Имеющаяся плата требует наличия драйверов отсутствующих в системе windows 2003

1. Может ли Секрет быть загрузочным устройством?

Нет, ведь взаимная аутентификация Секрета и ПК производится тогда, когда ОС уже загружена. В качестве защищенного загрузочного устройства рекомендуем использовать МАРШ! А вот в качестве защищенного носителя ключевой информации или в качестве носителя portable версий различного прикладного ПО, например, электронной почты, использовать Секрет вполне уместно.

2. Как перевести контроллер Аккорд-АМДЗ в технологический режим (и обратно в рабочий режим)?

Для перевода Аккорд-АМДЗ в технологический режим необходимо следующее:

1. Для контроллеров Аккорд-5, 5MX, 5.5 открутить металлическую хромированную планку, которая фиксирует плату в слоте, и открутить винты блокировки спец. режима. Если установлен джампер технологического режима (для контроллеров Аккорд-5, 5MX, 5.5), то его следует снять.
2. Для контроллера Аккорд-LE нужно надеть джампер технологического режима XM.
3. Для контроллеров Аккорд-GX, GXM нужно переключить микропереключатель.
4. Для контроллера GXM.2 необходимо повернуть подстроечный резистор (переключатель технологического режима) против часовой стрелки на 180 градусов. При включении технологического режима на плате контроллера должны гореть зеленый и красный светодиоды.
5. Для контроллера Аккорд-GXMH нужно замкнуть металличским проводником переходные отверстия 1 и 2.

Чтобы вернуть контроллер в рабочий режим, Вам нужно:

1. Для Аккорд-5, 5MX, 5.5 прикрутить металлическую планку и установить джампер технологического режима, если он был.
2. Для контроллера Аккорд-LE нужно снять джампер технологического режима XM.
3. Для контроллеров Аккорд-GX, GXM нужно переключить микропереключатель в начальное положение.
4. Для контроллера GXM.2 следует повернуть подстроечный резистор по часовой стрелке на 180 градусов — на плате контроллера должен гореть зеленый светодиод
5. Для контроллера Аккорд-GXMH убрать металлический проводник.
6. Про перевод контроллеров в технологический режим и обратно также написано в «Руководстве по установке Аккорд-АМДЗ»

3. Порядок очистки базы данных контроллеров

1. Выключить компьютер и вынуть плату контроллера из разъема системной шины.
2. Перевести контроллер в технологический режим (подробнее написано в ответе №1)
3. Вставить плату в компьютер.
4. Загрузить компьютер в OC MS-DOS (никаких менеджеров памяти (QEMM, EMM386 и т.п.) быть не должно!). Примечание: Загрузиться в MS-DOS можно с дискеты, flash-накопителя или CD. Загрузочную дискету MS-DOS можно создать c помощью Windows XP при выборе параметров форматирования дискеты. Образ загрузочной дискеты с набором утилит для очистки базы данных для последней версии ПО можно также получить на сайте ОКБ САПР (утилита записи образа на дискету включена в архив). Кроме того, все CD с дистрибутивом для СЗИ НСД «Аккорд-АМДЗ» являются загрузочными.
5. Если загруженная DOS не поддерживает русский шрифт, то Вы можете запустить ACRUS.EXE (русификатор экрана).
6. Запустить ipXX.ехе (где XX — модель перепрошиваемого контроллера, для контроллеров GX, GXM, GXMH, LE единая утилита ipgx.exe).
7. Выключить компьютер, вернуть контроллер в рабочий режим (подробнее написано в ответе №1)
8. Установить контроллер в компьютер.

ВНИМАНИЕ! Очистка баз данных контроллера также может быть выполнена программным способом (подробнее см. «Руководство администратора (контроллеры Аккорд-5.5, Аккорд-5.5e, Аккорд-5MX)» и «Руководство администратора (контроллеры Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH)»):

• посредством выбора пункта «Очистка БД контроллера» в стартовом меню администратора (для контроллеров Аккорд-5, 5MX, 5.5;
• посредством нажатия кнопки «Форматировать БД» на вкладке «Пользователи» главного окна программы администрирования (для контроллеров GX, GXM, GXMH, LE).

4. Порядок обновления встроенного ПО контроллеров

1. Создать загрузочный USB-носитель MS-DOS. Набор утилит для обновления встроенного ПО можно получить на сайте ОКБ САПР http://www.accord.ru/support/update/. Примечание: Вместо загрузочного USB-носителя в процессе обновления встроенного ПО можно также использовать загрузочную дискету MS-DOS или загрузочный CD MS-DOS. Загрузочную дискету MS-DOS можно создать c помощью Windows XP при выборе параметров форматирования дискеты.
2. Скопировать набор файлов обновления внутреннего ПО контроллера с CD на USB-носитель (дискету, или жесткий диск в FAT раздел). Если обновления получены с сайта ОКБ САПР (http://www.accord.ru/support/update/), разархивировать в отдельный каталог. Снять с файлов атрибут «только чтение». ВАЖНО!!! Набор файлов обновления должен точно соответствовать типу Вашего контроллера, а для Аккорд-5 и 5.5 – еще и типу процессора Atmel, установленного на плате. ВНИМАНИЕ! Процедура обновления встроенного ПО включает в себя также процедуру очистки БД контроллера. Поэтому, во избежание потери необходимых данных, рекомендуется сначала выполнять операцию экспорта списка пользователей и списка контроля целостности (см. «Руководство администратора (контроллеры Аккорд-5.5, Аккорд-5.5e, Аккорд-5MX)»), затем – процедуру обновления встроенного ПО, затем – операцию импорта списка пользователей и списка контроля целостности в обновленный контроллер.
3. В командной строке перейти в каталог, в который ранее был скопирован комплект файлов обновления согласно пункту 2, и выполнить команду: amdzeegn.exe ee.bin nnnnnnnn где: nnnnnnnn – восьмизначный серийный номер (он указан в формуляре на комплекс и присутствует на наклейке с обратной стороны платы). Эта команда записывает серийный номер в файл ee.bin, из которого в процессе прошивки данные заносятся в память микропроцессора. Для всех контроллеров rev.8 эту операцию выполнять не нужно, т.к. серийный номер в них записывается однократно при производстве.
4. Выключить компьютер и вынуть плату контроллера из разъема системной шины.
5. Перевести контроллер в технологический режим (подробнее написано в ответе №1).
6. Вставить плату в компьютер.
7. Загрузить компьютер в OC MS-DOS (никаких менеджеров памяти (QEMM, EMM386 и т.п.) быть не должно!) с помощью загрузочного USB-устройства (дискеты, CD), созданного в рамках выполнения пункта 1 настоящей последовательности действий.
8. В командной строке запустить командный файл all_p.bat из каталога, в котором ранее был сгенерирован файл ee.bin согласно пункту 3 настоящей последовательности действий (или из директории BIOSACCXX CD СЗИ НСД«Аккорд-АМДЗ» (где XX — модель перепрошиваемого контроллера)).Примечание: Внимательно проследите, чтобы каждая операция завершалась сообщением «OK». В случае появления ошибки верификации при записи firmware микроконтроллера или EEPROM — выполнить командный файл обновления еще раз.
9. Выключить компьютер, вернуть контроллер в рабочий режим (подробнее написано в ответе №1).
10. Установить контроллер в компьютер.

5. Как рассчитать количество клиентских лицензий на право использования СПО «Аккорд-Win32» («Аккорд-Win64») в режиме TSE (Terminal Server Edition) при применении в системах терминального доступа?

Если один терминальный сервер, то приобретается один комплекс «Аккорд-Win32» («Аккорд-Win64») и оплачивается то количество лицензий, которое соответствует максимальному количеству удаленных клиентов, одновременно подключающихся к серверу в режиме терминального доступа. Если серверов несколько, и они работают в режиме «горячего резервирования», например, объединенные в ферму Citrix, то на каждый сервер приобретается комплекс «Аккорд-Win32» («Аккорд-Win64») и оплачивается количество лицензий, которое соответствует максимальному количеству удаленных клиентов. Общее количество оплачиваемых клиентских лицензий равно <количество серверов>x<количество пользователей>. При работе нескольких серверов в составе фермы в случае выхода из строя одного сервера нагрузка распределяется между работающими серверами. В самом критичном случае все пользователи могут работать с одним сервером. Именно этот факт определяет требование о наличии максимально возможного количества лицензий на каждом сервере.

6. Данные какого уровня секретности можно хранить и переносить на Секрете?

Конфиденциально.

7. Подскажите как решить проблему. Забыл пароль супервизора! Больше пользователей не заведено. Как можно сбросить все настройки?

В комплекте с контроллером АМДЗ всегда поставляется дискета или CD. На дискете — прямо в корне — файл readme.1st и утилита для очистки БД. На CD — папка BIOS, в ней подкаталоги, соответствующие типам контроллеров. Тип контроллера прописан в формуляре, а на плате можно найти маркировку, если это удобнее, чем искать формуляр. В крайнем случае в разделе «Обновление ПО» можно скачать утилиты для перепрошивки для всех контроллеров и перепрошить контроллер. Обратите внимание на тип микропроцессора (квадратная микросхема фирмы Atmel)!

8. Такая еще проблема: ставишь пользователю опцию, чтоб он мог самостоятельно пароль сменить при истечении срока действия. Срок действия истекает, а пользователь сменить пароль не может!

Это так политика безопасности в АМДЗ реализована: если еще день-два остается до смены, то выдается предупреждение о необходимости смены пароля и пользователь может его поменять сам, а если срок прошел, то, значит, опоздал, и АМДЗ требует администратора. Исправлено в последних версиях внутреннего ПО.

9. Чем отличается «Секрет» от флешек Kingston и Transcend с pin-кодом?

Взаимной аутентификацией с ПК, к которому он подключается, и привязкой к назначенным ПК (гарантированной невозможностью доступа к диску на «посторонних» ПК, в том числе и со стороны вирусов и других вредоносных программ)

10. У меня возникла такая проблема: включаю компьютер, прикладываю как обычно ТМ-идентификатор. Компьютер говорит, что доступ разрешен. Выбираю загрузку с жесткого диска. Но загрузка Windows 2000 вдруг идет не до конца. Windows даже не доходит до запроса на ввод логина и пароля пользователя. Экран просто остается голубым, мышкой можно двигать, но больше ничего, на нажатия кнопок Windows не реагирует. При этом индикатор работы винчестера начинает гореть постоянно, по звукам компьютер как будто что-то постоянно считывает с винчестера. Но сколько бы я не ждал, изменений никаких нет, один лишь голубой экран плюс можно двигать мышкой. Все, дальше загрузка Windows 2000 не идет. В чем может быть дело? Как это может быть связано с защитой «Аккорд»? Переустанавливать Windows нельзя (системный блок находится на гарантии, вскрывать нельзя), что можно сделать?

Если у Вас установлен комплекс Аккорд-АМДЗ, то его работа заканчивается в тот момент, когда начинается загрузка ОС и на работу Windows он не влияет. Значит, дело в Вашем случае — не в Аккорде. Стоит попытаться все-таки восстановить систему. Разбирать компьютер для восстановления или переустановки системы не нужно. Ставите CD, в системном BIOS устанавливаете загрузку с CD, и после предъявления ключа администратора и выбора в меню «Продолжить загрузку» компьютер грузится с CD.

11. Чтобы администратор мог сменить пароль пользователю, ему нужно ввести старый пароль. Это очень неудобно, а безопасности ни капельки не прибавляет.

Насчет того, что это не прибавляет безопасности — вопрос спорный. Вы рассуждаете с точки зрения добросовестного администратора — и это очень хорошо. Но пользователь не всегда может быть уверен в том, что в результате, например, личной неприязни администратор не захочет усложнить ему жизнь, сменив пароль без его ведома. Для того чтобы такого не происходило и введена такая мера: пароль таким образом меняется только с ведома пользователя, и, соответственно (если в политике безопасности не предусмотрено обратное), может не быть известен администратору вообще. В случае же если старый пароль забыли, можно просто перерегистрировать пользователю ту же ТМ — для этой процедуры не требуется ввод старого пароля.

12. Подскажите, пожалуйста, возможно ли с помощью АМДЗ или какого-либо вашего ПО регистрировать доступ к файлам? Имеется в виду приложение, то есть процесс такой-то получил доступ к файлу такому-то — дата — время.

С помощью АМДЗ, конечно, нет, т. к. его работа заканчивается в момент начала загрузки ОС, но такие возможности предоставляют комплексы Аккорд-Win32 и Аккорд-Win64.

13. Может ли флешка защитить ее содержимое от вирусов?

В каком-то смысле — да, ведь при подключении к «постороннему» ПК, а именно при этих обстоятельствах, как правило, и происходит заражение флешки вирусами, диск Секрета не «примонтируется» и вирусы не смогут записаться. Однако от заражения на легальном ПК при работе легального пользователя Секрет защитить не сможет. Это следует реализовать штатными средствами.

14. Установили плату на компьютер модель HP dx2000 (COMPAQ) система 2000, пересчитали все контрольные суммы, после перезагрузки Аккорд сообщает, что есть ошибки в контрольной сумме BIOS и доп. BIOS. Входим администратором, видим ошибки, контрольные суммы не совпадают. Обновляем данные, они меняются (причем суммы все время разные), но после перезагрузки все повторяется: снова приходится прикладывать два ТМ и продолжать загрузку.

В данном случае у Вас достаточно «интеллектуальная» материнская плата и устройство с расширенным собственным BIOS. При каждой перезагрузке или выключении они записывают информацию в определенные области своих биосов. Бессмысленно каждый раз пересчитывать контрольные суммы того, что меняется при каждой перезагрузке.  Исключите меняющиеся параметры из списка контролируемых объектов и пересчитайте КС по клавишам Alt-U (подробнее см. «Руководство администратора (контроллеры Аккорд-5.5, Аккорд-5.5e, Аккорд-5MX)» и «Руководство администратора (контроллеры Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH)». Вот и все.

15. Есть ли «Секрет» под Linuх и MacOS?

Планируем выпуск в ближайшее время.

16. После установки Аккорд-Win32 (Аккорд-Win64) и запуска ACED32 появляется сообщение об ошибке и невозможности синхронизации баз. Прошивка контроллера 02.00.007. Связана ли ошибка с устаревшей прошивкой и что делать?

Конечно, не совместима такая старая прошивка с новым софтом. Скачайте с нашего сайта из раздела «Обновление ПО» новую прошивку и замените. А вообще следует обращать внимание на информацию, которая выводится в программе инсталляции. Там прописаны версии внутреннего ПО контроллера «Аккорд», которые рекомендуются для работы с устанавливаемым ПО Аккорд-Win32 (Аккорд-Win64).

17. Очень полезная утилита Actskmng, но почему-то отказывается закрываться. Просто не реагирует на нажатие креста, только через диспетчер задач…

А для обычного пользователя (не администратора) и через диспетчер не получится, т.к. его вызов заблокирован. Actskmng — это же специальная оболочка, чтобы пользователь мог запускать только разрешенные администратором задачи.

18. Совместимы ли Секрет и DeviceLock?

Да, мы провели испытания, результаты — здесь

19. Как же все-таки работает контроль потоков информации??? Любой Explorer запросто копирует секретные файлы в общедоступный каталог, обладай он сам секретным грифом. Что я упускаю?

Обработка потоков информации выполняется только тогда, когда включен мандатный доступ с контролем процессов. При этом каждый процесс получает по умолчанию уровень «Общедоступно», т.е. самый низкий. Администратор назначает конкретным процессам (задачам) соответствующие уровни доступа для работы с категорированными ресурсами. Для всех процессов действует правило: запись разрешена только в ресурс с меткой доступа, равной уровню процесса. Все ресурсы с меньшей меткой доступны только для чтения. В руководстве на редактор ПРД есть подробное описание.

20. Как можно изменить в Windows букву диска для ПАК «Секрет Особого Назначения»?

Вам необходимо выполнить такие настройки:

1. Запустить командную строку с правами администратора ОС, затем запустить утилиту diskpart.
2. Выполнить команду list volume
3. В выведенном списке разделов найти открытый диск ПАК «Секрет Особого Назначения». Чтобы изменить букву для открытого раздела ПАК СОН, необходимо:
• Выполнить команду select volume <номер_раздела>;
• Выполнить команду remove letter=Х, где «Х» — текущая буква открытого раздела ПАК СОН;
• Выполнить команду assign letter=H, где «Н» — буква, которую необходимо назначить.

21. Можно ли на базе Аккорд-Win32 (Аккорд-Win64) реализовать схему, в которой запуск компьютера осуществляется при предъявлении ТМ-идентификатора, а доступ в ОС- на основе имени и пароля? У нас все пользователи зарегистрированы в домене, а работать могут с разных компьютеров. Возникает проблема одновременной смены пароля на нескольких АМДЗ, да и локально пользователям на компьютер заходить ни к чему.

Можно. Для начала регистрируете всех своих пользователей в одном контроллере АМДЗ. При регистрации пользователей в «параметрах пароля» минимальную длину ставите 0 (пароль не нужен). В «результатах И/А» включаете первые четыре флага (пароль не передавать). После регистрации всех пользователей выбираете команду «Экспорт», сохраняете список на дискету, или ТМ DS1996.

Следующий шаг — загрузка системы, установка драйвера контроллера АМДЗ и установка ПО «Аккорд-Win32» («Аккорд-Win64»). Сразу после установки запускаем программу настройки комплекса. В главном окне программы убираем флаг «Синхронизация с базой пользователей NT». Этот флаг отвечает за синхронизацию с локальной базой ОС, а в данной системе локальный вход нам не нужен. В меню «Параметры» -«Дополнительные опции» выбираем закладку «режим сессии» и включаем флаг «Использовать полное имя в учетных записях NT».

Закрываем программу настройки с сохранением изменений. Теперь можно приступить к регистрации пользователей в программной части системы защиты. Запускаем редактор прав доступа. В момент первого запуска программа считывает список пользователей из контроллера АМДЗ (конечно, только в том случае, когда предъявлен идентификатор администратора, зарегистрированный в плате). Рекомендую в группе «Администраторы» в плате АМДЗ зарегистрировать пару резервных админов и всем администраторам задавать пароль. Совершенно не важно, какие имена Вы будете присваивать пользователям в плате Аккорда, тем более, что аппаратная часть накладывает ограничения в 12 символов и английский алфавит. Следующий важный шаг — каждому пользователю, кроме администраторов, в поле «полное имя» ввести доменное имя пользователя, далее @<имя домена>. В поле «Пароль» задать пароль пользователя, который установлен на домене. Как поступить с администраторами, решайте сами — можно задать полные имена как на домене и пароль соответствующий (для удаленного доступа), или «рулить» доменом с консоли, тогда полные имена не задавать, а в локальных базах завести таких админов, которые будут только СЗИ управлять. При выходе из редактора обязательно сохранить изменения. Теперь на любой носитель скопируйте файл accord.amz из папки Accord.NT и можно устанавливать систему Аккорд на других компьютерах. После установки платы в компьютер и начальной инициализации выбирайте сразу команду «Импорт» в списке пользователей и загружайте сохраненную базу (кстати очень полезно и в дальнейшем иметь эту базу для быстрого восстановления в случае замены платы). В ОС устанавливаете драйвер контроллера, инсталлируете ПО, делаете все те же настройки, но редактор ПРД можно не запускать, а сразу скопировать файл accord.amz. Проделываем эту операцию на всех защищенных компьютерах и дальше только остается активизировать систему защиты через ту же программу настройки комплекса. Обязательно оставьте флаг «Автологин» в настройках. Пользователи теперь будут «включать» компьютер, т.е. проходить процедуру идентификации в АМДЗ с помощью ТМ-идентификатора, а в момент загрузки ОС в процедуре WinLogOn поле «Имя» уже будет заполнено той информацией, которая была введена в пункте «Полное имя» (за это отвечает флаг «Использовать полное имя в учетных записях NT»). Пользователь может только ввести пароль, выбор локального входа ему тоже недоступен, т.к. в полном имени указан еще и домен. Смена паролей на домене выполняется администратором, или самим пользователем во время работы через Ctrl-Alt-Del и кнопку «Смена пароля», если доменная политика это позволяет. Подробное описание также см. «Руководство по установке» для ПАК «Аккорд-Win32» («Аккорд-Win64») и «Установка правил разграничения доступа. Программа ACED32».

22. Установлено на терминальном сервере ПО «Аккорд-Win32» («Аккорд-Win64») TSE, но при начале сеанса с удаленного терминала не запрашивается идентификатор.

Это возникает только при установке на Windows Server 2003 R2 SP2. Нужно запустить «Администрирование» -> «Настройка служб терминалов», выбрать справа «протокол RDP», нажать правую кнопку мыши -> Свойства. В открывшемся окне «Общие» снизу checkbox «Использовать обычный интерфейс входа в Windows». Этот флаг нужно снять. Эту же операцию повторить для протокола ICA.

23. Каков порядок получения новых файлов лицензий на ПО Аккорд-Win32 (Аккорд-Win64) взамен истекших?

Для обновления ключевых лицензионных файлов заведен специальный почтовый ящик — key@okbsapr.ru. На этот ящик необходимо прислать файлы accord.key, срок действия которых истек. После этого в ответ будет выслан новый лицензионный файл. Для всех пользователей, у которых уже установлено ПО «Аккорд», обновление лицензии бесплатное.

24. Подскажите, пожалуйста, как правильно установить Аккорд-Win32 (Аккорд-Win64) на WinServer2003. Точнее, как настроить WinSer2003. Драйверы установились нормально, программный комплекс тоже, но при запуске AcSetup или AcEd32 выдаётся ошибка «The application Failed to initialize properly (0xc0000005). Click on OK….» На машине стоит свежеустановленный Windows Server 2003 и Аккорд-Win32 (Аккорд-Win64) и больше ничего.

Это сообщение является следствием настройки службы DEP. Решить проблему можно двумя способами:

1. Редактируем файл boot.ini. В строке вида multi(0)disk(0)rdisk(0)partition(3)WIN2K3=«Windows Server 2003» /fastdetect /NoExecute = Optout… заменяем параметр /NoExecute= на параметр /Execute, т.е отключаем DEP. После перезагрузки компьютера, запускаем Aced32, запускаем AcSetup.exe и устанавливаем систему Accord. После этого строчку в файле boot.ini можно вернуть к первоначальному виду.
2. На рабочем столе на иконке «Мой компьютер» кликаем правой кнопкой мыши, выбираем «Свойства», появляется окно «Свойства системы». Выбираем закладку «Дополнительно» — «Быстродействие» — нажимаем кнопку «Параметры». Выбираем закладку «Предотвращение выполнения данных». Это и есть управление службой DEP. Выбираем пункт «Включить DEP только для основных программ и служб Windows», далее нажимаем кнопки «Принять» и «Ок».

25. Скажите, пожалуйста, как можно получить драйвера и библиотеки для доступа к контроллерам Аккорд под линуксом?

Напишите официальный запрос в отдел продаж zakaz@accord.ru. Укажите Вашу организацию, контактную информацию, версию ядра, под которым собираетесь использовать библиотеку.

26. Возникла проблема при установке Аккорд 5.5Е в серверы HP ProLiant DL360-G6. Плата устанавливается и работает нормально, но при загрузке ОС Windows 2003 Server вылетает в «синий экран» и даже кода ошибки нет, только что-то о проблемах с оборудованием. На другом сервере доходит до ввода имени и пароля пользователя в ОС и виснет без всяких сообщений.

В результате испытаний было выявлено, что причиной возникновения ошибки может быть специфическая микросхема южного моста материнской платы. Для нормальной работы микропроцессор на плате Аккорд-5.5E, который отвечает за работу шины PCI Express, необходимо запускать со специальными стартовыми параметрами. Совместимость обеспечивается записью специальной последовательности в микросхему на плате Аккорд-5.5E. Фирмам-интеграторам следует указывать при заказе комплекса СЗИ серверную платформу, на которой планируется его установка. Подобный эффект проявляется и на серверах IBM серии M2. С января 2010 года все контроллеры Аккорд-5.5E выпускаются с обновленной микросхемой (PLX 8112), которая поддерживает PCI-Express шину в полном объеме.

27. Возможно ли хранение в таблетке DS1993, считываемой через ПАК Аккорд-5, ключевой информации центра сертификации «КРИПТО ПРО»?

Если хранить только ключи, то да, а если Вы хотите хранить и сертификат, то нужна DS1996.

28. На терминальном сервере запущен Аккорд TSE, используется протокол RDP, но при подключении с клиентского компьютера запрос идентификатора не выполняется. В чем может быть причина?

Проверьте параметр в ОС — «Администрирование» -> «Настройка служб терминалов», выбрать справа протокол RDP, нажать правую кнопку мыши -> Свойства. В открывшемся окне «Общие» внизу checkbox «Использовать обычный интерфейс входа в Windows». Флаг в этом checkbox должен быть снят! Эту же операцию повторить для протокола ICA (если он используется). Программа настройки комплекса Аккорд при включении защиты снимает данный флаг. Доступ к его изменению имеет только пользователь с администраторскими полномочиями в ОС. Не включайте это параметр и вход с терминала будет работать правильно.

29. При подключении с терминала Wyse С50 к терминальному серверу с установленным на нем ПАК»Аккорд» и последующем запуске Microsoft Word не всегда получается переключить раскладку клавиатуры на русский язык.

Для переключения раскладки клавиатуры на русский язык используйте сочетание клавиш Crtl+ё.

30. Установлен Аккорд-Win32. После планового обновления прикладного ПО в редакторе ПРД пересчитали КС файлов, установленных на контроль. Но при последующем входе пользователя выдается ошибка контроля файла и требует администратора. Входим Гл.Администратором, пересчитываем список пользователя, прикладываем пользовательскую ТМ, пишет «Ок». Сохраняем, а при следующей загрузке пользователя опять ошибка. В чем дело?

В ПАК СЗИ Аккорд (и Аккорд-Win32, и Аккорд-Win64) список контроля может назначаться для конкретного пользователя и для группы пользователей. В Вашем случае список контроля был импортирован и пользователю, и группе. Это избыточный вариант, который и привел к данной проблеме, т.к. Вы пересчитываете КС только для одного списка, а контроль выполняется по двум. Оставьте список контроля только в одном месте. Оптимально оставить список в параметрах группы — это обеспечит контроль для каждого пользователя, входящего в группу и уменьшит вероятность повторения ошибки при следующем обновлении файлов. Подробнее см. «Установка правил разграничения доступа. Программа ACED32».

31. Являемся пользователями системы Аккорд и появилась необходимость найти серийные номера. Не подскажите, как это сделать? Есть ли они где-то в программной части, либо написаны только на плате? Либо у нас должна быть бумага, на которой они указаны?

1. Должна быть бумага (формуляр), в которой на странице с печатью в графе «заводской номер и тип контроллера» указана нужная информация.
2. На обратной стороне платы действительно есть серийный номер, он напечатан на стикере, которой приклеен к плате.
3. После предъявления идентификатора администратора в меню АМДЗ (это аппаратная часть комплекса СЗИ) выбираете пункт «Администрирование». В программе администратора в меню «Помощь» выбираете пункт «О системе» — среди других параметров указан серийный номер платы.
4. Если установлено в ОС СПО «Аккорд-Win32», или «Аккорд-Win64», то в группе «Аккорд» есть программа «Тест для проверки работы контроллера». Запускаете, в верхней левой части окна отображается серийный номер.

32. Нам необходимо приобрести СЗИ от НСД для ПК, на котором происходит работа с программой АРМ «Клиент Банка России» для обмена электронными документами с Центральным Банком РФ. Какой из Ваших продуктов нам нужно заказать?

На компьютер, на котором ведется работа с АРМ «Клиент Банка России», в соответствии с документацией на это ПО, должен быть установлен ПАК «Аккорд-Win32» или «Аккорд-Win64» для автономных компьютеров. Вам нужно заказать один из этих комплексов, в зависимости от разрядности операционной системы и имеющегося в Вашем ПК свободного слота расширения.

33. Не можем найти файл лицензии для Аккорд-Win32 (Аккорд-Win64), который был записан на носителе в составе комплекса. Можно ли его как-то восстановить?

Для восстановления ключевого файла лицензии необходимо написать письмо на адрес key@okbsapr.ru с указанием серийного номера контроллера и названия комплекса (Аккорд-Win32, Аккорд-Win64). Если используется комплекс для терминальных систем (Terminal Server Edition, TSE), также укажите это в письме. После этого в ответ будет выслан новый лицензионный файл. Восстановление лицензионного ключа производится бесплатно.

34. Какие есть особенности настройки Аккорд-Win32 (Аккорд-Win64) с антивирусным ПО(Антивирус Касперского, Dr.Web, ESET NOD32, Symantec и др.)?

Мы даем общие рекомендации по работе СПО «Аккорд» с антивирусным ПО. Вам необходимо добавить в доверенную зону антивируса системные файлы СПО «Аккорд», расположенные в каталоге Windows:
WINDOWSSYSTEM32ACCORD.SCR
WINDOWSSYSTEM32ACGINA.DLL
WINDOWSSYSTEM32ACNP.DLL
WINDOWSSYSTEM32ACRUNNT.EXE
WINDOWSSYSTEM32ACRUNVDD.DLL
WINDOWSSYSTEM32ACRUNVDD.EXE
WINDOWSSYSTEM32ACUSRMOD.DLL
WINDOWSSYSTEM32AZIAHLP.DLL
WINDOWSSYSTEM32DRIVERSACBOOT.SYS
WINDOWSSYSTEM32DRIVERSACLOCK2K.SYS
WINDOWSSYSTEM32DRIVERSACRUN.SYS
WINDOWSSYSTEM32DRIVERSACXALLOW.SYS
WINDOWSSYSTEM32DRIVERSACXLMSRV.SYS
WINDOWSSYSTEM32TMATTACH.DLL
WINDOWSSYSTEM32TMDRV32.DLL
Для ПАК СЗИ НСД «Аккорд-Win32» также необходимо добавить в доверенную зону антивируса каталог Accord.NT и системный файл WINDOWSSYSTEM32AUTOEXEC.NT, а для ПАК СЗИ НСД «Аккорд-Win64» — каталог Accord.x64 и следующие системные файлы СПО «Аккорд»», расположенные в каталоге WINDOWS:
WINDOWSSYSTEM32ACNP.DLL
WINDOWSSYSTEM32ACUSRM64.DLL
WINDOWSSYSTEM32AZIAH64.DLL
WINDOWSSYSTEM32TMATT64.DLL
WINDOWSSYSTEM32TMDRV64.DLL
Эти каталоги и файлы включаются по умолчанию в набор ПРД для группы «Обычные». Если после выполнения нашей рекомендации все равно остаются проблемы, обратитесь в техническую поддержку (e-mail:help@okbsapr.ru).

35. После активации Аккорд-Win32 и перезагрузки происходит падение в синий экран. На ПКустановлен антивирус ESET NOD32.

Рекомендуем Вам отключить модуль Anti-Stealth антивируса.

36. Имеется: контроллер Аккорд-5.5Е, СПО «Аккорд-Win64» (2шт.); контроллер Аккорд-5MX, СПО «Аккорд-Win32» (1шт.). Возможно ли использовать СПО «Аккорд-Win32» для контроллера Аккорд-5.5E?

В комплекс «Аккорд» входит лицензионный ключ, привязывающий СПО к тому контроллеру, для которого Вы его приобрели. Использовать СПО с другим контроллером не получится, не подойдет лицензия. Необходимо приобрести СПО заново, указав номер другого контроллера, и Вы получите новый лицензионный ключ.

37. Как правильно одновременно сменить пароль для пользователя и в СЗИ НСД«Аккорд-АМДЗ» и в СПО «Аккорд» («Аккорд-Win32»/«Аккорд-Win64»)?

Для корректной смены пароля пользователя в СЗИ НСД «Аккорд-АМДЗ» и СПО «Аккорд» рекомендуется использовать следующий способ: на клавиатуре нажать комбинацию клавиш «Ctrl-Alt-Del», в открывшемся окне выбрать «Смена пароля», задать новый пароль. В результате данных действий пароль изменится и в программной части комплекса «Аккорд», и в базе пользователей в аппаратной части СЗИ НСД «Аккорд-АМДЗ». Обратите внимание, что для этого необходимо разрешить пользователю менять пароль, а также в настройках СПО «Аккорд» выбрать опции «Синхронизация с базой АМДЗ» и «Синхронизация с базой пользователей NT».

38. Как пользователь в СПО «Аккорд» может получить доступ к сетевым ресурсам?

Для разрешения доступа пользователя к сетевым ресурсам нужно явно указать полное сетевое имя ресурса. Если правила доступа к сетевым ресурсам определяются администратором домена (сервера), то можно задать универсальный сетевой ресурс. Для этого в список нужно включить объект \ (ввести с клавиатуры), установить ему полный доступ и наследование на все подкаталоги.

39. У нас на сервере установлен ПАК Аккорд-Win32/Аккорд-Win64 TSE. При попытке подключения к серверу с помощью ШИПКи-2.0 возникает сообщение «The card supplied requires drivers that are not present on this system. Please try another card» («Имеющаяся плата требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую плату»). Что можно сделать?

Сообщение «Имеющаяся плата требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую плату» является информационным, не указывает на возникновение ошибки и не влияет на работоспособность системы. Вы можете нажать «ОК» и продолжить работу.

Если появление данного сообщения вызывает неудобства, рекомендуется обновить СПО Аккорд-Win32/Аккорд-Win64 TSE до актуальной версии (не ниже 4.0.8.36/5.0.7.35). Для получения дистрибутивов для обновления необходимо написать письмо на адрес технической поддержки help@okbsapr.ru

Также проверьте содержимое файла CardsATR.txt из каталога C:Accord.NT (C:Accord.x64) на терминальном сервере, оно должно быть следующим:

[CARDS]
ATR1=3b,8f,80,01,80,4f,0c,a0,00,00,03,06,03,00,03,00,00,00,00,68
ATR2=3f,78,95,00,00,30,00,00,00,08,23,03,c0

Если содержимое файла другое, то отредактируйте его в соответствии с вышеприведенным текстом.

После изменения файла CardsATR.txt необходимо запустить утилиту «Настройка комплекса Аккорд», выйти из утилиты с сохранением изменений, затем перезагрузить терминальный сервер.

40. Как исправить некорректную работу функции автологин?

Решение:

1. Зайти в «Настройки комплекса Аккорд», снять защиту (Команды -> Снятие) и перезагрузить ПК.
2. Убедиться, что в реестре (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthenticationCredential Providers) остались ключи AcGina и CertCredProvider.
3. Убедиться, что в реестре (HKEY_CLASSES_ROOTCLSID) нет аналогов для ключей AcGina и CertCredProvider.
4. Удалить из реестра ключи AcGina и CertCredProvider.
5. Зайти в «Настройки комплекса Аккорд», включить защиту Аккорд (Команды -> Активация) и перезагрузить ПК.

41. В работе используем ПК и USB-считыватель ТМ, который требует установки драйвера tmacu32.sys от 03.04.2012 года . После подключения в порт ПК USB-считывателя ТМ производится попытка автоматической установки драйвера, заканчивающаяся появлением «синего экрана». Возможно, существует актуальный драйвер, с которым подобной проблемы не возникает? На ПК также установлено СПО Secret Net.

Вами используется актуальная версия драйвера. Причина подобной ошибки может быть в некорректных настройках СПО Secret Net. Необходимо убедиться, что до установки драйвера USB-считывателя ТМ было разрешено его использование в СПО Secret Net

42. При работе с ПО САЭС (ключевое хранилище — ТМ) и подключении к терминальному серверу с СПО «Аккорд» (идентификатор — ШИПКА) возникают проблемы с определением ключевого хранилища или с определением идентификатора при входе в терминальную сессию.

Для решения данной проблемы необходимо в утилите «Настройка терминального клиента Аккорд» установить в качестве основного идентификатора — «TM-идентификатор (USB)» (если на клиентском АРМ установлен Аккорд-АМДЗ, то «TM-идентификатор (АМДЗ)»), в качестве дополнительного — «ШИПКА».

При запросе идентификатора для входа на терминальный сервер необходимо отключать TM от считывателя, если идентификатор каким-либо образом в нем зафиксирован.

Также необходимо учитывать, что при такой настройке не будет работать реакция на отключение идентификатора (ACED32 — «Параметры SS» — «Дополнительные параметры» — «При отключении Идентификатора:»).

43. На СВТ установлен ПАК «Аккорд» и настроен мандатный механизм разграничения доступа с контролем процессов. Процессам установлены уровни доступа в соответствии с уровнями доступа пользователей. Однако существует возможность несанкционированной модификации процессов: при переименовании какого-либо процесса присвоенный ему уровень доступа не действует, процесс становится доступным любому пользователю. В связи с этим возникает вопрос: как контролировать процессы не по имени, а, например, по контрольной сумме, чтобы пользователи не могли несанкционированно модифицировать процессы?

В целях исключения возможности возникновения несанкционированного доступа (НСД) к процессам (например, при несанкционированной модификации процесса) рекомендуется выполнять процедуру создания «белого» списка процессов с помощью мандатного механизма разграничения доступа с контролем процессов и динамического контроля целостности файлов из этого списка.

44. Если перед загрузкой компьютера извлечь СЗИ НСД «Инаф» из USB-порта, становится возможным выполнение загрузки недоверенной ОС. Какие меры необходимо предпринять для предотвращения возникновения такой ситуации?

Для корректной работы СЗИ НСД «Инаф» необходимо:

1. установить в BIOS компьютера вариант загрузки с «Инаф» как с жесткого диска;
2. установить пароль на вход в BIOS;
3. принять административные меры, исключающие несанкционированное отключение устройства от USB-порта компьютера:
   • ограничить физический доступ к СВТ и/или
   • зафиксировать устройство «Инаф» с помощью специальных креплений и/или голографической наклейки или
   • установить контроллер внутрь корпуса СВТ и опечатать корпус системного блока СВТ с помощью голографической наклейки.

45. Как можно посмотреть файлы журналов СЗИ НСД «Аккорд-АМДЗ» (DOS) с прошивкой версии 02.01.015?

1. В разделе «Администрирование» выберите вкладку «Журнал», нажмите кнопку «Сохранить» (F2), затем выберите пункт «Идентификатор»/«Floppy-диск». Выберите имя файла и сохраните файл с расширением.LST на ТМ-идентификатор (ТМ-1996) или дискету.
   Примечание: в случае если Вы используете дискету, Вам необходимо перейти к пункту 5.
2. В ОС Windows запустите утилиту tmexplorer, во вкладке «Команды» выберите пункт «Запись журнала в ТМ», предъявите ТМ-идентификатор, куда ранее был записан файл журнала, выберите имя и расширение для файла, в который будет скопирован журнал. В выбранной папке появиться файл с выбранным именем и расширением.
3. В командной строке введите команду: bcopy <filename> log.zip 64, где <filename> — файл, считанный из TM, а log.zip — имя архива, который будет создан в результате выполнения команды.
4. Распакуйте архив log.zip с помощью ПО «7-Zip».
5. Полученный файл с расширением .LST откройте в MS Word, используя кодировку Кириллица (DOS) KOI-8.

46. На СВТ установлен ПАК «Аккорд» и настроен дискреционный механизм разграничения доступа. Для каталога «CatalogName» установлен запрет на удаление файлов (т.е. не установлен атрибут доступа «D»). При попытке сохранения файла «Name.txt» в каталог «CatalogName» на экране появляется сообщение «У вас отсутствуют права на изменение файлов на этом сетевом диске. Обратитесь к администратору, чтобы получить права для внесения изменений». При этом в самом каталоге «CatalogName» файл «Name.txt» сохраняется пустым. С чем может быть связана описанная ситуация?

Особенности работы некоторых прикладных приложений на СВТ с установленными правилами разграничения доступа ПАК «Аккорд» приводят к возникновению непрогнозируемых последствий, однако нарушения логики работы ПАК «Аккорд» при этом отсутствуют. Описанная ситуация связана с особенностями работы программы Notepad.exe. Чтобы сохранить файл «Name.txt» в каталог «CatalogName», рекомендуется выполнить процедуру сохранения файла повторно.

47. При заведении нового пользователя с использованием оболочки AcTskMng.exe всплывающие сообщения некоторых приложений с иконок в системном трее отображаются с неправильной кодировкой Например, Kaspersky Endpoint Security 10.

Для корректного отображения русских символов в трее, необходимо перед назначением стартовой задачей AcTskMng.exe выполнить (однократный) вход пользователя в ОС после активации ПАК Аккорд.

48. Каким образом можно получить установочный комплект для установки МДЗ «Аккорд-МКТ»?

Для получения установочного комплекта МДЗ «Аккорд-МКТ» необходимо направить в службу технической поддержки ОКБ САПР (help@okbsapr.ru) следующую информацию:

1. Скан-копию или фото Паспорта (Формуляра) на МДЗ «Аккорд-МКТ» с изображением раздела с контрольными суммами amdz-ng-gui.
2. Отчет, сформированный утилитой AIDA64/Everest, об аппаратных характеристиках СВТ.
3. Полный отчет об СВТ, сформированный посредством утилиты WinAudit (http://www.parmavex.co.uk/winaudit.html, в формате .html), или результат выполнения команды msinfo (msinfo32 /nfo; C:server.nfo).

В ответ на предоставленную информацию направляется образ загрузочного USB-носителя с установочным комплектом МДЗ «Аккорд-МКТ» и инструкция по установке.

49. Что означает, что «Секрет Особого Назначения» содержит «механизмы защиты от атак, связанных с нарушением целостности аппаратного модуля»?

Дополнительно к основной функциональности — контроля подключения только к разрешенным компьютерам, защитные свойства «Секрета» могут быть усилены посредством технологических мер защиты от атак, связанных с несанкционированным изменением структуры аппаратного модуля. Это защита данных от попытки их считывания с микросхемы памяти напрямую, минуя блок аутентификации. Такая попытка может осуществляться путем разбора устройства и выпаивания микросхемы, или подключения к ней специальных инструментов (то есть несанкционированного изменения структуры аппаратного модуля). Защита от такой атаки заключается в «прозрачном» (посекторном) шифровании. «Прозрачное» шифрование позволяет шифровать и расшифровывать файлы автоматически («прозрачно» для пользователя), при этом от пользователя не требуется никаких дополнительных действий. На СН «Секрет» данные зашифровываются при записи на диск, расшифровывается при чтении с диска. На диске СН данные находятся в зашифрованном виде (таким его и видит тот, кто пытается читать напрямую с микросхемы), а пользователь видит всегда обычный открытый файл [1].

Реализованный в СН «Секрет» метод «прозрачного» шифрования с нормативной точки зрения шифрованием не является (именно поэтому эта защитная функция названа так сложно – «реализация технологических мер защиты от атак, связанных с несанкционированным изменением структуры аппаратного модуля»). Для пояснения высказанного тезиса обратимся к тому, что есть шифрование.

Шифрование данных определяется в книгах по криптографии как процесс перевода открытых (незашифрованных) данных в зашифрованные с помощью секретного ключа [2]. Пользователь (или программа) зашифровывает информацию с помощью секретного ключа для последующей её передачи либо хранения. Расшифровать зашифрованные данные может лишь ограниченный круг пользователей (либо программ). Ограничение этого круга производится путем распределения ключей: тот, у кого есть ключ – легальный получатель данных.

С нормативной точки зрения целью шифрования данных конфиденциального характера является ограничение доступа пользователей (или программ) к этим данным.

В «Секретах» с «прозрачным» шифрованием владельцами секретного ключа являются не пользователи (или программы), а сами СН. Секретный ключ вырабатывается и хранится внутри посредством встраиваемого ПО СН – firmware – с использованием ресурсов только СН без задействования ресурсов компьютера. Ключ генерируется с помощью физического ДСЧ СН, хранится и используется в защищенной памяти микроконтроллера. Ни пользователь, ни какая-либо программа (кроме firmware «Секрета») не могут не только получить доступ к ключу, но и инициировать его применения – дать команду «зашифровать» или «расшифровать».

От использования ключа, неизвлекаемого из ключевого носителя, ситуация отличается именно этим – отсутствием целенаправленного действия «зашифровать» / «расшифровать», поэтому «Секрет» – не токен и не СКЗИ.

Целью шифрования данных в СН «Секрет» является не ограничение круга пользователей (или программ), которые могут получить доступ к данным, а ограничение круга способов, с помощью которых можно эти данные прочитать. При этом данные на СН зашифровываются с помощью ключа и расшифровываются по его предъявлении. С нормативной точки зрения реализованный в «Секретах» метод шифрования шифрованием не является. Хотя с точки зрения математики это и есть шифрование (так как условие «зашифровать-расшифровать с помощью ключа» выполняется).

Этот способ ограничения находится в русле общей логики защиты данных на СН «Секрет»: сделать нелегальное физическое обладание СН бессмысленным. Получив в свое распоряжение «Секрет», получить доступ к данным на нём на не разрешенном явно для СН компьютере не разрешенному явно пользователю невозможно ни штатным образом (подключив к компьютеру и используя какое-то специальное ПО), ни даже подключившись к микросхеме напрямую или выпаяв ее совсем. Тогда одинаково бесполезно красть или находить (терять), отнимать (отдавать), покупать (продавать) «Секрет», и так далее. Ни записать на «Секрет» вирус или программу, или считать данные с него на неразрешенном компьютере невозможно даже при наличии специальных умений и инструментов или содействии пользователя [3].

Надо иметь в виду, что за счет применения технологических мер защиты от атак, связанных с несанкционированным изменением структуры аппаратного модуля, заметно снижается скорость чтения/записи, это неизбежные издержки. В СН «Секрет» без них скорости чтения/записи не отличаются от скоростей обычных флешек.

[1] «Прозрачное шифрование: преимущества и недостатки». (https://habr.com/ru/company/cybersafe/blog/251041/).

[2] Например, Н. Смарт. Криптография. М.. 2005. 528 с, А.П. Алфёров, А.Ю. Зубов, А.С. Кузьмин, А.В. Черёмушкин. Основы криптографии. Уч. пособие, 2 изд. М.. 2002. – 480 с.

[3] Конявская С. В. Отношение дихотомии «универсальное» / «специальное» СЗИ к понятию комплексной защиты информации // Вопросы защиты информации. М., 2018. № 2 (121). С. 60–65.

50. Подскажите, есть ли какие-то особенности разъема m.2, которые нам стоило бы учесть?

В целом, плата АМДЗ Аккорд является стандартной для m.2 с ключами A+E или E, размером 22×30 мм. Форм-фактор m.2: 2230-D5-A-E или 2230-D5-E.
Но плата АМДЗ выходит за пределы стандарта по высоте элементов, что требует запас по высоте в 2,0 мм над платой и 1,5 мм под платой.
Плата АМДЗ не имеет изоляции сверху и снизу, а значит не может быть установлена «в упор» на токопроводящие элементы — потребуется изоляционный слой.
В разъеме задействована шина PCIe0 (пины 35, 37, 41, 43, 47, 49 разъема). Для случая АМДЗ с напаянной картой памяти используется также шина USB (пины 3, 5 разъема).
Пины 6, 16, 54, 56, 58, 60, 62, 64 зарезервированы. Желательно, чтобы на материнской плате они оставались в воздухе, были входами с высоким сопротивлением или находились в третьем состоянии.

<% If bNewThanNT4 And «Enterprise»=sServerType Then %>

<TR>

    <TD><Img Src=»certspc.gif» Alt=»» Height=10 Width=1></TD>

</TR>

<TR>

    <TD><A Href=»certsces.asp»><LocID ID=locLblSmartcard>

    Request a certificate for a smart card on behalf of another user

    by using the smart card certificate enrollment station.</LocID></A>

    <LocID ID=locAdminWarn><Font Size=-1><BR>

    Note: You must have an enrollment agent certificate to submit a

    request on behalf of another user.</Font></LocID>

    </TD>

</TR>

<%End If%>

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

• Remove From My Forums

Ошибка смарт-карты при смене пароля

• Общие обсуждения

• Добрый день!
  Подскажите, как избавиться от данной ошибки:
  Пользователь ОС Windows 7, включенной в домен авторизовался при помощи сертификата на смарт-карте (сертификат выдан доменным ЦС). Для смены текущего пароля он нажимает Alt+Ctr+Del, нажимает «Сменить
  пароль…» и у него выскакивает ошибка «Ошибка смарт-карты» «Имеющаяся карта требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую карту» и кнопки выбора «Другие учетные данные»
  и «Отмена». Затем ему необходимо выбрать «Другие учетные данные» и выбрать свою учетную запись, только после этого у него есть возможность сменить свой текущий пароль.

  • Изменен тип

    25 июня 2018 г. 5:25
    Обсуждение