services.rucard.ruservices.rucard.ru/docs_dwn/sec_atm_rec.pdf · " ncr: / ˘ˆ ! ˜ c:\program...

$: services.rucard.ruservices.rucard.ru/docs_dwn/sec_atm_rec.pdf · " NCR: / ˘ˆ ! ˜ C:\Program Files\NCR APTRA , ... HKEY_LOCAL_MACHINE\Software\XFS ˘% Full Control % " Wincor Nixdorf:$
ООО «РУСОФТ»

Рекомендации

по обеспечению безопасности банкоматов

© ООО "РУСОФТ". Москва, 2013

Авторские права на эту работу принадлежат "РУСОФТ". Содержание этого документа не может полностью или частично

копироваться, использоваться или распространяться без предварительного письменного разрешения "РУСОФТ".

Рекомендации по обеспечению безопасности банкоматов 25.02.2014

v1.6

© 2013

ООО «РУСОФТ» Стр. 2/33

Лист регистрации изменений

Дата Версия

документа Описание изменений

19.06.2009 1.0 Составление документа

11.09.2011 1.1 Изменено описание функциональных модулей:

4.8 Безопасность файловой системы

4.9 Установка разрешений на ключи реестра

04.04.2013 1.2 Изменена структура документа.

Изменено описание функциональных модулей:

3.7 Автоматическое обновление системы

3.9 Политики аудита

3.14 Политики учетных записей


3.3 Центр обеспечения безопасности Windows

3.9 Политики аудита

3.12 Безопасность файловой системы

3.13 Установки разрешений на ключи реестра


3.4 Настройка брандмауэра

20.12.2013 1.5 Изменено название документа


2.1 Требования к аппаратному обеспечению

2.2 Требования к программному обеспечению

24.12.2013 1.6 Изменено название документа


1. Общие положения

2. Требования по обеспечению информационной безопасности ОС

Windows XP

Добавлены функциональные модули:

5. Обеспечение физической безопасности банкоматов


v1.6

© 2013


1. Общие положения ........................................................................................................................ 4

2. Требования по обеспечению информационной безопасности ОС Windows XP ......... 4

2.1. Требования к аппаратному обеспечению ........................................................... 4

2.2. Требования к программному обеспечению ........................................................ 4

2.3. Организационные мероприятия .............................................................................. 5

2.4. Сетевые параметры ....................................................................................................... 5

2.5. Центр обеспечения безопасности Windows ....................................................... 5

2.6. Настройка брандмауэра .............................................................................................. 6

2.7. Настройка параметров сетевого окружения ..................................................... 9

2.8. Отключение доступа по нулевой сессии и гостевого логина .................. 11

2.9. Автоматическое обновление системы ................................................................ 12

2.10. Настройка параметров системных журналов ОС .......................................... 13

2.11. Политики аудита ........................................................................................................... 14

2.12. Установка аудита на ключи реестра ................................................................... 15

2.13. Управление пользователями и группами .......................................................... 16

2.14. Безопасность файловой системы .......................................................................... 18

2.15. Установка разрешений на ключи реестра ........................................................ 21

2.16. Политики учетных записей ...................................................................................... 23

2.16.1. Политика паролей ............................................................................................. 23

2.16.2. Политика блокировки учетных записей ................................................. 24

2.17. Параметры безопасности .......................................................................................... 25

2.18. Настройка параметров автоматического входа в систему ....................... 25

2.19. Используемые службы ............................................................................................... 27

2.20. Назначение прав пользователя ........................................................................... 29

3. Конфигурирование BIOS SETUP банкомата ....................................................................... 31

4. Установка и конфигурирование модуля «СОФИТ-КОМ ЛАЙТ» ..................................... 32

5. Обеспечение физической безопасности банкоматов ....................................................... 32


v1.6

© 2013


1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящие Рекомендации определяют состав и порядок действий в части терминального

оборудования (банкоматов, управляемых программным обеспечением «Sofit ATM WIN» и «Sofit

CASH-IN») по их размещению, установке, а также настройке политик безопасности ОС Windows XP и

BIOS SETUP в целях обеспечения соблюдения требований ЦБ РФ и законодательства РФ в области

информационной безопасности.

Работы, описанные в данной инструкции, проводятся квалифицированным персоналом

(сотрудником службы безопасности, техником и системным администратором).

Сотрудник службы безопасности осцществляет следующие функции:

• контролирует состояние помещения требованиям противопожарной безопасности;

• организует работы по осуществлению видеонаблюдения и сигнализации;

• организует ввод криптографических ключей;

• организует работы по программированию кодового замка и ключей от сейфовой части.

Техник осуществляет следующие функции:

• выполняет работы по проведению необходимых коммуникаций, их подключению и

настройке;

• организует работы по физическому размещению и укреплению банкоматов.

Администратор рабочей станции осуществляет следующие функции:

• конфигурирует BIOS SETUP;

• определяет и устанавливает пароли администратора и пользователя, дающие возможность

доступа к программно-аппаратным средствам банкомата;

• устанавливает и настраивает ПО «Sofit ATM WIN» и «Sofit CASH-IN», а также очередные

версии и обновления;

• контролирует текущее состояние информационной безопасности на банкоматах.

2. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ ОС WINDOWS XP

В данном разделе кратко сформулированы общие требования безопасности, которые должны быть

выполнены в результате конфигурирования ОС Windows XP и BIOS SETUP. Основной задачей

описанных мер является защита ПО банкомата и используемых им данных от несанкционированного

доступа (чтения данных, модификации ПО).

2.1. Требования к аппаратному обеспечению

В соответствии с эксплуатационными требованиями ПО банкомата:

1. Банкомат должен управляться стандартным РС-совместимым компьютером, имеющим

конфигурацию не ниже P4 2.4 CPU; 512 M RAM; 40 GB HDD.

Актуальные минимальные аппаратные требования к АТМ размещены на сайте www.rucard.net в

разделе «Программное обеспечение для партнеров/Для терминальных сетей/Банкоматы (АТМ)».

2. Банкомат должен быть подключен к шине гарантированного электропитания или обеспечен

автономным источником бесперебойного питания.

2.2. Требования к программному обеспечению

Для инсталляции ОС должна быть использована официальная версия операционной системы MS

Windows XP.

На всех дисках управляющего компьютера, должна использоваться только файловая система

NTFS. При этом операционная система должна инсталлироваться только с использованием NTFS на

«чистую» машину, не содержащую на жестком диске сторонних данных или программ, в том числе


v1.6

© 2013


альтернативных Windows XP операционных систем (использование других операционных систем

категорически запрещено).

Кроме ОС на управляющем компьютере банкомата должны быть инсталлированы:

• пакет обновления № 2 для MS Windows XP (Service Pack 2);

• программное обеспечение «Sofit ATM Win», «Sofit CASH-IN» или «OpenVPN client»

(инсталлируется пользователем с правами администратора);

• пакет антивирусного ПО с последним обновлением антивирусной базы (инсталлируется

специалистами банка).

На управляющем компьютере банкомата запрещается установка программного обеспечения,

отличного от указанного выше. В том числе запрещается установка:

• программного обеспечения, такого, как Internet Information Server, Personal Web Server,

Personal Transaction Server и т.д.;

• офисного программного обеспечения (Microsoft Office и др.);

• игровых программ (в том числе входящих в пакет операционной системы);

• графических оболочек, типа Norton Commander.

На управляющем компьютере должен быть включен и настроен Windows Firewall или

альтернативный брандмауэр, в соответствии с политикой информационной безопасности банка.

2.3. Организационные мероприятия

Организационные мероприятия включают в себя следующие действия:

• конфигурирование программы “SETUP” управляющего компьютера (установка пароля и

др.);

• закрытие системного блока штатными средствами (встроенный замок) и его опечатывание

защитной номерной наклейкой для исключения возможности негласного вскрытия;

• установка ПО;

• настройка политики безопасности.

Так же должно быть обеспечено хранение электронной копии журнальной ленты и технического

журнала (*.PRJ, *.ERL) в течение 180 дней.

2.4. Сетевые параметры

Для обеспечения работы банкомата в сети должен использоваться сетевой протокол TCP/IP.

2.5. Центр обеспечения безопасности Windows

При проведении настроек ОС Windows XP и BIOS каждый пользователь рабочей станции должен

иметь свою уникальную учетную запись.

Первое, что необходимо сделать – это задать пароль пользователю «Administrator»! Так же

необходимо убедиться, что в системе отсутствуют учетные записи с пустым паролем.

Внимание!

Должны использоваться сложные пароли длиной не менее 12 символов.

Выполните «Start» => «Settings» => «Control Panel» => «Security Center» («Пуск» => «Настройка»

=> «Панель управления» => «Центр обеспечения безопасности»). В окне «Windows Security Center»

(«Центр обеспечения безопасности Windows») выберите следующие установки: «Firewall» — «ON»,

«Automatic Updates» — «OFF», «Virus Protection» — «NOT FOUND» (см. рис. ниже).


v1.6

© 2013


Рисунок 1 - Окно «Windows Security Center» («Центр обеспечения безопасности Windows»)

В этом же окне «Windows Security Center» («Центр обеспечения безопасности Windows») в разделе

«Resources» («Ресурсы») выберите «Change the way Security Center alerts me» («Изменить способ

оповещений Центром обеспечения безопасности») и снимите все три «галочки» в окне «Alert Settings»

(«Способ оповещения»).

Рисунок 2 - Окно «Alert Settings» («Способ оповещения»)

2.6. Настройка брандмауэра

Для настройки брандмауэра войдите в «Start» => «Settings» => «Control Panel», выберите и

загрузите системную утилиту Windows «Firewall». В появившемся окне, на закладке «General»

включите переключатель «On (recommended)».


v1.6

© 2013


Рисунок 3 - Включение брандмауэра

Настройками Windows Firewall необходимо обеспечить двухсторонний обмен данными только

между сервисом RCOMM (SofitCom Lite) банкомата и сервером SofitCom процессингового центра.

В случае подключения банкомата к процессинговому центру по технологии OpenVPN

необходимо:

• добавить в исключения брандмауэра порт 7777 TCP, как показано на рисунке 4;

• отключить брандмауэр на сетевом интерфейсе, появившемся после установки клиента

OpenVPN (обычно «Подключение по локальной сети 2», адаптер TAP-Win32 Adapter V9).

Сделать это можно убрав соответствующую галочку на вкладке «Дополнительно»

брандмауэра.


v1.6

© 2013


Рисунок 4 – Настройки исключений

Весь остальной трафик должен быть заблокирован.

По умолчанию ведение журналов отключено. Нужно включить ведение журналов.

Рисунок 5 - Дополнительные настройки брандмауэра

Для этого необходимо перейти на закладку «Advanced» и в группе «Security Logging» нажать

кнопку «Settings».


v1.6

© 2013


Рисунок 6 - Ведение журналов

В появившемся окне включите переключатели «Log dropped packets» («Записывать

пропущенные пакеты») и «Log successful connections» («Записывать успешные подключения»). Нажмите

кнопку «OК».

В окне «Windows Firewall» в разделе «ICMP» нажмите кнопку «Settings…». В появившемся окне

«ICMP Settings» разрешите запрос входящего эха, поставив галочку напротив «Allow incoming echo

request».

Рисунок 7 - Окно «ICMP Settings»

2.7. Настройка параметров сетевого окружения

В настройках параметров подключения к локальной сети необходимо отключить все службы

кроме протокола Интернета (TCP/IP).


v1.6

© 2013


Рисунок 8 – Параметры сетевого окружения

Активировать фильтрацию трафика, ограничить используемые порты и добавить порт, по

которому идет соединение с терминальным контроллером в разделы «TCP-порты» и «UDP- порты».

Рисунок 9 – Фильтрация TCP/IP трафика

Отключить NetBIOS через TCP/IP.


v1.6

© 2013


Рисунок 10 – Окно дополнительных параметров TCP/IP

2.8. Отключение доступа по нулевой сессии и гостевого логина

В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA установите

значение параметра RestrictAnonymous = 2 (тип параметра – REG_DWORD)

Рисунок 11 – Отключение гостевого логина

В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver


v1.6

© 2013


установите значение параметра RestrictNullSessAccess = 1 (тип параметра – REG_DWORD)

Рисунок 12 – Отключение доступа по нулевой сессии

2.9. Автоматическое обновление системы

Обновление системы необходимо производить в ручном режиме по мере выхода критических

обновлений ОС Windows XP. Для запрета автоматического обновления войдите в «Start» => «Settings»

=> «Control Panel», выберите и загрузите системную утилиту «Automatic Updates».

Рисунок 13 - Запрет автоматического обновления


v1.6

© 2013


В появившемся окне, на закладке «Automatic Updates» установите переключатель в положение

«Turn off Automatic Updates» и нажмите «Ok».

2.10. Настройка параметров системных журналов ОС

Для настройки параметров системных журналов откройте «Start» => «Settings» => «Control

Panel», выберите и откройте папку «Administrative Tools» и загрузите системную утилиту «Event

Viewer».

Рисунок 14 - Установка параметров системных журналов

В системе ведется три основных системных журнала:

• Application — журнал событий работы приложений;

• System — журнал системных событий;

• Security — журнал событий системы безопасности.

Для установки параметров журналов, выберите журнал и нажмите правую клавишу мыши. В

появившемся выпадающем меню выберите пункт «Properties».


v1.6

© 2013


Рисунок 15 - Настройка свойств журнала

В появившемся окне необходимо включить параметр «Overwrite events older then … days» и

установить значение «31», а также изменить параметр «Maximum log size» на «100032» Kb. Остальные

параметры оставить по умолчанию.

Данные действия повторите для всех журналов.

2.11. Политики аудита

По умолчанию весь аудит отключен. Необходимо включить аудит в соответствии с

нижеприведенной таблицей. Для этого в дереве параметров безопасности выберите «Security Settings»

=> «Local Policies» => «Audit Policy».

Политика аудита Success Failure

Audit account logon events

(Аудит событий входа в систему) Да Да

Audit account management

(Аудит управления учетными записями) Да Да

Audit directory service access

(Аудит доступа к службе каталогов) Нет Да

Audit logon events

(Аудит входа в систему) Да Да

Audit objects access

(Аудит доступа к объектам) Нет Да

Audit policy change

(Аудит изменения политики) Да Да

Audit privilege use

(Аудит использования привилегий) Нет Да

Audit process tracking

(Аудит отслеживания процессов) Нет Нет

Audit system events

(Аудит системных событий) Да Да


v1.6

© 2013


Рисунок 16 - Настройка политики аудита

2.12. Установка аудита на ключи реестра

Далее установите аудит на ключ реестра «HKEY_LOCAL_MACHINE» для всех пользователей.

Для этого необходимо запустить редактор системного реестра, выбрать ключ

«HKEY_LOCAL_MACHINE», нажать правую клавишу мыши и в появившемся всплывающем меню

выбрать пункт «Permissions».

В окне «Permissions for HKEY_LOCAL_MACHINE» нажать кнопку «Advanced».

В окне «Advanced Security Settings for HKEY_LOCAL_MACHINE» перейдите на закладку «Auditing»

и нажмите кнопку «Add».

Рисунок 17 - Установка аудита

В появившемся окне нажмите кнопку «Advanced», а затем «Find Now».

После того как заполнится список встроенных учетных записей участников безопасности в

нижней части окна, выберите в нем «Everyone» и нажмите «OК», а затем еще раз «OК».


v1.6

© 2013


Рисунок 18 - Выбор пользователей или групп

В появившемся окне «Auditing for HKEY_LOCAL_MACHINE» необходимо проставить флажки

«Successful» и «Failed» напротив значения «Full Control» и нажать кнопку «OК».

Рисунок 19 - Запись аудита

2.13. Управление пользователями и группами

Для работы с пользователями системы откройте «Start» => «Settings» => «Control Panel»,

выберите и откройте папку «Administrative Tools» и загрузите «Computer Management».


v1.6

© 2013


После завершения установки всего ПО, необходимого для работы банкомата (заметим, что

установку ПО «Sofit ATM WIN» и «Sofit CASH-IN» следует производить, входя в систему с правами

администратора), удалите из системы всех пользователей и все группы пользователей кроме встроенных

групп (к встроенным группам относятся «Backup Operators», «Network Configuration Operators», «Power

Users», «Remote Desktop Users» и «Replicator»), которые не могут быть удалены, оставив только одного

пользователя «Administrator» из группы «Administrators» и группу «Users». При этом свойства

пользователя «Full Name» и «Description» не должны быть заполнены. В последующем произведите

переименование пользователя «Administrator» на любое другое произвольное (в нашем случае —

«Ivanov»).

Удаление пользователя «Guest» системой запрещено, поэтому необходимо запретить этому

пользователю доступ в систему. Для этого необходимо установить флажок на свойстве «Account is

disabled».

Рисунок 20 - Работа с пользователями системы

Далее необходимо создать нового пользователя в группе «Users», от имени которого будет

загружаться ПО банкомата. Для этого выберите «System Tools» => «Local Users and Groups» => «Users»

и нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «New User».

В появившемся диалоговом окне в поле «User Name» («Наименование нового пользователя»)

укажите «ATM» и введите «Password» («Пароль»), а остальные поля оставьте пустыми.


v1.6

© 2013


Рисунок 21 - Создание нового пользователя

Внимание!


Внимание!

После создания пользователя необходимо войти под его именем для создания профайла

пользователя и внести изменения в региональные настройки.

2.14. Безопасность файловой системы

Для нормального функционирования ПО банкомата необходимо установить разрешения

(«Permissions») на системные файлы и каталоги в соответствии с нижеприведенной таблицей.

Каталог (файл) Разрешения

С:\ и все файлы, находящиеся в

корневом каталоге

Administrators: Full Control

CREATOR OWNER: Special Permissions

Пользователь, осуществляющий автоматический вход в

систему: установить разрешения согласно Рисунку 22

С:\ и все подкаталоги Administrators: Full Control



систему: установить разрешения согласно Рисунку 23

%SYSTEMROOT% и все подкаталоги Administrators: Full Control



систему: Read & Execute

\Document and Settings\Username и все

подкаталоги


Username: Full Control

\Boot.ini

\Ntdetect.com

\Ntldr



v1.6

© 2013


Рисунок 22 - Окно «Permission Entry for WINOS (C:)»

Рисунок 23 - Окно «Permission Entry for WINOS (C:)»

Примечание!

Помечаются галочкой только те поля, которые видны на Рисунке 22 и Рисунке 23. Остальные

поля остаются пустыми.

На компьютерах, используемых в банкоматах, должны быть дополнительно установлены

следующие разрешения («Permissions») для пользователя, осуществляющего автоматический вход в

систему (в нашем случае — пользователь с именем «ATM»).

Банкоматы NCR:

Каталог Разрешения

C:\Program Files\NCR APTRA и все Пользователь, осуществляющий автоматический вход


v1.6

© 2013


подкаталоги в систему: Read & Execute + Write

C:\Program Files\Common Files\NCR и

все подкаталоги

Пользователь, осуществляющий автоматический вход

в систему: Read & Execute + Write

C:\ssds\ и все подкаталоги Пользователь, осуществляющий автоматический вход в

систему: Full Control

C:\40COLFIL Пользователь, осуществляющий автоматический вход

в систему: Read

Банкоматы DIEBOLD:


C:\Diebold Пользователь, осуществляющий автоматический вход


C:\Program Files\Diebold\ и все




C:\Program Files\Lanit\ и все




Банкоматы WINCOR NIXDORF:


C:\CSCW32 и все подкаталоги Пользователь, осуществляющий автоматический

вход в систему: Read & Execute + Write

C:\FITPCI и все подкаталоги Пользователь, осуществляющий автоматический


C:\INSTALL и все подкаталоги Пользователь, осуществляющий автоматический


C:\PACKAGE и все подкаталоги Пользователь, осуществляющий автоматический


C:\PARAC и все подкаталоги Пользователь, осуществляющий автоматический


C:\PROEINFO и все подкаталоги Пользователь, осуществляющий автоматический


C:\PROPXD и все подкаталоги Пользователь, осуществляющий автоматический


C:\PROSOP и все подкаталоги Пользователь, осуществляющий автоматический


C:\PROTOPAS и все подкаталоги Пользователь, осуществляющий автоматический


C:\PROVIEW и все подкаталоги Пользователь, осуществляющий автоматический


C:\WOSASSP и все подкаталоги Пользователь, осуществляющий автоматический


Для установки разрешений к файлам необходимо загрузить Windows Explorer (Проводник). В окне

проводника выберете в дереве каталогов каталог (например, «SSDS») и нажмите правую клавишу мыши.

В появившемся всплывающем меню выберите пункт «Properties». В окне перейдите на закладку

«Security».


v1.6

© 2013


Рисунок 24 - Настройка безопасности для каталога Внимание!

Не следует применять опцию «Replace permissions entries on all child objects with entries shown

here that apply to child objects». Права должны добавляться одно «сверху» другого.

2.15. Установка разрешений на ключи реестра

Для нормального функционирования ПО банкомата пользователю, с именем которого будет

производиться автоматический вход в систему и последующий автоматический запуск ПО (в нашем

случае — это пользователь с именем «ATM»), необходимо дать разрешения на редактирование ключей

реестра, в которых располагаются параметры ПО банкомата:

Банкоматы DIEBOLD:

Ключ реестра Разрешения

HKEY_LOCAL_MACHINE\Software\Lanit и все подразделы Full Control

HKEY_LOCAL_MACHINE\Software\Diebold и все подразделы Full Control

HKEY_LOCAL_MACHINE\Software\Gemplus и все подразделы Full Control

HKEY_LOCAL_MACHINE\Software\MayFair Software и все подразделы Full Control

HKEY_LOCAL_MACHINE\Software\MayFairSoftware и все подразделы Full Control

HKEY_LOCAL_MACHINE\Software\Nexus и все подразделы Full Control

HKEY_LOCAL_MACHINE\Software\Sygate Technologies, Inc и все подразделы Full Control

HKEY_LOCAL_MACHINE\Software\XFS и все подразделы Full Control

Банкоматы Wincor Nixdorf:

Ключ реестра Разрешения

\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT Full Control

\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT Full Control

HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000-

000000000046}\ProxyStubClsid32\(Default) Read Access

HKEY_CURRENT_USER\Control Panel\International Read Access

HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы Full Control

HKEY_LOCAL_MACHINE \Software\Microsoft\Windows

NT\CurrentVersion\DRIVERS32 Read Access

HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32 Read Access

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus Read Access


v1.6

© 2013


sub-keys)

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File

Execute Options Read Access

Банкоматы NCR:

Ключ реестра Разреше-

ния

\HKEY_LOCAL_MACHINE\SOFTWARE\NCR\SSDS Full

Control

\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT Full

Control

\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT Full

Control

HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000-

000000000046}\ProxyStubClsid32\(Default)

Read

Access

HKEY_CURRENT_USER\Control Panel\International

Read

Access

HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы Full

Control

HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\DRIVERS32

Read

Access

HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32

Read

Access

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus sub-

keys)

Read

Access

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execute

Options

Read

Access

HKEY_LOCAL_MACHINE\Software\NCR и все подразделы Full

Control

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ActiveComputer

Name (plus all sub keys)

Read

Access

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation

Read

Access

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggrea

gte Installer

Full

Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggrea

gte Installer Wizard

Full

Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR

Arbitration

Full

Control


Platform

Full

Control


Platform API

Full

Control


Platform Localisation

Full

Control


PRS

Full

Control


UEH

Full

Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\WosaC

trl

Full

Control


v1.6

© 2013


Для этого запустите редактор системного реестра. В открывшемся окне приложения найдите и

выберите каждый из указанных ключей, например: HKEY_LOCAL_MACHINE\SOFTWARE\SSDS.

Нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «Permissions».

Рисунок 25 - Установка разрешений на ключи реестра

В появившемся окне необходимо добавить в список пользователя, который указан в параметрах

автоматического входа в систему (в нашем случае — это пользователь с именем «ATM»).

Для этого нажмите кнопку «Add», в открывшемся диалоговом окне нажмите кнопку «Advanced», в

появившемся окне нажмите кнопку «Find Now». После того как заполнится список в нижней части окна,

выберите в нем необходимого пользователя и нажмите «OK». Затем еще раз нажмите «OK». Выбранный

пользователь появится в списке «Group or user name». Выберите этого пользователя и установите

флажок «Allow» напротив «Full Control» в списке разрешений.

Внимание!

Для банкоматов серии Nautilus установка разрешений на ключи реестра не требуется.

Внимание!

Не следует применять опцию «Replace permissions entries on all child objects with entries shown

here that apply to child objects». Права должны добавляться одно «сверху» другого. Редактирование

реестра следует производить с предельным вниманием и не изменять параметры, не предусмотренные

данным описанием.

2.16. Политики учетных записей

Для настройки политики учетных записей откройте «Start» => «Settings» => «Control Panel»,

выберите и откройте папку «Administrative Tools» и загрузите «Local Security Policy».

2.16.1. Политика паролей

Необходимо установить следующие параметры политики паролей. Для этого в дереве параметров

безопасности выберите «Security Settings» => «Account Policies» = > «Password Policy».


v1.6

© 2013


Политика паролей Значение

Enforce password history

(Требовать неповторяемости паролей)

24 passwords remembered

(Помнить 24 пароля)

Maximum password age

(Максимальный срок действия)

0 (Password will not expire)

(Пароль никогда не истекает)

Minimum password age

(Минимальный срок действия)

0 days (Password can't be changed

immediately)

(Разрешить смену по истечении 1 дня )

Minimum password length

(Минимальная длина пароля)

12 characters (Password must be at least)

(По крайней мере 12 символов)

Password must meet complexity requirements

(Пароль должен отвечать требованиям сложности)

Enable (Разрешено)

Store Password using Reversible encryption (хранение

пароля с использованием обратимого шифрования)

Disabled (Запрещено)

Рисунок 26 - Настройка политики паролей

2.16.2. Политика блокировки учетных записей

Необходимо указать следующие параметры политики блокировки учетных записей. Для этого в

дереве параметров безопасности выберите «Security Settings» => «Account Policies» => «Account Lockout

Policy».

Политика блокировки учетных записей Значение

Account lockout duration

(Блокировка учетной записи на)

30 minutes

(30 минут)

Account lockout threshold

(Пороговое значение блокировки)

5 invalid logon attempts

(5 неудачных попыток)

Reset account lockout counter after

(Сброс счетчика блокировки через)

30 minutes

(30 минут)

Рисунок 27 - Настройка политики блокировки учетных записей


v1.6

© 2013


2.17. Параметры безопасности

Назначение параметров безопасности необходимо производить в соответствии с нижеприведенной

таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies»

=> «Security Options».

Политика безопасности Значение

Accounts: Administrator account status

(Учетные записи: Состояние учетной записи «Администратор»)

Enabled

(Разрешено)

Accounts: Guest account status

(Учетные записи: Состояние учетной записи «Гость»)

Disabled

(Запрещено)

Accounts: Limit local account use of blank passwords to console logon only

(Учетные записи: ограничить использование пустых паролей только для

консольного входа)

Enabled


Audit: Shut down system immediately if unable to log security audits

(Аудит: немедленное отключение системы, если невозможно внести в

журнал записи об аудите безопасности)

Disabled

(Запрещено)

Interactive logon: Do not display last user name

(Интерактивный вход: не отображать последнего имени пользователя)

Enabled


Interactive logon: Number of previous logons to cache

(Интерактивный вход: количество предыдущих подключений к кэшу)

1 logons

(1 подключение)

Network access: Sharing and security model for local accounts

(Сетевой доступ: модель совместного доступа и безопасности для

локальных учетных записей)

Classic – local users

authenticate as themselves

(Обычная - локальные

пользователи

удостоверяются как они

сами)

Shutdown: Allow system to be shut down without having to log on

(Завершение работы: позволять системе быть отключенной без входа в

систему)

Disabled (Отключено)


Значения параметров политики безопасности, не вошедших в таблицу, остаются по

умолчанию.

2.18. Настройка параметров автоматического входа в систему

Для настройки параметров автоматического входа в систему необходимо запустить редактор

системного реестра, для чего нажмите кнопку «Start», выберите команду «Run» в стартовом меню, в

поле ввода наберите regedit.exe и нажмите «ОK».

Рисунок 28 - Запуск редактора системного реестра

В появившемся окне выберите последовательно ключ реестра HKEY_LOCAL_MACHINE/SOFT-

WARE/Microsoft/WindowsNT/CurrentVersion/Winlogon.


v1.6

© 2013


Рисунок 29 - Окно Редактора системного реестра

Затем добавьте или отредактируйте следующие параметры:

1) AutoAdminLogon: (String): 1

Рисунок 30 - Редактирование параметра «AutoAdminLogon»

Для изменения параметра «AutoAdminLogon» необходимо выбрать его в списке ключей и нажать

правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода

«Value data» ввести значение «1».

Если данного параметра в списке не найдено, то его необходимо создать.

2) DefaultUserName: (String): < имя пользователя >

Рисунок 31 - Редактирование параметра «DefaultUserName»

Для изменения параметра «DefaultUserName» необходимо выбрать его в списке ключей и нажать



v1.6

© 2013


«Value data» ввести имя пользователя, от имени которого будет загружаться ПО банкомата (в нашем

случае — это пользователь с именем «АТМ»).


3) DefaultPassword: (String): < пароль пользователя >

Рисунок 29 - Редактирование параметра «DefaultPassword»

Для изменения параметра «DefaultPassword» необходимо выбрать его в списке ключей и нажать


«Value data» ввести пароль, назначенный пользователю.

Внимание!



Внимание!

После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы

изменения вступили в силу.

2.19. Используемые службы

Необходимо настроить правила работы служб в соответствии с нижеприведенной таблицей:

Name Startup

Type

Alerter Disabled

Application Layer Gateway Service Disabled

Application Management Manual

Automatic Updates Disabled

Background Intelligent Transfer Service Disabled

ClipBook Disabled

COM+ Event System Manual

COM+ System Application Manual

Computer Browser Disabled

Cryptographic Services Disabled

DCOM Server Process Launcher Automatic

DHCP Client Disabled

Distributed Link Tracking Client Disabled

Distributed Transaction Coordinator Disabled

DNS Client Disabled

Error Reporting Service Disabled

Event Log Automatic

Fast User Switching Compatibility Disabled

Help and Support Disabled


v1.6

© 2013


HTTP SSL Manual

Human Interface Device Access Disabled

IMAPI CD-Burning COM Service Disabled

Indexing Service Manual

IPSEC Services Manual

Logical Disk Manager Automatic

Logical Disk Manager Administrative Service Manual

Messenger Disabled

MS Software Shadow Copy Provider Manual

Net Logon Manual

NetMeeting Remote Desktop Sharing Disabled

Network Connections Manual

Network DDE Disabled

Network DDE DSDM Disabled

Network Location Awareness (NLA) Disabled

Network Provisioning Service Manual

NT LM Security Support Provider Manual

Performance Logs and Alerts Manual

Plug and Play Automatic

Portable Media Serial Number Service Manual

Print Spooler Automatic

Protected Storage Automatic

QoS RSVP Manual

RouterConnect Automatic

Remote Access Auto Connection Manager Manual

Remote Access Connection Manager Manual

Remote Desktop Help Session Manager Manual

Remote Procedure Call (RPC) Automatic

Remote Procedure Call (RPC) Locator Manual

Remote Registry Disabled

Removable Storage Manual

Routing and Remote Access Disabled

Secondary Logon Disabled

Security Accounts Manager Automatic

Security Center Automatic

Server Disabled

Shell Hardware Detection Disabled

Smart Card Manual

SNMP Service Disabled

SNMP Trap Service Disabled

SSDP Discovery Service Manual

System Event Notification Automatic

System Restore Service Automatic

Task Scheduler Disabled

TCP/IP NetBIOS Helper Automatic

Telephony Manual

Telnet Disabled

Terminal Services Disabled

Themes Disabled

Uninterruptible Power Supply Manual

Universal Plug and Play Device Host Manual

Volume Shadow Copy Manual

WebClient Disabled


v1.6

© 2013


Windows Audio Automatic

Windows Firewall/Internet Connection Sharing (ICS) Automatic

Windows Image Acquisition (WIA) Manual

Windows Installer Manual

Windows Management Instrumentation Automatic

Windows Management Instrumentation Driver

Extensions Manual

Windows Time Disabled

Wireless Zero Configuration Disabled

WMI Performance Adapter Manual

Workstation Automatic


Данный набор сервисов должен быть после установки и конфигурирования ОС. После

установки ПО банкомата в системе появятся службы, необходимые для его работы. Дополнительно

может быть установлен «Remote Access Service» (RAS) для подключения устройства по выделенным

линиям, GPRS и т.д.

Внимание!



2.20. Назначение прав пользователя

Назначение прав пользователей необходимо производить в соответствии с нижеприведенной

таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies»

=> «User Rights Assignments».

Политика прав пользователей Значение

Access this computer from the network

(Доступ к компьютеру из сети) Отказано ВСЕМ

Adjust memory quotas for a process

(Настройка квот памяти для процесса) Отказано ВСЕМ

Allow logon through Terminal Services

(Разрешать вход в систему через службу терминалов) Отказано ВСЕМ

Back up files and directories

(Архивирование файлов и каталогов)

Группа «Administrators», пользователь,

осуществляющий автоматический вход в

систему

Change system time

(Изменение системного времени)



систему

Create a pagefile

(Создание страничного файла) Группа «Administrators»

Create a token object

(Создание маркерного объекта) Отказано ВСЕМ

Create global objects

(Создание глобальных объектов) Группа «Administrators»

Create permanent shared objects

(Создание постоянных объектов совместного

использования)

Отказано ВСЕМ

Debug programs

(Отладка программ) Отказано ВСЕМ

Deny access to this computer from the network Группа «Everyone»


v1.6

© 2013


(Отказ в доступе к компьютеру из сети)

Deny logon as batch job

(Отказ в качестве пакетного задания) Группа «Everyone»

Deny logon as service

(Отказ в качестве службы) Группа «Everyone»

Deny logon locally

(Отклонить локальный вход) Пользователь «Guest»

Deny logon through Terminal Services

(Отклонить вход в систему через службу терминалов) Группа «Everyone»

Force shutdown from a remote system

(Принудительное завершение с удаленного

компьютера)

Группа «Administrators»

Increase scheduling priority

(Увеличение приоритета диспетчирования) Отказано ВСЕМ

Load and unload device drivers

(Загрузка и выгрузка драйверов) Группа «Administrators»

Log on as a batch job

(Вход к качестве пакетного задания) Отказано ВСЕМ

Log on as a service

(Вход в качестве службы) Отказано ВСЕМ

Log on locally

(Локальный вход в систему)



систему

Manage auditing and security log

(Управление аудитом и журналом безопасности) Группа «Administrators»

Modify firmware environment values

(Изменение параметров среды оборудования) Группа «Administrators»

Perform volume maintenance tasks

(Запуск операций по обслуживанию тома) Группа «Administrators»

Profile single process

(Профилирование одного процесса)


Profile system performance

(Профилирование загруженности системы)


Remove computer from docking station

(Извлечение компьютера из стыковочного узла)



систему

Replace a process level token

(Замена маркера уровня процесса) Отказано ВСЕМ

Restore files and directories

(Восстановление файлов и каталогов) Группа «Administrators»

Shut down the system

(Завершение работы системы)



систему

Take ownership of files or other objects

(Овладение файлами или иными объектами) Группа «Administrators»


Значения прав пользователей, не вошедших в таблицу, остаются по умолчанию.

Внимание!




v1.6

© 2013


3. КОНФИГУРИРОВАНИЕ BIOS SETUP БАНКОМАТА

После завершения установки прикладного ПО банкомата необходимо произвести необходимую

настойку BIOS SETUP компьютера.

Настройки BIOS SETUP компьютеров разных моделей могут производиться различными

способами, но все они должны содержать основные параметры, которые необходимо изменить. К

основным параметрам относятся:

• Разрешить использование дисковода А для гибких дисков (Floppy A: Enabled);

• Второй дисковод (дисковод В) — запрещен (Floppy B: Not Installed);

• Второй жесткий диск HDD — запрещен (Slave Disk: Not Installed);

• Запретить использование второго контролера (Secondary IDE Ctrl Drivers: Disabled);

• Запретить использование режима управления питанием (Power Management: Disabled);

• Запретить использование режима управления питанием для дисков (IDE Drivers Standby Timer:

Disable);

• Запретить установку Secondary IDE (Disabled);

• Num Lock — включен (ON);

• Начальная загрузка системы (System Boot Up Sequence) производится с диска С, если есть

возможность выбора, то необходимо установить «Only С», если такой возможности нет, то

установить порядок загрузочных дисков — «С, А»;

• Разрешить установку пароля на изменение SETUP (Password Checking);

• Установить пароль (Passwords Supervisor) — произвольный набор из 6 символов.

Пример конфигурации BIOS SETUP.

1) Для настройки BIOS SETUP необходимо выключить банкомат, подсоединить стандартную

клавиатуру PC AT и включить его снова. При появлении на экране монитора строки Hit SPACE if you

want to run SETUP, нажмите клавишу «Пробел».

2) В открывшейся экранной форме Setup выберите раздел Standard и нажмите «Enter». Далее, в

открывшемся окне выполните следующие установки:

Setup/Standard/Floppy B: Not Installed

Setup/Standard/Slave Disk: Not Installed

3) В открывшейся экранной форме Setup выберите раздел Advanced и нажмите «Enter». Далее, в


Setup/Advanced/System Boot Up Num Lock: On

Setup/Advanced/System Boot Up Sequence: C, A

Setup/Advanced/Password Checking: Setup

Setup/Advanced/Sec. IDE Ctrl Drives Installed: Disabled

4) В открывшейся экранной форме Setup выберите раздел PowerMgmt и нажмите «Enter». Далее, в


PowerMgmt/Power Management Mode Select: Disabled

PowerMgmt/IDE Drives Standby Timer: Disabled

5) В открывшейся экранной форме Setup выберите раздел Peripheral и нажмите «Enter». Далее, в


Peripheral/Programming Mode: Manual

Peripheral/Secondary IDE: Disabled

Peripheral/Parallel Port: Enabled


v1.6

© 2013


6) В открывшейся экранной форме Passwords выделите раздел Supervisor и нажмите «Enter».

Далее, в открывшемся окне выполните следующие установки:

Supervisor/Password: Пароль из 6 символов

7) Нажмите «Escape». Из предложенного меню выберите Save changes and exit.

8) Выключите банкомат, подсоедините обратно штатную цифровую клавиатуру и включите

банкомат.

4. УСТАНОВКА И КОНФИГУРИРОВАНИЕ МОДУЛЯ «СОФИТ-КОМ ЛАЙТ»

На банкомат должен быть установлен программный модуль «Софит-ком Лайт» для обеспечения

шифрованного обмена данными с Процессинговым Центром.

Для инсталляции ПО в виде сервиса, из каталога «Софит-ком Лайт» необходимо выполнить

команду: rcomm /install.

Настройки модуля «Софит-ком Лайт» хранятся в конфигурационном файле rcomm.ini :

TerminalAddress = 127.0.0.1 указывается IP-адрес АТМ

ListenPort = 8008 указывается открытый IP-порт, на который устанавливает

соединение АТМ

HOSTAddress = xxx.xxx.xxx.xxx указывается IP-адрес коммуникационного сервера ПЦ

HOSTPort = xxxx указывается открытый IP-порт на сервере ПЦ, на который

устанавливает соединение модуль «Софит-ком Лайт»

RunAsService= Y признак запуска модуля в виде сервиса

Для деинсталляции сервиса RouterConnect «Софит-ком Лайт», из каталога «Софит-ком Лайт»

необходимо выполнить команду: rcomm /remove

Внимание!

Установка криптографического ключа для шифрования трафика ПМ «Софит-ком Лайт»

осуществляется только уполномоченными офицерами безопасности банка.

5. ОБЕСПЕЧЕНИЕ ФИЗИЧЕСКОЙ БЕЗОПАСНОСТИ БАНКОМАТОВ

Помещение с зоной обслуживания банкоматов с сейфом 1 (первого) класса устойчивости к взлому

должно отвечать требованиям правил и нормам противопожарной безопасности. Конструктивные

элементы помещений (стены, перекрытия, перегородки и т.п.) должны находиться в исправном

состоянии.

Свободное пространство, необходимое для установки, и служебные проходы определяются

технической документацией к банкоматам.

Пол должен иметь антистатическое покрытие, не образующее пыли и волокон.

Банкомат следует установить так, чтобы исключить попадание на экран прямых солнечных лучей.

Перекрытия должны выдерживать максимальный вес банкомата, обозначенный в технической

документации. Если требуется прикрепить банкомат к полу, то необходимо, чтобы пол был твердым

ровным и способным выдержать максимальный вес банкомата.

Температура и влажность воздуха при эксплуатации банкоматов определяются технической

документацией (отдельно для установки в помещениях и снаружи).

Наиболее распространенные требования к инженерным сетям:

• максимальный потребляемый ток при установленных напряжениях питающей сети составляет

4.1A при напряжении сети 240 В;


v1.6

© 2013


• максимальный бросок тока при включении аппарата для данных напряжений составляет 150 A

(амплитудное значение) при напряжении 257 В;

• банкомат может функционировать при следующих значениях напряжения питающей сети от 198

В до 257 В при частоте питающей сети 50/60 Гц.

Примечание

Дополнительные настройки операционной системы банкомата могут устанавливаться системным

администратором банка. Устанавливаемые дополнительные настройки не должны снижать безопасность

функционирования операционной системы, прикладного программного обеспечения и приводить к

сбоям в работе банкомата.

Для защиты программного обеспечения от вирусов, «шпионских» и «троянских» программ на

банкомате должен быть установлен «антивирусный модуль». Производителя и модель «антивирусного

модуля» банк выбирает самостоятельно в соответствии с политикой информационной безопасности

банка. Установка и настройка «антивирусного модуля» осуществляется специалистами банка и не

должна снижать безопасность функционирования операционной системы, прикладного программного

обеспечения и приводить к сбоям в работе банкомата.

Для защиты программного обеспечения от несанкционированного сетевого доступа на

банкомате может быть установлен дополнительный аппаратный либо программный модуль межсетевого

экрана. Производителя и модель межсетевого экрана банк выбирает самостоятельно в соответствии с

политикой информационной безопасности банка. Установка и настройка межсетевого экрана

осуществляется специалистами банка и не должна снижать безопасность функционирования

операционной системы, прикладного программного обеспечения и приводить к сбоям в работе

банкомата.

services.rucard.ruservices.rucard.ru/docs_dwn/sec_atm_rec.pdf · " ncr: / ˘ˆ ! ˜ c:\program...

Documents