На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ» . По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.
Основные инструменты
В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:
- Secret Net от компании «Код безопасности»
- Ранее упомянутый Dallas Lock
Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма - Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock - вся реализация доверенной загрузки полностью программна.
Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».
Применение
Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто - фаворитом является Secret Net, за весьма удобную, простую и понятную настройку - полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT - настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится - не в последнюю очередь из-за ценовой политики.
В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net"а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.
Проблемы
Secret Net
Фаворит - он везде фаворит
Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ - все папки создаются в файловой системе всегда несекретными, а файлы - с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:
Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна - не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net - в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии - для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.
Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:
В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое - вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется - за это отвечают выделенные два параметра, выставленные в «жесткий»:
Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию - часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:
И напоследок - небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра - MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.
Страж NT
Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.
Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.
Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа - это нормально. Следует открыть файл повторно, используя уже само офисное приложение.
Dallas Lock
Как и в случае Стража, ошибок крайне мало - не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.
Первая ошибка связана с возможным использованием двух паролей - для Dallas Lock"а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».
Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом - а потом жалуются, что не могут попасть даже в папки с грифом ДСП.
Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.
Послесловие
Надеюсь данный пост окажется полезным для сообщества или просто познавательным. Спасибо за внимание!Система защиты информации «Страж NT» (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа в многопользовательских автоматизированных системах на базе персональных ЭВМ, функционирующих под управлением 32-х разрядных операционных систем семейства Microsoft : Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 .
СЗИ «Страж NT» (версия 3.0) может применяться как на автономных рабочих местах, так и на рабочих станциях и серверах в составе локальной вычислительной сети. Отсутствие аппаратной составляющей позволяет применять СЗИ на компьютерах недесктопного исполнения (ноутбуки, сервера, промышленные компьютеры).
Функционал
В СЗИ «Страж NT» (версия 3.0) реализованы следующие подсистемы и защитные механизмы:
- Строгая двухфакторная аутентификация до загрузки операционной системы с использованием аппаратных идентификаторов. -Дискреционный и мандатный принципы разграничения доступа пользователей к ресурсам системы.
- Замкнутая программная среда для пользователей.
- Регистрация событий, в том числе и действий администратора.
- Маркировка печатных документов, независимо от приложения, выдающего их на печать.
- Гарантированное стирание освобождаемой оперативной памяти и удаляемых ресурсов системы.
- Контроль целостности критических ресурсов системы и компонентов системы защиты.
- Управление пользователями. - Управление носителями информации.
- Преобразование информации на отчуждаемых носителях.
- Управление устройствами.
- Тестирование механизмов системы защиты.
Сертификат
СЗИ «Страж NT» (версия 3.0) имеет сертификат ФСТЭК России , который позволяет использовать ее при создании автоматизированных систем до класса защищенности 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.
Обновленный 64-х разрядный релиз СЗИ «Страж NT» прошел летом 2012 года инспекционный контроль ФСТЭК России, подтвердивший соответствие СЗИ выданному ранее сертификату №2145. В обновленном релизе СЗИ «Страж NT» добавлена поддержка 64-х разрядных операционных систем Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.
Приобретение
Официальный дистрибьютор линейки продуктов Страж NT - компания "РУБИНТЕХ "
2018: Совместимость с продуктами JaCarta
2017: Совместимость с SIEM-системой «Комрад»
2016: Совместимость с электронными идентификаторами Рутокен
8 сентября 2016 года компании «Актив» и «РУБИНТЕХ » сообщили о тестировании на совместимость системы защиты информации Страж NT версии 4.0 и электронных идентификаторов Рутокен . Испытания подтвердили совместимость.
СЗИ от НСД Страж NТ версии 4.0 - программный комплекс средств защиты информации с использованием аппаратных идентификаторов. СЗИ Страж NТ предназначена для комплексной защиты информационных ресурсов от несанкционированного доступа и функционирует в среде 32-х и 64-разрядных операционных систем Microsoft до Windows 10 включительно.
Сертификат ФСТЭК России №3553 подтверждает - программное средство защиты информации от несанкционированного доступа Страж NТ (версия 4.0) соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Согласно заявлению компаний, в ходе испытаний пара Рутокен S и СЗИ Страж NT 4.0 показала высокую надежность и стабильность работы, что обеспечивает двухфакторную аутентификацию и защиту данных. Устройства
СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). СЗИ от НСД Страж NТ (версия 3.0) функционирует в среде 32-разрядных операционных систем MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003, MS Windows Vista, MS Windows Server 2008, MS Windows 7 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и серверах локальной вычислительной сети.
СЗИ от НСД Страж NT (версия 3.0) имеет сертификат ФСТЭК России №2145, который удостоверяет, что система защиты информации является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Имеющийся сертификат позволяет использовать СЗИ от НСД Страж NТ (версия 3.0) при создании АС класса защищенности до 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.
Основные отличия от предыдущих версий:
Поддержка современных операционных систем компании Microsoft
СЗИ от НСД Страж NТ (версия 3.0) может устанавливаться на автономных рабочих станциях, рабочих станциях в составе рабочей группы или домена, серверах, в том числе в составе кластера. СЗИ от НСД Страж NТ (версия 3.0) может функционировать на одно- и многопроцессорных компьютерных системах на базе архитектуры x86 под управлением 32-хразрядных операционных систем Windows Vista, Windows Server 2008, Windows 7.
Подсистема контроля устройств
Возможность контроля устройств, подключенных к компьютеру путём задания дескрипторов безопасности для групп однотипных устройств.
Подсистема преобразования информации на отчуждаемых носителях
Дополнительный механизм защиты съемных носителей (дискет и флэш-накопителей) путем прозрачного преобразования всей информации, записываемой на носитель. Преобразование информации осуществляется с применением функции гаммирования с обратной связью алгоритма криптографического преобразования ГОСТ 28147-89.
Подсистема создания и применения шаблонов настроек
Новый механизм, предназначенный для облегчения настройки СЗИ. Механизм позволяет создавать списки настроек и свободно тиражировать их на другие компьютеры.
Поддержка в качестве персональных идентификаторов USB-ключей Rutoken и флэш-накопителей
Помимо уже используемых ранее гибких магнитных дисков, идентификаторов iButton, USB-ключей eToken и Guardant ID, в новой версии реализована поддержка ключей Rutoken. Дополнительно реализована возможность использования в качестве идентификаторов пользователей флэш-накопителей.
Подсистема учёта носителей информации
Полностью переработана подсистема работы с носителями информации. В новой версии существует возможность регистрировать как отчуждаемые носители, так и отдельные тома жестких дисков.
Подсистема регистрации
Все события СЗИ доступны для просмотра из одной программы. Усовершенствованы функции сортировки и поиска отдельных событий СЗИ.
Подсистема маркировки и учёта документов, выдаваемых на печать
Новая программа настройки маркировки документов позволяет более гибко задавать состав и порядок служебной информации, выводимой на печать.
Подсистема управления пользователями
Добавлены новые функции работы с идентификаторами и возможность редактировать пользователей на удалённых рабочих станциях.
Подсистема настройки системы защиты
Настройка системы защиты реализована в виде единого центра настройки.
Обзор Samsung Galaxy A7 (2017): не боится воды и экономии Стоит ли покупать samsung a7
Делаем бэкап прошивки на андроиде
Как настроить файл подкачки?
Установка режима совместимости в Windows
Резервное копирование и восстановление драйверов Windows