Рисунок 16 - Настройка политики аудита
-
Установка аудита на ключи реестра
Далее установите аудит на ключ реестра «HKEY_LOCAL_MACHINE» для всех пользователей. Для этого необходимо запустить редактор системного реестра, выбрать ключ «HKEY_LOCAL_MACHINE», нажать правую клавишу мыши и в появившемся всплывающем меню выбрать пункт «Permissions».
В окне «Permissions for HKEY_LOCAL_MACHINE» нажать кнопку «Advanced».
В окне «Advanced Security Settings for HKEY_LOCAL_MACHINE» перейдите на закладку «Auditing» и нажмите кнопку «Add».
Рисунок 17 - Установка аудита
В появившемся окне нажмите кнопку «Advanced», а затем «Find Now».
После того как заполнится список встроенных учетных записей участников безопасности в нижней части окна, выберите в нем «Everyone» и нажмите «OК», а затем еще раз «OК».
Рисунок 18 - Выбор пользователей или групп
В появившемся окне «Auditing for HKEY_LOCAL_MACHINE» необходимо проставить флажки «Successful» и «Failed» напротив значения «Full Control» и нажать кнопку «OК».
Рисунок 19 - Запись аудита
-
Управление пользователями и группами
Для работы с пользователями системы откройте «Start» => «Settings» => «Control Panel», выберите и откройте папку «Administrative Tools» и загрузите «Computer Management».
После завершения установки всего ПО, необходимого для работы банкомата (заметим, что установку ПО «Sofit ATM WIN» и «Sofit CASH-IN» следует производить, входя в систему с правами администратора), удалите из системы всех пользователей и все группы пользователей кроме встроенных групп (к встроенным группам относятся «Backup Operators», «Network Configuration Operators», «Power Users», «Remote Desktop Users» и «Replicator»), которые не могут быть удалены, оставив только одного пользователя «Administrator» из группы «Administrators» и группу «Users». При этом свойства пользователя «Full Name» и «Description» не должны быть заполнены. В последующем произведите переименование пользователя «Administrator» на любое другое произвольное (в нашем случае — «Ivanov»).
Удаление пользователя «Guest» системой запрещено, поэтому необходимо запретить этому пользователю доступ в систему. Для этого необходимо установить флажок на свойстве «Account is disabled».
Рисунок 20 - Работа с пользователями системы
Далее необходимо создать нового пользователя в группе «Users», от имени которого будет загружаться ПО банкомата. Для этого выберите «System Tools» => «Local Users and Groups» => «Users» и нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «New User».
В появившемся диалоговом окне в поле «User Name» («Наименование нового пользователя») укажите «ATM» и введите «Password» («Пароль»), а остальные поля оставьте пустыми.
Рисунок 21 - Создание нового пользователя
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Внимание!
После создания пользователя необходимо войти под его именем для создания профайла пользователя и внести изменения в региональные настройки.
-
Безопасность файловой системы
Для нормального функционирования ПО банкомата необходимо установить разрешения («Permissions») на системные файлы и каталоги в соответствии с нижеприведенной таблицей.
Каталог (файл)
|
Разрешения
|
С:\ и все файлы, находящиеся в корневом каталоге
|
Administrators: Full Control
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в систему: установить разрешения согласно Рисунку 22
|
С:\ и все подкаталоги
|
Administrators: Full Control
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в систему: установить разрешения согласно Рисунку 23
|
%SYSTEMROOT% и все подкаталоги
|
Administrators: Full Control
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в систему: Read & Execute
|
\Document and Settings\Username и все подкаталоги
|
Administrators: Full Control
Username: Full Control
|
\Boot.ini
\Ntdetect.com
\Ntldr
|
Administrators: Full Control
|
Рисунок 22 - Окно «Permission Entry for WINOS (C:)»
Рисунок 23 - Окно «Permission Entry for WINOS (C:)»
Примечание!
Помечаются галочкой только те поля, которые видны на Рисунке 22 и Рисунке 23. Остальные поля остаются пустыми.
На компьютерах, используемых в банкоматах, должны быть дополнительно установлены следующие разрешения («Permissions») для пользователя, осуществляющего автоматический вход в систему (в нашем случае — пользователь с именем «ATM»).
Банкоматы NCR:
Каталог
|
Разрешения
|
C:\Program Files\NCR APTRA и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\Program Files\Common Files\NCR и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\ssds\ и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Full Control
|
C:\40COLFIL
|
Пользователь, осуществляющий автоматический вход в систему: Read
|
Банкоматы DIEBOLD:
Каталог
|
Разрешения
|
C:\Diebold
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\Program Files\Diebold\ и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\Program Files\Lanit\ и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
Банкоматы WINCOR NIXDORF:
Каталог
|
Разрешения
|
C:\CSCW32 и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\FITPCI и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\INSTALL и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\PACKAGE и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\PARAC и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\PROEINFO и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\PROPXD и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\PROSOP и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\PROTOPAS и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\PROVIEW и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
C:\WOSASSP и все подкаталоги
|
Пользователь, осуществляющий автоматический вход в систему: Read & Execute + Write
|
Для установки разрешений к файлам необходимо загрузить Windows Explorer (Проводник). В окне проводника выберете в дереве каталогов каталог (например, «SSDS») и нажмите правую клавишу мыши.
В появившемся всплывающем меню выберите пункт «Properties». В окне перейдите на закладку «Security».
Рисунок 24 - Настройка безопасности для каталога
Внимание!
Не следует применять опцию «Replace permissions entries on all child objects with entries shown here that apply to child objects». Права должны добавляться одно «сверху» другого.
-
Установка разрешений на ключи реестра
Для нормального функционирования ПО банкомата пользователю, с именем которого будет производиться автоматический вход в систему и последующий автоматический запуск ПО (в нашем случае — это пользователь с именем «ATM»), необходимо дать разрешения на редактирование ключей реестра, в которых располагаются параметры ПО банкомата:
Банкоматы DIEBOLD:
Ключ реестра
|
Разрешения
|
HKEY_LOCAL_MACHINE\Software\Lanit и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE\Software\Diebold и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE\Software\Gemplus и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE\Software\MayFair Software и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE\Software\MayFairSoftware и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE\Software\Nexus и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE\Software\Sygate Technologies, Inc и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE\Software\XFS и все подразделы
|
Full Control
|
Банкоматы Wincor Nixdorf:
Ключ реестра
|
Разрешения
|
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT
|
Full Control
|
\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT
|
Full Control
|
HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000-000000000046}\ProxyStubClsid32\(Default)
|
Read Access
|
HKEY_CURRENT_USER\Control Panel\International
|
Read Access
|
HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы
|
Full Control
|
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\DRIVERS32
|
Read Access
|
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32
|
Read Access
|
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus sub-keys)
|
Read Access
|
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execute Options
|
Read Access
|
|
