножества других субъектов

Идентификация Распознавание субъекта (объекта) по присущему илиприсвоенному ему идентификационному признаку

Ж

Журнал событий Хранилище с информацией о событиях, зарегистрированныхПАК "Соболь", например, попытках входа в ИС

К

Ключ реестра Именованная запись в реестре Windows, содержащаяуникальный идентификатор, присвоенный определенной частиинформации, находящейся в реестре. Каждый отдельный ключможет содержать элементы данных, которые называютсяпараметрами (или переменными), а также дополнительныевложенные ключи

Контроль целостности Проверка модификации программного и аппаратногообеспечения защищаемого компьютера

Контрольная сумма Числовое значение, вычисляемое по специальному алгоритму ииспользуемое для контроля неизменности данных

Н

Несанкционированныйдоступ

Доступ субъектов к объекту в нарушение установленных в ИСправил разграничения доступа

П

Параметр(переменная) реестра

Данные реестра, расположенные в его ключах. Каждыйпараметр может характеризоваться именем, типом и значением

Р

Реестр Иерархическая база данных, в которой ОСWindows хранитважную системную информацию

С

Структуры SMBIOS В структурах SMBIOS содержится информация о компонентахсистемной платы— сведения о производителе, системнойплате, процессоре, системных слотах, памяти, UEFI/BIOS и др.

Считыватель Устройство, предназначенное для чтения (ввода)идентификационных признаков

Субъект системы Активный компонент ИС, обычно представляемый в видепользователя или устройства, которые могут явиться причинойпотока информации от объекта к объекту или изменениясостояния ИС



Документация1. Программно-аппаратный комплекс "Соболь". Версия 4. Руководство админи-

стратора.2. Программно-аппаратный комплекс "Соболь". Версия 4. Руководство админи-

стратора. Порядок установки и эксплуатации вспомогательного ПО.3. Программно-аппаратный комплекс "Соболь". Версия 4. Руководство пользо-

вателя.



ПАК "Соболь". Версия 4 - Код Безопасности

Documents

Transcript of ПАК "Соболь". Версия 4 - Код Безопасности