Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Электронная цифровая подпись

Настройка средств аппаратной идентификации — мегалекции

Система Dallas Lock 8.0 позволяет в качестве средства опознавания пользователей системы использовать электронные идентификаторы: USB-Flash-накопители, электронные ключи Touch Memory (iButton), USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП.

Общие сведения

Электронный ключ Touch Memoryпредставляет собой микросхему, размещенную в прочном корпусе из нержавеющей стали, по размерам и форме напоминающем батарейку от электронных часов (рис. 57).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 57. Touch Memory

Фирма-производитель гарантирует, что у ключей Touch Memory не существует двух идентичных изделий (64-х разрядный регистрационный номер). Аппаратная идентификация по Touch Memory возможна, только если установлена аппаратная часть. В качестве аппаратной части для работы с Touch Memory могут применяться:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» считыватель COM-A, подключаемый к COM-порту компьютера;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» считыватель COM-P, подключаемый к COM-порту компьютера.

USB-ключ Aladdin eToken Pro/Java представляет собой защищенное устройство, предназначенное для строгой аутентификации и безопасного хранения секретных данных (рис. 58). USB-ключ eToken PRO/Java архитектурно реализован как USB-картридер с встроенной в него микросхемой (чипом) смарт-карты. Ключ выполнен в виде брелока и напрямую подключается к USB-порту компьютера, при этом не требует для своей работы каких-либо дополнительных устройств, кроме USB-порта.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 58. Aladdin eToken Pro/Java

Смарт-карта Aladdin eToken PRO/SCпредставляет собой пластиковую карту со встроенной микросхемой (рис. 59). Она предназначена для строгой аутентификации, безопасного хранения секретных данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 59. Смарт-карта Aladdin eToken PRO/SC

USB-ключи eToken Pro/Java и смарт-карты eToken Pro/SC имеют идентичную функциональность и выполнены на одной и той же микросхеме смарт-карты. Они одинаково поддерживаются использующими их приложениями.

Для корректной работы eToken (USB-ключей eToken Pro/Java и смарт-карт eToken Pro/SC) необходимо установить драйвера eToken PKI Client, которые находятся на диске с дистрибутивом Dallas Lock 8.0.

Электронный идентификатор Rutoken– это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных. Rutoken представляет собой небольшое электронное устройство, USB-брелок, подключаемое к USB-порту компьютера (рис. 60).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 60. Rutoken

Rutoken ЭЦП – это аппаратная реализация российского стандарта электронной цифровой подписи и проверенный конструктив идентификаторов Rutoken. Он отличается от стандартного Rutoken более мощным микроконтроллером и поддержкой аппаратного вычисления ЭЦП.

Для корректной работы Rutoken и Rutoken ЭЦП необходимо установить драйверы Rutoken, которые находятся на диске с дистрибутивом Dallas Lock 8.0.

На диске с дистрибутивом системы защиты имеются необходимые драйверы для настройки аппаратной идентификации при работе с различными ОС.

Название папки с дистрибутивом Назначение
Aladdin Athena для eToken SmartCard Дистрибутив для установки считывателя смарт-карт eToken от поставщика компании «Аладдин»
PKI Client Дистрибутив для установки драйверов традиционного USB-ключа eToken PKI Client от поставщика компании «Аладдин»
ATEN UC-232A USB-COM Дистрибутив для установки драйверов кабеля-преобразователя от USB на COM-порт Aten UC-232A (для считывателей Touch Memory, подключаемых к COM порту)
Rutoken Драйверы электронного идентификатора Rutoken
USB to Serial RDS Дистрибутив для установки драйвера считывателя Touch Memory Aladdin RDS-01 USB

При настройке аппаратного идентификатора рекомендуется устанавливать драйверы, поставляемые в комплекте с идентификатором, или скачать их с сайта производителя.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Перед настройкой идентификации с помощью аппаратных средств необходимо установить соответствующие драйверы. Установка драйверов возможна как перед установкой на ПК системы защиты Dallas Lock 8.0, так и после.

1. После того, как считыватель аппаратного идентификатора и драйверы к нему установлены, необходимо войти в оболочку администратора, открыть одну из основных вкладок «Параметры безопасности», выбрать категорию «Вход». Выбор настройки считывателей возможен при назначении идентификатора учетной записи.

2. Открыть окно необходимого параметра «Настройка считывателей аппаратных идентификаторов» можно, выделив параметр и нажав кнопку «Изменить» на панели «Действия», либо, дважды щелкнув левой кнопкой мыши по параметру в списке.

На экране отобразится окно настройки (рис. 61).

. Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 61. Окно настройки средств аппаратной идентификации

Окно имеет поля по настройке соответствующих считывателей идентификаторов типа Touch Memory, USB-Flash-накопитель, Рутокен, Рутокен ЭЦП и Aladdin eToken и управляющие кнопки.

3. Выделив необходимый идентификатор нужно нажать «Добавить» или поставить флажок. Кнопка «Проверить» станет активной.

3.1. Для настройки аппаратного идентификатора типа Touch Memory необходимо подключить аппаратный считыватель к компьютеру через COM–порт и определить с помощью Диспетчера устройств Windows номер соответствующего COM–порта (рис. 62).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 62. Окно Диспетчера устройств Windows

3.2. В окне настройки средств аппаратной идентификации нужно выбрать название аппаратного идентификатора в списке и нажать кнопку «Добавить». На экране появится окно для выбора соответствующего COM–порта для подключенного идентификатора (рис. 63).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 63. Выбор com-порта подключенного считывателя идентификатора

3.3. В окне со списком COM-портов нужно установить соответствующий флажок и нажать «ОК».

3.4. Для настройки аппаратного идентификатора типа смарт-карта eToken Pro/SC к соответствующему порту необходимо подключить считыватель смарт‑карты.

3.5. Для идентификатора типа смарт-карта eToken Pro/SC флажок необходимо поставить в поле «Aladdin eToken».

4. После этого необходимо проверить состояние идентификатора, нажав соответствующую кнопку «Проверить» и прикоснувшись идентификатором к считывателю, или (в случае настройки аппаратного идентификатора типа USB-Flash-накопитель, eToken и Рутокен) подключить usb-устройство идентификатора к компьютеру.

В случае успешного подключения в строке состояния появится сообщение «Готов».

После настройки подключенных к системе аппаратных идентификаторов их можно назначать в качестве средств идентификации для входа пользователя и для кодирования объектов файловой системы.

Удалить настройки считывателя идентификатора можно, выбрав его из списка и нажав появившуюся кнопку «Удалить».

Следует обратить внимание, что политика безопасности «Настройка считывателей аппаратных идентификаторов» нужна для указания типа подключенных аппаратных идентификаторов в системе. На проверку идентификационной информации пользователя она не влияет. Поэтому, если, например, настроить считыватель, задать пользователю аппаратный идентификатор, а после очистить настройки аппаратных считывателей, то при входе данного пользователя аппаратный идентификатор будет проверяться все равно, и, соответственно, он не сможет войти в систему. Если задан пользователю аппаратный идентификатор – система защиты обязана его проверить, а если проверить нельзя, то допустить пользователя до информационных ресурсов система защиты не имеет права.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

При терминальном входе на защищенный Dallas Lock 8.0 компьютер, остается возможность работы с аппаратными идентификаторами за исключением USB-Flash-накопителей. Чтобы терминальный сервер «увидел» аппаратные идентификаторы, подключенные к клиенту, необходимо в свойствах RDP-клиента в разделе «Локальные устройства и ресурсы» поставить флажок «Последовательные порты» для носителей Touch Memory и «Смарт-карты» – для остальных поддерживаемых носителей (USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключиRutoken и Rutoken ЭЦП) (рис. 64).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 64. Настройка подключения к удаленному рабочему столу

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Доверенная загрузка персональногокомпьютера необходима для того, чтобы воспрепятствовать несанкционированному запуску компьютера еще до этапа загрузки операционной системы. Это способ наиболее надежной защиты информации. Он обеспечивает высокую степень защищённости секретной и конфиденциальной информации.

Функция доверенной загрузки доступна в системе защиты Dallas Lock 8.0 редакции «C», её обеспечивает специальный модуль доверенной загрузки.

Активированный модуль доверенной загрузки позволяет следующее:

1. Администратору безопасности назначать Pin-коды пользователям, необходимые для загрузки ПК.

2. Создавать преобразованные области жесткого диска.

Прозрачное преобразование (кодирование) дисков необходимо для защиты работы с данными на жестких дисках в обход системы защиты Dallas Lock 8.0. Данный механизм доступен только при включенном модуле доверенной загрузки.

Модуль доверенной загрузки в терминах Dallas Lock 8.0 называется загрузчиком. Авторизация в модуле доверенной загрузки осуществляется только по PIN-коду, без использования аппаратной идентификации.

Для того чтобы активировать доверенную загрузку, необходимо в оболочке администратора в верхнем меню выбрать категорию «Параметры безопасности», далее – «Доверенная загрузка» и нажать кнопку «Включить» (рис. 65).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 65. Включение механизма доверенной загрузки

Появится окно включения режима доверенной загрузки с вводом параметров (рис. 66).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 66. Окно включения доверенной загрузки

В данном окне необходимо назначить Pin-код для администратора безопасности. Этот Pin‑код будет являться средством авторизации в модуле доверенной загрузки. Он имеет особый статус: используя его можно выполнить операцию по аварийному дешифрованию жесткого диска.

В качестве Pin-кодов может использоваться любая комбинация символов, удовлетворяющих установленным политикам назначения пароля (см. раздел «Настройка параметров входа»). Флажок в поле «отобразить PIN-коды» изменит скрытые под значками звездочек символы на явные.

Перед включением необходимо определить алгоритм шифрования дисков, выбрав его из выпадающего списка. После включения режима доверенной загрузки алгоритм изменить не удастся. Система защиты Dallas Lock 8.0 позволяет выбрать алгоритм преобразования XOR32 или преобразование по ГОСТ 28147-89.

После установки параметров необходимо нажать «OK». Система сообщит об успешном включении модуля загрузки и потребует перезагрузить компьютер. Следующий вход на защищенный компьютер осуществится с предварительной авторизацией в загрузчике.

Для выключения модуля доверенной загрузки, необходимо на панели действий нажать кнопку «Выключить». Система выключит режим доверенной загрузки и попросит перезагрузить операционную систему компьютера. Записи о созданных в системе Pin‑кодах (см. следующий раздел) удалятся.

Выключение модуля доверенной загрузки возможно при условии отсутствия преобразованных областей жесткого диска (подробнее в разделе «Прозрачное преобразование дисков»).

После входа в операционную систему при активном модуле загрузчика в оболочке администратора вкладка «Доверенная загрузка» автоматически откроется на дополнительной вкладке этого модуля – «Pin-коды». В списке основного окна вкладки присутствуют записи об имеющихся в системе Pin-кодах для модуля загрузки (рис. 67).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 67. Вкладка Pin-коды

Чтобы создать новый Pin-код пользователя необходимо нажать на панели действий кнопку «Добавить pin». Откроется окно создания Pin-кода (рис. 68).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 68. Окно создания Pin-кода для загрузчика

В окне создания Pin-кода необходимо заполнить следующие параметры:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Имя PIN-кода (произвольное название для идентификации в списке);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» поля «Старый PIN-код» и «Новый PIN-код» доступны при редактировании уже созданного;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» флажок в поле «отобразить PIN-коды» позволит явно увидеть скрытые под звездочками символы;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Настройка автоматического входа в операционную систему. При включении и заполнении параметров этого блока для пользователя при вводе данного Pin-кода поля для авторизации в Windows («Имя пользователя» и «Домен») будут автоматически заполнены указанными здесь;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Включение автоматического входа в загрузчике (путем выбора количества входов) позволит осуществить вход в операционную систему, минуя заполнение поля ввода Pin-кода, автоматически, через загрузчик с теми параметрами и значением Pin, которые указаны для данного Pin‑кода.

В блоке «Настройки»:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» флажок в поле «PIN-код отключен» позволит вместо удаления временно отключить выбранный Pin-код;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» флажок в поле «PIN-код администратора» установит статус, с которым для данного Pin-кода станет доступна функция аварийного декодирования в загрузчике (подробнее в разделе «Декодирование преобразованных областей жесткого диска»).

Редактирование параметров Pin-кода доступно после двойного клика по имени необходимого Pin в списке. При редактировании откроется тоже окно свойств Pin-кода, что и при его создании. В данном окне станет доступным замена старого Pin-кода на новый.

Вход на защищенный компьютер при активном модуле доверенной загрузки происходит с предварительной авторизацией в загрузчике (рис. 69).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 69. Вход в модуле доверенной загрузки компьютера

Авторизация в загрузчике происходит без использования устройства «мышь». Для авторизации в загрузчике доступны только клавиши букв и цифр основной, цифр дополнительной клавиатуры, клавиши «Esc», «Backspace», «Enter», «F1», «F2».Переключение раскладки клавиатуры происходит нажатием комбинации клавиш «Ctrl» «Shift».

Для осуществления входа в загрузчике необходимо ввести Pin-код. Дополнительное нажатие клавиши «F1» отобразит скрытые под значками звездочек символы в явном виде. Действие в поле для клавиши «F2» обязательно должно быть указано как «Загрузка» (данное действие стоит по умолчанию).

После ввода Pin-кода в загрузчике необходимо нажать «Enter». После этого начнется стандартная загрузка операционной системы.

Далее вход на ПК будет осуществляться под индивидуальной учетной записью пользователя (подробнее в разделе «Вход на защищенный компьютер»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Внимание! Если модуль доверенной загрузки Dallas Lock 8.0 включен, но при этом он не отработал корректно, например если была произведена попытка загрузки с CD диска, позволяющего обойти MBR DL и загрузить ОС напрямую, то на экране появится сообщение системы: «Нарушена целостность данных загрузчика», и в журнале системы защиты появится запись аналогичная сообщению.
В этом случае, если у учетной записи, под которой заходит пользователь, включена блокировка при нарушении целостности (она включена по умолчанию), то учетная запись заблокируется, и дальнейший вход в ОС будет невозможен.
В любом случае загрузка ОС в обход загрузчика Dallas Lock 8.0 невозможна, если системный диск был преобразован (см. раздел «Прозрачное преобразование»).

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

В состав системы защиты Dallas Lock 8.0‑C входит подсистема прозрачного преобразования жесткого диска. Она позволяет осуществить преобразование информации, хранящейся на локальных, а также съемных жестких дисках.

При попытке работы с преобразованным жестким диском в обход системы защиты Dallas Lock 8.0, например, при извлечении жесткого диска из одного ПК и подключении его к другому, данные будут защищены.

Прозрачное преобразование становится доступным после включения модуля доверенной загрузки. При включении доверенной загрузки выбирается алгоритм преобразования жесткого диска: XOR32 или ГОСТ 28147-89. Алгоритм XOR32 имеет низкую криптостойкость, но зато очень быстр. ГОСТ, наоборот, имеет высокую криптостойкость, но медленен. Преобразование с использованием алгоритма ГОСТ 28147-89 может происходить заметно медленнее. Выбор алгоритма преобразования зависит от политик информационной безопасности, принятых в организации. Подсистема позволяет настраивать и размер преобразуемой части жесткого диска.

Для преобразования дисков необходимо:

1. Включить модуль доверенной загрузки (см. выше).

2. Перейти на вкладку «Список зон» («Параметры безопасности» => «Доверенная загрузка» => «Список зон») и нажать действие «Добавить зону»[10] (рис. 70).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 70. Добавление зоны прозрачного преобразования диска

Откроется окно создания зоны жесткого диска для прозрачного преобразования (рис. 71).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 71. Параметры создания зоны преобразования

3. В данном окне необходимо выбрать диск. Указать область выбранного диска, которую необходимо преобразовать:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» весь диск;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» системную область диска;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» произвольную область (с указанием размера).

4. Нажать кнопку «OK» и подтвердить операцию. После чего сразу начнется процесс преобразования выбранной зоны жесткого диска (рис. 72).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 72. Ход процесса преобразования

В окне хода выполнения процесса преобразования его можно приостановить и продолжить, выбрав запись о процессе в списке основного окна и нажав кнопку на панели действий.

После преобразования на данной вкладке консоли администратора в списке процессов появится запись о параметрах данного процесса преобразования.

Далее работа с данными жесткого диска, имеющего преобразованные области, на защищенном Dallas Lock 8.0 компьютере никак не будет отличаться от работы с непреобразованными областями.

Чтобы удалить зону преобразования, т.е. произвести раскодирование жесткого диска или его части, необходимо выделить его в списке и нажать кнопку «Удалить зону» на панели действий, далее подтвердить операцию. Запустится процесс обратного преобразования, который также можно приостановить и возобновить позже.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Одной из главных задач любой системы защиты информации от несанкционированного доступа является разграничение доступа к объектам файловой системы. Dallas Lock 8.0 – не исключение. Она позволяет гибко и удобно задавать пользователям права на доступ к объектам ФС. После задания прав пользователи могут работать только с теми объектами, доступ к которым им разрешен, и совершать над ними только санкционированные операции. Dallas Lock 8.0 позволяет разграничивать доступ ко всем объектам ФС: файлам, папкам, дискам, ‑ которые могут располагаться как на локальных дисках, так и на сменных и сетевых.

Для разграничения доступа к объектам в Dallas Lock 8.0 предусмотрены два принципа:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» согласно индивидуальному списку доступа к объекту (дискреционный доступ);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» согласно классификационной метке объекта – мандатный доступ (только для Dallas Lock 8.0 редакции «С»).

Дискреционный доступ к объектам

По умолчанию в системе защиты все пользователи имеют доступ ко всем объектам. Механизм дискреционного доступа основывается на предоставлении пользователю прав на определенные операции с объектами файловой системы. Этот способ разграничения доступа похож на тот, который реализован в Windows на NTFS.

Дескрипторы объектов

Дескриптор — это символическое имя или идентификатор назначенного для объекта файловой системы правила доступа.

Глобальные параметры доступа к ресурсам ФС называют еще «глобальными дескрипторами», тогда как совокупность всех параметров безопасности (дискреционный и мандатный доступ, аудит, контроль целостности), назначенных на какой либо объект файловой системы, называют дескриптором этого объекта. Соответственно, операция назначения каких-либо параметров безопасности на объект файловой системы называется «создать дескриптор», «назначить дескриптор» или даже «повесить дескриптор».

Дескрипторы объектов в свою очередь делятся на «дескрипторы дискреционного доступа», «дескрипторы мандатного доступа», «дескрипторы аудита», «дескрипторы контроля целостности». Дескриптор дискреционного доступа, это дескриптор, содержащий только параметры дискреционного доступа, дескриптор аудита, это дескриптор, содержащий только параметры аудита и т.д.

Точно так же дескрипторы делятся на локальные дескрипторы (назначенные локальным объектам ФС), сетевые дескрипторы(назначенные объектам, расположенным в сети), сменные дескрипторы(назначенные объектам, расположенным на сменных накопителях). Кроме того дескрипторы бывают дескрипторами файлов (назначенные на файл), дескрипторами папок (назначенные на папку) и дескрипторами дисков (назначенные на диск).

Права доступа

Применительно к правам доступа, всех пользователей, зарегистрированных в системе защиты, можно разделить на три разряда:

1. Учетные записи. Это индивидуальные учетные записи пользователей, для которых установлены индивидуальные (отличные от других пользователей и групп пользователей) права доступа, а также учетные записи, зарегистрированные по маске для доменных пользователей.

2. Группы пользователей. Всем пользователями, входящим в одну группу, автоматически назначаются права на доступ, установленные для группы.

3. Все. К этому разряду относятся все пользователи, для которых не установлены индивидуальные права доступа и одновременно не входящие ни в одну из групп. Такие пользователи автоматически объединяются в группу «Все». Этой группе, как и любой другой, могут быть разрешены/запрещены любые операции с любыми объектами файловой системы.

В системе защиты Dallas Lock 8.0-C каждому объекту ФС и подключаемому устройству может быть сопоставлен список, элементами которого могут являться индивидуальные пользователи, учетные записи «по маске», группы пользователей и разряд «Все».

Каждый объект системы защиты характеризуется набором параметров безопасности. Каждый параметр безопасности контролирует определенную операцию (удаление, выполнение, изменение и другие), которая может быть произведена с объектом. Любая операция с объектом может быть разрешена либо запрещена пользователю. Соответственно каждый параметр может иметь значение «разрешить» или «запретить» (флажки в соответствующих полях).

Права доступа можно задавать либо для индивидуальной учетной записи пользователя, либо для группы, либо для учетной записи пользователя «по маске».

Операции, которые можно производить с объектом в системе защиты, зависят от типа объекта.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Локальные, сменные и удаленные диски, каталоги и подкаталоги характеризуются следующими параметрами:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Обзор папки. Чтение содержимого. Позволяет увидеть все вложенные в данную папку каталоги, подкаталоги, файлы, содержащиеся в корневом каталоге объекта.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Выполнение вложенных объектов. Выполнение находящихся в папке файлов.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Изменение содержимого. Изменение находящихся в папке вложенных папок и файлов (запись, удаление, создание).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Для файлов возможны следующие параметры (файлы могут находиться на локальных дисках, на сменных носителях, на сетевых ресурсах):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Чтение. Позволяет прочитать содержимое файла любого типа.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Запись. Удаление файлов, а также запись на диск модифицированного (измененного) файла.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Выполнение. Имеет смысл только для программ. Позволяет запускать программу на выполнение.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Дополнительные параметры:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Чтение разрешений. Позволяет просмотреть значения параметров, установленные для ресурса.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Изменение разрешений. Позволяет не только читать разрешения, но и изменять их.

Если объект является вложенным, и ему не сопоставлен список пользователей с правами, то права доступа пользователя к данному объекту определяются параметрами корневого объекта.

Если пользователь находится в сопоставленном объекту списке и одновременно входит в состав группы пользователей, находящейся в сопоставленном объекту списке, то действуют параметры доступа, установленные для этого пользователя.

Если пользователь входит в состав нескольких групп, находящихся в сопоставленном объекту списке, и хотя бы для одной из этих групп установлен запрет на совершение данной операции, а также отсутствует индивидуальное сопоставление данного пользователя объекту (нет явно назначенных прав), то пользователю эта операция запрещена.

Если пользователь не находится в сопоставленном объекту списке и не входит ни в одну из сопоставленных объекту (или корневому объекту) групп пользователей, то для него действуют параметры, установленные для группы «Все».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Примечание.В Dallas Lock 8.0 реализован собственный механизм дискреционного доступа, независимый от NTFS. Благодаря этому, права доступа Dallas Lock 8.0 могут быть назначены не только на диски отформатированные под NTFS, но и на диски с другими файловыми системами, сменные накопители, сетевые ресурсы. Более того, механизм дискреционного доступа Dallas Lock 8.0 намного удобнее в настройке и интуитивно понятнее, чем встроенный в ОС механизм NTFS.
Но нужно помнить, что Dallas Lock 8.0 не заменяет встроенный механизм NTFS, а дублирует его. То есть одновременно работают оба механизма, и что бы пользователь получил доступ к объекту файловой системы, Dallas Lock 8.0, и NTFS должны разрешить доступ. Если же хоть один из этих механизмов откажет в доступе, пользователь не сможет работать с объектом ФС. Об этой особенности важно помнить. И если, вдруг, возникнет ситуация, при которой в Dallas Lock 8.0 доступ к объекту разрешен, но фактически доступа нет, то первым делом следует проверить, какие права NTFS установлены на этот объект.
Также эту ситуацию легко отследить, если на объект назначить аудит отказов доступа. В случае, если доступ будет блокироваться NTFS, а также включена политика «аудит: заносить в журнал ошибки Windows», то в журнале напротив записи будет отображена особая иконка – с буковкой «w», а если доступ блокируется установленной системой защиты – то стандартная иконка отказа. Рекомендуется при использовании Dallas Lock 8.0, разграничивать доступ к файловой системе только средствами Dallas Lock 8.0, а механизм разграничения доступа NTFS не использовать.

5.1.3. Механизм определения прав доступа пользователя к ресурсам

При попытке пользователя совершить с объектом файловой системы компьютера любую операцию система защиты Dallas Lock анализирует назначенные права доступа согласно иерархии назначенных параметров на объекты снизу вверх, то есть проверка происходит, начиная с локальных параметров объекта; глобальные параметры проверяются в последнюю очередь. При этом локальные настройки имеют приоритет над глобальными настройками.

Причем при проверке прав дискреционного доступа назначенные права прибавляются. Это означает, что происходит проверка значения (наличие флажков «запретить»/«разрешить») для каждого наименования прав (обзор, выполнение, чтение, запись и пр.), и, если право не имеет состояния «запретить»/«разрешить» на нижнем уровне, то система проводит проверку и присваивает значение состоянию, исходя из более высокого уровня параметров, к которым относится данный объект.

Если право имеет различные состояния «запретить»/«разрешить» на разных уровнях, например, «запретить» для файла и «разрешить» для более глобального уровня, папки, в которую вложен файл, то приоритетным будет право локального уровня «запретить».

Приоритеты параметров в Dallas Lock 8.0 представляют собой следующую иерархию:

Таблица 1. Приоритеты параметров дескрипторов

Тип параметров Название параметров Приоритет
Глобальные параметры (список глобальных параметров на вкладке «Контроль доступа» => «Глобальные») «Параметры по умолчанию» Самый низкий
«Параметры сменных дисков по умолчанию»
«Параметры фиксированных дисков по умолчанию»
«Параметры сети по умолчанию»
Средний
«Параметры FDD-дисков по умолчанию»
«Параметры CD-ROM дисков по умолчанию»
«Параметры USB-Flash дисков по умолчанию»
Более высокий
Локальные параметры Параметры папок (приоритет меняется в зависимости от иерархии папок) Высокий
Параметры файлов Самый высокий
Параметры конкретных экземпляров дисков

В системе реализован механизм назначения дискреционных прав как на глобальные параметры (раздел «Дискреционный доступ для глобальных » см. ниже) , так и на локальные объекты ФС (раздел «Дискреционный доступ для локальных объектов»).

Таким образом, система защиты последовательно выполняет следующие действия проверки:

1.Если для данного объекта ФС пользователю назначены права, то возможность совершения запрошенной операции устанавливается исходя из этих прав. Если параметру, контролирующему данную операцию, присвоено значение «Разрешить», то операция выполняется. Если параметру присвоено значение «Запретить», операция блокируется.

2.Если для данного объекта ФС не назначены права для данного пользователя, но права назначены для одной из групп, в которую входит пользователь, то для определения возможности совершения запрашиваемой операции аналогично используются права этой группы.

3.Если для данного объекта ФС не назначены права ни конкретно для данного пользователя, ни для какой-либо из групп, в которые входит этот пользователь, то для определения возможности совершения запрошенной операции используются права, назначенные группе «Все».

4.Если же права не назначены ни для пользователя, ни для какой-либо группы, куда этот пользователь входит, ни для группы «Все», то система защиты проверяет, входит ли данный объект в состав другого объекта (папка/диск). Если входит, то повторяются действия 1-3 для объекта, содержащего данный объект. Если объект не входит в состав другого объекта ФС, то система защиты переходит к проверке глобальных параметров по иерархии, представленной в таблице.

5.Анализ глобальных параметров осуществляется по той же самой схеме, что и локальных. Проверяются права, назначенные для пользователя, если они не назначены, то для групп, куда этот пользователь входит, и если права не назначены для таких групп, то проверяются права группы «Все». Если же и для группы «Все» не назначены права, то аналогично проверяются права глобальных параметров, имеющих более низкий приоритет. Если осуществлялась проверка глобальных параметров самого низкого приоритета, то выполнение операции разрешается.

Пример

Пусть существует файл, расположенный по пути «C:Docsbalans.txt».Также есть следующие пользователи, каждый из которых входит только в одну группу:

· «Оператор», в группе «Пользователи»;

· «Аудитор», в группе «Пользователи»;

· «Админ», в группе «Администраторы».

На файл «C:Docsbalans.txt» назначены права:

· группа «Все» – доступ запрещен;

· группа «Пользователи» – разрешено чтение;

· пользователь «Оператор» – разрешен полный доступ.

В результате распределения системой прав на данный объект, пользователи будут иметь следующие возможности для совершения операций с объектом:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» пользователь «Оператор» будет иметь полный доступ к файлу «C:Docsbalans.txt» (права для пользователя будут проверяться первыми, и они имеют более высокий приоритет, чем права, заданные для групп);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» пользователь «Аудитор» будет иметь доступ только на чтение (для него не назначено отдельных прав, но он входит в группу «Пользователи»);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» пользователь «Админ» не получит доступа к этому файлу (для него не назначено отдельных прав, он не входит в группу «Пользователи», поэтому для него будут использоваться права, назначенные для группы «Все»).


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Система защиты Dallas Lock 8.0 позволяет контролировать доступ пользователей к накопителям на сменных носителях (usb-flash-дискам, флоппи и компакт-дискам и пр.). При этом есть возможность разграничивать доступ, как к определенным типам накопителей, так и к конкретным отдельно взятым экземплярам.

Для ограничения доступа по типам накопителей нужно пользоваться глобальными параметрами. Так, если какому-либо пользователю, в глобальных параметрах «Параметры сменных дисков по умолчанию», запретить все действия, то этот пользователь не сможет работать ни с какими сменными накопителями вообще. Можно поступить и более кардинально – в «Параметрах сменных дисков по умолчанию» запретить все действия для группы «Все». В этом случае со сменными накопителями не сможет работать ни один из пользователей (за исключением суперадминистратора).

Если же, после этого необходимо разрешить какому-либо пользователю работу, например с компакт-дисками, нужно в глобальных параметрах «Параметры CD-ROM дисков по умолчанию» разрешить пользователю все операции.

Можно разрешить этому пользователю чтение с флэшек. Для этого, в глобальных параметрах «параметры USB-Flash дисков по умолчанию», необходимо разрешить пользователю только чтение.

В результате, этот пользователь не сможет работать ни с какими сменными накопителями, за исключением флэшек, с которых он сможет только читать данные, и компакт-дисков, к которым он будет иметь полный доступ.

Для назначения прав на конкретный сменный накопитель, нужно подключить этот накопитель к соответствующему порту ПК (в случае, если это USB-Flash) или вставить его в привод CD-ROM (в случае компакт-диска). Далее нужно найти диск, соответствующий накопителю с помощью проводника windows explorer, и в контекстном меню диска выбрать пункт «DL8.0: Права доступа».

Дальнейшая настройка прав доступа ничем не отличается от настройки доступа к локальным папкам. При этом в список контролируемых объектов эти накопители занесутся без буквы диска, а в специальном формате, в который входит тип накопителя и его серийный номер. Поэтому, если при следующем подключении USB-Flash операционная система, возможно, назначит ему другую букву диска, права все равно будут контролироваться.

Под серийным номером накопителя Dallas Lock 8.0 понимается серийный номер раздела, расположенного на данном накопителе. Серийный номер тома можно узнать, выполнив команду dirв командной строке ОС (рис. 82).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 82. Определение серийного номера тома

Серийный номер тома, это 32-х битное число, которое, обычно, записывается в шестнадцатеричном виде.

Необходимо иметь в виду, что после форматирования накопителя, его серийный номер изменяется.

Следует обратить внимание, для того, чтобы назначить права доступа на конкретный сменный накопитель, не обязательно подключать его к ПК физически, есть другой способ. Для этого нужно знать серийный номер этого накопителя и выполнить следующие действия.

1. В оболочке администратора выбрать список объектов, на которые назначены какие-либо свойства безопасности (вкладка «Контроль доступа» => категория «Все»).

2. С помощью контекстного меню правой кнопки или панели управляющих кнопок выбрать действие «Добавить». Появится окно, предназначенное для выбора объекта файловой системы. В этом окне, в верхней части, в поле редактирования имени необходимо ввести строчку, описывающую сменный накопитель и нажать кнопку «Выбрать».

Строка, описывающая сменный накопитель, имеет строго определенный формат и содержит в себе тип накопителя и его серийный номер. Для USB-Flash она должна быть такой: «Flash(A1234567):», где A1234567 – серийный номер; для дискеты – «FDD(A1234567):»; для компакт-диска – «CD(A1234567):».

3. Если указано все правильно, то появится стандартное окно редактирования параметров безопасности объекта ФС.

Дескрипторы по пути

Как отмечалось выше, если на объект файловой системы установлен дескриптор, то при переименовании этого объекта, дескриптор останется на нем. Если удалить объект – дескриптор удалиться тоже. То есть дескриптор «привязан» к объекту.

Но, в редких случаях это бывает неудобно. Например, при работе с Microsoft Word. Программа MS Word устроена таким образом, что когда в ней открывается какой-либо документ, после редактирования и сохранения изменений, она выполняет последовательность следующих действий:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» переименовывает исходный документ;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» создает новый документ под первоначальным именем;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» удаляет переименованный исходный документ.

Что происходит с дескриптором, если он назначен на документ, при его редактировании? Он переименовывается и удаляется вместе с исходным документом. Система Dallas Lock 8.0 исправно работает в соответствии с заложенными в ней принципами. Но для пользователя же это выглядит как ошибка: на документ были назначены права, пользователь его отредактировал, права исчезли. Возникает противоречивая ситуация.

Чтобы таких ситуаций не возникало, самое правильное – назначать права не на документы, а на папки, в которых эти документы находятся.

Но это бывает неудобно, например, когда в одной папке должны лежать несколько документов с разными правами. В этом случае на эти документы нужно назначать дескрипторы для пути. Их отличие от обычных дескрипторов в том, что они не переименовываются и не удаляются вместе с объектом. Они «привязаны» к конкретному пути и могут существовать даже, если по этому пути никаких документов не находится.

Для того чтобы создать дескриптор для пути, нужно действовать так же, как и при создании обычного дескриптора. Но в окошке назначения прав нужно установить флажок в поле «Дескриптор по пути» (рис. 83).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 83. Назначенный дескриптор по пути

Дескрипторы для пути выделены в списке контролируемых файлов голубым значком, в то время как обычные дескрипторы имеют белый, а глобальные – оранжевый (рис. 84).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 84. Список объектов с назначенным доступом

Без лишней необходимости использовать дескрипторы по пути не рекомендуется.

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Согласно мандатному принципу управления доступом, каждому объекту файловой системы можно присвоить метку конфиденциальности. Учетной записи пользователя также назначается уровень конфиденциальности, который определяет документы, с которыми он может работать.

В системе защиты Dallas Lock 8.0 метки конфиденциальности имеют номера от 0 до 7. Чем больше номер, тем выше уровень конфиденциальности. Если не указана никакая метка, то считается, что объект имеет метку 0 (ноль). Если метку конфиденциальности присвоить папке (диску), то все объекты, находящиеся в данной папке (диске), будут иметь ту же метку, за исключением тех случаев, когда им явно присвоены другие метки конфиденциальности.

Для удобства работы, меткам конфиденциальности можно присваивать имена. По умолчанию первым пяти уровням конфиденциальности (от 0 до 4) присвоены наименования:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» 0 (Открытые данные);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» 1 (Конфиденциальные данные);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» 2 (Персональные данные);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» 3 (Секретные данные);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» 4 (Совершенно секретные данные).

Согласно данному присвоению меток мандатного доступа, пользователь, например, имеющий допуск уровня «Конфиденциальные данные», не может получить доступ к объекту, имеющего метку «Секретные данные». В то же время, пользователь с допуском уровня «Секретные данные», право доступа к объекту с меткой «Конфиденциальные данные» имеет, и так далее.

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

В системе защиты Dallas Lock 8.0 используется 7 меток (уровней) конфиденциальности. Имена этих меток можно сменить на другие, на работу системы защиты это никак не повлияет. Для системы защиты имеет значение только номер.

Для того чтобы переименовать метку конфиденциальности необходимо в оболочке администратора на основной вкладке верхнего меню «Параметры безопасности» выбрать категорию «Уровни доступа». Далее необходимо выделить уровень и с помощью главного или контекстного меню выбрать действие «Изменить» (рис. 85).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 85. Список уровней мандатного доступа

В появившемся окошке выбранного уровня мандатного доступа можно ввести новое наименование и для его сохранения нажать «OK».

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Присвоить метку конфиденциальности объекту файловой системы можно с помощью окна свойств, вызвав его с помощью пункта контекстного меню объекта «Права доступа» и открыв вкладку «Мандатный доступ» (рис. 86).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 86. Назначение прав доступа на объект ФС

Для того чтобы назначить метку конфиденциальности на объект ФС необходимо:

1. Включить мандатный доступ, поставив флажок в поле «Мандатный доступ включен».

2. В выдающем списке поля «Метка» выбрать необходимый уровень.

3. По желанию заполнить поле «Основание».

4. Нажать «Применить» и «ОК».

Если мандатный доступ назначается на папку, то включение механизма разделяемых папок (флажок в поле «Папка является разделяемой») определит для этой папки особый статус (см. ниже).

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Пользователь может сохранять созданные файлы только в папках, которые имеют метку конфиденциальности равную его текущему уровню допуска.

Некоторым программам, например MS Office, требуется производить запись в свою системную папку под любым уровнем мандатного доступа, иначе программа работать не будет.

В системе защиты Dallas Lock 7.7 это решалось настройкой механизма процессов-исключений и механизма «папки для временных файлов». Но эти механизмы имели свои недостатки, например, процессы-исключения добавляли потенциальную возможность утечки информации, а объекты в папках для временных файлов удалялись в процессе завершения работы пользователя…

Для удобства, корректной и безопасной работы в системе защиты Dallas Lock 8.0 реализован особый механизм разделяемых папок.

Разделяемая папка – это папка, которая имеет одно конкретное расположение, но в зависимости от уровня под которым входит пользователь, он физически попадает в папку со своим уровнем конфиденциальности.

Таким образом, если некоторую папку пометить, как разделяемую, то в ней можно будет создавать любые файлы, независимо от текущего уровня конфиденциальности. И в процессе завершения сеанса работы все объекты в этой папке будут сохранены.

Для того что бы пометить папку как разделяемую, нужно в контекстном меню «Права доступа» данной папки выбрать вкладку «Мандатный доступ», включить мандатный доступ и поставить флажок в поле «Папка является разделяемой» (рис. 87), нажать «Применить» и «OK».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 87. Включение механизма разделяемой папки

Устанавливать мандатный уровень не требуется. В некоторых случаях, если необходимо разделить папку в профиле пользователя, то лучше сделать это, войдя в ОС под учетной записью суперадминистратора.

Удалить или переименовать папку, которая помечена как разделяемая невозможно. Попытка ее удаления или переименования без снятия свойства разделяемости не будет завершена, и выведется предупреждение.

Чтобы удалить или переименовать такую папку, необходимо отключить свойство разделяемости папки в параметрах доступа. После снятия соответствующего флажка и нажатия кнопки «Применить» появится сообщение о том, что после подтверждения операции все конфиденциальные данные (не только те, что видны на данном мандатном уровне) будут удалены. Только после этого папку можно удалить или переименовать.

Читайте также:  как изменить ключ в криптопро

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

При создании учетной записи для каждого пользователя также устанавливается уровень конфиденциальности (мандатная метка) от 0 до 7.

Пользователи, имеющие уровень конфиденциальности 0, имеют доступ только к объектам ФС, имеющим метку конфиденциальности 0. Пользователи, имеющие уровень конфиденциальности 1, имеют доступ только к объектам ФС, имеющим метки конфиденциальности 0 и 1. Имеющие уровень конфиденциальности 2 – только к объектам с метками 0, 1, 2. И так далее. Пользователи уровня 7 имеют доступ ко всем объектам.

Назначать категорию конфиденциальности дискам и каталогам, а также устанавливать для пользователей уровень допуска к конфиденциальной информации может только тот пользователь компьютера, который наделен соответствующими полномочиями на администрирование системы защиты.

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

При входе в ОС пользователь может выбрать уровень доступа, не превышающий установленный для него уровень конфиденциальности. Например, если пользователь имеет уровень конфиденциальности 5, то он может войти в систему с уровнями 0, 1, 2, 3, 4 или 5. Если пользователь выберет уровень доступа, превышающий собственный уровень конфиденциальности, то система защиты выдаст сообщение об ошибке «Мандатный уровень указан неверно». Уровень, с которым пользователь вошел в систему называется «текущий уровень доступа».

Сменить текущий уровень мандатного доступа можно двумя способами:

1. Завершить текущий сеанс работы пользователя, и начать новый, выбрав при входе соответствующий уровень доступа.

2. Воспользоваться пунктом «Свойства пользователя» из контекстного меню значка блокировки на панели задач BlockIcon (рис. 88).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 88. Контекстное меню значка блокировки

Смена уровня возможна в появившемся окне свойств текущего пользователя в поле выбора уровня доступа (рис. 89).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 89. Выбор уровня доступа в дополнительном окне значка блокировки

Чтобы поднять текущий уровень, необходимо нажать кнопки «Переключить» и «ОК», – уровень доступа изменится на следующий. Следует внимательно использовать данную функцию. С помощью данного окна можно поднять уровень конфиденциальности, но опустить нельзя. Опустить текущий уровень доступа можно, только начав новый сеанс работы.

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Когда пользователь осуществляет попытку доступа к ресурсу ФС, система защиты определяет метку конфиденциальности данного ресурса. Затем эта метка сопоставляется с текущим уровнем допуска данного пользователя. Тут возможны следующие 3 ситуации:

Условие Результат
Метка конфиденциальности больше текущего уровня допуска Доступ блокируется
Метка конфиденциальности равна текущему уровню допуска Доступ разрешается
Метка конфиденциальности меньше текущего уровня допуска Доступ разрешается, но только на чтение, попытки записи блокируются

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

На защищенном СЗИ НСД компьютере одновременный вход нескольких интерактивных пользователей с различными уровнями мандатного доступа по умолчанию разрешен.

С помощью соответствующей политики в параметрах входа[11] можно включить запрет на одновременную работу нескольких интерактивных пользователей, зашедших под разными уровнями.

Некоторые приложения при установке создают свои учетные записи пользователей, и при загрузке операционной системы осуществляется автоматический вход данных пользователей для того, чтобы приложения могли работать. Например, при использовании программы VipNet или VMWare. В списке сессий на вкладке «Учетные записи» будет присутствовать запись об интерактивной сессии данного пользователя.

По умолчанию для данных учетных записей уровень мандатного доступа определен как «Открытые данные». И если политиками безопасности предприятия определено, что одновременный вход пользователей с различными мандатными уровнями запрещен (включен запрет в политике «Вход: запрет одновременной работы пользователей с различными уровнями конфиденциальности»), то для корректной работы ПО на данном ПК необходимо поставить особую метку для учетной записи данного пользователя ‑ «Служебный пользователь».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 90. Включение параметра «Служебный пользователь»

Если пометить учетную запись как «Служебный пользователь», то для неё не будут действовать ограничения на вход с различными уровнями мандатного доступа.

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Допустим, имеется защищенный системой Dallas Lock 8.0 компьютер, на котором расположена папка, открытая на удаленный доступ (\имя_сетевого_ресурcаSecretno). И имеется также несколько клиентских рабочих станций, работающих с этой папкой.

Для работы в мандатном режиме необходимо на сетевом ресурсе назначить необходимую метку конфиденциальности на данную папку Secretno (рис. 91) и на клиенте для сетевой папки (сетевого диска) \имя_сетевого_ресурcаSecretno назначить такую же метку конфиденциальности (рис. 92).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 91. Пример настроенной папки на сетевом ресурсе для мандатного доступа

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 92. Пример настроенной сетевой папки для мандатного доступа на клиенте

На рис. 92 папке \SECURITYSSecretno присвоен уровень доступа «Секретно». Проверка происходит по строке, и поэтому, если будут назначены права, используя путь с IP-адресом, то для пути с использованием имени эти права работать не будут, необходимо дополнительно назначить мандатный доступ на данную папку, открыв ее по IP‑адресу ПК (рис. 93). И наоборот.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 93. Сетевая папка на клиенте с настроенным мандатным доступом через IP ПК

5.3. Настройка мандатного доступа
для корректной работы пользователя с ПО

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

В мандатном режиме доступа для корректной работы пользователей с установленным программным обеспечением требуются определенные настройки в Dallas Lock 8.0-C.

Настроить мандатный доступ для работы с ПО пользователю можно либо стандартным способом: с помощью механизма разделяемых папок, либо воспользовавшись автоматической настройкой с помощью специальной утилиты.

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Для того чтобы настроить мандатный доступ с помощью механизма разделяемых папок для корректной работы с программой пользователю, имеющему определенный уровень конфиденциальности, необходимо:

1. Определить уровень конфиденциальности для учетной записи пользователя.

2. Включить полный аудит отказов для параметров по умолчанию (вкладка «Контроль доступа» => «Глобальные» => «Параметры по умолчанию»).

3. Включить «мягкий» режим контроля доступа (кнопка Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» основного меню).

4. Перезагрузить компьютер.

5. Зайти под учетной записью выбранного пользователя под его уровнем конфиденциальности.

6. Запустить необходимые приложения (например, MS Office Word или Excel) и выполнить необходимые операции.

7. Перезапустить ОС и зайти под учетной записью администратора безопасности.

8. В оболочке администратора открыть «Журнал доступа к ресурсам» (вкладка «Журналы»). В нем настроить и применить фильтр для просмотра отказов доступа необходимого пользователя (рис. 94):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 94. Фильтр записей журнала доступа к ресурсам пользователя

9. Определить системную папку, из которой запускаются необходимые для пользователя приложения, и на данную папку назначить метку разделяемости (рис. 95).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 95. Записи журнала доступа для определения разделяемой папки

10. Мягкий режим следует отключить.

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

В автоматическом режиме настройка мандатного доступа для корректной работы пользователей с установленным ПО представляет собой применение определенного шаблона мандатного доступа с помощью утилиты LoadConfigUtil.exe.

Настройка мандатного доступа для пользователя при работе с необходимым ПО включает в себя следующие шаги:

1.Предварительно в системе защиты следует зарегистрировать пользователя, которому в свойствах учетной записи назначается уровень конфиденциальности (мандатная метка). Первый вход на защищенный ПК под этой учетной записью необходимо произвести под нулевым уровнем («открытые данные»). При этом входе в системной папке ОС формируется профиль пользователя, который требуется для корректной работы в последующем под другими уровнями.

2.Необходимо распаковать архив и запустить утилиту LoadConfigUtil.exe от имени администратора (рис. 96).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 96. Общий вид утилиты LoadConfigUtil после запуска

3.В появившемся окне нажать «Выбрать шаблон». В окне проводника следует выбрать заранее подготовленный шаблон с названием необходимой программы и той операционной системы, на которой настраивается мандатный доступ. Шаблоны располагаются в архивном файле с утилитой.

4.После нажатия «Применить» появится окно со списком учетных записей, профили которых созданы в ОС. В данном окне флажком следует отметить тех пользователей, для работы которых настраивается мандатный доступ. После нажатия «OK» настройки будут применены.

5.По окончании процесса на экране появится отчет о примененной конфигурации. Данный отчет рекомендуется сохранить.

В оболочке администратора на вкладке «Контроль доступа» в категории «Мандатный доступ» в списке настроенных ресурсов появятся записи о новых конфигурациях.

Отменить настройки, сформированные утилитой по настройке мандатного доступа для пользователя, можно:

1.Применением сохраненного перед настройкой файла конфигурации.

2.Возвратом к настройкам по умолчанию (в этом случае будут обновлены и удалены и другие настройки параметров).

3.Сняв свойство разделяемости, и отключив мандатный доступ для ресурсов, на которые они были назначены в процессе применения шаблона. Определить данные ресурсы можно с помощью сохраненного отчета.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Для настройки ЗПС с использованием «мягкого» режима в системе защиты Dallas Lock 8.0 существует дополнительный механизм. Пример такой настройки описан ниже.

Пусть пользователь, для которого нужно организовать ЗПС, уже создан и инициализирован (к примеру, он называется zaps). Далее для настройки ЗПС, необходимо выполнить следующие шаги по настройке:

1. Создать специальную группу, например, ZPS, и включить пользователя zaps в группу ZPS. Для группы ZPS в глобальных настройках запретить запуск всего (вкладка «Контроль доступа» => «Глобальные» => «Параметры по умолчанию») (рис. 102).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 102. Глобальный запрет запуска программ для настройки ЗПС

2. Включить параметр аудита «Аудит: заносить в журнал все ошибки при включенном мягком режиме» (вкладка «Параметры безопасности» => «Аудит») (рис. 103).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 103. Включение аудита доступа

3. Далее необходимо включить «мягкий режим» контроля доступа и желательно очистить журнал доступа ресурсов. Отправить компьютер в перезагрузку.

4. Загрузить систему под учетной записью пользователя zaps. Запустить все те приложения, с которыми пользователь имеет право работать (но, не запускать ничего лишнего).

Следует помнить, что не все приложения достаточно просто запустить. Некоторые сложные приложения на своем старте загружают не все исполняемые модули, а только необходимые, остальные модули они подгружают динамически, в процессе работы. Поэтому после запуска приложения лучше выполнить все основные действия приложения для работы.

На этом этапе в журнале доступа к ресурсам формируется список файлов, которые нужны данному пользователю для работы.

5. Загрузить систему под учетной записью администратора. Запустить оболочку администратора системы защиты, открыть журнал доступа к ресурсам.

6. Настроить и применить фильтр журнала доступа к ресурсам: пользователь – «zaps», результат – «ошибка» (рис. 104).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 104. Фильтр журнала доступа к ресурсам

7. Далее, щелчком правой кнопки мыши на поле с записями журнала необходимо вызвать контекстное меню и выбрать пункт «Права для файлов» или нажать эту кнопку на панели «Действия» (рис. 105).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 105. Контекстное меню в журнале доступа к ресурсам

8. В появившемся окошке редактирования параметров безопасности назначить дискреционные права для группы ZPS «только чтение» (рис. 106).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 106. Назначение дискреционных прав для файлов

После нажатия кнопки «ОК» система попросит пользователя выбрать еще одно действие для настройки параметров безопасности (рис. 107):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 107. Настройка параметров безопасности

В этом случае, если назначаются права на доступ к ресурсам для группы ZPS впервые, то параметры безопасности будут созданы независимо от выбранного значения «Да» или «Нет». Если же необходимо добавить параметр (например, право запускать еще какую-либо программу), то в этом случае следует нажать кнопку «Да», чтобы добавить параметр и не потерять существующие.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 108. Назначение прав через кнопку Свойства для операции пользователя

Таким образом, ЗПС организована. Теперь необходимо отключить «мягкий режим» и зайти пользователем zaps. Этот пользователь сможет работать только с необходимыми программами.

Следует помнить, что вполне вероятна ситуация, когда не все нужные для работы пользователя исполняемые файлы занеслись в список. Так как некоторые приложения вызывают какие-либо другие исполняемые файлы только при активизации определенных функций. Если после включения ЗПС у пользователя zaps какое-либо приложение стало работать неправильно – это можно сразу же увидеть в журнале доступа к ресурсам. Скорее всего, для какого-то еще исполняемого файла необходимо добавить право на исполнение для данного пользователя (группы).


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Пусть пользователь, для которого нужно организовать замкнутую программную среду, уже создан и инициализирован (к примеру, он называется zaps). Далее для настройки ЗПС, необходимо выполнить следующие шаги по настройке:

1. Как и в примере по настройке ЗПС с использованием «мягкого» режима (описано выше), необходимо создать специальную группу, например, ZPS, включить пользователя zaps в группу ZPS и для группы ZPS в глобальных настройках запретить запуск всего (рис. 102).

2. В дополнительном меню кнопки Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» необходимо включить «режим обучения».

3. Далее, в появившемся окне дискреционного доступа назначить для выбранной группы параметр безопасности «только чтение». Это просто сделать, нажав саму кнопку «только чтение» (рис. 109).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 109. Настройка прав доступа для режима обучения

4. Теперь необходимо перезагрузить компьютер и осуществить вход под учетной записью пользователя zaps.

5. Поработать немного под этим пользователем, запустив необходимые приложения. В процессе работы в «режиме обучения» на запущенные приложения назначается дескриптор в соответствии с произведенной настройкой при включении режима.

6. В период пока включен «режим обучения» пользователю zaps становятся доступны для запуска все необходимые приложения.

7. Чтобы выключить режим обучения для пользователя, необходимо завершить его сеанс, зайти под учетной записью администратора и выбрать в дополнительном меню пункт «Выключить режим обучения». После выключения – доступ к приложениям будет определяться в соответствии с назначенными правами: и администратором безопасности, и в процессе «режима обучения».

Блокировка работы с файлами по расширению

В системе защиты Dallas Lock 8.0 реализована функция блокировки доступа к файлам по их расширению. Эта функция может быть полезна, к примеру, для того чтобы запретить сотрудникам работу с файлами, не имеющими отношения к их профессиональным обязанностями (mp3, avi и т.д.).

Для того чтобы добавить расширение на которое распространяется запрет, необходимо:

1. Запустить оболочку администратора и на вкладке «Параметры безопасности» зайти в категорию «Блокируемые расширения» (рис. 110).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 110. Категория Блокируемые расширения

Окно программы состоит из поля со списком запрещенных расширений файлов (последовательности символов, добавляемых к имени файла и предназначенных для идентификации формата файла), комментария, и панели действий, содержащей инструменты по добавлению, удалению или редактированию свойств необходимых блокируемых администратором расширений.

2. Нажать кнопку «Добавить», в результате чего выведется окно «Заблокированные расширения файлов» (рис. 111).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 111. Окно задания блокировки расширения

3. В данном окне нужно ввести необходимое расширение, комментарий к нему и нажать кнопку «OK». В результате, в разделе «Блокируемые расширения» добавиться указанное расширение.

Функция «Блокируемые расширения» будет распространяться на всех пользователей, кроме пользователя, выполнившего установку СЗИ НСД, суперадминистратора. При попытке пользователя открыть файл с заблокированным расширением, появится соответствующее предупреждение (рис. 112).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 112. Пример запрета доступа к файлу с расширением mp4

ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА

Средства аудита

Важным средством обеспечения безопасности является механизм протоколирования. Система защиты информации от несанкционированного доступа должна фиксировать все события, касающиеся безопасности.

В процессе работы системы защиты Dallas Lock 8.0 события, происходящие на компьютере и связанные с безопасностью системы, регистрируются в журналах. Ведение журналов в свою очередь регулируется параметрами аудита, задаваемыми пользователями с правами на управление аудитом. Система защиты позволяет осуществлять гибкую настройку аудита и выбирать, какие действия пользователя по отношению к каким ресурсам необходимо регистрировать. Кроме того, можно протоколировать все действия, касающиеся администрирования системы защиты.

Просмотр и редактирование политик и параметров аудита возможно с помощью кнопок «Аудит» и «Права пользователей» на одной из основных вкладок оболочки администратора «Параметры безопасности».

Параметры аудита

С помощью подсистемы аудита в СЗИ НСД Dallas Lock 8.0 происходит регистрация и группировка всех событий, в зависимости от типов событий, подлежащих протоколированию, задается степень детализации аудита и других факторов.

Категория «Аудит» вкладки «Параметры безопасности» имеет следующую структуру:

Таблица 2. Настраиваемые параметры безопасности подсистемы аудита

Параметр Назначение
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит входа в систему Протоколирование всех событий, связанных со входом, выходом, разблокировкой пользователей на ПК в Журнале входов, включая как локальные, так и сетевые, в том числе терминальные входы и выходы. Параметр может принимать значение «вкл» или «выкл»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит доступа к ресурсам Позволяет регистрировать события по доступу к ресурсам файловой системы в Журнале доступа к ресурсам.Возможен аудит действий пользователей, как с локальными ресурсами файловой системы, так и с сетевыми ресурсами и со сменными накопителями. Сюда же заносятся события по управлению доступом к ресурсам ФС (и не только доступом, когда на объект «вешается» любой дескриптор – событие заносится). Параметр может принимать значение «вкл» или «выкл»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит управления политиками безопасности Дает возможность протоколировать все действия по настройке параметров системы защиты и по изменению прав пользователей в Журнале управления политиками безопасности. Параметр может принимать значение «вкл» или «выкл»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит управления учетными записями Позволяет вести учет всех действий по созданию, удалению, редактированию учетных записей пользователей в Журнале управления учетными записями. Параметр может принимать значение «вкл» или «выкл»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит печати Позволяет осуществлять учет печати пользователем на локальных и сетевых принтерах в Журнале печати. Параметр может принимать значение «вкл» или «выкл»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Внимание! При включенном Аудите печати в данной версии Dallas Lock 8.0 из приложения Acrobat Reader 10 печать файлов не осуществляется
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит запуска/завершения процессов Позволяет протоколировать все события запусков/завершения процессов в Журнале процессов. Параметр может принимать значение «вкл» или «выкл»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Фиксировать в журнале входов неправильные пароли Включение данной политики позволяет фиксировать значение неверно введенных паролей в Журнале входов. Параметр может принимать значение «вкл» или «выкл»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит доступа: Заносить в журналы ошибки Windows Позволяет вести учет всех ошибок доступа ОС Windows в Журнале доступа к ресурсам. Так как Dallas Lock 8.0 не подменяет механизмы контроля доступа к ресурсам операционной системы, а добавляет свои механизмы, то любое действие над файловой системой вначале попадает для проверки в драйвер защиты СЗИ НСД, и если этот драйвер разрешает данное действие, оно передается дальше операционной системе. И операционная система может отказать уже по своим причинам – как раз эти отказы и заносятся в журнал, при включении данной опции. В большинстве случаев аудит этих ошибок не нужен. Параметр может принимать значение «да» или «нет»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит доступа: Заносить в журналы все ошибки при включенном «мягком» режиме Позволяет сформировать в Журнале доступа к ресурсам список попыток доступа к запрещенным пользователю операциям при включенном «мягком» режиме. Параметр может принимать значение «да» или «нет»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Заносить в журнал события запуска и остановки ОС Позволяет протоколировать события связанные с запуском/завершением работы операционной системы в Журнале управления политиками. Сюда заносятся события: «запуск ядра защиты DL», «запуск оболочки администратора», причем данные события заносятся при включенной политике «Аудит доступа к ресурсам»
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Заносить в журнал события запуска и остановки модулей администрирования DL Позволяет протоколировать все события, связанные с запуском/завершением работы модулей администрирования Dallas Lock 8.0 в Журнале процессов
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Аудит доступа/запуска: Вести аудит системных пользователей Включение параметра позволяет вести учет действий системных пользователей (SYSTEM, LOCAL SERVICE, NETWORK SERVICE и пр.) в Журнале доступа к ресурсам. В большинстве случаев, аудит этих пользователей не требуется
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Печать штампа Включение и настройка параметров данной политики аудита позволяет на всех распечатываемых документах добавлять штамп (подробнее в разделе «Печать штампа на документы»)
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Создавать теневые копии распечатываемых документов После включения данной политики аудита (значение «да») при распечатке документов копии этих документов будут сохраняться в специальной папке С:DLLOCK80LogsPrintCopy. В данной папке при каждой печати будут создаваться подпапки, названия которых состоят из времени печати и имени печатающего устройства.
Доступ к данной папке устанавливается для пользователей с помощью политики «Аудит: Просмотр теневых копий распечатанных документов» на вкладке «Права пользователей». Возможность просмотреть созданную таким образом копию документа можно, кликнув мышью соответствующую запись в журнале печати, и в окне свойств записи нажать кнопку просмотра
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Примечание. При включенной политике «Создавать теневые копии распечатываемых документов» вывод на печать файлов формата PDF будет осуществляться в виде пустых файлов. Это является особенностью защиты от копирования самого формата и не является ошибкой
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Разрешить печать из под уровней доступа При выборе изменения данной политики в появившемся дополнительном окне можно выбрать уровни мандатного доступа, работая под которыми, пользователи могут осуществлять печать документов
Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Добавлять штамп при печати под уровнями При выборе изменения данной политики в появившемся окне можно выбрать уровни мандатного доступа пользователей, при работе под которыми на распечатываемые документы будет добавляться штамп, который настроен политикой «Добавлять штамп»
    

Для настройки аудита доступа к ресурсам недостаточно просто установить этому параметру значение «Включен» в окне редактирования параметров безопасности. Необходимо указать, какие именно операции и по доступу к каким именно ресурсам должны быть запротоколированы.

Аудит доступа к ресурсам нужно настраивать очень внимательно, так как в системе постоянно происходит множество событий по доступу к ресурсам файловой системы. К примеру, в процессе загрузки операционной системы, происходит несколько тысяч таких событий. И, если назначить аудит всех событий файловой системы, то журналы будут переполняться очень быстро, и в полученных журналах будет крайне сложно разобраться. Кроме того, будет заметно замедление работы ПК. Поэтому, рекомендуется назначать аудит только для тех ресурсов, которые необходимы, и только нужных событий.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

В системе можно указать перечень регистрируемых событий и для конкретного объекта файловой системы (диска, папки, файла). Это можно сделать двумя разными способами: используя оболочку администратора СЗИ НСД Dallas Lock 8.0 или, вызвав контекстное меню файла нажатием правой кнопкой мыши по его значку.

В оболочке администратора выполняется следующая последовательность:

1. На одной из основных вкладок «Контроль доступа» необходимо выбрать категорию «Аудит».

2. На панели кнопок «Действия» нажать «Добавить» (рис. 117).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 117. Добавление аудита для объекта

3. В появившемся диалоговом окне, с помощью управляющих кнопок или прописав вручную, необходимо указать путь к ресурсу и нажать кнопку «Выбрать» (рис. 118).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 118. Выбор ресурса для назначения аудита

Далее откроется типовое окно назначения аудита на ресурс файловой системы, в котором необходимо отметить события «Успех» или «Отказ» по выбранным операциям.

Также назначение аудита отдельным файлам или папкам возможно, не используя оболочку администратора системы защиты, а с помощью контекстного меню. Для того чтобы указать перечень регистрируемых событий для конкретного объекта файловой системы (диска, папки, файла) таким способом, нужно:

1. Правым щелчком мыши на значке объекта, для которого нужно указать персональный перечень регистрируемых событий, вызвать контекстное меню и выбрать из него пункт «DL:8.0 Права доступа» (рис. 119).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 119. Контекстное меню объекта ФС

2. В появившемся окне открыть закладку «Аудит доступа».

3. Отметить флажком поле «Аудит включен».

4. И в зависимости от того, успешное или неудачное событие нужно зарегистрировать, необходимо выставить флажки в полях «Успех» или «Отказ», расположенных справа от операций.

Объекты файловой системы, для которых назначен аудит любым из способов, автоматически появляются в списке объектов выбранной категории «Аудит» на вкладке «Контроль целостности».

Журналы

В системе защиты Dallas Lock 8.0 регистрация и запись событий ведется в различных типах журналов. Для удобства выделены следующие 6 журналов:

1. Журнал входов.

2. Журнал управления учетными записями.

3. Журнал доступа к ресурсам.

4. Журнал печати.

5. Журнал управления политиками.

6. Журнал процессов.

Для просмотра событий определенного журнала в оболочке администратора на одной из основных вкладок «Журналы» необходимо выбрать категорию, соответствующую одному из 6-ти типов журналов (рис. 120). Щелчок мыши на выбранном журнале открывает его и позволяет просмотреть его содержимое.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 120. Вкладка Журналы

В каждом журнале фиксируются дата, время, имя пользователя, операция, результат и прочие параметры. Возможно упорядочивание элементов списков журнала по необходимому значению, для этого нужно кликнуть на кнопку с названием столбца журнала.

Двойной щелчок мышки на любой записи любого журнала открывает форму, содержащую всю информацию, относящуюся к этой записи (рис. 121).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 121. Отдельная форма записи журнала событий

Нажимая на кнопки «вверх» и «вниз» можно листать журнал, просматривая предыдущие или следующие записи.

Панель кнопок «Действия», общая для всех журналов, позволяет произвести над открытым журналом действия по обновлению журнала (кнопка «Обновить»), по архивации всего журнала (кнопка «Архивировать»), по экспорту всего журнала или отфильтрованных записей в файл (кнопка «Экспорт»), для этого откроется последовательность элементарных форм. Также эти действия возможно выбрать из контекстного меню.

После выбора архивации журнала, его записи сохраняются в файл в системной папке C:DLLOCK80Logs, в окне журнала записи очищаются, и он начинает вестись заново. Так же, в случае, когда журнал переполняется (максимальный размер – 10 000 записей), он архивируется в файл со специальным расширением *.lg8 и помещается в папку C:DLLOCK80Logs. При этом текущий журнал в оболочке администратора очищается и начинает вестись заново. В имени архивного файла с журналом закодирован его тип, дата и время создания файла.

Каждый текущий журнал формируется в папке C:DLLOCK80Jrn и имеет фиксированный максимальный размер – 10 000 записей.

Если необходимо удалить журнал окончательно, нужно зайти в папку C:DLLOCK80Logs и удалить соответствующий файл.

Категория «Журнал из файла» на вкладке «Журналы» позволяет открыть журнал из файла, отфильтровать его значения и экспортировать в файл.

Журналы в СЗИ НСД Dallas Lock 8.0 имеют следующую структуру:

1. Журнал входов. Фиксируются все входы (или попытки входов – с указанием причины отказа) и выходы пользователей ПК, включая как локальные, так и сетевые, в том числе, терминальные входы и события разблокировки. А также события входа при активном модуль доверенной загрузки (включение ПК, вход с пин-кодом, начало загрузки ОС). Журнал содержит следующие элементы списков:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Время» фиксируется дата и время события;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Пользователь» фиксируется имя пользователя;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Источник» фиксируется тип события: загрузка ПК, вход в ОС, выход из ОС;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Доступ» указывается мандатный уровень, под которым осуществлен вход (только для Dallas Lock 8.0 редакции «С»);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Результат» фиксируется успех или отказ в доступе и причина отказа;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Неверный пароль» фиксируются неверно введенные пароли при попытке загрузки ПК или входе в ОС.

2. В Журнале управления учетными записями ведется учет всех действий по созданию, удалению или изменению прав пользователей и события смены пароля учетной записи. Журнал содержит следующие элементы списков:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Время» фиксируется дата и время действий, производимых над правами пользователей;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Пользователь» фиксируется имя пользователя, осуществившего вышеперечисленные операции администрирования;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Компьютер» фиксируется имя компьютера, с которого производилось администрирование;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Имя» фиксируется имя пользователя, изменения прав которого было произведено;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Результат» отображается результат выполнения операции («OK» – операция выполнена удачно или «доступ запрещен»);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Операция» отображается наименование произведенной операции (создать пользователя, удалить пользователя, сменить пароль, изменить параметры и др.).

3. Журнал доступа к ресурсам позволяет проследить обращения к объектам файловой системы, для которых назначен аудит, и события по настройке дескрипторов ФС. Журнал содержат следующие элементы списков:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Время» фиксируется дата и время события;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Пользователь» фиксируется имя пользователя, осуществившего действие;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Компьютер» фиксируется имя компьютера, с которого осуществлялся доступ;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Файл» фиксируется путь к объекту доступа;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Результат» фиксируется успех или отказ в доступе и причина отказа;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Операция» фиксируются все действия, которые производились с объектом;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ к ресурсу (только для Dallas Lock 8.0 редакции «С»);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Права» фиксируются права, с которыми был осуществлен доступ:

Для папок Для файлов
R открытие на чтение D удаление
W открытие на запись L просмотр содержимого
A открытие для добавления AF создание файла
D удаление AD создание каталога
E запуск DF удаление файла
RA чтение атрибутов RA чтение атрибутов
WA изменение атрибутов WA изменение атрибутов
MAX открытие файла с максимально разрешенными параметрами      

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Процесс» фиксируется программа, из которой производилась операция по доступу.

4. В журнал печати заносятся все события, связанные с распечаткой документов на локальных или удаленных принтерах. Журнал содержит следующие элементы списков:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Время» фиксируется дата и время начала печати;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Пользователь» фиксируется имя пользователя, запустившего процесс печати;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Принтер» фиксируется имя принтера, на котором производилась печать;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Порт» фиксируется название порта, к которому подключено устройство;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Документ» фиксируется название документа и программа, из которой производилась печать;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Страниц» фиксируется количество распечатанных страниц документа;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Копий» – количество копий;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Процесс» фиксируется процесс, который запущен программой печати;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Доступ» фиксируется уровень мандатного доступа, под которым работает пользователь, производящий печать.

Записи в журнал печати заносятся при условии включенного аудита печати (вкладка «Параметры безопасности» => «Аудит»). Процесс печати сопровождается двумя записями: начала и окончания печати.

5. Журнал управления политиками безопасности дает возможность просмотреть все действия, изменяющие настройку параметров системы защиты. Журнал содержит следующие элементы списков:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Время» фиксируется дата и время события;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Пользователь» фиксируется имя пользователя, производящего изменения;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Компьютер» фиксируется имя компьютера;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Параметр» фиксируется название процесса по настройке параметров;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Результат» фиксируется результат редактирования.

6. Журнал процессов. В этот журнал заносятся события запуска и завершения процессов. Журнал содержит следующие элементы списков:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Время» фиксируется дата и время события;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Пользователь» фиксируется пользователь, от имени которого был запущен процесс;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Процесс» фиксируется путь к файлу процесса и его имя;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «PID» фиксируется уникальный идентификатор запускаемого процесса;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Операция» фиксируется тип события – запуск или завершение;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Доступ» указывается мандатный уровень, под которым осуществлен доступ (только для Dallas Lock 8.0 редакции «С»);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в графе «Результат» фиксируется успешный (OK) или неуспешный («Доступ запрещен!») результат.

Фильтры журналов

Панель кнопок «Фильтр», общая для всех журналов, используется для задания параметров отбора событий, отображаемых в текущем или экспортированном журнале.

Использование фильтров дает возможность отсеять ненужные данные в журнале так, что они становятся невидимы при просмотре. В то же время никакая информация при использовании фильтров из журналов не удаляется.

Чтобы произвести настройки, необходимо нажать кнопку «Настроить фильтр» и выбрать необходимые параметры фильтра в открывшемся окне, нажать «OK» (рис. 122). После настройки необходимо нажать кнопку «Применить фильтр», после чего записи журнала будут отсортированы. Повторное нажатие «Применить фильтр» вернет полное содержание журнала.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 122. Окно настройки фильтра журнала входов

Каждый фильтр имеет параметры настройки, которые соответствуют основным элементам списков выбранного журнала. Например, журнал входов можно отфильтровать по времени, в которое была осуществлена попытка входа на ПК, по логину пользователя, по результату процесса (удачный/не удачный), по источнику процесса (удаленный вход, терминальный вход, смена пароля и т.д.).

Отфильтрованные записи журнала можно сохранить, воспользовавшись кнопкой «Экспорт», в выбранную папку в выбранном типе файла (таблица, список). Экспортированные журналы служат для того, чтобы администратор мог рассмотреть записи в более удобном виде.

Умный фильтр журналов

Для удобства просмотра записей в системе реализован «Умный фильтр».

При включении «Умного фильтра» полностью совпадающие записи (за исключением времени) группируются в одну запись. Если время самой ранней из них отличается от времени самой поздней, в колонке «Время» параметров журнала указывается диапазон. В этой же колонке в скобках указывается количество сгруппированных записей.

При двойном клике на такую запись в названии появившегося окна данной записи указывается, сколько записей объединено, перечисляются моменты времени с пометкой, какие выведены в журнал и остальные общие параметры.

Применяется данный фильтр ко всему текущему журналу нажатием кнопки «Применить умный фильтр».


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Система защиты Dallas Lock 8.0 позволяет на всех распечатываемых документах добавлять штамп, независимо от программы, из которой производим печать.

Для настройки печати штампа на документах необходимо на вкладке «Параметры безопасности» открыть категорию «Аудит» и в списке параметров выбрать пункт «Печатать штамп» (рис. 123).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 123. Выбор настройки печати штампа на документах

После двойного щелчка на данном параметре мышкой, на экране отобразится окно редактирования штампа (рис. 124):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 124. Окно настройки штампа для документов

Для того чтобы активировать печать штампа необходимо установить флажок в поле «Печатать штамп». После этого – выбрать необходимый тип штампа. Штампы в Dallas Lock 8.0 могут быть двух типов:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Произвольный штамп – пользователь может произвольно редактировать внешний вид штампа и его местоположение на листе;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Штамп по ГОСТ – не редактируемый предопределенный вид штампа.

При выборе печати штампа по ГОСТ на печатные документы будет наноситься штамп в соответствии с правилами учета секретных документов, при этом дополнительная настройка штампа не возможна: вид штампа предопределен.

При включенной печати штампа по ГОСТ выбрать число распечатываемых копий средствами ОС становится невозможно, но это возможно далее, при появлении на экране формы параметров печати Dallas Lock 8.0 распечатываемого документа (рис. 125).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 125. Форма заполнения дополнительных параметров при печати штампа по ГОСТ

В данном окне пользователю необходимо ввести:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» учетный номер документа (обязательное поле),

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» код носителя (обязательное поле),

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» общее количество экземпляров (по умолчанию – 1),

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» номер текущего экземпляра (при выборе количества экземпляров более 1 определяется или автоматически и последовательно, или вручную),

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в поле «Использование» можно ввести комментарии для каждого распечатываемого экземпляра.

Штамп по ГОСТ на распечатанном документе имеет следующий формат: на первом листе документа в верхнем правом уголке добавляется уровень конфиденциальности и номер экземпляра, в нижнем левом уголке добавляется учетный номер. Далее, на последующих листках документа в нижнем левом уголке добавляется учетный номер.

В процессе распечатки документа, на экране появляется сообщение: «После того, как все страницы документа будут распечатаны, вставьте последнюю страницу в лоток подачи бумаги обратной стороной и нажмите кнопку «ОК». Пользователю необходимо выполнить указанное действие. В результате на обратной стороне последней страницы документа появится метка, содержащая учетный номер документа, код носителя, количество экземпляров, использование экземпляров, время распечатки и имя пользователя, который произвел распечатку. При этом имя пользователя берется из описания пользователя или, если оно пустое, используется имя учетной записи.

При выборе печати произвольного штампа становятся доступными для выбора другие поля окна настройки. Становится возможным отредактировать внешний вид и содержимое штампа. Становятся доступными три блока полей:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Положение штампа на странице (на лицевой части). Здесь задается верхний край расположения штампа и процент ширины штампа от всей страницы.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Положение текста внутри штампа. Здесь выбирается шрифт, размер, цвет шрифта и выравнивание текста в блоке штампа. Причем на лицевой и обратной стороне он – одинаковый.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Положение штампа на странице (на обороте последней страницы). Штамп на обратной стороне последней страницы печатается, если выставлен соответствующий флажок. Здесь можно задать расположение штампа в верхней части страницы и процент ширины штампа от всей страницы.

В качестве имени пользователя для произвольного штампа можно использовать не имя учетной записи, а его описание, для чего выставить флажок в соответствующем поле.

Сам штамп представляет собой текст, который вводится в отведенном для набора поле. Кроме того, в штамп можно вставить служебную информацию. Для этого необходимо щелкнуть правой кнопкой мыши в поле ввода. В появившемся контекстном меню выбрать, какая именно информация должна быть напечатана (рис. 126).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 126. Выбор данных для текста штампа из контекстного меню

В поле ввода в угловых скобках отобразится выбранная для печати информация в виде тегов (рис. 127).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 127. Теги текста штампа в окне настройки

Если в штампе есть учетный номер документа (тег <REGISTRY NUMBER>), то перед распечаткой документа на экране появится окно, в котором пользователь должен ввести учетные реквизиты и нажать кнопку «ОК». Вставка тега <SERIAL NUMBER> потребует ввести при печати порядковый номер документа в появившуюся форму.

При использовании произвольного типа штампа, на всех распечатываемых страницах, независимо от номера, будет добавляться одинаковый штамп.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Примечание.Данное маркирование документов – это некий аналог «механического» штампа. Поэтому он добавляет штампы независимо от содержимого документов. В некоторых случаях, штамп может добавляться прямо поверх текста документа.
  Примечание 1. Что понимать под меткой конфиденциальности документа, выводимого на печать?
Вопрос не простой. Метка конфиденциальности это свойство объекта ФС, в частности файла. Но соответствия между конкретным файлом и распечатываемым документом может и не быть.
Например. Запускается MS Word, в нем набирается какой-то текст и отправляется на печать. Как называется файл, который распечатывается? Никак. Файла нет, так как текст существует только в оперативной памяти компьютера, и когда закроется приложение MS Word, исчезнет и текст.
Другой пример. В MS Word открыт файл C:document1.docx, имеющий метку 0, далее, с помощью буфера обмена, ему добавлен в конец текст из файла C:document2.docx имеющий метку 1. Исходный документ отправлен на печать. Как называется файл, который распечатывается, какую метку конфиденциальности он имеет? Аналогично первому случаю – файла с таким содержимым нет, метки конфиденциальности, соответственно, тоже нет.
Поэтому под меткой конфиденциальности распечатываемого документа понимается текущий уровень конфиденциальности пользователя, который распечатывает данный документ. И по этой же причине в журнале печати нет поля «имя файла».
Читайте также:  Как установить сертификат ЭЦП на компьютер?

Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Назначить контроль целостности для объекта ФС можно двумя разными способами: используя оболочку администратора СЗИ НСД Dallas Lock 8.0 или, вызвав контекстное меню файла щелчком по его значку. Объекты файловой системы, на которые назначен контроль целостности любым из способов, автоматически появляются в списке объектов в окне выбранной категории «Контроль целостности» на вкладке «Контроль доступа».

При выборе категории «Все» на вкладке «Контроль доступа» также появляется список, содержащий параметры всех объектов: глобальных, локальных или сетевых, на которые назначены какие-либо права дискреционного доступа, аудит, а также контроль целостности.

Чтобы задать контроль целостности для локального объекта ФС с помощью оболочки администратора необходимо в списке объектов категории «Контроль целостности» на вкладке «Контроль доступа» нажать кнопку «Добавить». В появившемся диалоговом окне, с помощью управляющих кнопок или прописав вручную, необходимо указать путь к ресурсу и нажать кнопку «Выбрать». Откроется окно редактирования параметров объекта ФС. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (см. ниже).

Задать проверку контроля целостности для локальных объектов файловой системы без помощи оболочки администратора, а с помощью контекстного меню можно следующим способом:

1. Правым щелчком мыши на значке объекта, для которого необходимо установить проверку контроля целостности, открыть контекстное меню и выбрать из него пункт «DL8.0: Права доступа» (рис. 138).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 138. Контекстное меню

2. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (рис. 139).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 139. Контроль целостности ресурса файловой системы

3. Необходимо выставить флажок в поле «Контроль целостности включен» и выбрать алгоритм расчета контрольной суммы.

4. Отметить при необходимости поле «Проверять контроль целостности при доступе».

При попытке доступа пользователем к файлу, у которого нарушена целостность и отмечено поле «Проверять контроль целостности при доступе», компьютер данного пользователя будет заблокирован (при условии, если у учетной записи включен параметр «Блокировать при нарушении целостности»). Данная функция бывает полезной для избежания попыток несанкционированно модифицировать файл пользователями.

5. Нажать «Применить» и «ОК».

Если некоторый объект файловой системы, на который назначен контроль целостности, будет изменен или поврежден, то контрольная сумма нарушится, ее запись на экране будет окрашена красным цветом, и станет доступна кнопка «Пересчитать» (рис. 140).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 140. Нарушение целостности файла

При нажатии на кнопку «Пересчитать» происходит пересчет контрольной суммы. Пересчет новой контрольной суммы позволяет снова установить целостность файла и проводить ее дальнейшее отслеживание.

В списке объектов категории «Контроль целостности» на вкладке «Контроль доступа» значок объекта, у которого нарушена целостности будет красным (рис. 141).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 141. Список контролируемых объектов

Пересчет и проверка контрольных сумм в данном списке всех контролируемых файлов осуществляется каждый раз при выборе данного раздела оболочки администратора. Также пересчет и проверка будет произведена после каждого нажатия кнопки «Обновить» на панели «Действия» в этом разделе.

УДАЛЕННЫЙ ДОСТУП

Если защищенный компьютер входит в состав ЛВС, то информация, хранящаяся на этом компьютере, защищена от несанкционированного доступа по сети.

Возможны следующие ситуации:

6. Пользователь обращается к незащищенному Dallas Lock 8.0 компьютеру с компьютера, который защищен Dallas Lock 8.0.

7. Пользователь обращается к защищенному Dallas Lock 8.0 компьютеру с компьютера, на котором эта система не установлена (c незащищенного компьютера).

8. На обоих компьютерах, и на том, с которого обращаются, и на том, к которому обращаются, установлена система защиты Dallas Lock 8.0.

Удаленный доступ защищенных компьютеров осуществляется не зависимо от редакций системы защиты Dallas Lock 8.0 «K» или «C».

9.1. Удаленный доступ
к незащищенному компьютеру с защищенного

Данный случай ничем не отличается от случая, когда доступ осуществляется с незащищенного СЗИ НСД компьютера на незащищенный компьютер.

9.2. Удаленный доступ
к защищенному компьютеру с незащищенного

По умолчанию в системе Dallas Lock 8.0 на защищенном компьютере предусмотрена зарегистрированная учетная запись пользователя anonymous.

Для того чтобы был возможен доступ к защищенному СЗИ НСД компьютеру по сети с незащищенного компьютера, учетная запись пользователя anonymous должна быть включена. Кроме того, нужно проследить, чтобы пользователю anonymous не был запрещен удаленный доступ. Все остальные права пользователя anonymous администратор определяет согласно проводимой политике безопасности.

Таким образом, со всех компьютеров, включенных в ЛВС, но не защищенных СЗИ НСД Dallas Lock 8.0, можно будет обратиться к защищенному компьютеру и получить доступ к его ресурсам в рамках прав, установленных для учетной записи anonymous.

При попытке обратиться к защищенному компьютеру на экране может возникнуть сообщение об ошибке (рис. 142).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 142. Ошибка подключения к удаленному компьютеру

В этом случае следует внимательно проверить права, предоставленные учетной записи anonymous,в частности, право на удаленный доступ. Кроме того, нужно внимательно просмотреть журнал входов. Скорее всего, в нем можно увидеть причину отказа.

9.3. Удаленный доступ
к защищенному компьютеру с защищенного

Для удаленного входа необходимо, чтобы у учетной записи, под которой входит пользователь, параметрами безопасности было предусмотрено соответствующее право (вкладка «Параметры безопасности» => категория «Права пользователей» => параметр «Вход в ОС: Удаленный»).

При удаленном входе с защищенного компьютера на защищенный компьютер, пользователь осуществляет вход под учетной записью с таким же именем, под которым он работает. Если на удаленном компьютере нет учетной записью с таким же именем, у пользователя есть возможность войти под учетной записью anonymous, которая предусмотрена в системе защиты по умолчанию.

В случае неудачного соединения, доступ к удаленному компьютеру осуществлен не будет, и система выдаст предупреждение.

На разных защищенных компьютерах в ЛВС одна учетная запись может быть зарегистрирована с разными правами. Когда происходит удаленный вход, права проверяются в соответствии с правами учетной записи удаленного компьютера.

Еще одним необходимым условием удаленного входа является следующее: если в свойствах учетной записи удаленного компьютера установлен флажок «Блокировать при нарушении целостности», то на удаленном компьютере целостность не должна быть нарушена.

Ключи удаленного доступа

Каждый защищенный системой Dallas Lock 8.0 компьютер имеет ключ удаленного доступа. Пользователи могут осуществлять удаленный вход на защищенные компьютеры (при условии соблюдения остальных условий) только при совпадении ключей удаленного доступа.

На всех защищенных компьютерах в ЛВС, после установки СЗИ НСД с файлом конфигурации по умолчанию, зарегистрирован ключ удаленного доступа с пустым значением. Однако в системе реализована возможность изменения ключа удаленного доступа на компьютере. Для этого в оболочке администратора на вкладке «Параметры безопасности» в категории политик безопасности «Вход» необходимо выбрать и открыть параметр «Ключ удаленного доступа» и заполнить требуемые поля (рис. 143) .

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 143. Окно ввода нового ключа удаленного доступа

Рекомендуется вводить и изменять настройки ключей удаленного доступа только опытным специалистам, и только в тех случаях, когда это действительно необходимо. Так как неосторожная смена ключа доступа у одного ПК, может привести к тому, что удаленный доступ на него будет невозможен.

Для создания ключа удаленного доступа, отвечающего всем требованиям параметров безопасности, установленных системой защиты Dallas Lock 8.0, можно воспользоваться помощью генератора паролей системы защиты. Для этого следует нажать поле с надписью «Генерация ключа». Система автоматически создаст уникальный ключ, значение которого необходимо ввести в поля «Ключ» и «Подтверждение».

Сетевое администрирование

Система защиты Dallas Lock 8.0 позволяет осуществлять сетевое (удаленное) администрирование параметров безопасности других компьютеров, на которых установлена система защиты. С помощью сетевого администрирования возможны те же действия, что и при локальном администрировании: создание, удаление, редактирование пользователей и групп; редактирование политик безопасности; просмотр, назначение, редактирование параметров доступа, контроля целостности, аудита объектов файловой системы; просмотр журналов и прочее.

Визуально процесс сетевого администрирования практически не отличается от процесса локального администрирования, так как запускается та же самая оболочка администратора, которая подключается не к локальному драйверу защиты, а к удаленному.

После установки системы защиты на компьютере в меню «Пуск» в группе программ Dallas Lock 8.0 появляется значок программы удаленного администрирования «Сетевой администратор» (рис. 144):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 144. Вызов удаленного администрирования СЗИ

Для осуществления сетевого администрирования на компьютерах, входящих в ЛВС, необходимо соблюдение следующих условий:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» На всех компьютерах, для которых предполагается сетевое администрирование, должна быть установлена СЗИ НСД Dallas Lock 8.0.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» На всех компьютерах, для которых предполагается сетевое администрирование, должны быть установлены одинаковые ключи удаленного доступа (подробнее в разделе «Ключи удаленного доступа»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Пользователь, осуществляющий сетевое администрирование (удаленный администратор), должен быть зарегистрирован на всех компьютерах К1, К2, K3…Кn.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Администратор, осуществляющий сетевое администрирование, на целевых компьютерах должен обладать правом удаленного доступа (вкладка «Параметры безопасности» => категория «Права пользователей» => параметр «Вход в ОС: удаленный»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» На компьютерах К2, К3….Кn сетевому администратору должны быть предоставлены соответствующие полномочия на администрирование.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Сетевое администрирование защищенных компьютеров осуществляется не зависимо от редакций системы защиты Dallas Lock 8.0 «K» или «C».

При соблюдении этих условий с компьютера К1 можно осуществлять сетевое администрирование компьютеров К2, К3…Кn. Для этого необходимо запустить программу сетевого администратора. В появившемся окне ввести имя удаленного компьютера (рис. 145).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 145. Доступ к удаленному администрированию

Если имя удаленного компьютера введено верно и все вышеперечисленные условия соблюдены, то на экране развернется оболочка администратора Dallas Lock 8.0 с параметрами удаленного компьютера, и пользователь получит возможность осуществлять администрирование в рамках предоставленных ему на том компьютере полномочий.

В случае неудачного соединения, доступ к удаленному компьютеру осуществлен не будет, и система выдаст предупреждение. В этом случае следует внимательно проверить выполнение условий осуществления удаленного администрирования.

В окне отображения текущих сессий на клиенте в оболочки администратора можно наблюдать появление новой записи о текущей сессии под учетной записью суперадминистратора с удаленного компьютера, (рис. 146).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 146. Сессии пользователей при удаленном администрировании

Также в списке меню дополнительных функций оболочки администратора с параметрами удаленного компьютера появится значок принудительной перезагрузки удаленного компьютера (рис. 147).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 147. Кнопка перезагрузки при удаленном администрировании


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Для дополнительной защиты важных данных в Dallas Lock 8.0 есть возможность их преобразовать (закодировать) таким образом, что содержание данных становится недоступным на ПК, не защищенном СЗИ НСД Dallas Lock 8.0, и недоступным на ПК, защищенном СЗИ НСД Dallas Lock 8.0, в случае использовании неизвестного ключа преобразования. В качестве ключа преобразования (кодирования) используется пароль и (или) аппаратный идентификатор.

Закодированные файлы или папки могут быть декодированы, то есть снова преобразованы в исходные, при условии совпадения ключа преобразования, если он использовался.

Преобразованные данные хранятся в преобразованном файле-контейнере, который может быть безопасно передан по незащищенным сетевым каналам, электронной почте, с помощью сменного накопителя.

Для восстановления этих данных необходим пароль и аппаратный идентификатор, используемый при преобразовании. Эту функцию может использовать любой, работающий на данном компьютере пользователь.

Кодирование объектов

Для того чтобы закодировать объект файловой системы, необходимо выбрать в контекстном меню соответствующего файла или папки пункт «DL80: Закодировать» (рис. 148).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 148. Контекстное меню

На экране появится окно, в котором необходимо указать параметры кодирования (рис. 149).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 149. Окно кодирования данных

Окно кодирования файла содержит следующие заполняемые поля:

После заполнения всех необходимых параметров нужно нажать кнопку «OK». Для назначения аппаратного идентификатора необходимо нажать кнопку «Назначить» в соответствующем поле, выбрать название подключенного идентификатора из списка, нажать кнопки «Проверить» и «OK».

Процесс кодирования будет сопровождаться заполнением полосы индикатора прогресса. По окончании процесса будут выведены следующие сообщения: «Исходный файл удален!» (если операция по зачистке исходных файлов была включена) и сообщение об успешном кодировании файла.

Файл–контейнер с расширением *.dlcf появится в указанной папке (рис. 150).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 150. Значок закодированного файла

Возможно одновременное кодирование сразу нескольких файлов. Для этого их нужно выделить (с помощью Ctrl) и, щелкнув правой кнопкой мыши, выбрать в контекстном меню пункт «DL8.0: Закодировать». Будущий файл-контейнер будет содержать все выбранные закодированные файлы. При этом имя и путь к будущему кодированному архиву будет по умолчанию состоять из имени первого из несколько выбранных файлов. Кодирование завершится сообщениями системы с указанием количества закодированных файлов.

Следует отметить, что права на использование данной функции конкретному пользователю для конкретного файла определяются параметрами безопасности, установленными администратором безопасности. Если у пользователя данные права отсутствуют (установлен флажок «Запретить» в поле «Запись» для дискреционных прав на файл пользователю или группе), то при попытке закодировать и зачистить исходные данные, система выведет предупреждающее сообщение.

Декодирование объектов

Восстановление данных из файла-контейнера возможно на любом защищенном Dallas Lock 8.0 компьютере.

Для декодирования файла необходимо дважды кликнуть на нем. Появится окно подобное тому, что и при кодировании объекта ФС, в котором нужно ввести параметры восстановления: папку для восстановления декодированных файлов, пароль и аппаратный идентификатор (рис. 151).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 151. Декодирование объекта ФС

Отмеченное флажком поле «Зачистить архив» активирует операцию по удалению исходного файла-контейнера после его декодирования. В этом же окне будет выведен комментарий к файлу-контейнеру, общее количество файлов и папок, содержащихся в нем, их общий размер и криптопровайдер, который определила система. Уровень доступа декодированного объекта будет тем, который присвоен кодированному объекту (для Dallas Lock 8.0 редакции «C»).

После ввода параметров восстановления и нажатия кнопки «ОК» будет произведено восстановление информации. В случае успеха появится сообщение о подтверждении удаления исходного файла-контейнера и сообщение об удачном декодировании файла (рис. 152).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 152. Подтверждение успешного декодирования файла

При ошибке с паролем или аппаратным идентификатором, Вы получите сообщение об ошибке (рис. 153).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 153. Сообщение об ошибке при декодировании файла

Кодированные файлы-контейнеры, созданные в других версиях Dallas Lock, также можно декодировать, т.к. формат совместим. При этом следует учесть:


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

В системе защиты реализован механизм создания и сохранения резервной копии файлов клиентской части Dallas Lock 8.0. Данная функция предназначена для ведения нескольких копий программных компонентов средства защиты информации, с возможностью последующей сверки с файлами, используемыми в системе, обнаружения несоответствий (проверяется не только совпадение размера, но и содержимое файлов) и возможностью восстановления.

Чтобы сохранить резервную копию файлов СЗИ НСД, необходимо в оболочке администратора нажать кнопу Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» основного меню и в появившемся списке функций выбрать пункт «Сохранить резервную копию файлов СЗИ НСД» (рис. 159).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 159. Меню выбора дополнительных функций системы защиты

После этого выведется окно проводника, в котором необходимо указать путь и название папки, в которой создастся новая папка, содержащая копии файлов системы защиты. Далее – нажать «Сохранить». В указной папке будет сохранена резервная копия файлов СЗИ НСД, и выведено соответствующее сообщение системы (рис. 160).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 160. Сообщение системы о сохранении резервной копии файлов

Для того чтобы сверить резервную копию файлов СЗИ НСД с файлами, используемыми в системе, необходимо в оболочке администратора выбрать соответствующий пункт (рис. 159).

После этого появится окно, в котором необходимо указать расположение сохраненной копии файлов СЗИ НСД и выбрать файл конфигурации (*.ini). После нажатия кнопки «Открыть» система выполнит проверку и выведет сообщение о результатах сравнения.

Если копии файлов СЗИ НСД и файлов используемых в системе совпадают, будет выведено соответствующее утвердительное сообщение (рис. 161).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 161. Сообщение об успешной сверке файлов СЗИ

При обнаружении несоответствий (проверяется не только совпадение размера, но и содержимое файлов) будет выведено предупреждающее сообщение (рис. 162).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 162. Несоответствие файлов при сверке

Следуя инструкции сообщения, если выбрать «Да» или «Нет», система восстановит измененные файлы на основании сохраненной копии файлов и выведет сообщение о том, что файлы полностью соответствуют резервной копии. При нажатии кнопки «Отмена» система продолжит работу с измененными системными файлами, но выведет предупреждение (рис. 163).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 163. Сообщение системы о несоответствии файлов при сверке

Автоматическое тестирование функционала

Данная функция позволяет выполнить автоматическое тестирование основного функционала системы защиты (создание/удаление пользователя, назначение/снятие параметров доступа к ресурсам и пр.).

Для запуска автоматического тестирования функционала необходимо в оболочке администратора нажать кнопу Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» основного меню и в списке функций выбрать пункт «Тестирование функционала СЗИ» (рис. 164).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 164. Меню выбора дополнительных функция системы защиты

Вызов функции тестирования также возможен из ярлыка программы в меню «Пуск».

В появившемся окне нужно нажать кнопку «Запустить». По окончании тестирования, при необходимости, можно сохранить отчет, нажав кнопку «Сохранить» (рис. 165).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 165. Запуск автоматического тестирования функционала

Для сохранения отчета системой будет предложено выбрать папку и указать расширение для текстового файла. По умолчанию отчет сохранится в формате *.rtf.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Вместо стандартной графической оболочки пользователя Windows (англ. Windows shell), программы, которая отвечает за создание рабочего стола, панели задач и меню «Пуск», в СЗИ НСД Dallas Lock 8.0 может использоваться специальная защищенная оболочка.

Оболочка Dallas Lock позволяет создавать защищенный рабочий стол без меню «Пуск» и панели задач, позволяя пользователю запускать только «ярлыки» приложений, определенные администратором. Такой режим может использоваться в дополнении к режиму «Замкнутая программная среда», чтобы предоставить пользователю максимально ограниченный интерфейс, предназначенный только для выполнения профессиональных задач.

Для включения оболочки Dallas Lock 8.0 необходимо в списке функций кнопки Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» основного меню выбрать пункт «Активировать оболочку DL» (рис. 168).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 168. Выбор установки оболочки Dallas Lock

Оболочка Dallas Lock будет применена для всех пользователей в операционной системе после перезагрузки (рис. 169).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 169. Оболочка Dallas Lock

В правой части защищенного рабочего стола располагается список запущенных приложений, позволяющий пользователю переключаться между приложениями. Этот список является упрощенной версией диспетчера задач стандартной оболочки.

Основным механизмом ограничения оболочки Dallas Lock является блокировка меню «Пуск» и контекстного меню рабочего стола. Однако, пользователи, нажав комбинацию клавиш Ctrl Alt Del, могут запустить диспетчер задач и уже из него попытаться выполнить любое приложение (при наличии прав на запуск).

Чтобы исключить возможность запуска диспетчера задач и избежать лишних попыток пользователя перебирать приложения с правами на запуск необходимо заблокировать диспетчер задач. Блокировка реализуется через групповые политики Windows. Настроить групповую политику для группы компьютеров можно через групповые политики Active Directory, если используется домен AD, либо самостоятельно отредактировав локальную групповую политику локального компьютера. Оболочка Dallas Lock предоставляет возможность запустить редактор групповых политик и отключить диспетчер задач локально. Для этого в запущенной оболочке необходимо выбрать пункт «Отключить диспетчер задач», после чего появится окно подтверждения действия (рис. 170).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 170. Окно запуска редактора групповых политик

Следует учесть, что данная групповая политика применяется ко всем пользователям, работающим на данном компьютере.

Для применения нового значения необходимо завершить сеанс и снова войти в систему. Если политика настраивается через контроллер домена AD, то для ускорения применения политики на рабочих станциях перед выходом пользователя (с правами администратора) из системы требуется запустить утилиту gpupdate. После применения данной политики при попытке запуска диспетчера задач будет появляться сообщение «Диспетчер задач отключен администратором».

Для выключения оболочки Dallas Lock и включения графической оболочки Windows необходимо зайти в систему с правами администратора безопасности, и в дополнительном меню консоли управления, как и при включении, выбрать пункт «Активировать оболочку Explorer» (рис. 171) и перезагрузить компьютер. Стандартная оболочка Windows станет доступной для всех пользователей.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 171. Выбор установки оболочки Windows

Настройка оболочки

Все настройки оболочки Dallas Lock хранятся в файле Zpsshell.ini в системной папке Windows. Настройки позволяют определить внешний вид защищенного рабочего стола, список общих ярлыков для всех пользователей, а также список уникальных ярлыков для каждого пользователя (в том числе для доменных пользователей).

Изначально файл настроек содержит в себе пример настройки с установкой различных приложений для нескольких разных пользователей. Все настройки располагаются в различных секциях данного ini‑файла и состоят из имени параметра и значения. Опираясь на примеры представленных настроек в данном файле, можно сформировать их для любого необходимого пользователя системы.

Среди общих настроек можно выбрать настройки фона оболочки, изменив его цвет или прописав путь к выбранному рисунку фона, а также изменить размер и расположение ярлыков и надписей. Следует помнить, что настройка параметров оболочки Dallas Lock доступна только пользователю с правами администратора и доступом к системной папке Windows. Открыть данный ini‑файл можно из оболочки Dallas Lock, выбрав пункт «Настройка оболочки».

После изменения настроек для их применения необходимо завершить сеанс и вновь войти в систему.

СОХРАНЕНИЕ КОНФИГУРАЦИИ


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

После того, как была произведена настройка системы защиты Dallas Lock 8.0 согласно требованиям, были зарегистрированы пользователи и им были предоставлены необходимые права и полномочия, администратор безопасности может сохранить все или определенные настройки системы защиты в специальном файле конфигурации.

Для сохранения настроек системы защиты необходимо в списке функций кнопки Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» основного меню выбрать пункт «Сохранить конфигурацию» (рис. 172).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 172. Выбор сохранения конфигурации

Появится окно с выбором параметров системы защиты для их сохранения (рис. 173).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 173. Окно для выбора параметров при сохранении их в файле конфигурации

В данном окне необходимо отметить названия параметров, выбрать расположение и имя файла, в котором будет сохранена конфигурация (по умолчанию – это системная папка DLLOCK80). После нажатия кнопки «ОК» файл конфигурации будет сформирован и сохранен. Система выдаст подтверждение. Сохраненный файл конфигурации будет иметь расширение *.dlc.

Применение файла конфигурации клиентской части

Файл конфигурации может быть использован в двух случаях:

1. При установке системы защиты. В этом случае рекомендуется сохранять файл конфигурации со всеми параметрами.

Применение файлов конфигурации в процессе установки может быть полезно, если, например, необходимо защитить с помощью Dallas Lock несколько автономных компьютеров, но на настройку политик безопасности на каждом компьютере по отдельности тратить время нет возможности или желания. В этом случае можно настроить СЗИ НСД на одном компьютере, сохранить его полную конфигурацию, и, далее, при установке на остальные компьютеры, использовать полученный файл конфигурации.

2. В произвольный момент времени.

Для этого, в списке функций кнопки Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» основного меню оболочки администратора необходимо кликнуть пункт «Применить конфигурацию» (рис. 172).

Откроется окно проводника для поиска файла конфигурации. Требуется выбрать данный файл и нажать кнопку «Открыть». После чего система защиты применит данный файл, изменив свои параметры безопасности. На экране появится окно-отчет с информацией об операции.

Помимо сохранения конфигурации клиентской части СЗИ НСД имеется возможность сохранения и применения конфигурации модуля «Сервер безопасности», это подробно описано в разделе «Сохранение конфигурации Сервера безопасности».

СЕРВЕР БЕЗОПАСНОСТИ

При использовании в ЛВС нескольких компьютеров, защищенных СЗИ НСД Dallas Lock 8.0, возможно централизованное управление ими. Оно осуществляется с помощью специального модуля «Сервер безопасности» (сокращенно ‑ СБ). Этот модуль должен быть установлен на отдельный компьютер, защищенный СЗИ НСД Dallas Lock 8.0.

Остальные компьютеры, введенные под контроль данного Сервера безопасности, становятся его клиентами и образуют Домен безопасности (ДБ).

Сервер безопасности Dallas Lock 8.0 предоставляет следующие возможности:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» централизованное управление пользователями и группами пользователей на клиентах;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» централизованное управление политиками безопасности клиентов;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» централизованный сбор журналов с клиентов;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» управление доступом к ресурсам файловой системы клиентов;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» просмотр состояния отдельных клиентов;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» объединение клиентов в группы.

Некоторые параметры безопасности могут быть настроены сразу же для всего Домена безопасности, некоторые – для групп клиентов, и некоторые – для отдельных клиентов.

Сервер безопасности Dallas Lock 8.0 редакции «С» позволяет объединять клиентские рабочие станции, защищенные Dallas Lock 8.0 редакций и «К» и «С». Сервер безопасности Dallas Lock 8.0 редакции «K» – только ПК с Dallas Lock 8.0 редакции «К».


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Программно Сервер безопасности реализован в виде службы, которая автоматически запускается при подключении к ПК лицензионного ключа СБ, прошитого в идентификаторе eToken.

Управление СБ осуществляется программой «Консоль сервера безопасности» (сокращенно – КСБ. Так как КСБ это самостоятельная программа, то ее установка на рабочую станцию, защищенную Dallas Lock 8.0, возможна не зависимо от того, установлен на ней Сервер безопасности или нет. Таким образом, возможна работа в Консоли, расположенной на одном компьютере, с Сервером безопасности, расположенном на другом компьютере.

Установка самого Сервера безопасности на рабочую станцию автоматически происходит с установкой Консоли сервера безопасности. Поэтому при установке на компьютер модуля СБ дополнительной установки программы КСБ не требуется.

Консоль представляет собой пользовательский интерфейс для отображения на экране информации о работе службы Сервера безопасности и вызывается пользователем нажатием ярлыка программы.

При запуске КСБ требуется ввести имя компьютера, на котором размещен СБ (по умолчанию это имя локального компьютера) и пароль учетной записи с правами администратора.

Если КСБ и СБ расположены на разных компьютерах, то запуск КСБ будет осуществляться при условии работы компьютера, на котором расположен СБ.

Если при запуске Консоли сервера безопасности появляется сообщение об ошибке, то необходимо проверить, предъявлен ли аппаратный идентификатор с ключом СБ, и запущена ли служба «Dallas Lock 8.0 Сервер безопасности» («Панель управления» => «Администрирование» => «Службы»).

Синхронизация

Синхронизация – это ключевое понятие в идеологии СБ. Под синхронизацией понимается процесс сверки соответствия параметров безопасности клиента с внутренней базой данных СБ и, при обнаружении несоответствия, модификация параметров безопасности клиента.

Что бы ни происходило на клиенте, какие бы настройки параметров умышленные или злоумышленные не производились, при синхронизации все настраивается согласно записям СБ. Если параметры оставались без изменения (например, список пользователей), синхронизация этих параметров не происходит. Факты и результаты синхронизации отображаются в журнале СБ.

Синхронизация состоит их следующих независимых друг от друга этапов:

1. Синхронизация учетных записей пользователей и групп пользователей.

2. Синхронизация прав пользователей.

3. Синхронизация политик безопасности

4. Синхронизация глобальных параметров контроля доступа.

При синхронизации Сервер безопасности подключается к клиенту под учетной записью secServer.

SecServer – это специальная учетная запись, которая создается на каждом, защищенном Dallas Lock 8.0 компьютере по умолчанию при установке системы защиты для синхронизации клиента с Сервером безопасности. Никто другой, кроме СБ, не может войти под учетной записью secServer.

При синхронизации с СБ в окне отображения текущих сессий на клиентской рабочей станции в окне оболочке администратора можно наблюдать появление записи о текущей сессии под учетной записью secServer(рис. 174).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 174. Список текущих сессий рабочей станции

Аналогичную запись (записи о текущих пользователях рабочей станции) можно увидеть в рабочей области окна Консоли сервера безопасности, соответствующей выбранному клиенту.

Установка и удаление Сервера безопасности

Установка СБ

Для установки Сервера безопасности необходимо выполнение ряда условий:

Чтобы установить Сервер безопасности нужно запустить установочный файл DL80‑С.SecServer.msi (DL80‑K.SecServer.msi) и дождаться завершения копирования файлов. Сервер безопасности всегда по умолчанию устанавливается в папку C:DLLOCK80DlSecServer. Установка СБ будет сопровождаться соответствующими окнами процесса установки (рис. 175, рис. 176).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 175. Подготовка ОС к установке СБ

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 176. Окно приглашения установить СБ

Перед установкой на компьютер Сервера безопасности Dallas Lock 8.0 обязательным условием является предварительная установка на этом же компьютере самой системы защиты Dallas Lock 8.0 (рис. 177).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 177. Ошибка установки СБ

Также обязательным условием является подключение к компьютеру eTokena c лицензионным ключом Сервера безопасности и информацией о количестве клиентов данного СБ, в противном случае установка СБ будет остановлена (рис. 178).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 178. Ошибка установки СБ

После успешной установки выведется соответствующее сообщение (рис. 179).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 179. Состояние установки СБ

Сразу же после установки Сервер безопасности готов к работе. Перезагрузки ПК не требуется. Инсталлятор СБ создает на рабочем столе и в меню «Пуск» ярлыки для запуска Консоли сервера безопасности (рис. 180).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 180. Ярлыки Dallas Lock в меню Пуск

Удаление СБ с ПК

Удаление Сервера безопасности производится с помощью Мастера установок. В разных операционных системах запуск Мастера установок может осуществляться по-разному.

В ОС Windows 7 необходимо нажать кнопку «Пуск» Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» , выбрать компонент «Панель управления» и открыть утилиту «Программы и компоненты». В появившемся окне из списка выбрать программу «Dallas Lock 8.0. Сервер Безопасности», нажать действие «Удалить» и подтвердить удаление (рис. 181).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 181. Удаление программы СБ

После удаления СБ перезагрузки компьютера не требуется. Перед удалением Сервера безопасности рекомендуется сохранить его конфигурацию (подробнее в разделе «Сохранение конфигурации Сервера безопасности»).


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Создать новую группу клиентов можно с помощью кнопки «Добавить группу» на панели инструментов или, воспользовавшись контекстным меню значка Сервера безопасности в дереве объектов. При создании группы потребуется ввести её наименование, которое можно впоследствии изменить. Удалить существующую группу можно с помощью кнопки «Удалить группу» на панели инструментов или, воспользовавшись контекстным меню значка группы в дереве объектов.

Установленные параметры безопасности для группы Default будут копироваться для вновь созданных групп. В последующем, настроить параметры безопасности можно для каждой группы клиентов. Работа с группой Default не отличается от работы с другими группами.

Каждая группа в дереве объектов Консоли сервера безопасности содержит три вкладки:

1. Вкладка «Состояние». С её помощью можно по команде синхронизировать клиентов, входящих в данную группу, с Сервером безопасности; переименовать группу или удалить. Удалить можно только группу, в которой нет клиентов. Группу Default удалить невозможно.

2. Вкладка «Учетные записи» группы содержит список учетных записей, зарегистрированных на данном СБ, необходимые из которых нужно отметить для доступа к работе на ПК, входящих в состав данной группы. Изначально список копируется из группы Default. При добавлении или удалении учетных записей на СБ, список обновляется (рис. 184).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 184. Список учетных записей группы клиентов СБ

Особенностью списка учетных записей для группы клиентов является то, что после его формирования на вкладке учетных записей самих клиентов, состояние (вид) отмеченных записей в списке группы изменяется:

3. Вкладка «Параметры безопасности»содержит категории параметров, которые применяются к клиентам, входящим в состав этой группы (рис. 185).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 185. Параметры безопасности для групп клиентов СБ

Параметры безопасности назначаются аналогично тому, как и при локальном администрировании в оболочке администратора системы защиты Dallas Lock 8.0, с тем лишь отличием, что после назначения или изменения параметра и нажатия «OK» в окне редактирования, на панели инструментов необходимо нажать кнопку «Сохранить», после чего система выведет подтверждение.

Настройки, касающиеся входа в систему и установки атрибутов пароля, регулируются в окне категории «Вход». Настройки устанавливаются аналогично настройкам локального администрирования и подробно описаны в разделе «Настройка параметров входа».

Настройки аудита для групп клиентов Сервера безопасности устанавливаются аналогично настройкам локального администрирования для пользователей и подробно описаны в разделе «Средства аудита».

Настройка параметров очистки остаточной информации в КСБ аналогичны этим настройкам в оболочке администратора (глава «Очистка остаточной информации»).

Настройки осуществления контроля целостности программно-аппаратной среды, установленные на закладке «Контроль целостности», для групп клиентов редактируются аналогично локальным настройкам для пользователей, о чем подробно описано в разделе «Настройка параметров контроля целостности».

Блокируемые расширения для групп клиентов Сервера безопасности устанавливаются так же, как и для пользователей системы защиты Dallas Lock 8.0 (раздел «Блокировка работы с файлами по расширению»).


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

В дереве объектов присутствует клиент Default и другие, зарегистрированные в Домене безопасности, клиенты. Сформированный на клиенте Default список учетных записей (отмеченных для работы в домене и нет) автоматически копируется для всех вновь введенных в Домен безопасности клиентов.

Каждый клиент в дереве объектов Консоли сервера безопасности содержит несколько основных вкладок.

Вкладка «Состояние»

При выборе клиента в дереве объектов КСБ автоматически откроется вкладка состояния данной клиентской рабочей станции (рис. 186):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 186. Выбор клиента Сервера безопасности

В основном окне данной вкладки доступны следующие действия:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Можно увидеть статус клиента («включен», «идет синхронизация» и прочее).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Собрать журналы событий, сформированные на клиенте в данный момент (кнопка «Собрать журналы»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Удаленно применить к клиенту сохраненный файл конфигурации с установленными настройками подобно тому, как это происходит локально (раздел «Применение файла конфигурации клиентской части»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Установить краткое описание, которое будет добавлено к имени клиента в списке объектов (кнопка «Установить описание»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Установить пароль доступа Сервера безопасности (учетной записи SecServer) для данного клиента (кнопка «Установить пароль доступа»).

На панели инструментов доступны следующие действия с клиентами:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Подключение к клиенту (кнопка «Подключиться»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Синхронизация клиента по команде (кнопка «Синхронизировать») с СБ.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Удаление клиента из Домена безопасности (кнопка «Удалить»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Разблокировка учетных записей пользователей на клиенте (кнопка «Разблокировать пользователей»).

Если клиент выключен, то кнопки «Подключиться» и «Синхронизировать» не активны.

После нажатия кнопки «Подключиться» в КСБ появятся дополнительные вкладки параметров безопасности данного клиента. В информационной части окна можно увидеть, какие пользователи в данный момент на клиенте авторизованы и состояние параметров целостности компьютера (рис. 187).

Чтобы проверить целостность установленных параметров необходимо нажать кнопку «Проверить». Если целостность какого-либо параметра клиента нарушена (значок параметра будет выделен красным цветом), ее можно восстановить, нажав кнопку «Пересчитать». Свойства целостности клиента определяются политиками группы, в которую данный клиент входит.

С помощью этой вкладки можно удаленно выключить или перезагрузить клиентский ПК.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 187. Подключение к клиенту с КСБ

Вкладка «Учетные записи»

Данная вкладка позволяет управлять списком пользователей, которые могут работать на данной клиентской рабочей станции.

Изначально, при вводе нового клиента в ДБ список пользователей копируется из списка пользователей клиента Default.

Для редактирования этого списка, нужно выставить флажки в соответствующих полях напротив пользователей, которые, в соответствии с политиками безопасности, должны иметь возможность работать на данном клиенте и снять флажки у тех пользователей, которые не должны иметь такой возможности. После этого обязательно нажать кнопку «Сохранить». Если этого не сделать, все изменения будут утеряны.

Соответствующие вспомогательные кнопки помогают одновременно выбрать и отметить все учетные записи или все отменить (рис. 188).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 188. Учетные записи в окне клиента СБ

Учетные записи secServer и пользователя, от имени которого установлена система,суперадминистратора(независимо от его имени), нельзя и невозможно отключить, так как они необходимы для корректной работы СЗИ НСД.

Также в списке пользователей на вкладке управления учетными записями клиента Default, а также всех остальных клиентовавтоматически появляются вновь сформированные на СБ учетные записи пользователей.

Следует обратить внимание, что все учетные записи компьютеров-клиентов СБ, управляются с Сервера безопасности:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Если на клиенте в локальной оболочке администратора будут созданы учетные записи, но не будут продублированы на Сервере безопасности, то в процессе синхронизации эти учетные записибудут отключены и иметь значок заблокированного пользователя.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Если на клиенте в процессе синхронизации будут обнаружены пользователи, которым впоследствии была запрещена работа на данном клиенте (снят флажок), учетные записи этих пользователей в процессе синхронизации будут отключены.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Данная вкладка доступна, только когда к клиенту осуществлено подключение (кнопка «Подключиться» на вкладке «Состояние») (рис. 189).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 189. Параметры безопасности клиента СБ

Эта вкладка позволяет просматривать и управлять правами доступа к объектам файловой системы. Управление осуществляется аналогично тому, как это делается в стандартной оболочке администратора.

Настройки механизма управления дискреционным доступом описаны в разделе «Дискреционный доступ».

Настройки механизма управления мандатным доступом присутствуют в КСБ Dallas Lock 8.0 редакции «C», в данном руководстве они описаны в разделе «Мандатный доступ».

Настройки механизма управления средствами аудита описаны в разделе «Аудит доступа к ресурсам».

Механизм управления контролем целостности на соответствующей вкладке описан в разделе «Механизм контроля целостности».

Данный функционал доступен только для Dallas Lock 8.0 редакции «С».

Читайте также:  Как получить электронную подпись для Госуслуг, проверка ЭЦП

Данная вкладка присутствует в КСБ Dallas Lock 8.0 редакции «C» и доступна, когда к данному клиенту осуществлено подключение (кнопка «Подключиться» на вкладке «Состояние») (рис. 190).

При помощи данной вкладки возможно удаленное включение и выключение модуля доверенной загрузки, и добавление зон для прозрачного преобразования дисков. Механизм включения доверенной загрузки через КСБ имеет те же настройки, что и при локальном администрировании и подробно описан в главе «Доверенная загрузка». Но для применения параметров доверенной загрузки на клиенте необходимо после всех настроек нажать кнопку «Сохранить».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 190. Вкладка параметров безопасности клиента в КСБ

Вкладка «Полученные журналы»

Данная вкладка позволяет выбрать и открыть собранные Сервером безопасности журналы с клиентской рабочей станции.

Формирование этих журналов и записей в них происходит на момент команды сбора журналов путем нажатия данной кнопки на вкладке «Состояние» клиента или на вкладке «Состояние» сервера безопасности, а также при настроенном периодическом сборе журналов в параметрах данного СБ.

Окно вкладки полученных журналов состоит из следующих частей (рис. 191):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» верхняя панель с типами журналов (6 типов журналов как в оболочке администратора Dallas Lock 8.0 и дополнительно кнопка, открывающая список всех журналов);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» панель инструментов для фильтрации и экспорта журналов;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» основное окно просмотра записей журнала. Причем в правой части формируется список всех полученных журналов и их размер в байтах, а в центральной – списки записей выбранного журнала.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 191. Вкладка КСБ полученных с клиента журналов

Следует отметить, что на защищенном компьютере в системной папке C:DLLOCK80 имеются следующие папки, содержащие журналы событий:

1. Папка Jrn – папка с текущими журналами данной рабочей станции. Это те журналы, которые формируются и открываются с помощью вкладки «Журналы» оболочки администратора.

2. Папка Logs – папка, хранящая сформированные автоматически при переполнении (>10 000 записей) текущие журналы событий и журналы после их архивации данной рабочей станции, в том числе журнал Сервера безопасности. А также, при установке на компьютер Сервера безопасности, в папке Logs формируются папки с именами клиентских рабочих станций, в которых хранятся все собранные с клиентов журналы.

3. В папке DLSecServer помимо установочных файлов Сервера безопасности хранится текущий журнал данного СБ.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

При выборе значка Сервера безопасности в дереве объектов в левой части КСБ, в верхней части консоли формируется список вкладок для СБ. При выборе определенной закладки появляется возможность редактировать либо просматривать соответствующие параметры.

Вкладка «Состояние»

Вкладка «Состояние» КСБ отображает основные настраиваемые параметры, необходимые для работы данного Сервера безопасности, а также его статус и количество клиентов (введенных в ДБ и максимально возможное число согласно лицензии) (рис. 192).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 192. Вкладка «Состояние» Сервера безопасности

Отмеченное поле «Звуковой сигнал при событии НСД» позволяет включить звуковую сигнализацию на компьютере с Сервером безопасности о событиях несанкционированного доступа на клиентах.

Кнопка «Установить ключ доступа» позволяет установить код доступа СБ, который нужен для ввода клиентов в ДБ. По умолчанию ключ доступа – пустой. Для его установки необходимо нажать «Установить ключ доступа», ввести значение, нажать «OK» (рис. 193). Ограничений на символы ключа доступа нет.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 193. Ключ доступа Сервера безопасности

Кнопка «Собрать все журналы» позволит по нажатию осуществить единовременный сбор журналов со всех подключенных клиентских рабочих станций. Данные журналы можно просматривать с вкладки «Полученные журналы», открыв её для выделенного в дереве объектов КСБ клиента.

Используя настраиваемые параметры СБ, можно:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Определить частоту (выбрать время в выпадающем меню) и расписание (с помощью дополнительного окна) периодической синхронизации СБ с клиентами.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Определить частоту и расписание периодического сбора журналов клиентов.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Кнопка оповещения при отсутствии связи с клиентом позволяет установить срок, превышение которого вызовет событие оповещения (сигнализацию на СБ) и изменит значок клиента в дереве объектов СБ.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Настроить оповещения о событиях на клиенте (описано ниже в разделе «Сигнализация».)

После внесения изменений в настройки периодической синхронизации необходимо нажать на кнопку «Сохранить».

С помощью данной вкладки также можно синхронизировать всех клиентов с Сервером безопасности по команде администратора.

Сигнализация

Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на Сервере безопасности. События НСД заносятся в журнал СБ, на самом же компьютере с установленным СБ воспроизводится звуковой сигнал и выводится всплывающее сообщение на панели задач (рис. 194).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 194. Сигнализация на СБ

Включение и выключение звукового сигнала производится на вкладке Сервера безопасности «Состояние».

События, при которых происходит сигнализация на СБ, могут быть следующими:

Сигнализация при нарушении целостности происходит при ее проверке. Если администратор хочет, чтобы целостность контролируемых файлов отслеживалась периодически, нужно включать политику «Периодический контроль целостности» (подробнее в разделе «Механизм контроля целостности»). При нарушенной целостности сигнализация произойдет один раз и при первой проверке.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

В системе защиты Dallas Lock 8.0 реализована возможность отправки почтовых уведомлений на email (электронную почту) с Сервера безопасности о событиях, связанных с НСД на клиентских рабочих станциях.

Чтобы выполнить настройку оповещений о событиях необходимо на вкладе КСБ «Состояние» в поле «Настройка оповещений о событиях на клиенте» нажать кнопку «Настроить». В появившемся диалоговом окне выбрать необходимые события (рис. 195).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 195. Настройка оповещений о событиях НСД

Отмеченное флажком события означает, что данные события, произошедшие на клиентских рабочих станциях, будут сопровождаться звуковым сигналом (при его включении в КСБ) на компьютере с Сервером безопасности и всплывающим сообщением на панели задач СБ.

В журнал Сервера безопасности данные события будут заноситься в любом случае.

Отмеченное поле «Уведомления по почте» позволит, после дополнительной настройки, отсылать уведомления о событиях НСД с Сервера безопасности на адрес электронной почты. Если данный пункт меню отмечен, то появятся поля ввода дополнительных параметров (рис. 196), в которых:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» необходимо задать имя исходящего почтового сервера SMTP или его IP – адрес и указать № порта SMTP-сервера (например, mail.ru или 192.168.0.249:25);

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» если на почтовом сервере требуется авторизация, необходимо выставить флажок и заполнить поля логина и пароля;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» в поле «кому» ввести email, на котором необходимо принимать сообщения о НСД, в поле «от кого» ввести существующий адрес отправителя;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» ввести заголовок и текст;

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» и нажать «Сохранить».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 196. Настройка почтовых уведомлений о НСД

Вкладка «Учетные записи»

Вкладка «Учетные записи» выделенного Сервера безопасности в дереве объектов КСБ позволяет управлять пользователями Домена безопасности. На всех клиентских компьютерах Домена безопасности могут работать только пользователи из этого списка (рис. 197).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 197. Список учетных записей СБ

С помощью вкладки «Учетные записи» Сервера безопасности можно выполнять следующие операции:

1. Создавать новые учетные записи пользователей.

2. Регистрировать и блокировать учетные записи в домене.

3. Редактировать параметры существующих пользователей и удалять.

4. Создавать группы пользователей ДБ.

Список пользователей формируется из учетных записей, зарегистрированных в локальной оболочке администратора компьютера, на котором установлен данный Сервер безопасности, и учетных записей, зарегистрированных через Консоль данного сервера безопасности. Создание учетных записей с помощью КСБ имеет тот же механизм что и в оболочке администратора (создание локальных, доменных пользователей, учетных записей с помощью масок).

После создания учетной записи, она автоматически появляется в списках учетных записей объектов дерева Домена безопасности: каждой группы клиентов и каждого клиента. После чего для каждого клиента и группы, на вкладке «Учетные записи», необходимо отметить, какие пользователи из списка смогут на нем работать, а какие нет. Это делается с помощью расстановки флажков в списке учетных записей пользователей. На всех клиентах, входящих в один ДБ, параметры одного пользователя будут идентичны.

Для того чтобы созданная на СБ учетная запись была не просто продублирована в список учетных записей групп клиентов, но и стала зарегистрированной, то есть пользователь имел доступ для работы на клиентских компьютерах, необходимо после создания выделить учетную запись в списке и нажать кнопку «Создать в ДБ»:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» .

Для того чтобы запретить доступ пользователя на всех клиентах в ДБ нужно выделить учетную запись и нажать «Заблокировать в ДБ». Применение списка учетных записей для работы под ними на клиентских ПК возможно только после синхронизации.

Создание и удаление групп в Консоли сервера безопасности происходит способом аналогичным, что и в оболочке администратора СЗИ НСД Dallas Lock 8.0. Чтобы создать группу, нужно нажать кнопку «Создать». Чтобы удалить существующую группу – выделить ее и нажать «Удалить». В процессе синхронизации на клиенте удаляются группы, которых нет в списке, и добавляются те, которые есть в списке, но которых нет на клиенте. Таким образом, на всех клиентах, входящих в состав ДБ, будут одинаковые группы.

Так же, как это было с пользователями, группы ДБ, это обычные группы компьютера, на который установлен СБ. Поэтому управлять этими группами можно не только из КСБ, но и из стандартной оболочки администратора СЗИ НСД, установленной на том же компьютере, что и Сервер безопасности.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

С помощью данной вкладки можно изменять глобальные параметры аудита ресурсов и их дискреционные права для пользователей клиентов Домена безопасности подобно тому, как это реализовано для пользователей и групп пользователей в оболочке администратора системы защиты (рис. 198).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 198. Параметры контроля доступа

Соответствующий механизм описан в разделе «Глобальные параметры аудита».

Вкладка «Журнал СБ»

Данная вкладка Консоли сервера безопасности позволяет просматривать и управлять журналом событий Сервера безопасности (рис. 199).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 199. Журнал Сервера безопасности

Важно не путать журнал СБ с журналами клиентов (журнал входов, журнал доступа к ресурсам, журнал запуска процессов, журнал печати, журнал управления учетными записями, журнал управления политиками безопасности).

Журнал Сервера безопасности – это журнал, в который заносятся события, связанные непосредственно с работой Сервера безопасности, а именно:

1. Ввод и вывод клиента из ДБ.

2. Синхронизация клиента.

В поле «Дополнительно» заносятся данные о том, что именно было синхронизировано. Если в процессе синхронизации не понадобилось модифицировать какие-либо данные на клиенте, то такое событие в журнал не заносится.

1. Сбор журналов с клиентов.

2. Изменение ключа доступа.

3. Очистка журнала СБ.

4. Включение/выключение клиента.

Также в журнал СБ заносятся типы событий, при которых происходит событие сигнализации (воспроизводится звуковой сигнал и выводится сообщение):

1. Попытка входа на клиентскую рабочую станцию с неправильным паролем.

2. Нарушение целостности ФС или программно-аппаратной среды клиентской рабочей станции.

3. Несанкционированная деактивация системы защиты.

4. Недоступность рабочей станции за определенный период.

Если операция завершилась успешно, то соответствующая запись в журнале будет помечена значком синего цвета, если не успешно – то красного. Для обновления записей журнала служит кнопка «Обновить».

Панель кнопок «Действия» аналогична той, что есть в оболочке администратора (описано в разделе «Журналы»). Подробнее о журналах, полученных с клиентов в разделе «Вкладка «Полученные журналы».

Вкладка «Параметры безопасности домена»

Вкладка «Параметры безопасности домена» в Консоли сервера безопасности позволяет управлять правами пользователей и изменять названия уровней мандатного доступа (рис. 200).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 200. Вкладка Права пользователей КСБ

Изменение (переименование) уровней мандатного доступа в КСБ происходит, как и в оболочке администратора, об этом подробно написано в разделе «Переименование меток конфиденциальности».

Вкладка «Права пользователей» аналогична этой же категории на закладке «Параметры безопасности» в оболочке администратора системы защиты Dallas Lock 8.0. Поэтому управлять правами пользователей ДБ можно не только из КСБ, но и из стандартной оболочки администратора, установленной на том же компьютере, что и СБ.

Следует учесть, что на всех клиентах в ДБ права одних и тех же пользователей одинаковые.

Более подробная информация о правах пользователей находится в соответствующих главах данного руководства. В частности, предоставление пользователям или группам пользователей возможностей на просмотр политик аудита или их изменение описано в разделе «Полномочия на управление параметрами аудита». Остальные полномочия пользователей описаны в разделе «Полномочия пользователей на администрирование системы защиты».


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Данная вкладка позволяет выполнять установку или деактивацию СЗИ НСД Dallas Lock 8.0 на один или несколько компьютеров, расположенных в одной ЛВС, удаленно, без предварительной подготовки целевых компьютеров (рис. 201).

С помощью данной вкладки также возможен ввод защищенных СЗИ НСД компьютеров, доступных по сети, в Домен безопасности (подробнее в разделе «Ввод в ДБ с КСБ»).

С помощью данной вкладки формируется специальный msi-файл, необходимый для удаленной установки СЗИ НСД Dallas Lock 8.0 средствами Active Directory (подробный механизм описан в разделе «Установка средствами AD»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 201. Вкладка удаленной установки Dallas Lock 8.0 на КСБ

Для удаленной установки необходимо знать пароль администратора Windows на целевых компьютерах, который в дальнейшем станет паролем администратора безопасности (суперадминистратора) Dallas Lock 8.0.

При удаленной установке возможны следующие варианты:

1. Для группы компьютеров, входящих в один домен Windows, имя администратора и пароль будут одинаковыми, и, соответственно, будет возможна групповая удаленная установка системы защиты.

2. Если компьютеры не входят в один домен, следует использовать имя и пароль администратора локальной ОС и выполнять удаленную установку для группы компьютеров, имеющих одинаковые пароли администратора.

3. Для компьютера, имеющего индивидуальные имя и пароль администратора, удаленную установку следует выполнять отдельно от других.

Также необходимо выполнение следующих дополнительных требований:

Все эти требования можно выполнить и удаленно средствами групповой политики Windows, если целевой компьютер входит в домен Active Directory.

Для того чтобы выполнить удаленную установку СЗИ НСД, необходимо:

1. Перед удаленной установкой необходимо разместить на компьютере, работающем под управлением СБ, дистрибутив Dallas Lock.

2. Далее дистрибутив необходимо зарегистрировать на СБ. Для этого щелкнуть кнопку «Добавить дистрибутив» на верхней панели инструментов окна удаленной установки:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» .

Появится стандартное окно с просьбой указать путь размещения файла дистрибутива Dallas Lock 8.0 (рис. 202).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 202. Путь к файлу – дистрибутиву СЗИ НСД

В появившемся окне необходимо найти файл дистрибутива СЗИ НСД Dallas Lock 8.0, файл с расширением *.msi, и нажать «Открыть». Система выведет сообщение о том, что дистрибутив удачно добавлен.

3. Далее необходимо заполнить параметры удаленной установки, которые будут применены к компьютерам в процессе активации Dallas Lock 8.0 (рис. 203):

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 203. Поля параметров для удаленной установки

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Указать имя и пароль администратора Windows на целевых компьютерах.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Прописать Серийный номер дистрибутива, который указан на диске СЗИ НСД Dallas Lock 8.0.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Указать имя Сервера безопасности и код доступа для СБ (по умолчанию – он имеет пустое значение), если нужно ввести компьютер(ы) в Домен безопасности Dallas Lock 8.0 (можно оставить эти поля пустыми, так как ввести защищенный компьютер в домен безопасности можно и после установки системы защиты).

4. Далее требуется выбрать компьютеры для установки из списка объектов.

Это можно сделать, воспользовавшись функцией «Сканировать сеть» на панели действий:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» .

Появится окно, в котором необходимо запустить сканирование (кнопка «Сканировать»), отметить необходимые ПК, нажать «Добавить» и закрыть окно сканирования (рис. 213). Для удобства выбора, в появившемся списке доступных по сети компьютеров, защищенные СЗИ НСД Dallas Lock 8.0 компьютеры имеют после имени название системы.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 204. Окно сканирования сети

В поле со списком окна администрирования на вкладке удаленной установки появятся имена компьютеров, которые необходимо ввести в Домен безопасности. Добавить в этот список имена компьютеров можно, воспользовавшись также специальным полем, в которое необходимо вручную ввести их имена в сети или IP адрес и нажать «Добавить в список» (рис. 214).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 205. Ввод IP адреса на вкладке удаленной установки

Для компьютеров с разными учетными записями администратора необходимо провести удаленную установку по очереди, для компьютеров с одинаковыми учетными записями администратора – выбрать и сформировать список в окне списка компьютеров.

В соответствующем окне КСБ появятся имена компьютеров, на которые будет произведена удаленная установка СЗИ НСД Dallas Lock 8.0. Из данного списка можно удалять компьютеры, можно полностью его очистить (рис. 206).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 206. Список компьютеров для удаленной установки СЗИ НСД

5. После заполнения всех необходимых параметров удаленной установки необходимо нажать кнопку «Установить DL»:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» .

В процессе установки в соответствующем окне Консоли сервера безопасности можно просматривать состояние установки для каждого компьютера. Здесь же после удаленной установки появятся соответствующие комментарии удачного или не удачного завершения операции, с описанием причины неуспеха (рис. 207).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 207. Информация о ходе удаленной установки средствами КСБ


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Главное окно программы Менеджера серверов безопасности, как и Консоль сервера безопасности, состоит из: заголовка, основного меню, дополнительного меню, дерева объектов, входящих в данный ЛБ и рабочей области (рис. 221).

Дерево объектов состоит из корневого объекта «Лес Безопасности» и имен Серверов безопасности, добавленных в ЛБ. В зависимости от выбранного объекта содержимое правой части, и список закладок окна будет меняться.

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 221. Окно Менеджера серверов безопасности

Если выбрать в дереве объектов корневой объект «Лес безопасности», то станут доступны вкладки «Состояние» и «Параметры безопасности».

Вкладка «Состояние» позволяет добавлять новые СБ в ЛБ и осуществлять сбор журналов со всех СБ входящих в данный ЛБ.

Для сбора журналов со всего ЛБ нужно нажать «Собрать журналы». МСБ по очереди подключится к каждому СБ и заберет с него все журналы. В логе будет отображен ход процесса.

Для добавления Сервера безопасности к списку существующих объектов в МСБ существует кнопка «Добавить». Откроется окно для заполнения параметров СБ (рис. 222).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 222. Данные для добавления СБ в ЛБ

В появившемся окне необходимо ввести имя Сервера безопасности и авторизационные данные, используя которые МСБ будет подключаться к данному СБ. Эти авторизационные данные должны принадлежать пользователю, зарегистрированному на данном СБ с правами администратора безопасности (суперадминистратора). Если будет установлен флажок «Проверять сетевую доступность сервера», то после нажатия кнопки «ОК», перед добавлением сервера в список, будет произведена попытка подключиться к данному серверу.

Параметры безопасности ЛБ

Вкладка «Параметры безопасности» позволяет изменять выбранные политики во всем ЛБ, то есть на каждом Сервере безопасности, входящим в Лес безопасности. Как и в Консоли сервера безопасности, все политики разделены на 5 типов – политики входа и паролей, политики аудита, политики контроля целостности, блокируемые расширения и настройка модуля доверенной загрузки (рис. 223).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 223. Выбор параметров безопасности в Менеджере серверов безопасности

Механизм централизованного назначения параметров безопасности следующий:

1. Для выбора политик нужного типа необходимо нажать соответствующую кнопку в списке категорий. Откроется рабочая область со списком параметров.

2. Далее отметить флажками те политики, которые необходимо изменить и указать (изменить) их значения в окне редактирования политики, нажать «ОК» или «Применить».

3. После того, как будут установлены значения всех необходимых параметров, следует нажать кнопку «Применить»:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

МСБ по очереди подключится к каждому СБ и изменит на нем значения соответствующих политик. Те политики, которые не были отмечены, останутся не измененными. В логе будет отображен ход процесса. Под установкой политики на СБ имеется в виду, что политика установится на самом СБ и во всех группах клиентов данного СБ. На клиенте политика будет установлена в процессе следующей синхронизации.

Параметры безопасности каждой категории, которые могут быть централизованно применены для всего Леса безопасности или отдельно взятого Сервера, входящего в данный ЛБ, подробно описаны в разделах данного руководства, соответствующих настройкам локального администрирования с помощью оболочки администратора:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Настройки, касающиеся входа в систему и установки атрибутов пароля, регулируются в окне категории «Вход» и описаны в разделе «Параметры входа в систему защиты».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Настройки аудита подробно описаны в разделе «Средства аудита».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Настройки параметров очистки остаточной информации – в главе «Очистка остаточной информации».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Настройки осуществления контроля целостности подробно описаны в разделе «Настройка параметров контроля целостности».

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Установка блокируемых расширений – в главе «Блокировка работы с файлами по расширению».


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

Если в дереве объектов Менеджера серверов безопасности выбран какой-либо Сервер безопасности, то становятся доступны вкладки «Полученные журналы» и «Параметры безопасности», относящиеся непосредственно к выбранному объекту.

На вкладке «Состояние»для каждого Сервера безопасности Менеджер серверов безопасности позволяет:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Изменить авторизационные данные, введенные при добавлении данного СБ в ЛБ (кнопка «Изменить»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Собрать журналы с данного СБ. Эта операция аналогична сбору журналов со всего ЛБ за исключением, того что сбор будет происходить с одного СБ (кнопка «Собрать журналы»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Подключиться к оболочке администратора СБ для удаленного администрирования (кнопка «Удаленное администрирование»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Подключиться к ПК с установленным СБ терминально (кнопка «Терминальное соединение»).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив» Удалить выбранный СБ из ЛБ (кнопка «Удалить СБ из леса на панели инструментов) (рис. 224).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 224. Просмотр состояния объекта МСБ

Вкладка «Полученные журналы» аналогична соответствующей вкладке консоли данного СБ, с тем лишь отличием, что кроме журналов, полученных в процессе сбора с конкретного СБ, появляется возможность просматривать список журналов всего Леса безопасности (кнопка «Все журналы») и журналы выбранного СБ («Журнал сервера безопасности»). В верхней части окна можно выбрать тип журналов, а в правой – клиента (конкретную рабочую станцию) и конкретный журнал (рис. 225).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 225. Журналы СБ в окне программы МСБ

Двойной щелчок по корневой папке журналов позволяет вернуться на уровень вверх.

Панель кнопок «Действия» используется для задания параметров отбора событий, отображаемых в выбранном журнале. Действия для журналов в МСБ аналогичны действиям с журналами в оболочке администратора (описано в разделе «Журналы»). Подробнее о журналах, полученных с серверов безопасности в разделе «Вкладка «Полученные журналы».

Вкладка «Параметры безопасности» аналогична одноименной вкладке Леса безопасности. За исключением того, что политики применяются не ко всему ЛБ, а только к конкретному Серверу безопасности.

Используя клиентские рабочие станции, защищенные Dallas Lock 8.0, работающие под управлением Сервера безопасности и Менеджер серверов безопасности, можно создавать трехуровневую модель централизованного управления защиты информации (рис. 226).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 226. Модель централизованного управления Dallas Lock

Удаленная установка системы защиты средствами Active Directory

Средствами Microsoft Windowsвозможна удаленная установка СЗИ НСД Dallas Lock 8.0 на рабочие станции, входящие в состав Контроллера домена. Необходимые для этого действия включают в себя:

1. Формирование файла установки на Сервере безопасности.

2. Создание точки распространения на Контроллере домена.

3. Создание объекта групповой политики для удаленной установки
средствами Active Directory.

4. Конфигурация и применение групповой политики.

Подготовка msi-файла.

1.1. Необходимо подготовить msi-файл для удаленной установки с контроллера домена при помощи Сервера безопасности Dallas Lock 8.0. Для этого в Консоли сервера безопасности необходимо открыть вкладку «Удаленная установка» (рис. 227).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 227. Вкладка удаленной установки КСБ

На панели инструментов находится кнопка «msi AD». Ее нажатие формирует msi-файл с необходимыми параметрами. Если параметры не назначены или назначены не полностью, то при нажатии на эту кнопку система выдаст предупреждающее сообщение (рис. 228).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 228. Сообщение системы при формировании msi-файла

1.2. Необходимо добавить дистрибутив Dallas Lock 8.0. Дистрибутив необходимо заранее выгрузить в удобное в ОС место. На панели инструментов в окне удаленной установки КСБ нажать кнопку «Добавить дистрибутив», с помощью появившегося проводника Windows указать путь его размещения и нажать кнопку «Открыть» (рис. 229).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 229. Выбор msi-файла

Дистрибутив будет добавлен в систему защиты для последующего формирования его дополнительных параметров и система выведет подтверждение.

1.3. Далее, в окне КСБ на вкладке удаленной установки необходимо прописать сами параметры установки дистрибутива:

Поле Описание
Имя администратора Параметры учетной записи пользователя, которая присутствует на всех тех компьютерах, на которых планируется установка DL. От имени этой учетной записи будет выполнена установка системы защиты. Этот пользователь условно станет администратором безопасности (суперадминистратором) (подробнее в разделе «Установка системы защиты»).
Рекомендуется указывать параметры учетной записи доменного администратора, так как эта учетная запись на рабочих станциях, входящих в состав Контроллера домена всегда присутствует по умолчанию.
Пароль
Серийный номер Серийный номер лицензии дистрибутива (указывается на диске данного дистрибутива)
Сервер безопасности Как и при локальной установке Dallas Lock 8.0, компьютеры можно ввести в Домен безопасности. Если этого не сделать на этапе установки, то это возможно и после установки системы (подробнее в разделе «Ввод защищенного компьютера в ДБ»). Данные поля не являются обязательными
Код доступа к СБ

1.4. После верного заполнения необходимых полей и нажатия кнопки «msi AD» файл с прописанными параметрами будет успешно сформирован, и система выведет соответствующее подтверждение.

Следует отметить, что сформированный для будущей удаленной установки через Active Directory msi-файл будет находиться в системной папке установленного Сервера безопасности Dallas Lock 8.0 по следующему пути: «Локальный диск (C:) => DLLOCK80 => DLSecServer» (рис. 230).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 230. Расположение нового msi-файла

Этот пакет необходимо перенести на контроллер домена Windows Server, с которого будет происходить удаленная установка (см. ниже).

Далее необходимо приступить к настройкам непосредственно на контроллере домена в службах Active Directory.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

1. Для аварийного отключения системы защиты Dallas Lock 8.0 в Windows XP/2003 необходимо получить доступ к файловой системе.

Это можно сделать, в том числе, с помощью Консоли восстановления Windows (Recovery Console). Данная консоль представляет собой интерфейс командной строки, и имеет необходимый для администраторов минимум средств, которые позволяют выполнить восстановительные процедуры в системе, имеющей проблемы с загрузкой.

Чтобы запустить консоль восстановления, необходим установочный диск Windows ХР/2003. В некоторых случаях консоль восстановления может быть уже установлена вместе с ОС на ПК, тогда ее можно выбрать при обычном запуске Windows из меню параметров загрузки.

Для того чтобы получить доступ к консоли с загрузочного диска необходимы следующие действия:

1. После запуска диска дождаться завершения процесса копирования файлов установки, затем выбрать из меню параметров загрузки Консоль восстановления (Recovery Console), нажав «R».

2. Выбрать копию Windows, которую следует восстанавливать. На экране появится список операционных систем, установленных на ПК. В большинстве случаев Windows – единственная, поэтому следует нажать «1» и «Enter».

3. Далее ввести пароль администратора. После чего откроется доступ к корню каталога файловой системы: «C:Windows».

2. После получения доступа к файловой системе необходимо подменить системные файлы.

Далее следует произвести отключение модуля интерактивного входа путем переименования и копирования файлов с помощью командной строки. Необходимо зайти в папку System32 с помощью команды «cd %windir%system32» и ввести следующие команды:

1. ren dlautp.dll dlautp_.dll

2. copy msv1_0.dll dlautp.dll

3. ren dlkerber.dll dlkerber_.dll

4. copy kerberos.dll dlkerber.dll

5. ren dlgina.dll dlgina_.dll

6. copy msgina.dll dlgina.dll

3. После подмены системных файлов необходимо очистить реестр.

Далее для корректного отключения системы защиты необходимо внести изменения в реестр. Открыть редактор реестра можно с помощью командной строки командой regedit после ввода предыдущих команд. Можно открыть реестр из операционной системы, так как после подмены системных файлов компьютер должен успешно загрузиться (в меню «Пуск» в поле ввода ввести команду regedit) (рис. 251).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 251. Окно редактора реестра

В редакторе реестра следует проделать следующие операции:

1. Необходимо удалить ключ GinaDLL, расположенный по пути: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.

2. Также необходимо найти и полностью удалить из реестра следующие разделы:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDlFlt,

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDlCrypt,

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDlDisk,

и

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DLFlt,

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DLCRYPT,

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DLDisk.

Для удаления разделов из ветки Root необходимо изменить права доступа для текущего пользователя (удобно сделать это не для каждого ключа, а для ветки Root) (рис. 252).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 252. Изменение разрешений для раздела Root

3. Также необходимо изменить значение ключа UpperFilters в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E967-E325-11CE-BFC1-08002BE10318}: вместо «DlDisk PartMgr» следует оставить «PartMgr».

После выполнения вышеописанных операций необходимо перезагрузить компьютер. После перезагрузки система защиты Dallas Lock 8.0 будет отключена; теперь можно заново запустить установку СЗИ НСД, либо воспользоваться функцией «Исправить» в окне установки и удаления программ.

14.2.2. Порядок аварийного
отключения для Windows Vista/2008/7/2008R2/8/2022

1. Для аварийного отключения системы защиты Dallas Lock 8.0 в ОС Windows Vista/2008/7/2008R2/8/2022 необходимо получить доступ к файловой системе.

Для этого можно воспользоваться, в том числе, платформой восстановления Windows Recovery Environment (WinRE), которая является «преемником» консоли восстановления для предыдущих версий ОС.

WinRE может быть загружена с установочного диска операционной системы. Но можно воспользоваться встроенным инструментом восстановления, не требующим загрузки с CD. Для этого необходимо запустить меню дополнительных вариантов загрузки (перед началом загрузки ОС нажать F8 на клавиатуре) (рис. 253).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 253. Меню дополнительных вариантов загрузки ОС Windows 7

Необходимо выбрать «Устранение неполадок компьютера» (Repair Your Computer).Windows загрузит необходимые файлы и запустит процесс восстановления. Система попросит выбрать язык и ввести авторизационные данные. Появится необходимое окно параметров восстановления системы. В нем следует выбрать открытие окна командной строки.

С помощью командной строки необходимо переключиться на диск (раздел жесткого диска), где установлена система защиты Dallas Lock 8.0. Следует учесть, что буква того диска, который определен консолью восстановления как диск с установленной системой защиты, может не совпадать с буквой диска назначенного ОС, на который система защиты была установлена (диск С) (рис. 254).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 254. Консоль восстановления системы в Windows 7 и список системных файлов

2. После получения доступа к файловой системе необходимо подменить системные файлы.

После получения доступа к файловой системе необходимо произвести отключение модуля интерактивного входа путем переименования и копирования файлов с помощью команд:

1. ren dlautp.dll dlautp_.dll

2. copy msv1_0.dll dlautp.dll

3. ren dlkerber.dll dlkerber_.dll

4. copy kerberos.dll dlkerber.dll

5. ren dllives.dll dllives_.dll

6. copy livessp.dll dllives.dll[13]

3. После подмены системных файлов необходимо очистить реестр.

После отключения модуля интерактивного входа для корректного отключения системы защиты необходимо внести изменения в реестр. Открыть редактор реестра можно с помощью командной строки командой regedit после ввода предыдущих команд. Можно открыть реестр из операционной системы, так как после подмены системных файлов компьютер должен успешно загрузиться (в поле ввода меню «Пуск» ввести команду regedit). В редакторе реестра следует проделать следующие операции:

1. Изменить значение на «0» параметра Disabled по пути:

· для Windows Vista/2008/7/2008R2:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthentication Credential Providers{6f45dc1e-5384-457a-bc13-2cd81b0d28ed},

· для Windows 8/2022:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthentication Credential Providers{600e7adb-da3e-41a4-9225-3c0399e88c0c}.

2. Удалить ветку реестра {9123E0C2-FF5E-4b38-BAB9-E2FA800D2548} по пути:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion AuthenticationCredential Providers.

3. Также полностью удалить из реестра следующие разделы:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDlCrypt,

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDlDisk,

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDlFlt

и

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DLCRYPT,

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DLDisk.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DLFlt,

Для удаления разделов из ветки Root необходимо изменить права доступа для текущего пользователя (удобно сделать это не для каждого ключа, а для ветки Root).

4. Также необходимо изменить значение ключа UpperFilters в ветке

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E967-E325-11CE-BFC1-08002BE10318}: вместо «DlDisk PartMgr» следует оставить «PartMgr».

После выполнения вышеописанных операций необходимо перезагрузить компьютер. После перезагрузки система защиты будет отключена; теперь можно снова запустить её установку, либо воспользоваться функцией «Восстановить» в окне установки и удаления программ.


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

§

При выходе из строя операционной системы компьютера, когда отсутствуют возможность её загрузки, можно воспользоваться восстановлением образа диска с данными с помощью сохраненной его копии программой Acronis. Для этого необходим загрузочный диск с консолью управления программы Acronis Backup & Recovery 11, с которого нужно запустить ПК, предварительно настроив для этого BIOS (рис. 268).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 268. Окно приветствия при загрузке с диска Acronis

После выбора в окне приветствия загрузку программы Acronis, появится окно описанной выше Консоли управления Acronis, в которой необходимо выбрать пункт «Восстановление» (рис. 269).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 269. Выбор пункта восстановления в консоли управления Acronis

В параметрах восстановления необходимо указать хранилище сохраненного образа, предварительно подключив его, если это съёмный носитель (рис. 270, рис. 271).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 270. Выбор хранилища созданной резервной копии для восстановления

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 271. Параметры восстановления резервной копии

Также необходимо указать место назначения, в которое будут восстановлены выбранные данные. Автоматически выбранные объекты восстановления будут восстановлены на физические диски ПК, так как Acronis Backup & Recovery 11 автоматически сопоставляет образы дисков или томов с целевыми дисками, но при определенных настройках программы это можно сделать и вручную.

После установки параметров и нажатия «OK» начнется процесс восстановления. По завершении которого потребуется перезагрузка компьютера и вход в восстановленную ОС (рис. 272).

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Рис. 272. Завершение процесса восстановления

Таким образом, данные жесткого диска ПК будут восстановлены. Следует учесть, что восстановление данных будет произведено с той версией системы Dallas Lock 8.0 и её настройками, которые были установлены при создании образа.

Термины и сокращения

Некоторые термины, содержащиеся в тексте руководства, уникальны для системы защиты Dallas Lock 8.0, другие используются для удобства, третьи выбраны из соображений краткости.

Термины «компьютер», «ПК», «рабочая станция» считаются эквивалентными, и используются в тексте руководства.

Домен безопасности – организация единой политики безопасности совокупностью Сервера безопасности и клиентских рабочих станций, работающих под управлением СБ.

Загрузчик – модуль доверенной загрузки, отрабатывает между включением ПК и до начала загрузки ОС.

Замкнутая программная среда – режим работы защищенного ПК, при котором для конкретных пользователей определяется список доступных для работы программ.

Клиент – компьютер, защищенный Dallas Lock 8.0, входящий в состав Домена безопасности.

Криптопровайдер – модуль, позволяющий осуществлять криптографические операции (шифрование) в операционных системах.

Мышь – ручной манипулятор, преобразующий механические движения в движение курсора на экране.

Параметры безопасности – или политики безопасности – совокупность правил по обеспечению безопасности информации, выраженные настраиваемыми категориями системы защиты.

Суперадминистратор – пользователь, под учетной записью которого выполнена установка системы защиты.

Сокращение Полная формулировка
ДБ Домен безопасности
КСБ Консоль сервера безопасности
ЛВС Локальная вычислительная сеть
ЛБ Лес безопасности
МСБ Менеджер серверов безопасности
OC Операционная система
ПК Персональный компьютер
ПЗУ Постоянное запоминающее устройство, энергонезависимая память, используемая для хранения массива неизменяемых данных
СБ Сервер безопасности
СЗИ НСД Система защиты информации от несанкционированного доступа
ФС Файловая система
ЭЦП Электронно – цифровая подпись
AD Active Directory
DL Dallas Lock 8.0
MBR (Master Boot Record) Системная область жесткого диска. Содержит программы начальной загрузки ОС и информацию о размещении логических дисков. Используется на этапе загрузки компьютера
BIOS Представляет собой набор записанных микропрограмм (образующих системное программное обеспечение), обеспечивающих начальную загрузку компьютера и последующий запуск операционной системы
SP (Service Pack) Пакет обновлений для операционной системы

Изменения

В таблице приведены сведения о последних изменениях данного документа, включая версию, дату, автора и краткое описание изменений.

Версия Дата Автор Изменения
30.01.2022 ООО «Конфидент» Создание документа
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       

[1] Совместимость редакций для декодирования файлов-контейнеров описана в соответствующем разделе руководства.

[2] Следует учесть, что архитектура IA64 (Itanium) не поддерживается.

[3] DallasLock8.0K.msi

[4] Подробнее в главе 12 «Сохранение конфигурации».

[5] Подробнее в разделе «Регистрация доменных пользователей с помощью масок».

[6] Для Dallas Lock 8.0 редакции «С» выбор мандатного уровня останется обязательным при любом способе авторизации.

[7] Описание интерфейса других модулей находится в соответствующих главах данного руководства

[8] Подробнее в разделе «Мандатный доступ».

[9] USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП

[10] Вызов данной функции также возможен из контекстного меню

[11] «Вход: запрет одновременной работы пользователей с различными уровнями конфиденциальности».

[12] В соответствии с Приказом ЦБ РФ от 03.03.97 N 02-144

[13] Если файлы dllives.dll и livessp.dll отсутствуют – некритично.

[14] <http://www.acronis.ru/support/documentation/>


Воспользуйтесь поиском по сайту:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Ооо “центр защиты информации” » расширение поддержки устройств рутокен в продуктовой линейке dallas lock

Специалисты компаний «Конфидент» и «Актив» провели испытания и подтвердили корректность работы Единого центра управления Dallas Lock, Системы защиты информации Dallas Lock 8.0 редакций «K» и «C», Системы защиты информации Dallas Lock Linux, Средства доверенной загрузки Dallas Lock и Системы защиты информации в виртуальных инфраструктурах Dallas Lock с USB-токенами, смарт-картами и считывателями Рутокен.

В этом году со стороны Центра защиты информации ООО «Конфидент» к списку совместимых решений добавился Единый центр управления Dallas Lock. Со стороны Компании «Актив» список пополнили считыватель смарт-карт Рутокен SCR 3001, криптографические устройства, способные формировать квалифицированную электронную подпись «на борту» — смарт-карты и USB-токены Рутокен ЭЦП 2.0 2100, а также смарт-карты Рутокен ЭЦП 3.0 NFC. С полным списком совместимых решений вы можете ознакомиться ниже, просмотрев соответствующие сертификаты.

Сертификаты совместимости

По результатам испытаний, проведённых специалистами компаний АО «Актив-софт» и ООО «Конфидент», были обновлены и подписаны следующие сертификаты совместимости:

Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»Продукция Рутокен совместима с решениями DALLAS LOCK / Новости / Пресс-центр / Компания «Актив»

Источник: https://ecpexpert.ru/about/news/Rasshirenie-podderzhki-ustroystv-Rutoken-v-produktovoy-lineyke-Dallas-Lock-/

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector