Апмдз аккорд руководство администратора

Предложите, как улучшить StudyLib

(Для жалоб на нарушения авторских прав, используйте

другую форму
)

Руководство по установке контроллеров Аккорд-АМДЗ

АННОТАЦИЯ

Настоящий документ является руководством по установке комплекса средств защиты информации от НСД – аппаратного модуля доверенной загрузки – «Аккорд-АМДЗ» (ТУ 4012-006-11443195-97, ТУ 4012-006-11443195-2005, ТУ 4012-038-11443195-2011, ТУ 4012-054-11443195-2013, ТУ 26.20.40.140-079-37222406-2019), далее по тексту «Аккорд-АМДЗ», и предназначен для лиц, планирующих и организующих защиту информации с их использованием в системах и средствах информатизации на базе ПЭВМ.

В документе приведены основные функции и особенности настройки комплекса СЗИ НСД «Аккорд-АМДЗ», работающего на основе контроллеров:

– Аккорд-5МХ, Аккорд-5.5, Аккорд-5.5.е, Аккорд-5.5МР, Аккорд-5.5МЕ, Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-006-11443195-97);

– Аккорд-5.5, Аккорд-5.5е, Аккорд-5.5МР, Аккорд-5.5МЕ (для СЗИ НСД «Аккорд-АМДЗ» версии 3.2, выпускаемого по ТУ 4012-006-11443195-2005);

– Аккорд-5.5(e), Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-038-11443195-2011);

– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-054-11443195-2013);

– Аккорд-GX, Аккорд-GXMH, Аккорд-GXM, Аккорд-GXМ2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемых по ТУ 26.20.40.140-079-37222406-2019).

Перед установкой и эксплуатацией комплекса СЗИ НСД «Аккорд-АМДЗ» необходимо внимательно ознакомиться с комплектом эксплуатационной документации на комплекс, а также принять необходимые защитные организационные меры, рекомендуемые в документации.

Применение защитных средств комплекса должно дополняться общими мерами технической безопасности.

СОДЕРЖАНИЕ

1. ОБЩИЕ СВЕДЕНИЯ О КОМПЛЕКСЕ
1.1. Назначение СЗИ НСД «Аккорд-АМДЗ»
1.2. Состав комплекса
1.2.1. Общие сведения о составе комплекса
1.2.2. Контроллеры «Аккорд»
1.3. Поддерживаемые устройства
1.3.1. Идентификаторы
1.3.2. Съемники информации
2. УСТАНОВКА КОМПЛЕКСА «АККОРД-АМДЗ»
2.1. Порядок установки и настройки
2.2. Установка платы контроллера
2.3. Подсоединение контактного устройства (съемника информации)
2.4. Установка параметров учетной записи «Гл. Администратор»
3. ОБНОВЛЕНИЕ ВСТРОЕННОГО ПО КОНТРОЛЛЕРОВ
4. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД»
5. РАБОТА КОМПЛЕКСА «АККОРД-АМДЗ» В СОСТАВЕ ПАК СЗИ НСД «АККОРД»
5.1. Общие сведения
5.2. Установка драйвера для «Аккорд-АМДЗ»
5.3. Установка и настройка СПО
6. СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД-АМДЗ»
7. ТЕХНИЧЕСКАЯ ПОДДЕРЖКА
ПРИЛОЖЕНИЕ А. Трудности при установке комплекса и методы их преодоления

Аккорд АМДЗ РУКОВОДСТВО ПО УСТАНОВКЕ. Программно-аппаратный комплекс средств защиты. (Аппаратный модуль доверенной загрузки)

1 ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ УТВЕРЖДЕН ЛУ Программно-аппаратный комплекс средств защиты информации от НСД для ПЭВМ (PC) Аккорд АМДЗ (Аппаратный модуль доверенной загрузки) РУКОВОДСТВО ПО УСТАНОВКЕ Литера О 1

2 СОДЕРЖАНИЕ Руководство по установке 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО 3 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД- АМДЗ» Назначение элементов и разъемов на плате контроллера Подсоединение контактного устройства (съемника информации) Установка контроллера в свободный слот материнской платы ПЭВМ Ошибка! Закладка не определена Назначение ТМ-идентификатора администратора безопасности информации (АБИ) 5 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД» УСТАНОВКА ПО РАЗГРАНИЧЕНИЯ ДОСТУПА НА ЖЕСТКИЙ ДИСК. 8 2

3 Установка программно-аппаратного комплекса СЗИ НСД «Аккорд-АМДЗ» включает три основных этапа: 1. Установку платы контроллера в свободный слот ПЭВМ и регистрацию администратора БИ (супервизора), в том числе, настройку комплекса в соответствии с конфигурацией технических средств ПЭВМ. 2. Регистрацию пользователей, назначение пользователям личных ТМ-идентификаторов, паролей и времени доступа. 3. Назначения списка дисков, файлов, разделов реестра, контролируемых на целостность. Перед началом установки комплекса «Аккорд-АМДЗ» рекомендуется подробно ознакомиться с эксплуатационной документацией, прежде всего с «Описанием применения» ( ) и настоящим руководством. 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО В настоящее время технические средства комплекса защиты от НСД «Аккорд-АМДЗ» для установки в слот шины mini-pci-express выпускаются на базе контроллера «Аккорд-5.5 mini-pcie». Эта модификация комплекса: — может использоваться на ПЭВМ с процессором Intel Pentium I и выше, объемом RAM 8 Мбайт и более; — требует для установки свободный слот mini-pci-express; — использует для идентификации персональные идентификаторы DS DS 1996 с объемом памяти до 64 Кбит; — использует для аутентификации пароль до 12 символов; — блокирует загрузку с отчуждаемых носителей (FDD, CD ROM, ZIP, и др.); — предусматривает регистрацию до 126 пользователей в энергонезависимой памяти; — имеет аппаратный датчик случайных чисел (ДСЧ); — обеспечивает контроль целостности программ и данных. Для эффективного применения комплекса и поддержания необходимого уровня защищенности ПЭВМ и информационных ресурсов необходимы: — физическая охрана ПЭВМ и ее средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса; — наличие администратора безопасности информации (АБИ) — пользователя, имеющего особый статус и полномочия. Администратор БИ планирует мероприятия по защите информации, определяет права доступа пользователей в соответствии с утвержденным Планом защиты, организует установку комплекса в ПЭВМ, и эксплуатацию защищенной ПЭВМ, ведет учет выданных ТМ-идентификаторов, осуществляет периодическое тестирование комплекса; — использование в ПЭВМ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в ГСЗИ. Контроллер «АККОРД-5.5 mini-pcie», входящий в состав комплекса, имеет два режима доступа к аппаратным ресурсам платы контроллера. Режим 0 (стандартный): доступ к области кода расширения BIOS только по чтению. Режим 1 (специальный, или технологический), в котором при старте компьютера код не исполняется, а области, защищенные при работе контроллера в режиме 0, становятся доступны по чтению/записи. Переход из стандартного режима в специальный (технологический) требует перевода переключателя в крайнее верхнее положение (см. Рис.1 — вид на плату со стороны установочных элементов, шинный разъем внизу). В технологическом режиме возможна перезапись внутреннего ПО контроллера без изменения аппаратной части и очистка базы данных пользователей, например, при утере ТМ-идентификатора администратора. Запись программного кода в BIOS контроллера возможна только при загрузке на компьютере однозадачной ОС. После перепрограммирования контроллера, или очистки базы данных необходимо выключить питание 3

4 компьютера, извлечь контроллер и вернуть переключатель технологического режима в исходное (крайнее нижнее) положение. Штатные операции изменения режима работы производятся под контролем службы безопасности. 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД-АМДЗ» В SETUP компьютера параметр «Plug & Play O/S» должен быть установлен в NO. Это обеспечивает корректную инициализацию BIOS контроллера «Аккорд», как PCI устройства. Установка контроллера должна производится только при выключенном питании ПЭВМ! Для установки аппаратной части комплекса необходимо: 1. Отключить питание компьютера. 2. Открыть защитную крышку разъема mini-pci-express и установить в свободный слот контроллер комплекса Назначение элементов и разъемов на плате контроллера. Расположение элементов на плате контроллера «Аккорд-5.5 mini-pcie» показано на рис. 1. Рис. 1. Плата контроллера «Аккорд-5MX mini-pci» После установки в компьютер контроллер Аккорд-5.5 mini-pcie при старте автоматически определяет свободное адресное пространство и выбирает начальный адрес для размещения расширения BIOS в адресном пространстве. Это обеспечивает стабильную работу комплекса на большинстве ПЭВМ, однако возможны конфликты с устройствами, у которых некорректно отрабатывается функция PnP. 4

5 2.2. Подсоединение контактного устройства (съемника информации) Установка съемника информации должна производиться только при выключенной ПЭВМ! Контактное устройство (съемник информации) предназначено для обеспечения взаимодействия контроллера комплекса СЗИ НСД с персональным идентификатором пользователя (TM идентификатор). Контроллер Аккорд-5MX mini-pcie имеет двухконтактный разъем (на схеме обозначен как «Разъем подключения ТМ-идентификатора»), через который можно вывести провода на внешнее контактное устройство. Возможен вариант, когда эти провода коммутируются на разъем RJ11, например, разъем подключения модема. В этом случае к разъему RJ11 подключается штатный внешний съёмник из состава комплекса. Варианты подключения определяются конструктивными особенностями конкретного компьютера Назначение ТМ-идентификатора администратора безопасности информации (АБИ) После установки контроллера включить питание компьютера. В процессе загрузки управление передается контроллеру «Аккорд» и выполняется начальная инициализация. Определяется состав аппаратных средств ПЭВМ и данные заносятся в энергонезависимую память контроллера. Далее производится форматирование базы данных пользователей и внутреннего журнала. После завершения инициализации на экран выводится стартовое меню, в котором доступны для выбора только пункты «Администрирование». В Н И М А Н И Е! При помощи программы администратора, записанной в энергонезависимой памяти контроллера, обязательно зарегистрировать главного администратора БИ и назначить ему ТМидентификатор (особо обратите внимание на процесс генерации секретного ключа пользователя если ТМ-идентификатор регистрируется впервые, то следует сгенерировать новый секретный ключ, если ТМ-идентификатор уже зарегистрирован на другом комплексе «Аккорд», то следует выбрать опцию «уже записан в ТМ»). Если все действия произведены правильно, то после выхода из программы администрирования по клавише выполняется процедура идентификации/аутентификации и становятся доступными для выбора остальные пункты стартового меню администратора. Если этого не происходит, то вернитесь в режим администрирования и проведите регистрацию администратора (супервизора) более внимательно в соответствии с «Руководством администратора». Будьте внимательны и тщательно изучите документацию на комплекс (в частности «Руководство администратора»). Перезагрузите компьютер и убедитесь в том, что в процессе загрузки появляется сообщение на синем фоне: «Прислоните TM-идентификатор. » и после прикосновения TM-идентификатором Гл. администратора к съемнику информации происходит загрузка ПЭВМ и выводится стартовое меню администратора. В дальнейшем с помощью программы администратора (в стартовом меню выбрать пункт «Администрирование») можно регистрировать новых пользователей, менять состав контролируемых объектов и работать с журналом регистрации событий. Комплекс «Аккорд-АМДЗ» установлен! 5

6 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ. При старте компьютера управление не передается контроллеру «Аккорд» Жесткий диск не размечен и не отформатирован, т.е. не имеет ни одного логического раздела. Причина: Если на жестком диске нет загрузочной записи (MBR) и не установлен ни один сменный загрузочный диск, то нет и возможности перехватить загрузку при старте контроллера «Аккорда». Разметить диск и отформатировать его в одной из файловых систем, которые поддерживает СЗИ «Аккорд», вставить любой загрузочный диск. Контроллер находится в технологическом режиме. В этом случае не выполняется старт программы микропроцессора на плате контроллера и загрузка не перехватывается. Перевести контроллер в рабочий режим. Нет реакции на прикосновение ТМ-идентификатором к контактному устройству (съемнику). Причина: Кабель контактного устройства подключен неверно. 1. Выключить компьютер. 2. Поменять полярность подключения проводов к контактному устройству, которое связано с разъемом на плате контроллера. При попытке стереть в контроллере Аккорд-5.5 mini-pcie базу данных пользователей (контроллер в технологическом режиме) выдается сообщение: Контроллер неисправен либо не установлен. Программа очистки базы данных пользователей запускается из многозадачной ОС(Windows 95/98, Windows NT/2000/XP) В многозадачной ОС каждой программе или процессу выделяется виртуальная память, а программа очистки БД пользователей работает с платой контроллера по физическому адресу. загрузить на компьютере со сменного носителя MS DOS или Windows 95/98 в режиме Command prompt only. Очистить базу данных пользователей. Версия программы очистки БД не соответствует версии контроллера. Причина: Для каждой версии контроллера используется своя программа очистки БД пользователей. Контроллеру Аккорд-5.5 mini-pcie соответствует программа IP55.EXE. используйте программу, соответствующую типу контроллера. Контроллер работает нормально, но после выполнения процедур идентификации/аутентификации и контроля целостности загрузка ОС не выполняется (в левом верхнем углу темного экрана мигает курсор). Компьютер заражен загрузочным вирусом. Комплекс «Аккорд АМДЗ» аппаратно берет на себя процесс загрузки ПЭВМ. Если все процедуры контроля и идентификации пользователя выполнены правильно, то загрузка передается стандартному загрузчику ОС по определенному адресу. Компьютерные вирусы, которые располагаются в загрузочной области жесткого диска, обычно помещают себя в область 6

Аккорды

1. Как перевести контроллер Аккорд-АМДЗ в технологический режим (и обратно в рабочий режим)?

Для перевода в технологический режим необходимо следующее:

1. Для контроллеров , 5MX, 5.5 открутить металлическую хромированную планку, которая фиксирует плату в слоте, и открутить винты блокировки спец. режима. Если установлен джампер технологического режима (для контроллеров , 5MX, 5.5), то его следует снять.
2. Для контроллера нужно надеть джампер технологического режима XM.
3. Для контроллеров , GXM нужно переключить микропереключатель.
4. Для контроллера GXM.2 необходимо повернуть подстроечный резистор (переключатель технологического режима) против часовой стрелки на 180 градусов. При включении технологического режима на плате контроллера должны гореть зеленый и красный светодиоды.
5. Для контроллера нужно замкнуть металличским проводником переходные отверстия 1 и 2.

Чтобы вернуть контроллер в рабочий режим, Вам нужно:

1. Для , 5MX, 5.5 прикрутить металлическую планку и установить джампер технологического режима, если он был.
2. Для контроллера нужно снять джампер технологического режима XM.
3. Для контроллеров , GXM нужно переключить микропереключатель в начальное положение.
4. Для контроллера GXM.2 следует повернуть подстроечный резистор по часовой стрелке на 180 градусов — на плате контроллера должен гореть зеленый светодиод
5. Для контроллера убрать металлический проводник.
6. Про перевод контроллеров в технологический режим и обратно также написано в «Руководстве по установке »

2. Порядок очистки базы данных контроллеров

1. Выключить компьютер и вынуть плату контроллера из разъема системной шины.
2. Перевести контроллер в технологический режим (подробнее написано в ответе №1)
3. Вставить плату в компьютер.
4. Загрузить компьютер в OC MS-DOS (никаких менеджеров памяти (QEMM, EMM386 и т.п.) быть не должно!). Примечание: Загрузиться в MS-DOS можно с дискеты, flash-накопителя или CD. Загрузочную дискету MS-DOS можно создать c помощью Windows XP при выборе параметров форматирования дискеты. Образ загрузочной дискеты с набором утилит для очистки базы данных для последней версии ПО можно также получить на сайте ОКБ САПР (утилита записи образа на дискету включена в архив). Кроме того, все CD с дистрибутивом для СЗИ НСД «Аккорд-АМДЗ» являются загрузочными.
5. Если загруженная DOS не поддерживает русский шрифт, то Вы можете запустить ACRUS.EXE (русификатор экрана).
6. Запустить ipXX.ехе (где XX — модель перепрошиваемого контроллера, для контроллеров GX, GXM, GXMH, LE единая утилита ipgx.exe).
7. Выключить компьютер, вернуть контроллер в рабочий режим (подробнее написано в ответе №1)
8. Установить контроллер в компьютер.

• посредством выбора пункта «Очистка БД контроллера» в стартовом меню администратора (для контроллеров Аккорд-5, 5MX, 5.5;
• посредством нажатия кнопки «Форматировать БД» на вкладке «Пользователи» главного окна программы администрирования (для контроллеров GX, GXM, GXMH, LE).

3. Порядок обновления встроенного ПО контроллеров

1. Создать загрузочный USB-носитель MS-DOS. Набор утилит для обновления встроенного ПО можно получить на сайте ОКБ САПР http://www.accord.ru/support/update/. Примечание: Вместо загрузочного USB-носителя в процессе обновления встроенного ПО можно также использовать загрузочную дискету MS-DOS или загрузочный CD MS-DOS. Загрузочную дискету MS-DOS можно создать c помощью Windows XP при выборе параметров форматирования дискеты.
2. Скопировать набор файлов обновления внутреннего ПО контроллера с CD на USB-носитель (дискету, или жесткий диск в FAT раздел). Если обновления получены с сайта ОКБ САПР (http://www.accord.ru/support/update/), разархивировать в отдельный каталог. Снять с файлов атрибут «только чтение». ВАЖНО. Набор файлов обновления должен точно соответствовать типу Вашего контроллера, а для Аккорд-5 и 5.5 – еще и типу процессора Atmel, установленного на плате. ВНИМАНИЕ! Процедура обновления встроенного ПО включает в себя также процедуру очистки БД контроллера. Поэтому, во избежание потери необходимых данных, рекомендуется сначала выполнять операцию экспорта списка пользователей и списка контроля целостности (см. «Руководство администратора (контроллеры Аккорд-5.5, Аккорд-5.5e, Аккорд-5MX)»), затем – процедуру обновления встроенного ПО, затем – операцию импорта списка пользователей и списка контроля целостности в обновленный контроллер.
3. В командной строке перейти в каталог, в который ранее был скопирован комплект файлов обновления согласно пункту 2, и выполнить команду: amdzeegn.exe ee.bin nnnnnnnn где: nnnnnnnn – восьмизначный серийный номер (он указан в формуляре на комплекс и присутствует на наклейке с обратной стороны платы). Эта команда записывает серийный номер в файл ee.bin, из которого в процессе прошивки данные заносятся в память микропроцессора. Для всех контроллеров rev.8 эту операцию выполнять не нужно, т.к. серийный номер в них записывается однократно при производстве.
4. Выключить компьютер и вынуть плату контроллера из разъема системной шины.
5. Перевести контроллер в технологический режим (подробнее написано в ответе №1).
6. Вставить плату в компьютер.
7. Загрузить компьютер в OC MS-DOS (никаких менеджеров памяти (QEMM, EMM386 и т.п.) быть не должно!) с помощью загрузочного USB-устройства (дискеты, CD), созданного в рамках выполнения пункта 1 настоящей последовательности действий.
8. В командной строке запустить командный файл all_p.bat из каталога, в котором ранее был сгенерирован файл ee.bin согласно пункту 3 настоящей последовательности действий (или из директории BIOSACCXX CD СЗИ НСД«Аккорд-АМДЗ» (где XX — модель перепрошиваемого контроллера)).Примечание: Внимательно проследите, чтобы каждая операция завершалась сообщением «OK». В случае появления ошибки верификации при записи firmware микроконтроллера или EEPROM — выполнить командный файл обновления еще раз.
9. Выключить компьютер, вернуть контроллер в рабочий режим (подробнее написано в ответе №1).
10. Установить контроллер в компьютер.

4. Как рассчитать количество клиентских лицензий на право использования СПО «Аккорд-Win32» («Аккорд-Win64») в режиме TSE (Terminal Server Edition) при применении в системах терминального доступа?

Если один терминальный сервер, то приобретается один комплекс «Аккорд-Win32» («Аккорд-Win64») и оплачивается то количество лицензий, которое соответствует максимальному количеству удаленных клиентов, одновременно подключающихся к серверу в режиме терминального доступа. Если серверов несколько, и они работают в режиме «горячего резервирования», например, объединенные в ферму Citrix, то на каждый сервер приобретается комплекс «Аккорд-Win32» («Аккорд-Win64») и оплачивается количество лицензий, которое соответствует максимальному количеству удаленных клиентов. Общее количество оплачиваемых клиентских лицензий равно x . При работе нескольких серверов в составе фермы в случае выхода из строя одного сервера нагрузка распределяется между работающими серверами. В самом критичном случае все пользователи могут работать с одним сервером. Именно этот факт определяет требование о наличии максимально возможного количества лицензий на каждом сервере.

5. Подскажите как решить проблему. Забыл пароль супервизора! Больше пользователей не заведено. Как можно сбросить все настройки?

В комплекте с контроллером АМДЗ всегда поставляется дискета или CD. На дискете — прямо в корне — файл readme.1st и утилита для очистки БД. На CD — папка BIOS, в ней подкаталоги, соответствующие типам контроллеров. Тип контроллера прописан в формуляре, а на плате можно найти маркировку, если это удобнее, чем искать формуляр. В крайнем случае в разделе «Обновление ПО» можно скачать утилиты для перепрошивки для всех контроллеров и перепрошить контроллер. Обратите внимание на тип микропроцессора (квадратная микросхема фирмы Atmel)!

6. Такая еще проблема: ставишь пользователю опцию, чтоб он мог самостоятельно пароль сменить при истечении срока действия. Срок действия истекает, а пользователь сменить пароль не может!

Это так политика безопасности в АМДЗ реализована: если еще день-два остается до смены, то выдается предупреждение о необходимости смены пароля и пользователь может его поменять сам, а если срок прошел, то, значит, опоздал, и АМДЗ требует администратора. Исправлено в последних версиях внутреннего ПО.

7. У меня возникла такая проблема: включаю компьютер, прикладываю как обычно ТМ-идентификатор. Компьютер говорит, что доступ разрешен. Выбираю загрузку с жесткого диска. Но загрузка Windows 2000 вдруг идет не до конца. Windows даже не доходит до запроса на ввод логина и пароля пользователя. Экран просто остается голубым, мышкой можно двигать, но больше ничего, на нажатия кнопок Windows не реагирует. При этом индикатор работы винчестера начинает гореть постоянно, по звукам компьютер как будто что-то постоянно считывает с винчестера. Но сколько бы я не ждал, изменений никаких нет, один лишь голубой экран плюс можно двигать мышкой. Все, дальше загрузка Windows 2000 не идет. В чем может быть дело? Как это может быть связано с защитой «Аккорд»? Переустанавливать Windows нельзя (системный блок находится на гарантии, вскрывать нельзя), что можно сделать?

Если у Вас установлен комплекс Аккорд-АМДЗ, то его работа заканчивается в тот момент, когда начинается загрузка ОС и на работу Windows он не влияет. Значит, дело в Вашем случае — не в Аккорде. Стоит попытаться все-таки восстановить систему. Разбирать компьютер для восстановления или переустановки системы не нужно. Ставите CD, в системном BIOS устанавливаете загрузку с CD, и после предъявления ключа администратора и выбора в меню «Продолжить загрузку» компьютер грузится с CD.

8. Чтобы администратор мог сменить пароль пользователю, ему нужно ввести старый пароль. Это очень неудобно, а безопасности ни капельки не прибавляет.

Насчет того, что это не прибавляет безопасности — вопрос спорный. Вы рассуждаете с точки зрения добросовестного администратора — и это очень хорошо. Но пользователь не всегда может быть уверен в том, что в результате, например, личной неприязни администратор не захочет усложнить ему жизнь, сменив пароль без его ведома. Для того чтобы такого не происходило и введена такая мера: пароль таким образом меняется только с ведома пользователя, и, соответственно (если в политике безопасности не предусмотрено обратное), может не быть известен администратору вообще. В случае же если старый пароль забыли, можно просто перерегистрировать пользователю ту же ТМ — для этой процедуры не требуется ввод старого пароля.

9. Подскажите, пожалуйста, возможно ли с помощью АМДЗ или какого-либо вашего ПО регистрировать доступ к файлам? Имеется в виду приложение, то есть процесс такой-то получил доступ к файлу такому-то — дата — время.

С помощью АМДЗ, конечно, нет, т. к. его работа заканчивается в момент начала загрузки ОС, но такие возможности предоставляют комплексы Аккорд-Win32 и Аккорд-Win64.

10. Установили плату на компьютер модель HP dx2000 (COMPAQ) система 2000, пересчитали все контрольные суммы, после перезагрузки Аккорд сообщает, что есть ошибки в контрольной сумме BIOS и доп. BIOS. Входим администратором, видим ошибки, контрольные суммы не совпадают. Обновляем данные, они меняются (причем суммы все время разные), но после перезагрузки все повторяется: снова приходится прикладывать два ТМ и продолжать загрузку.

В данном случае у Вас достаточно «интеллектуальная» материнская плата и устройство с расширенным собственным BIOS. При каждой перезагрузке или выключении они записывают информацию в определенные области своих биосов. Бессмысленно каждый раз пересчитывать контрольные суммы того, что меняется при каждой перезагрузке. Исключите меняющиеся параметры из списка контролируемых объектов и пересчитайте КС по клавишам Alt-U (подробнее см. «Руководство администратора (контроллеры Аккорд-5.5, Аккорд-5.5e, Аккорд-5MX)» и «Руководство администратора (контроллеры Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH)». Вот и все.

11. После установки Аккорд-Win32 (Аккорд-Win64) и запуска ACED32 появляется сообщение об ошибке и невозможности синхронизации баз. Прошивка контроллера 02.00.007. Связана ли ошибка с устаревшей прошивкой и что делать?

Конечно, не совместима такая старая прошивка с новым софтом. Скачайте с нашего сайта из раздела «Обновление ПО» новую прошивку и замените. А вообще следует обращать внимание на информацию, которая выводится в программе инсталляции. Там прописаны версии внутреннего ПО контроллера «Аккорд», которые рекомендуются для работы с устанавливаемым ПО Аккорд-Win32 (Аккорд-Win64).

12. Очень полезная утилита Actskmng, но почему-то отказывается закрываться. Просто не реагирует на нажатие креста, только через диспетчер задач.

А для обычного пользователя (не администратора) и через диспетчер не получится, т.к. его вызов заблокирован. Actskmng — это же специальная оболочка, чтобы пользователь мог запускать только разрешенные администратором задачи.

13. Как же все-таки работает контроль потоков информации. Любой Explorer запросто копирует секретные файлы в общедоступный каталог, обладай он сам секретным грифом. Что я упускаю?

Обработка потоков информации выполняется только тогда, когда включен мандатный доступ с контролем процессов. При этом каждый процесс получает по умолчанию уровень «Общедоступно», т.е. самый низкий. Администратор назначает конкретным процессам (задачам) соответствующие уровни доступа для работы с категорированными ресурсами. Для всех процессов действует правило: запись разрешена только в ресурс с меткой доступа, равной уровню процесса. Все ресурсы с меньшей меткой доступны только для чтения. В руководстве на редактор ПРД есть подробное описание.

14. Можно ли на базе Аккорд-Win32 (Аккорд-Win64) реализовать схему, в которой запуск компьютера осуществляется при предъявлении ТМ-идентификатора, а доступ в ОС- на основе имени и пароля? У нас все пользователи зарегистрированы в домене, а работать могут с разных компьютеров. Возникает проблема одновременной смены пароля на нескольких АМДЗ, да и локально пользователям на компьютер заходить ни к чему.

Можно. Для начала регистрируете всех своих пользователей в одном контроллере АМДЗ. При регистрации пользователей в «параметрах пароля» минимальную длину ставите 0 (пароль не нужен). В «результатах И/А» включаете первые четыре флага (пароль не передавать). После регистрации всех пользователей выбираете команду «Экспорт», сохраняете список на дискету, или ТМ DS1996.

Следующий шаг — загрузка системы, установка драйвера контроллера АМДЗ и установка ПО «Аккорд-Win32» («Аккорд-Win64»). Сразу после установки запускаем программу настройки комплекса. В главном окне программы убираем флаг «Синхронизация с базой пользователей NT». Этот флаг отвечает за синхронизацию с локальной базой ОС, а в данной системе локальный вход нам не нужен. В меню «Параметры» -«Дополнительные опции» выбираем закладку «режим сессии» и включаем флаг «Использовать полное имя в учетных записях NT».

Закрываем программу настройки с сохранением изменений. Теперь можно приступить к регистрации пользователей в программной части системы защиты. Запускаем редактор прав доступа. В момент первого запуска программа считывает список пользователей из контроллера АМДЗ (конечно, только в том случае, когда предъявлен идентификатор администратора, зарегистрированный в плате). Рекомендую в группе «Администраторы» в плате АМДЗ зарегистрировать пару резервных админов и всем администраторам задавать пароль. Совершенно не важно, какие имена Вы будете присваивать пользователям в плате Аккорда, тем более, что аппаратная часть накладывает ограничения в 12 символов и английский алфавит. Следующий важный шаг — каждому пользователю, кроме администраторов, в поле «полное имя» ввести доменное имя пользователя, далее @ . В поле «Пароль» задать пароль пользователя, который установлен на домене. Как поступить с администраторами, решайте сами — можно задать полные имена как на домене и пароль соответствующий (для удаленного доступа), или «рулить» доменом с консоли, тогда полные имена не задавать, а в локальных базах завести таких админов, которые будут только СЗИ управлять. При выходе из редактора обязательно сохранить изменения. Теперь на любой носитель скопируйте файл accord.amz из папки Accord.NT и можно устанавливать систему Аккорд на других компьютерах. После установки платы в компьютер и начальной инициализации выбирайте сразу команду «Импорт» в списке пользователей и загружайте сохраненную базу (кстати очень полезно и в дальнейшем иметь эту базу для быстрого восстановления в случае замены платы). В ОС устанавливаете драйвер контроллера, инсталлируете ПО, делаете все те же настройки, но редактор ПРД можно не запускать, а сразу скопировать файл accord.amz. Проделываем эту операцию на всех защищенных компьютерах и дальше только остается активизировать систему защиты через ту же программу настройки комплекса. Обязательно оставьте флаг «Автологин» в настройках. Пользователи теперь будут «включать» компьютер, т.е. проходить процедуру идентификации в АМДЗ с помощью ТМ-идентификатора, а в момент загрузки ОС в процедуре WinLogOn поле «Имя» уже будет заполнено той информацией, которая была введена в пункте «Полное имя» (за это отвечает флаг «Использовать полное имя в учетных записях NT»). Пользователь может только ввести пароль, выбор локального входа ему тоже недоступен, т.к. в полном имени указан еще и домен. Смена паролей на домене выполняется администратором, или самим пользователем во время работы через Ctrl-Alt-Del и кнопку «Смена пароля», если доменная политика это позволяет. Подробное описание также см. «Руководство по установке» для ПАК «Аккорд-Win32» («Аккорд-Win64») и «Установка правил разграничения доступа. Программа ACED32».

15. Установлено на терминальном сервере ПО «Аккорд-Win32» («Аккорд-Win64») TSE, но при начале сеанса с удаленного терминала не запрашивается идентификатор.

Это возникает только при установке на Windows Server 2003 R2 SP2. Нужно запустить «Администрирование» -> «Настройка служб терминалов», выбрать справа «протокол RDP», нажать правую кнопку мыши -> Свойства. В открывшемся окне «Общие» снизу checkbox «Использовать обычный интерфейс входа в Windows». Этот флаг нужно снять. Эту же операцию повторить для протокола ICA.

16. Каков порядок получения новых файлов лицензий на ПО Аккорд-Win32 (Аккорд-Win64) взамен истекших?

Для обновления ключевых лицензионных файлов заведен специальный почтовый ящик — key@okbsapr.ru. На этот ящик необходимо прислать файлы accord.key, срок действия которых истек. После этого в ответ будет выслан новый лицензионный файл. Для всех пользователей, у которых уже установлено ПО «Аккорд», обновление лицензии бесплатное.

17. Подскажите, пожалуйста, как правильно установить Аккорд-Win32 (Аккорд-Win64) на WinServer2003. Точнее, как настроить WinSer2003. Драйверы установились нормально, программный комплекс тоже, но при запуске AcSetup или AcEd32 выдаётся ошибка «The application Failed to initialize properly (0xc0000005). Click on OK. » На машине стоит свежеустановленный Windows Server 2003 и Аккорд-Win32 (Аккорд-Win64) и больше ничего.

Это сообщение является следствием настройки службы DEP. Решить проблему можно двумя способами:

1. Редактируем файл boot.ini. В строке вида multi(0)disk(0)rdisk(0)partition(3)WIN2K3=«Windows Server 2003» /fastdetect /NoExecute = Optout… заменяем параметр /NoExecute= на параметр /Execute, т.е отключаем DEP. После перезагрузки компьютера, запускаем Aced32, запускаем AcSetup.exe и устанавливаем систему Accord. После этого строчку в файле boot.ini можно вернуть к первоначальному виду.
2. На рабочем столе на иконке «Мой компьютер» кликаем правой кнопкой мыши, выбираем «Свойства», появляется окно «Свойства системы». Выбираем закладку «Дополнительно» — «Быстродействие» — нажимаем кнопку «Параметры». Выбираем закладку «Предотвращение выполнения данных». Это и есть управление службой DEP. Выбираем пункт «Включить DEP только для основных программ и служб Windows», далее нажимаем кнопки «Принять» и «Ок».

18. Скажите, пожалуйста, как можно получить драйвера и библиотеки для доступа к контроллерам Аккорд под линуксом?

Напишите официальный запрос в отдел продаж zakaz@accord.ru. Укажите Вашу организацию, контактную информацию, версию ядра, под которым собираетесь использовать библиотеку.

19. Возникла проблема при установке Аккорд 5.5Е в серверы HP ProLiant DL360-G6. Плата устанавливается и работает нормально, но при загрузке ОС Windows 2003 Server вылетает в «синий экран» и даже кода ошибки нет, только что-то о проблемах с оборудованием. На другом сервере доходит до ввода имени и пароля пользователя в ОС и виснет без всяких сообщений.

В результате испытаний было выявлено, что причиной возникновения ошибки может быть специфическая микросхема южного моста материнской платы. Для нормальной работы микропроцессор на плате Аккорд-5.5E, который отвечает за работу шины PCI Express, необходимо запускать со специальными стартовыми параметрами. Совместимость обеспечивается записью специальной последовательности в микросхему на плате Аккорд-5.5E. Фирмам-интеграторам следует указывать при заказе комплекса СЗИ серверную платформу, на которой планируется его установка. Подобный эффект проявляется и на серверах IBM серии M2. С января 2010 года все контроллеры Аккорд-5.5E выпускаются с обновленной микросхемой (PLX 8112), которая поддерживает PCI-Express шину в полном объеме.

20. Возможно ли хранение в таблетке DS1993, считываемой через ПАК Аккорд-5, ключевой информации центра сертификации «КРИПТО ПРО»?

Если хранить только ключи, то да, а если Вы хотите хранить и сертификат, то нужна DS1996.

21. На терминальном сервере запущен Аккорд TSE, используется протокол RDP, но при подключении с клиентского компьютера запрос идентификатора не выполняется. В чем может быть причина?

Проверьте параметр в ОС — «Администрирование» -> «Настройка служб терминалов», выбрать справа протокол RDP, нажать правую кнопку мыши -> Свойства. В открывшемся окне «Общие» внизу checkbox «Использовать обычный интерфейс входа в Windows». Флаг в этом checkbox должен быть снят! Эту же операцию повторить для протокола ICA (если он используется). Программа настройки комплекса Аккорд при включении защиты снимает данный флаг. Доступ к его изменению имеет только пользователь с администраторскими полномочиями в ОС. Не включайте это параметр и вход с терминала будет работать правильно.

22. При подключении с терминала Wyse С50 к терминальному серверу с установленным на нем ПАК»Аккорд» и последующем запуске Microsoft Word не всегда получается переключить раскладку клавиатуры на русский язык.

Для переключения раскладки клавиатуры на русский язык используйте сочетание клавиш Crtl+ё.

23. Установлен Аккорд-Win32. После планового обновления прикладного ПО в редакторе ПРД пересчитали КС файлов, установленных на контроль. Но при последующем входе пользователя выдается ошибка контроля файла и требует администратора. Входим Гл.Администратором, пересчитываем список пользователя, прикладываем пользовательскую ТМ, пишет «Ок». Сохраняем, а при следующей загрузке пользователя опять ошибка. В чем дело?

В ПАК СЗИ Аккорд (и Аккорд-Win32, и Аккорд-Win64) список контроля может назначаться для конкретного пользователя и для группы пользователей. В Вашем случае список контроля был импортирован и пользователю, и группе. Это избыточный вариант, который и привел к данной проблеме, т.к. Вы пересчитываете КС только для одного списка, а контроль выполняется по двум. Оставьте список контроля только в одном месте. Оптимально оставить список в параметрах группы — это обеспечит контроль для каждого пользователя, входящего в группу и уменьшит вероятность повторения ошибки при следующем обновлении файлов. Подробнее см. «Установка правил разграничения доступа. Программа ACED32».

24. Являемся пользователями системы Аккорд и появилась необходимость найти серийные номера. Не подскажите, как это сделать? Есть ли они где-то в программной части, либо написаны только на плате? Либо у нас должна быть бумага, на которой они указаны?

1. Должна быть бумага (формуляр), в которой на странице с печатью в графе «заводской номер и тип контроллера» указана нужная информация.
2. На обратной стороне платы действительно есть серийный номер, он напечатан на стикере, которой приклеен к плате.
3. После предъявления идентификатора администратора в меню АМДЗ (это аппаратная часть комплекса СЗИ) выбираете пункт «Администрирование». В программе администратора в меню «Помощь» выбираете пункт «О системе» — среди других параметров указан серийный номер платы.
4. Если установлено в ОС СПО «Аккорд-Win32», или «Аккорд-Win64», то в группе «Аккорд» есть программа «Тест для проверки работы контроллера». Запускаете, в верхней левой части окна отображается серийный номер.

25. Нам необходимо приобрести СЗИ от НСД для ПК, на котором происходит работа с программой АРМ «Клиент Банка России» для обмена электронными документами с Центральным Банком РФ. Какой из Ваших продуктов нам нужно заказать?

На компьютер, на котором ведется работа с АРМ «Клиент Банка России», в соответствии с документацией на это ПО, должен быть установлен ПАК «Аккорд-Win32» или «Аккорд-Win64» для автономных компьютеров. Вам нужно заказать один из этих комплексов, в зависимости от разрядности операционной системы и имеющегося в Вашем ПК свободного слота расширения.

26. Не можем найти файл лицензии для Аккорд-Win32 (Аккорд-Win64), который был записан на носителе в составе комплекса. Можно ли его как-то восстановить?

Для восстановления ключевого файла лицензии необходимо написать письмо на адрес key@okbsapr.ru с указанием серийного номера контроллера и названия комплекса (Аккорд-Win32, Аккорд-Win64). Если используется комплекс для терминальных систем (Terminal Server Edition, TSE), также укажите это в письме. После этого в ответ будет выслан новый лицензионный файл. Восстановление лицензионного ключа производится бесплатно.

27. Какие есть особенности настройки Аккорд-Win32 (Аккорд-Win64) с антивирусным ПО(Антивирус Касперского, Dr.Web, ESET NOD32, Symantec и др.)?

Мы даем общие рекомендации по работе СПО «Аккорд» с антивирусным ПО. Вам необходимо добавить в доверенную зону антивируса системные файлы СПО «Аккорд», расположенные в каталоге Windows:
WINDOWSSYSTEM32ACCORD.SCR
WINDOWSSYSTEM32ACGINA.DLL
WINDOWSSYSTEM32ACNP.DLL
WINDOWSSYSTEM32ACRUNNT.EXE
WINDOWSSYSTEM32ACRUNVDD.DLL
WINDOWSSYSTEM32ACRUNVDD.EXE
WINDOWSSYSTEM32ACUSRMOD.DLL
WINDOWSSYSTEM32AZIAHLP.DLL
WINDOWSSYSTEM32DRIVERSACBOOT.SYS
WINDOWSSYSTEM32DRIVERSACLOCK2K.SYS
WINDOWSSYSTEM32DRIVERSACRUN.SYS
WINDOWSSYSTEM32DRIVERSACXALLOW.SYS
WINDOWSSYSTEM32DRIVERSACXLMSRV.SYS
WINDOWSSYSTEM32TMATTACH.DLL
WINDOWSSYSTEM32TMDRV32.DLL
Для ПАК СЗИ НСД «Аккорд-Win32» также необходимо добавить в доверенную зону антивируса каталог Accord.NT и системный файл WINDOWSSYSTEM32AUTOEXEC.NT, а для ПАК СЗИ НСД «Аккорд-Win64» — каталог Accord.x64 и следующие системные файлы СПО «Аккорд»», расположенные в каталоге WINDOWS:
WINDOWSSYSTEM32ACNP.DLL
WINDOWSSYSTEM32ACUSRM64.DLL
WINDOWSSYSTEM32AZIAH64.DLL
WINDOWSSYSTEM32TMATT64.DLL
WINDOWSSYSTEM32TMDRV64.DLL
Эти каталоги и файлы включаются по умолчанию в набор ПРД для группы «Обычные». Если после выполнения нашей рекомендации все равно остаются проблемы, обратитесь в техническую поддержку (e-mail:help@okbsapr.ru).

28. После активации Аккорд-Win32 и перезагрузки происходит падение в синий экран. На ПКустановлен антивирус ESET NOD32.

Рекомендуем Вам отключить модуль Anti-Stealth антивируса.

29. Имеется: контроллер Аккорд-5.5Е, СПО «Аккорд-Win64» (2шт.); контроллер Аккорд-5MX, СПО «Аккорд-Win32» (1шт.). Возможно ли использовать СПО «Аккорд-Win32» для контроллера Аккорд-5.5E?

В комплекс «Аккорд» входит лицензионный ключ, привязывающий СПО к тому контроллеру, для которого Вы его приобрели. Использовать СПО с другим контроллером не получится, не подойдет лицензия. Необходимо приобрести СПО заново, указав номер другого контроллера, и Вы получите новый лицензионный ключ.

30. Как правильно одновременно сменить пароль для пользователя и в СЗИ НСД«Аккорд-АМДЗ» и в СПО «Аккорд» («Аккорд-Win32»/«Аккорд-Win64»)?

Для корректной смены пароля пользователя в СЗИ НСД «Аккорд-АМДЗ» и СПО «Аккорд» рекомендуется использовать следующий способ: на клавиатуре нажать комбинацию клавиш «Ctrl-Alt-Del», в открывшемся окне выбрать «Смена пароля», задать новый пароль. В результате данных действий пароль изменится и в программной части комплекса «Аккорд», и в базе пользователей в аппаратной части СЗИ НСД «Аккорд-АМДЗ». Обратите внимание, что для этого необходимо разрешить пользователю менять пароль, а также в настройках СПО «Аккорд» выбрать опции «Синхронизация с базой АМДЗ» и «Синхронизация с базой пользователей NT».

31. Как пользователь в СПО «Аккорд» может получить доступ к сетевым ресурсам?

Для разрешения доступа пользователя к сетевым ресурсам нужно явно указать полное сетевое имя ресурса. Если правила доступа к сетевым ресурсам определяются администратором домена (сервера), то можно задать универсальный сетевой ресурс. Для этого в список нужно включить объект \ (ввести с клавиатуры), установить ему полный доступ и наследование на все подкаталоги.

32. У нас на сервере установлен ПАК Аккорд-Win32/Аккорд-Win64 TSE. При попытке подключения к серверу с помощью ШИПКи-2.0 возникает сообщение «The card supplied requires drivers that are not present on this system. Please try another card» («Имеющаяся плата требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую плату»). Что можно сделать?

Сообщение «Имеющаяся плата требует наличия драйверов, отсутствующих в системе. Попробуйте использовать другую плату» является информационным, не указывает на возникновение ошибки и не влияет на работоспособность системы. Вы можете нажать «ОК» и продолжить работу.

Если появление данного сообщения вызывает неудобства, рекомендуется обновить СПО Аккорд-Win32/Аккорд-Win64 TSE до актуальной версии (не ниже 4.0.8.36/5.0.7.35). Для получения дистрибутивов для обновления необходимо написать письмо на адрес технической поддержки help@okbsapr.ru

Также проверьте содержимое файла CardsATR.txt из каталога C:Accord.NT (C:Accord.x64) на терминальном сервере, оно должно быть следующим:

Если содержимое файла другое, то отредактируйте его в соответствии с вышеприведенным текстом.

После изменения файла CardsATR.txt необходимо запустить утилиту «Настройка комплекса Аккорд», выйти из утилиты с сохранением изменений, затем перезагрузить терминальный сервер.

33. Как исправить некорректную работу функции автологин?

1. Зайти в «Настройки комплекса Аккорд», снять защиту (Команды -> Снятие) и перезагрузить ПК.
2. Убедиться, что в реестре (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthenticationCredential Providers) остались ключи AcGina и CertCredProvider.
3. Убедиться, что в реестре (HKEY_CLASSES_ROOTCLSID) нет аналогов для ключей AcGina и CertCredProvider.
4. Удалить из реестра ключи AcGina и CertCredProvider.
5. Зайти в «Настройки комплекса Аккорд», включить защиту Аккорд (Команды -> Активация) и перезагрузить ПК.

34. В работе используем ПК и USB-считыватель ТМ, который требует установки драйвера tmacu32.sys от 03.04.2012 года . После подключения в порт ПК USB-считывателя ТМ производится попытка автоматической установки драйвера, заканчивающаяся появлением «синего экрана». Возможно, существует актуальный драйвер, с которым подобной проблемы не возникает? На ПК также установлено СПО Secret Net.

Вами используется актуальная версия драйвера. Причина подобной ошибки может быть в некорректных настройках СПО Secret Net. Необходимо убедиться, что до установки драйвера USB-считывателя ТМ было разрешено его использование в СПО Secret Net

35. При работе с ПО САЭС (ключевое хранилище — ТМ) и подключении к терминальному серверу с СПО «Аккорд» (идентификатор — ШИПКА) возникают проблемы с определением ключевого хранилища или с определением идентификатора при входе в терминальную сессию.

Для решения данной проблемы необходимо в утилите «Настройка терминального клиента Аккорд» установить в качестве основного идентификатора — «TM-идентификатор (USB)» (если на клиентском АРМ установлен Аккорд-АМДЗ, то «TM-идентификатор (АМДЗ)»), в качестве дополнительного — «ШИПКА».

При запросе идентификатора для входа на терминальный сервер необходимо отключать TM от считывателя, если идентификатор каким-либо образом в нем зафиксирован.

Также необходимо учитывать, что при такой настройке не будет работать реакция на отключение идентификатора (ACED32 — «Параметры SS» — «Дополнительные параметры» — «При отключении Идентификатора:»).

36. На СВТ установлен ПАК «Аккорд» и настроен мандатный механизм разграничения доступа с контролем процессов. Процессам установлены уровни доступа в соответствии с уровнями доступа пользователей. Однако существует возможность несанкционированной модификации процессов: при переименовании какого-либо процесса присвоенный ему уровень доступа не действует, процесс становится доступным любому пользователю. В связи с этим возникает вопрос: как контролировать процессы не по имени, а, например, по контрольной сумме, чтобы пользователи не могли несанкционированно модифицировать процессы?

В целях исключения возможности возникновения несанкционированного доступа (НСД) к процессам (например, при несанкционированной модификации процесса) рекомендуется выполнять процедуру создания «белого» списка процессов с помощью мандатного механизма разграничения доступа с контролем процессов и динамического контроля целостности файлов из этого списка.

37. Если перед загрузкой компьютера извлечь СЗИ НСД «Инаф» из USB-порта, становится возможным выполнение загрузки недоверенной ОС. Какие меры необходимо предпринять для предотвращения возникновения такой ситуации?

Для корректной работы СЗИ НСД «Инаф» необходимо:

1. установить в BIOS компьютера вариант загрузки с «Инаф» как с жесткого диска;
2. установить пароль на вход в BIOS;
3. принять административные меры, исключающие несанкционированное отключение устройства от USB-порта компьютера:
   • ограничить физический доступ к СВТ и/или
   • зафиксировать устройство «Инаф» с помощью специальных креплений и/или голографической наклейки или
   • установить контроллер внутрь корпуса СВТ и опечатать корпус системного блока СВТ с помощью голографической наклейки.

38. Как можно посмотреть файлы журналов СЗИ НСД «Аккорд-АМДЗ» (DOS) с прошивкой версии 02.01.015?

1. В разделе «Администрирование» выберите вкладку «Журнал», нажмите кнопку «Сохранить» (F2), затем выберите пункт «Идентификатор»/«Floppy-диск». Выберите имя файла и сохраните файл с расширением.LST на ТМ-идентификатор (ТМ-1996) или дискету.
   Примечание: в случае если Вы используете дискету, Вам необходимо перейти к пункту 5.
2. В ОС Windows запустите утилиту tmexplorer, во вкладке «Команды» выберите пункт «Запись журнала в ТМ», предъявите ТМ-идентификатор, куда ранее был записан файл журнала, выберите имя и расширение для файла, в который будет скопирован журнал. В выбранной папке появиться файл с выбранным именем и расширением.
3. В командной строке введите команду: bcopy log.zip 64, где — файл, считанный из TM, а log.zip — имя архива, который будет создан в результате выполнения команды.
4. Распакуйте архив log.zip с помощью ПО «7-Zip».
5. Полученный файл с расширением .LST откройте в MS Word, используя кодировку Кириллица (DOS) KOI-8.

39. На СВТ установлен ПАК «Аккорд» и настроен дискреционный механизм разграничения доступа. Для каталога «CatalogName» установлен запрет на удаление файлов (т.е. не установлен атрибут доступа «D»). При попытке сохранения файла «Name.txt» в каталог «CatalogName» на экране появляется сообщение «У вас отсутствуют права на изменение файлов на этом сетевом диске. Обратитесь к администратору, чтобы получить права для внесения изменений». При этом в самом каталоге «CatalogName» файл «Name.txt» сохраняется пустым. С чем может быть связана описанная ситуация?

Особенности работы некоторых прикладных приложений на СВТ с установленными правилами разграничения доступа ПАК «Аккорд» приводят к возникновению непрогнозируемых последствий, однако нарушения логики работы ПАК «Аккорд» при этом отсутствуют. Описанная ситуация связана с особенностями работы программы Notepad.exe. Чтобы сохранить файл «Name.txt» в каталог «CatalogName», рекомендуется выполнить процедуру сохранения файла повторно.

40. При заведении нового пользователя с использованием оболочки AcTskMng.exe всплывающие сообщения некоторых приложений с иконок в системном трее отображаются с неправильной кодировкой Например, Kaspersky Endpoint Security 10.

Для корректного отображения русских символов в трее, необходимо перед назначением стартовой задачей AcTskMng.exe выполнить (однократный) вход пользователя в ОС после активации ПАК Аккорд.

41. Подскажите, есть ли какие-то особенности разъема m.2, которые нам стоило бы учесть?

В целом, плата АМДЗ Аккорд является стандартной для m.2 с ключами A+E или E, размером 22×30 мм. Форм-фактор m.2: 2230-D5-A-E или 2230-D5-E.
Но плата АМДЗ выходит за пределы стандарта по высоте элементов, что требует запас по высоте в 2,0 мм над платой и 1,5 мм под платой.
Плата АМДЗ не имеет изоляции сверху и снизу, а значит не может быть установлена «в упор» на токопроводящие элементы — потребуется изоляционный слой.
В разъеме задействована шина PCIe0 (пины 35, 37, 41, 43, 47, 49 разъема). Для случая АМДЗ с напаянной картой памяти используется также шина USB (пины 3, 5 разъема).
Пины 6, 16, 54, 56, 58, 60, 62, 64 зарезервированы. Желательно, чтобы на материнской плате они оставались в воздухе, были входами с высоким сопротивлением или находились в третьем состоянии.

На данном этапе достаточно установить «Аккорд-АМДЗ» в сервер и зарегистрировать Администратора. Данная процедура описана в «Руководстве по установке» (11443195.4012-038 98) и «Руководстве администратора» (11443195.4012-038 90) для «Аккорд-АМДЗ».

Примечание: В зависимости от используемых серверов, «Аккорд-АМДЗ» может поставляться в различных форм-факторах от PCI до USB.

3.4Установка и настройка «Аккорд Win32/64 TSE» на сервере vCenter

3.4.1Общие сведения

Процедура установки и настройки «Аккорда Win32/64 TSE» описана в соответствующей документации, входящей в комплект поставки «Аккорда Win32/64» («Руководство по установке» (11443195.4012-036 98), «Руководство администратора» (11443195.4012-036 90) – для «Аккорд Win32»; «Руководство по установке» (11443195.4012-037 98), «Руководство администратора» (11443195.4012-037 90) – для «Аккорд Win64»). Ниже описаны только особенности настройки «Аккорда Win32/64 TSE» на сервере с vCenter.

3.4.2Особенности настройки: разделение ролей администраторов

В инфраструктуре виртуализации необходимо выделить две роли: администратор безопасности информации (АБИ) и администратор инфраструктуры виртуализации (АВИ) (подробнее см. «Принятые термины, обозначения и сокращения»).

Для этого в сервере vCenter АБИ должен быть администратором в «Аккорд Win32/64» и пользователем в Windows. И наоборот, АВИ должен быть пользователем в «Аккорд Win32/64» и администратором в Windows. В таком случае администратор безопасности имеет возможность управлять распределением прав доступа (механизмами «Аккорд Win32/64»), но не имеет доступа к самим ресурсам (в силу соответствующих настроек Windows).

Учетная запись АБИ должна иметь полный доступ к папке «Аккорда-В.»
“C:Program FilesOKB SAPR JSCAccord-V” – данный пункт настраивается средствами ОС. Дополнительно необходимо с помощью «Аккорд Win32/64 TSE» оставить эту папку доступной только для АБИ.

Доступ к управлению инфраструктурой виртуализации через vSphere Client должен осуществляться только локально. Удаленный доступ должен быть запрещен путем закрытия портов 443, 8080 и 8443 для удаленных подключений на всех серверах vCenter.

При этом удаленная работа с инфраструктурой виртуализации возможна. Для этого администраторам должен быть разрешен и соответствующим образом настроен терминальный доступ по протоколам RDP или ICA¹. После создания терминальной сессии администратор инфраструктуры виртуализации может запустить vSphere Client и локально подключиться к службе vCenter.

3.5Установка ПО ПСКЗИ ШИПКА на сервер vCenter, инициализация и форматирование устройства

Процедура установки ПО ПСКЗИ описана в «Руководстве администратора» (11443195.4012-022 90 01), входящем в комплект поставки ПСКЗИ ШИПКА.

После установки ПО необходимо инициализировать и отформатировать хотя бы одну ШИПКу администратора информационной безопасности (в случае распределения сертификатов с помощью ПСКЗИ ШИПКА она будет использоваться для распределения сертификатов между всеми элементами инфраструктуры виртуализации).

Процедуры инициализации и форматирования также описаны в «Руководстве администратора» (11443195.4012-022 90 01) на ПСКЗИ ШИПКА.

3.6Установка системы администрирования «Аккорд-В.» на сервер vCenter

Внимание! Перед началом установки убедитесь, что:

– ПО «Аккорд-Win32/64» и ПО для ПСКЗИ ШИПКА уже установлено и соответствующим образом сконфигурировано;

– время на всех ESX(i) серверах и сервере vCenter синхронизовано, и часовые пояса заданы корректно.

Чтобы начать установку системы управления, необходимо запустить исполняемый файл Accord-V.exe, который находится на диске с дистрибутивом в папке «Accord-V for vCenter».

В появившемся окне следует выбрать язык установки (рисунок 3).

Рисунок 3 — Выбор языка установки.

Далее на экран выводится диалоговое окно мастера установки. Следует выбрать пункт «Я принимаю условия соглашения» и нажать кнопку <Далее> (рисунок 4).

Рисунок 4 — Лицензионное соглашение с пользователем.

В появившемся далее окне необходимо указать путь к каталогу установки. По умолчанию установка всех программных компонентов выполняется в каталог Program FilesOKB SAPR JSCAccord-V. Каталог, предлагаемый по умолчанию, может быть изменен посредством ручного редактирования или задан с помощью стандартного диалога ОС Windows, вызываемого по нажатии кнопки <Обзор…>. Если указанный каталог не существует, он будет создан программой установки автоматически. После выбора каталога установки следует нажать кнопку <Далее> (рисунок 5). Начнется процесс установки ПО.

Рисунок 5 — Выбор пути установки

В случае успешного завершения процесса установки, в появившемся на экране окне выводится сообщение об окончании процесса установки с рекомендацией перезагрузить компьютер. Следует выбрать пункт «Да, перезагрузить компьютер сейчас» и нажать кнопку <Завершить> (рисунок 6).

Рисунок 6 — Завершение установки.

В случае если по каким-либо причинам перезагрузку необходимо отложить, следует выбрать пункт «Нет, я произведу перезагрузку позже» и нажать кнопку <Завершить>. При этом следует помнить, что для корректного завершения установки «Аккорд-В.» необходимо обязательно выполнить перезагрузку компьютера.

После установки необходимо разрешить администраторам безопасности доступ к каталогу установки «Аккорд-В.» на чтение, а к каталогам с журналами – на запись. После этого необходимо открыть в межсетевом экране порт TCP 51178 в обоих направлениях. Соответствующие настройки производятся как в «Аккорд Win32/64», так и в операционной системе. После выполнения настроек следует перезагрузить сервер.

Далее следует перейти к установке и настройке модулей защиты «Аккорд-В.» для ESX(i)-серверов.

В СКЗИ классов КС2 или КС3 должна быть реализована защита от атак, которые могут быть проведены из пределов контролируемой зоны (подробнее в публичных требованиях к СКЗИ). Существует как минимум два варианта реализации защиты – программными средствами и с помощью аппаратно-программного модуля доверенной загрузки (АПМДЗ). Реализация программными средствами происходит с привязкой к конкретной аппаратной платформе, которая указывается в формуляре, правилах пользования, технических условиях или других документах на СКЗИ. Примеры — Coordinator HW от Инфотекс и ESR-ST от С-Терра. Второй вариант – установка АПМДЗ в виде отдельной платы. Именно такой подход использует Код Безопасности в линейке Континент — в шлюзы установлен АПМДЗ Соболь. В продуктах С-Терра тоже используется АПМДЗ, но есть возможность использования замков нескольких производителей. Они перечислены в формуляре и будут рассмотрены в заметке.

Справедливости ради нужно сказать, что в составе СКЗИ используются не все функции АПМДЗ, а только часть (но остальные тоже могут понадобиться – смотрите пункт 3). Начнем с указания параметров, наиболее важных для сравнения.

1) Сертификат ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ не ниже класса 3Б. Наличие сертификата говорит о том, что реализация мер защиты от НСД уже проверена и необходимости в повторной проверке при тематических исследованиях СКЗИ нет. Это упрощает сертификацию СКЗИ и уменьшает её срок.

Чем больше срок действия сертификата АПМДЗ — тем лучше. Если предполагаемый срок эксплуатации СКЗИ выходит за пределы срока действия сертификата на АПМДЗ, то требуется уточнить — возможно ли продление сертификата на АПМДЗ, планируется ли оно. Если сертификат на АПМДЗ истек, то сертификат на СКЗИ, строго говоря, недействителен.

2) Форм-фактор (шина подключения). В серверных платформах это обычно PCI или PCI-E. А вот если рассматривать ноутбуки или тонкие клиенты в рамках задач защиты удаленного доступа, то требуется более компактный размер — mini pci-e, mini pci-e half size и М.2.

3) Сертификат ФСТЭК. Для криптошлюзов в наличии такого сертификата необходимости нет, а для конечных устройств при удаленном доступе будет плюсом. В таком случае он используется и для СКЗИ, и для реализации других мер по защите от НСД, указанных в приказах ФСТЭК. Но обратите внимание, у многих производителей АПМДЗ во ФСТЭК и ФСБ сертифицируются разные модификации одного и того же продукта, в таком случае выполнить требования обоих регуляторов одним продуктом не получится.

4) Способ подключения сторожевого таймера. Сторожевой таймер позволяет блокировать (чаще всего перезагружать) АРМ при условии, что после его включения управление не передано АПМДЗ. Обычно у большинства производителей подключение осуществляется через пины RESET и POWER на материнской плате. Для этого требуется дополнительный провод и переходник, плюс при этом увеличивается время на установку. Но самое главное — не у всех материнских плат есть указанные пины. Альтернативный способ блокировки шины – передача сигналов на шину или в оперативную память, приводящая к зависанию и/или перезагрузке. Реализаций такого способа на рынке АПМДЗ крайне мало, хотя он удобнее для пользователей и позволяет решить задачи по защите от НСД на платах без пинов RESET и POWER.

5) Идентификаторы пользователей. Для криптошлюзов под пользователем следует понимать администратора безопасности. В большинстве случаев используется внешний считыватель с iButton, а вот для компактных форм-факторов он может не подойти. Наиболее удобная альтернатива — USB переходники для считывателя с iButton или токены.

6) Наличие физического датчика случайных чисел (ФДСЧ). Конечно, можно генерировать случайные числа вручную с помощью биологического датчика случайных чисел, но это довольно трудоемко. Вторая альтернатива — доверенная доставка ранее сформированной на другом АПМДЗ внешней гаммы — не менее сложная и трудоемкая для небольшого количества устройств, но хорошо масштабируемая. С ФДСЧ процесс удобный, быстрый и надежный.

7) Автозагрузка. Очень интересный пункт. Актуален для ситуаций, когда заказчик приобрел СКЗИ класса КС2 «на всякий случай» без понимания основного ограничения — для приведения СКЗИ в состояние готовности требуется локальное участие администратора (приложить идентификатор и ввести пароль). По факту это означает, что при любой перезагрузке (для небольших региональных филиалов самая частая причина — перебои с питанием) требуется участие администратора, а это возможно далеко не всегда.
Автозагрузка противоречит сценарию применения АПМДЗ. Большинство производителей даже реализовывать её не стали, а некоторые (Код Безопасности) — сделали, описав в документации с пометкой, что это запрещено. Поищите в Руководстве Администратора на Соболь ключевое слово «AUTOLOAD».

Импорт/Экспорт настроек. Если предстоит настроить N-нное количество устройств, то эта функция будет очень кстати. Например, указать перечень файлов, целостность которых надо контролировать.
Идентификаторы пользователей (о них выше, в п.5) в любом случае делаются персонально.

9) Контроль целостности файловой системы. В случае использования АПМДЗ в составе СКЗИ такая проверка может осуществляться либо только средствами АПМДЗ при загрузке ОС, либо АПМДЗ и дополнительно утилитами в составе СКЗИ непосредственно в ОС. Такой функционал поддерживается всеми АПМДЗ из перечня, указанного ниже.

Будут рассмотрены следующие АПМДЗ:
• Соболь от Код Безопасности,
• Аккорд-GX/GXMH от ОКБ САПР,
• Криптон-Замок от АНКАД,
• Максим-М1 от РусБИТех,
• Тринити-С от SETEC.

Выводы

Во-первых, подобрать АПМДЗ для конкретной платформы – не самая простая задача. Существует много нюансов как в аппаратной платформе (например, допуски, определенные стандартами шин PCI/PCI-E или особенностью разводки платы), так и в самом АПМДЗ. Это приводит к необходимости детального тестирования совместимости в каждом конкретном случае. При этом некоторую информацию можно получить непосредственно у производителей АПМДЗ, например, на сайте Кода Безопасности в открытом доступе выложена таблица совместимости ПАК «Соболь» с различными аппаратными платформами. Но большинство платформ, указанных в этой таблице, купить уже невозможно. Кроме того, речь идет в основном о полной совместимости продукта с платформой, хотя есть «совместимость с замечаниями». Таким образом, отсутствие в этом перечне платформы не означает невозможность её использования для СКЗИ. Пример из практики – С‑Терра Шлюз КС2 на базе сервера Cisco UCS С200 с Соболем.

Поэтому в большинстве случаев – надо подбирать и тестировать.

Во-вторых, для конечных рабочих мест проблема еще более усугубляется «зоопарком» устройств, необходимостью компактного форм-фактора для ноутбуков, а также наличием сертификатов обоих регуляторов.

В такой ситуации конечному заказчику и производителю СКЗИ лучше иметь возможность маневра — несколько вариантов АПМДЗ для выбора в каждой конкретной ситуации. Если ранее производители АПМДЗ ориентировались на «своих» конкретных заказчиков, то сейчас продукты активно совершенствуются и становятся более массовыми. Конкуренция обостряется, это должно положительно сказаться на соотношении цена-качество и помочь заказчикам.

Дополнение 09.11.2018: В Аккорд-МДЗ автозагрузка технически возможна, но запрещена эксплуатационной документацией.

12.02.2023

В общем история такая, предустановленн был АстраЛинукс Смоленск на ноут Аквариус, по запросу была получена инструкция от ТП МКТ по замене на Win 10 — все получилось, однако обратное превращение по представленной инструкции не вышло. Астра поставилась, но после ввода пароля МКТ зависает на указателе мыши — все финиш!

13.02.2023

В общем история такая, предустановленн был АстраЛинукс Смоленск на ноут Аквариус, по запросу была получена инструкция от ТП МКТ по замене на Win 10 — все получилось, однако обратное превращение по представленной инструкции не вышло. Астра поставилась, но после ввода пароля МКТ зависает на указателе мыши — все финиш!

В настройках МКТ включена загрузка GNU?

Вам файлы присылали на оба перехода? Astra->Win и обратные?

13.02.2023

В настройках МКТ включена загрузка GNU?

Вам файлы присылали на оба перехода? Astra->Win и обратные?

Да как только не пробовал, самое интересное что прислали на оба превращения, но без проблем сработал только комплект из астры в винду… а вот обратное превращение это полный трэш

13.02.2023

Самое печальное, один раз поставилась, а потом все не в какую, после загрузки их надписей и стартинг инстал ос черный экран и усе… куда рыть? Еще 19 ноутов надо от винды избавить

14.02.2023

Самое печальное, один раз поставилась, а потом все не в какую, после загрузки их надписей и стартинг инстал ос черный экран и усе… куда рыть? Еще 19 ноутов надо от винды избавить

Интересно! У нас обратная проблема, пришли на астре а нужна, винда. Меняемся!?))))
У нас то и винда не особо заходит. Грузится только при отключеной авторизации в МКТ

14.02.2023

Интересно! У нас обратная проблема, пришли на астре а нужна, винда. Меняемся!?))))
У нас то и винда не особо заходит. Грузится только при отключеной авторизации в МКТ

В смысле не ставится винда? Или ставится, но не грузится? У нас порядок запуска такой: в настройках отрубаем загрузку ядра и GNU, ставим галки на первых двух пунктах — автозапуск ос и отключение чего то там с пользователями. Все при запуске ноута видим три надписи — 1.Aquarius, 2.Стартинг АМДЗ…. 3. Чего-то там ID засекаем 18 секунд и вуаля начинает появляться винда во всей своей красе.

14.02.2023

Да у нас тоже на астре были, сделали все как надо винда проги все поставили, а теперь на тебе кто-то из телека сказал переходим на отеч ПО и все, обратно в пещеру. Не скажу что плохая АСТРА просто для людей и так с компами на ТЫ, АСТРА это вообще считай поссорился с техникой… особенно нервные наши преподаватели пенсионеры

16.02.2023

Вообщем есть положительные моменты по переустановке, в обе стороны, плюс делали вскрытие переставляли диск в разные ноуты, грузится хорошо всегда. Акронисом из-под винды делали образ диска, развернули на казалось убитом неудачной инсталляцией астры. Получилось, главное сохраните папку AMDZ со всем содержимым с 2Гб раздела AMDZ и все загрузится. Если у кого получится установить астру 1.6 из комплекта поставки отпишитесь как! У меня без проблем ставится только 1.7.3.

17.02.2023

А присланный файл shell можете прикрепить пожалуйста

У меня зависает загрузке с флешки.

17.02.2023

А присланный файл shell можете прикрепить пожалуйста

У меня зависает загрузке с флешки.

Почту дайте я весь архив кину который они прислали. Да еще забыл сказать, заработала установка только после того, как записал загрузочную флешку Rufusом при gpt разметке и fat32.

18.02.2023

а кто-нибудь пробовал в внешнего диска с системой загружаться по usb? при подключенном диске аккорд не проходит проверку.. аллерт и перезагрузка. Может у кого есть какие мысли как решить можно? Я так понял ошибка будет и при подключении второго диска внутреннего по sata. Хочется например место расширить.. или 2 системы поставить

18.02.2023

Я попробовал. По выше упомянутой инструкции и по другой. Не выходит…
Может.. Флешка не та? Зависает и все..

А по инструкции где шел скопировать. Грузит астру. Или чёрный экран.

19.02.2023

И вообще если отформатировать полностью диск.. установить чистую винду. Не избавит от этого мдз?! Может еще биос прошить.. вообще по идее разработчик должен по требованию дать инструкцию как полностью избавиться от их модуля.. получается везде танцы с бубном, даже у администратора.. переустановить, поставить систему вторую.. вставить жесткий диск.. везде какие то траблы. В настройках ведь все контроли отключены. Все равно какие то трудности

03.03.2023

В смысле не ставится винда? Или ставится, но не грузится? У нас порядок запуска такой: в настройках отрубаем загрузку ядра и GNU, ставим галки на первых двух пунктах — автозапуск ос и отключение чего то там с пользователями. Все при запуске ноута видим три надписи — 1.Aquarius, 2.Стартинг АМДЗ…. 3. Чего-то там ID засекаем 18 секунд и вуаля начинает появляться винда во всей своей красе.

В прямом смысле не ставится, грузится лого аквариус, потом старт амдз, аттач ид, АМДЗ секьюрети алерт и комп чудесным образом перезагружается….. что я забыл?
В настройках АМДЗ включены галки «автоматическое продолжение загрузки ос» и «загрузка ос без индефикатора пользователя»

05.03.2023

Кому интересно, нашли альтернативный способ установки все чего угодно на Аквариус с АККОРДОМ! Сразу оговорюсь, что в нашей организации два вида таких Аквариусов: 1- это ноут без встроенного CDROM и с биосом NUMO-BIOS. 2 — это нормальный ноут со встроенным CDROM и будь он не ладен АККОРДом. Так вот все сложности возникают именно со 2-м типом Аквариусов. Ну и теперь как говорится к делу — берем ноут с АККОРДом в руки и с той стороны где на борту все лампочки, прямо под ними внутри должен быть небольшой переключатель, совсем небольшой! Чтобы к нему добраться нужно выкрутить всего два винта и они без пломб, что самое хорошее в этой ситуации. Первый винт под лампочками, а второй в районе VGA разъема, после этого угол корпуса аккуратно расчелкивается, он там на мелких защелках. После этого посветите фонариком вобразовавшийся проем под лампочками там и будет этот переключатель. Зубочисткой можете переключить его в противоположное положение, но только аккуратно, коллеги говорят может поломаться. И…. при перезагрузке у Вас обычный ноут с обычным америкосовским биосом….. Все занавес!!!!

09.03.2023

Кому интересно, нашли альтернативный способ установки все чего угодно на Аквариус с АККОРДОМ! Сразу оговорюсь, что в нашей организации два вида таких Аквариусов: 1- это ноут без встроенного CDROM и с биосом NUMO-BIOS. 2 — это нормальный ноут со встроенным CDROM и будь он не ладен АККОРДом. Так вот все сложности возникают именно со 2-м типом Аквариусов. Ну и теперь как говорится к делу — берем ноут с АККОРДом в руки и с той стороны где на борту все лампочки, прямо под ними внутри должен быть небольшой переключатель, совсем небольшой! Чтобы к нему добраться нужно выкрутить всего два винта и они без пломб, что самое хорошее в этой ситуации. Первый винт под лампочками, а второй в районе VGA разъема, после этого угол корпуса аккуратно расчелкивается, он там на мелких защелках. После этого посветите фонариком вобразовавшийся проем под лампочками там и будет этот переключатель. Зубочисткой можете переключить его в противоположное положение, но только аккуратно, коллеги говорят может поломаться. И…. при перезагрузке у Вас обычный ноут с обычным америкосовским биосом….. Все занавес!!!!

Спасибо огромное, очень помог

09.03.2023

Спасибо огромное, очень помог

Наслаждайтесь!

12.03.2023

Кому интересно, нашли альтернативный способ установки все чего угодно на Аквариус с АККОРДОМ! Сразу оговорюсь, что в нашей организации два вида таких Аквариусов: 1- это ноут без встроенного CDROM и с биосом NUMO-BIOS. 2 — это нормальный ноут со встроенным CDROM и будь он не ладен АККОРДом. Так вот все сложности возникают именно со 2-м типом Аквариусов. Ну и теперь как говорится к делу — берем ноут с АККОРДом в руки и с той стороны где на борту все лампочки, прямо под ними внутри должен быть небольшой переключатель, совсем небольшой! Чтобы к нему добраться нужно выкрутить всего два винта и они без пломб, что самое хорошее в этой ситуации. Первый винт под лампочками, а второй в районе VGA разъема, после этого угол корпуса аккуратно расчелкивается, он там на мелких защелках. После этого посветите фонариком вобразовавшийся проем под лампочками там и будет этот переключатель. Зубочисткой можете переключить его в противоположное положение, но только аккуратно, коллеги говорят может поломаться. И…. при перезагрузке у Вас обычный ноут с обычным америкосовским биосом….. Все занавес!!!!

Foxhound82,вы спаситель этой темы,спасибо)

12.03.2023

👍 не за что! У кого-нибудь из комплекта поставки Астра после винды поставилась?

24.03.2023

И вообще если отформатировать полностью диск.. установить чистую винду. Не избавит от этого мдз?! Может еще биос прошить.. вообще по идее разработчик должен по требованию дать инструкцию как полностью избавиться от их модуля.. получается везде танцы с бубном, даже у администратора.. переустановить, поставить систему вторую.. вставить жесткий диск.. везде какие то траблы. В настройках ведь все контроли отключены. Все равно какие то трудности

Нет проблему эту не решит, но может помочь вскрытие, если жто разрешено ).