Рекомендации по обеспечению безопасности банкоматов

Скачать 409.44 Kb.

Название	Рекомендации по обеспечению безопасности банкоматов
страница	3/4
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

1 2 3 4

Банкоматы NCR:

Ключ реестра	Разреше-ния
\HKEY_LOCAL_MACHINE\SOFTWARE\NCR\SSDS	Full Control
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT	Full Control
\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT	Full Control
HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000-000000000046}\ProxyStubClsid32\(Default)	Read Access
HKEY_CURRENT_USER\Control Panel\International	Read Access
HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы	Full Control
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\DRIVERS32	Read Access
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32	Read Access
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus sub-keys)	Read Access
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execute Options	Read Access
HKEY_LOCAL_MACHINE\Software\NCR и все подразделы	Full Control
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ActiveComputerName (plus all sub keys)	Read Access
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation	Read Access
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggreagte Installer	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggreagte Installer Wizard	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR Arbitration	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR Platform	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR Platform API	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR Platform Localisation	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR PRS	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR UEH	Full Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\WosaCtrl	Full Control

Для этого запустите редактор системного реестра. В открывшемся окне приложения найдите и выберите каждый из указанных ключей, например: HKEY_LOCAL_MACHINE\SOFTWARE\SSDS. Нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «Permissions».
tttt_037

Рисунок 25 - Установка разрешений на ключи реестра
В появившемся окне необходимо добавить в список пользователя, который указан в параметрах автоматического входа в систему (в нашем случае — это пользователь с именем «ATM»).

Для этого нажмите кнопку «Add», в открывшемся диалоговом окне нажмите кнопку «Advanced», в появившемся окне нажмите кнопку «Find Now». После того как заполнится список в нижней части окна, выберите в нем необходимого пользователя и нажмите «OK». Затем еще раз нажмите «OK». Выбранный пользователь появится в списке «Group or user name». Выберите этого пользователя и установите флажок «Allow» напротив «Full Control» в списке разрешений.

Внимание!

Для банкоматов серии Nautilus установка разрешений на ключи реестра не требуется.
Внимание!

Не следует применять опцию «Replace permissions entries on all child objects with entries shown here that apply to child objects». Права должны добавляться одно «сверху» другого. Редактирование реестра следует производить с предельным вниманием и не изменять параметры, не предусмотренные данным описанием.

Политики учетных записей

Для настройки политики учетных записей откройте «Start» => «Settings» => «Control Panel», выберите и откройте папку «Administrative Tools» и загрузите «Local Security Policy».

Политика паролей

Необходимо установить следующие параметры политики паролей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Account Policies» = > «Password Policy».

Политика паролей	Значение
Enforce password history (Требовать неповторяемости паролей)	24 passwords remembered (Помнить 24 пароля)
Maximum password age (Максимальный срок действия)	0 (Password will not expire) (Пароль никогда не истекает)
Minimum password age (Минимальный срок действия)	0 days (Password can't be changed immediately) (Разрешить смену по истечении 1 дня )
Minimum password length (Минимальная длина пароля)	12 characters (Password must be at least) (По крайней мере 12 символов)
Password must meet complexity requirements (Пароль должен отвечать требованиям сложности)	Enable (Разрешено)
Store Password using Reversible encryption (хранение пароля с использованием обратимого шифрования)	Disabled (Запрещено)

Рисунок 26 - Настройка политики паролей

Политика блокировки учетных записей

Необходимо указать следующие параметры политики блокировки учетных записей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Account Policies» => «Account Lockout Policy».

Политика блокировки учетных записей	Значение
Account lockout duration (Блокировка учетной записи на)	30 minutes (30 минут)
Account lockout threshold (Пороговое значение блокировки)	5 invalid logon attempts (5 неудачных попыток)
Reset account lockout counter after (Сброс счетчика блокировки через)	30 minutes (30 минут)

Рисунок 27 - Настройка политики блокировки учетных записей

Параметры безопасности

Назначение параметров безопасности необходимо производить в соответствии с нижеприведенной таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies» => «Security Options».

Политика безопасности	Значение
Accounts: Administrator account status (Учетные записи: Состояние учетной записи «Администратор»)	Enabled (Разрешено)
Accounts: Guest account status (Учетные записи: Состояние учетной записи «Гость»)	Disabled (Запрещено)
Accounts: Limit local account use of blank passwords to console logon only (Учетные записи: ограничить использование пустых паролей только для консольного входа)	Enabled (Разрешено)
Audit: Shut down system immediately if unable to log security audits (Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности)	Disabled (Запрещено)
Interactive logon: Do not display last user name (Интерактивный вход: не отображать последнего имени пользователя)	Enabled (Разрешено)
Interactive logon: Number of previous logons to cache (Интерактивный вход: количество предыдущих подключений к кэшу)	1 logons (1 подключение)
Network access: Sharing and security model for local accounts (Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей)	Classic – local users authenticate as themselves (Обычная - локальные пользователи удостоверяются как они сами)
Shutdown: Allow system to be shut down without having to log on (Завершение работы: позволять системе быть отключенной без входа в систему)	Disabled (Отключено)

Примечание!

Значения параметров политики безопасности, не вошедших в таблицу, остаются по умолчанию.

Настройка параметров автоматического входа в систему

Для настройки параметров автоматического входа в систему необходимо запустить редактор системного реестра, для чего нажмите кнопку «Start», выберите команду «Run» в стартовом меню, в поле ввода наберите regedit.exe и нажмите «ОK».
t_0004

Рисунок 28 - Запуск редактора системного реестра
В появившемся окне выберите последовательно ключ реестра HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon.

Рисунок 29 - Окно Редактора системного реестра
Затем добавьте или отредактируйте следующие параметры:

1) AutoAdminLogon: (String): 1

Рисунок 30 - Редактирование параметра «AutoAdminLogon»
Для изменения параметра «AutoAdminLogon» необходимо выбрать его в списке ключей и нажать правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода «Value data» ввести значение «1».

Если данного параметра в списке не найдено, то его необходимо создать.
2) DefaultUserName: (String): < имя пользователя >
tttt_027

Рисунок 31 - Редактирование параметра «DefaultUserName»
Для изменения параметра «DefaultUserName» необходимо выбрать его в списке ключей и нажать правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода «Value data» ввести имя пользователя, от имени которого будет загружаться ПО банкомата (в нашем случае — это пользователь с именем «АТМ»).

Если данного параметра в списке не найдено, то его необходимо создать.
3) DefaultPassword: (String): < пароль пользователя >
tttt_015

Рисунок 29 - Редактирование параметра «DefaultPassword»
Для изменения параметра «DefaultPassword» необходимо выбрать его в списке ключей и нажать правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода «Value data» ввести пароль, назначенный пользователю.
Внимание!

Должны использоваться сложные пароли длиной не менее 12 символов.
Если данного параметра в списке не найдено, то его необходимо создать.
Внимание!

После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы изменения вступили в силу.

Используемые службы

Необходимо настроить правила работы служб в соответствии с нижеприведенной таблицей:

Name	Startup Type
Alerter	Disabled
Application Layer Gateway Service	Disabled
Application Management	Manual
Automatic Updates	Disabled
Background Intelligent Transfer Service	Disabled
ClipBook	Disabled
COM+ Event System	Manual
COM+ System Application	Manual
Computer Browser	Disabled
Cryptographic Services	Disabled
DCOM Server Process Launcher	Automatic
DHCP Client	Disabled
Distributed Link Tracking Client	Disabled
Distributed Transaction Coordinator	Disabled
DNS Client	Disabled
Error Reporting Service	Disabled
Event Log	Automatic
Fast User Switching Compatibility	Disabled
Help and Support	Disabled
HTTP SSL	Manual
Human Interface Device Access	Disabled
IMAPI CD-Burning COM Service	Disabled
Indexing Service	Manual
IPSEC Services	Manual
Logical Disk Manager	Automatic
Logical Disk Manager Administrative Service	Manual
Messenger	Disabled
MS Software Shadow Copy Provider	Manual
Net Logon	Manual
NetMeeting Remote Desktop Sharing	Disabled
Network Connections	Manual
Network DDE	Disabled
Network DDE DSDM	Disabled
Network Location Awareness (NLA)	Disabled
Network Provisioning Service	Manual
NT LM Security Support Provider	Manual
Performance Logs and Alerts	Manual
Plug and Play	Automatic
Portable Media Serial Number Service	Manual
Print Spooler	Automatic
Protected Storage	Automatic
QoS RSVP	Manual
RouterConnect	Automatic
Remote Access Auto Connection Manager	Manual
Remote Access Connection Manager	Manual
Remote Desktop Help Session Manager	Manual
Remote Procedure Call (RPC)	Automatic
Remote Procedure Call (RPC) Locator	Manual
Remote Registry	Disabled
Removable Storage	Manual
Routing and Remote Access	Disabled
Secondary Logon	Disabled
Security Accounts Manager	Automatic
Security Center	Automatic
Server	Disabled
Shell Hardware Detection	Disabled
Smart Card	Manual
SNMP Service	Disabled
SNMP Trap Service	Disabled
SSDP Discovery Service	Manual
System Event Notification	Automatic
System Restore Service	Automatic
Task Scheduler	Disabled
TCP/IP NetBIOS Helper	Automatic
Telephony	Manual
Telnet	Disabled
Terminal Services	Disabled
Themes	Disabled
Uninterruptible Power Supply	Manual
Universal Plug and Play Device Host	Manual
Volume Shadow Copy	Manual
WebClient	Disabled
Windows Audio	Automatic
Windows Firewall/Internet Connection Sharing (ICS)	Automatic
Windows Image Acquisition (WIA)	Manual
Windows Installer	Manual
Windows Management Instrumentation	Automatic
Windows Management Instrumentation Driver Extensions	Manual
Windows Time	Disabled
Wireless Zero Configuration	Disabled
WMI Performance Adapter	Manual
Workstation	Automatic

Примечание!

Данный набор сервисов должен быть после установки и конфигурирования ОС. После установки ПО банкомата в системе появятся службы, необходимые для его работы. Дополнительно может быть установлен «Remote Access Service» (RAS) для подключения устройства по выделенным линиям, GPRS и т.д.
Внимание!

После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы изменения вступили в силу.

Назначение прав пользователя

Назначение прав пользователей необходимо производить в соответствии с нижеприведенной таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies» => «User Rights Assignments».

Политика прав пользователей	Значение
Access this computer from the network (Доступ к компьютеру из сети)	Отказано ВСЕМ
Adjust memory quotas for a process (Настройка квот памяти для процесса)	Отказано ВСЕМ
Allow logon through Terminal Services (Разрешать вход в систему через службу терминалов)	Отказано ВСЕМ
Back up files and directories (Архивирование файлов и каталогов)	Группа «Administrators», пользователь, осуществляющий автоматический вход в систему
Change system time (Изменение системного времени)	Группа «Administrators», пользователь, осуществляющий автоматический вход в систему
Create a pagefile (Создание страничного файла)	Группа «Administrators»
Create a token object (Создание маркерного объекта)	Отказано ВСЕМ
Create global objects (Создание глобальных объектов)	Группа «Administrators»
Create permanent shared objects (Создание постоянных объектов совместного использования)	Отказано ВСЕМ
Debug programs (Отладка программ)	Отказано ВСЕМ
Deny access to this computer from the network (Отказ в доступе к компьютеру из сети)	Группа «Everyone»
Deny logon as batch job (Отказ в качестве пакетного задания)	Группа «Everyone»
Deny logon as service (Отказ в качестве службы)	Группа «Everyone»
Deny logon locally (Отклонить локальный вход)	Пользователь «Guest»
Deny logon through Terminal Services (Отклонить вход в систему через службу терминалов)	Группа «Everyone»
Force shutdown from a remote system (Принудительное завершение с удаленного компьютера)	Группа «Administrators»
Increase scheduling priority (Увеличение приоритета диспетчирования)	Отказано ВСЕМ
Load and unload device drivers (Загрузка и выгрузка драйверов)	Группа «Administrators»
Log on as a batch job (Вход к качестве пакетного задания)	Отказано ВСЕМ
Log on as a service (Вход в качестве службы)	Отказано ВСЕМ
Log on locally (Локальный вход в систему)	Группа «Administrators», пользователь, осуществляющий автоматический вход в систему
Manage auditing and security log (Управление аудитом и журналом безопасности)	Группа «Administrators»
Modify firmware environment values (Изменение параметров среды оборудования)	Группа «Administrators»
Perform volume maintenance tasks (Запуск операций по обслуживанию тома)	Группа «Administrators»
Profile single process (Профилирование одного процесса)	Группа «Administrators»
Profile system performance (Профилирование загруженности системы)	Группа «Administrators»
Remove computer from docking station (Извлечение компьютера из стыковочного узла)	Группа «Administrators», пользователь, осуществляющий автоматический вход в систему
Replace a process level token (Замена маркера уровня процесса)	Отказано ВСЕМ
Restore files and directories (Восстановление файлов и каталогов)	Группа «Administrators»
Shut down the system (Завершение работы системы)	Группа «Administrators», пользователь, осуществляющий автоматический вход в систему
Take ownership of files or other objects (Овладение файлами или иными объектами)	Группа «Administrators»

Примечание!

Значения прав пользователей, не вошедших в таблицу, остаются по умолчанию.
Внимание!

После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы изменения вступили в силу.

Конфигурирование BIOS SETUP банкомата

После завершения установки прикладного ПО банкомата необходимо произвести необходимую настойку BIOS SETUP компьютера.

Настройки BIOS SETUP компьютеров разных моделей могут производиться различными способами, но все они должны содержать основные параметры, которые необходимо изменить. К основным параметрам относятся:

Разрешить использование дисковода А для гибких дисков (Floppy A: Enabled);
Второй дисковод (дисковод В) — запрещен (Floppy B: Not Installed);
Второй жесткий диск HDD — запрещен (Slave Disk: Not Installed);
Запретить использование второго контролера (Secondary IDE Ctrl Drivers: Disabled);
Запретить использование режима управления питанием (Power Management: Disabled);
Запретить использование режима управления питанием для дисков (IDE Drivers Standby Timer: Disable);
Запретить установку Secondary IDE (Disabled);
Num Lock — включен (ON);
Начальная загрузка системы (System Boot Up Sequence) производится с диска С, если есть возможность выбора, то необходимо установить «Only С», если такой возможности нет, то установить порядок загрузочных дисков — «С, А»;
Разрешить установку пароля на изменение SETUP (Password Checking);
Установить пароль (Passwords Supervisor) — произвольный набор из 6 символов.

Пример конфигурации BIOS SETUP.

1) Для настройки BIOS SETUP необходимо выключить банкомат, подсоединить стандартную клавиатуру PC AT и включить его снова. При появлении на экране монитора строки Hit SPACE if you want to run SETUP, нажмите клавишу «Пробел».

2) В открывшейся экранной форме Setup выберите раздел Standard и нажмите «Enter». Далее, в открывшемся окне выполните следующие установки:

1 2 3 4

	Методические рекомендации по обеспечению санитарно-эпидемиологического... Паспорт по обеспечению безопасности дорожного движения составлен на основе типового проекта «Паспорта дорожной безопасности образовательного...		Инструкция №55 для педагогических работников и руководителей образовательных... «Методические рекомендации по обеспечению санитарно-эпидемиологического благополучия и безопасности перевозок организованных групп...
	Рекомендации по обеспечению безопасности туристов на маршруте содержание Рекомендации для турорганизаций, реализующих оздоровительные туры с. 8		Рекомендации по обеспечению безопасности детей в организациях отдыха... Основные требования по обеспечению функционирования загородных стационарных оздоровительных лагерей
	Методические рекомендации по обеспечению правопорядка и антитеррористической... Методические рекомендации по обеспечению правопорядка и антитеррористической защищенности учреждений социальной сферы подготовлены...		Инструкция руководителю учреждения, образования по обеспечению безопасности,... Организовать и лично руководить планированием мероприятий по обеспечению безопасности, антитеррористической защищенности обучающихся...
	Методические рекомендации по обеспечению санитарно-эпидемиологического... План проведения лекций по предупреждению детского дорожно-транспортного травматизма		Рекомендации по обеспечению пожарной безопасности квартир и частных жилых домов Меры пожарной безопасности, которым следует уделить особое внимание при проведении разъяснительной работы
	Приказ мга СССР от 26. 12. 1988 n 209 Об утверждении Руководства... А по обеспечению безопасности полетов разработано Руководство по орнитологическому обеспечению полетов в гражданской авиации (рооп...		Открытый запрос цен на транспортные услуги и услуги по перевозке... По отбору организации, оказывающей транспортные услуги и услуги по перевозке банкоматов и терминалов обслуживания
	Методические рекомендации по обеспечению пожарной безопасности детских оздоровительных лагерей В соответствии с законодательством, ответственность за обеспечение пожарной безопасности в детских учреждениях несут руководители...		Методические рекомендации территориальным подсистемам рсчс по обеспечению... Рсчс по обеспечению безопасности населения и территорий при угрозе прохождения циклонов (тайфунов)
	Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных...		Методические рекомендации по обеспечению санитарно-эпидемиологического...
	Методические рекомендации по обеспечению санитарно-Эпидемиологического...		Методические и практические рекомендации по обеспечению безопасности По делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий

Рекомендации по обеспечению безопасности банкоматов

Похожие: