Система шифрования и создания эцп «блокхост-эцп»
Программный комплекс «Блокхост-ЭЦП» предназначен для обеспечения конфиденциальности хранимых и передаваемых данных в виде файлов различных типов путем их шифрования, а также реализации принципа неотказуемости от содержания хранимого или передаваемого документа путем создания для этого документа ЭЦП.
Программный комплекс «Блокхост-ЭЦП» при выполнении функций шифрования и создания ЭЦП может использовать как встроенные в ОС Windows криптографические средства, так и сертифицированные криптосредства отечественной разработки (Крипто Про CSP).
ПК «Блокхост-ЭЦП» выполняет функции создания, добавления, координирования и проверки ЭЦП, шифрования и расшифрования файла, управления сертификатами, настройками и лицензиями, универсальные операции создания ЭЦП и шифрования, расшифрования и проверки ЭЦП. Данные функции реализуются путем взаимодействия модулей специализированного программного обеспечения (СПО).
Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки и полученный в результате криптографического преобразования информации с использованием закрытого ключа. С помощью ЭЦП можно идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Для создания ЭЦП должен быть осуществлен выбор сертификата открытого ключа, требуемый алгоритм и параметры создания ЭЦП, такие как отделенная или совмещенная ЭЦП, добавление сертификата подписывающего лица в подпись, добавление времени создания ЭЦП по локальным часам, добавление штампа времени, создание усовершенствованной ЭЦП и выбор формата файла на выходе.
Процесс создания усовершенствованной ЭЦП делится на следующие этапы:
- — создание ЭЦП;
- — получение штампа времени на документ и ЭЦП;
- — сбор доказательств подлинности ЭЦП и присоединение их хэш-кодов к подписанному документу;
- — получение штампа времени на набор ссылок для доказательства подлинности.
Под добавленной ЭЦП понимается электронная цифровая подпись, заверяющая документ, который был заверен ЭЦП другого пользователя. Добавленная ЭЦП необходима для того, чтобы подписанный документ можно было отредактировать и заново подписать, подтвердив своей ЭЦП внесенные изменения.
Добавление подписи эквивалентно созданию, за тем лишь исключением, что тип добавляемой ЭЦП должен совпадать с типом подписей, содержащихся в файле. Добавление ЭЦП возможно лишь на подписанных ранее файлах.
Функция координирования ЭЦП позволяет формировать заверяющую ЭЦП. С помощью этого можно заверить ЭЦП другого пользователя, сформировав ЭЦП на значении ЭЦП другого пользователя, тем самым косвенно подписывая сами данные. Перед созданием заверяющей подписи производится проверка ЭЦП, чтобы было достоверно известно, какие подписи уже существуют в документе, их статус.
Координирование ЭЦП возможно лишь на подписанных ранее файлах.
Проверка ЭЦП подразумевает подтверждение подлинности электронной цифровой подписи в электронном документе, то есть:
- — принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи;
- — отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
- — подтверждение момента подписи;
- — подтверждение действительности сертификата ключа подписи на момент создания ЭЦП.
Проверка ЭЦП происходит в автоматическом режиме. Проверка усовершенствованной ЭЦП файла с отделенной подписью — проверка корректности самого файла подписи.
Шифрование производится на открытом ключе, содержащемся в сертификате. Закрытый ключ есть только у владельца использованного сертификата открытого ключа. Таким образом, при шифровании файла никто, кроме владельца закрытого ключа, не сможет расшифровать файл.
ПК «Блокхост-ЭЦП» может производить шифрование файла сразу для нескольких будущих получателей файла. Для каждого сертификата получателей пользователь может просмотреть статус, чтобы на его основании сделать вывод о пригодности данного сертификата к шифрованию. Так же, благодаря возможности гарантированного удаления файла после шифрования, есть возможность сохранения полной секретности содержимого документа. Необходимо заметить, что файл подкачки ОС Windows может хранить в себе остатки содержимого файла, но без знания примерного содержимого файла найти их не представляется возможным.
Операция расшифровывания происходит в автоматическом режиме. При получении зашифрованного документа, если есть закрытый ключ, связанный с одним из открытых ключей, на которых производилось шифрование файла, расшифровывание пройдет успешно. Если существуют несколько закрытых ключей, которым соответствуют несколько открытых ключей, участвующих при шифровании, то расшифровывание произойдет на первом из закрытых ключей. После расшифровывания можно получить информацию о том, на каком сертификате была произведена операция расшифровывания.
Программный комплекс предоставляет возможность создания ЭЦП и шифрования в одну операцию. Все действия, выполняемые при этом, аналогичны одиночным операциям создания ЭЦП и шифрования. Таким образом, соблюдается требование удобного интерфейса.
Функциональность проверки идентична отдельным проверкам — вначале расшифровывание, потом проверка ЭЦП. При этом можно просмотреть сертификат открытого ключа, на связанном с которым закрытом ключе файл был расшифрован, для проверки ЭЦП — все сертификаты подписи, их статусы.
ПК «Блокхост-ЭЦП» позволяет работать с системными хранилищами сертификатов. Существуют возможности копирования сертификатов, списков сертификации удостоверяющего центра и списков отзыва сертификатов с локального диска в хранилище сертификатов и обратно, удаления сертификатов, а также просмотра хранилища сертификатов
ПК «Блокхост-ЭЦП» предоставляет возможность создать настройки для всех типовых операций. Для каждой ситуации можно настроить профиль работы программы: выбрать криптопровайдер, сертификаты, тип криптографических алгоритмов, установить конкретных получателей данных. Благодаря настройкам возможна автоматизация всех операций — выполнение любой операции за один клик мыши.
Программный комплекс «Блокхост-ЭЦП» работает под управлением ОС Windows 2000/ХР/2003 на базе компьютера с процессором семейства Intel х86 (или совместимого с ним). Дополнительно на компьютере должны быть установлены программные продукты для реализации технологий NET, COM, ATL, MFC.
Ядром комплекса является графическая оболочка пользователя. Она выступает связующим звеном между всеми модулями.
Криптографический модуль GIS.Cryptography.dll обеспечивает реализацию создания и проверки ЭЦП, шифрования и расшифровывания, отправки и получения запросов по сети для получения штампов времени и OCSP-ответов, получение некоторой дополнительной информации о сертификатах, например, адреса OCSP служб, диалоги импорта и экспорта сертификатов.
Рис. 2.22. Функциональная схема программного комплекса «Блокхост-ЭЦП»
Модуль Crypto.dll позволяет создавать TSP и OCSP-запросы, которые отправляются соответствующим службам в сеть. Благодаря анализатору синтаксиса ASN.1, в нем реализована возможность создания усовершенстваванный ЭЦП (УЭЦП).
GIS.Extension.dll регистрируется в системе и встраивается в графическую оболочку ОС. Все вызовы графической оболочки происходят через данное расширение — в оболочку передаются параметры запуска и обрабатываемые файлы.
GISOfficeplugin.dll после встраивания в MS Office так же позволяет запускать графическую оболочку. Возможные параметры запуска — создание ЭЦП, шифрование и универсальная операция (создание ЭЦП и шифрование).
Функциональная схема программного комплекса «Блокхост- ЭЦП» представлена на рис. 2.22.
Средство защиты информации от несанкционированного доступа «блокхост-сеть к» система развертывания. руководство администратора безопасности – pdf free download
1 Средство защиты информации от несанкционированного доступа «Блокхост-сеть К» Система развертывания безопасности
2 Аннотация Настоящее руководство предназначено для администраторов средства защиты информации от несанкционированного доступа «Блокхост-сеть К» (далее по тексту СЗИ «Блокхост-сеть К») и содержит описание работы с системой развертывания СЗИ «Блокхост-сеть К». 2 Список сокращений SMS Systems Management Server АРМ автоматизированное рабочее место НСД несанкционированный доступ ОС операционная система ПК персональный компьютер ПО программное обеспечение СЗИ средство защиты информации СР система развертывания Знаки, расположенные на полях руководства, указывают на примечания. Степени важности примечаний: Важная информация Дополнительная информация, примеры
3 Содержание 3 1. Подготовка к установке системы развертывания СЗИ «Блокхост-сеть К» Установка и удаление системы развертывания СЗИ «Блокхост-сеть К» Установка агента системы развертывания GIS.BHAgent_K.msi Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Удаление системы развертывания Развертывание СЗИ «Блокхост-сеть К» Ввод лицензии Поиск машин в домене Опрос добавленных рабочих станций Добавление пользователей на рабочие станции Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Перезагрузка удаленных рабочих станций Проверка установки СЗИ «Блокхост-сеть К» Перезапуск служб Удаление СЗИ «Блокхост-сеть К» с защищаемых рабочих станций… 18
4 1. ПОДГОТОВКА К УСТАНОВКЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» позволяет выполнять удаленную установку клиентских частей СЗИ «Блокхост-сеть К» на рабочие станции с сервера безопасности. На сервера безопасности должна быть установлена ОС Windows Server 2003/2008R2. На сервере безопасности и на клиентских рабочих станциях, куда планируется удаленная установка СЗИ «Блокхост-сеть К, должны быть открыты TCP порты и соответственно. При установке клиентских частей СЗИ «Блокхост-сеть К» с помощью системы развертывания сервер безопасности (АРМ администратора безопасности) и удаленные рабочие станции, на которых будет выполняться установка клиентских частей СЗИ, должны находиться в контролируемой зоне. Перед установкой СР СЗИ «Блокхост-сеть К» необходимо: 1) установить клиентскую и серверную части СЗИ «Блокхост-сеть К» на сервер безопасности в соответствии с документами «СЗИ «Блокхост-сеть К» (клиентская часть). Руководство по установке» и «СЗИ «Блокхост-сеть К» (серверная часть). Руководство по установке». 2) добавить сервер безопасности в список контролируемых рабочих станций серверной консоли СЗИ. Для этого на сервере безопасности выполнить экспорт и импорт сетевых настроек в соответствии с пунктами 3.3.2, документа «СЗИ «Блокхост-сеть К». безопасности», после чего перезагрузить АРМ администратора безопасности. Примечание: Если СЗИ «Блокхост-сеть К» установлена на контроллер домена, то удаленные рабочие станции должны быть добавлены в сетевые пользователи сервера безопасности (см. подробно пункты 5.2.1, документа «СЗИ «Блокхост-сеть К». безопасности»); 3) установить дополнительное ПО на удаленные рабочие станций, куда планируется установка СЗИ «Блокхост-сеть К»:.Net Framework 2.0, драйверы для устройств etoken/safenet etoken/rutoken/jacarta PRO. Для ОС Windows 7/2008R2/8/8.1/2020/2020R2 при необходимости включить платформу Microsoft.NetFramework 3.5. Подробный перечень дополнительного ПО приведен в документе «СЗИ «Блокхост-сеть К». Руководство по инсталляции. Клиентская часть». 4) отключить брандмауэр Windows или другие сетевые экраны на защищаемых рабочих станциях В ОС Windows 8/8.1/ R2 необходимо отключить встроенный антивирус Windows Defender. 4
5 5 2. УСТАНОВКА И УДАЛЕНИЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» включает в себя два дистрибутива, поставляемых в виде файлов инсталлятора Microsoft Windows Installer: агент системы развертывания GIS.BHAgent_K.msi; консоль управления системы развертывания GIS.DeploymentConsole_K.msi Установка агента системы развертывания GIS.BHAgent_K.msi Агент системы развертывания осуществляет взаимодействие между сервером администратора безопасности и удаленной рабочей станцией. Агент системы развертывания GIS.BHAgent_K.msi устанавливается на удаленных рабочих станциях, куда планируется установить СЗИ «Блокхост-сеть К». Агент системы развертывания может быть установлен различными способами: вручную на удаленной рабочей станции; с использованием Active Directory; с использованием SMS; с использованием других программных средств, позволяющих устанавливать файлы с расширением.msi (например, антивирус Касперского и др). Примечание: перед началом установки необходимо убедиться в отсутствии на удаленных рабочих станциях папки С:BlockHost. Далее приведена последовательность ручной установки агента системы развертывания GIS.BHAgent_K.msi на удаленной рабочей станции. Для установки агента системы развертывания необходимо дважды щелкнуть по файлу GIS.BHAgent_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку агента системы развертывания. Если установка прошла корректно, в списке служб удаленной рабочей станции появится служба GIS.Update.Service (рис. 2.1). Рис Появление службы GIS.Update.Service после установки
6 2.2. Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Консоль управления системы развертывания GIS.DeploymentConsole_K.msi позволяет управлять процессом развертывания СЗИ «Блокхост-сеть К» в сети и устанавливается на сервер безопасности, на котором уже установлены клиентская и серверная части СЗИ «Блокхост-сеть К». Перед началом установки консоли управления системы развертывания необходимо загрузить ОС под встроенной учетной записью администратора ОС (домена) с предъявлением персонального идентификатора АБ, указанного при установке клиентской и серверной частей СЗИ «Блокхост-сеть К». Для начала установки консоли управления системы развертывания необходимо дважды щелкнуть по файлу GIS.DeploymentConsole_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку консоли управления системы развертывания. Консоль управления можно запустить через пункт меню «Пуск» «GIS.UpdateConsole.exe». Далее можно приступить к развертыванию СЗИ «Блокхост-сеть К» на удаленных рабочих станциях Удаление системы развертывания При необходимости удалить систему развертывания это можно сделать следующим образом: 1) для удаления агента системы развертывания в списке установленных программ удаленной рабочей станции выбрать GIS.BHAgent и нажать «Удалить»; 2) для удаления консоли управления системы развертывания в списке установленных программ сервера безопасности выбрать GIS.DeploymentConsole и нажать «Удалить».
7 7 3. РАЗВЕРТЫВАНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» Для запуска консоли управления СР СЗИ «Блокхост-сеть К» необходимо выбрать в меню «Пуск» пункт «Все программы» «GIS.UpdateConsole.exe» (рис. 3.1). Рис Запуск консоли управления СР СЗИ «Блокхост-сеть К» из меню «Пуск» Консоль управления системы управления имеет вид, приведенный на рисунке 3.2. По щелчку левой кнопки мыши по пункту «Корень» отображаются поля, содержащие информацию о сетевых настройках, необходимых для подключения удаленных рабочих станций к серверной консоли СЗИ «Блокхост-сеть К». Изменять сетевые настройки не следует. В нижнем правом поле отображаются информационные сообщения в процессе развертывании СЗИ «Блокхост-сеть К», удалить их можно, нажав кнопку «Очистить». Рис Консоль управления системы развертывания СЗИ «Блокхост-сеть К» Развертывание СЗИ «Блокхост-сеть К» состоит из следующих шагов: 1. Ввод лицензии; 2. Поиск машин в домене; 3. Опрос рабочих станций; 4. Добавление пользователей на рабочие станции; 5. Удаленная установка; 6. Перезагрузка защищаемых рабочих станций; 7. Проверка установки; 8. Перезапуск служб.
8 Данные шаги доступны из контекстного меню пункта «Корень» (рис. 3.3). Добавление пользователей на рабочие станции доступно после выполнения пункта «Опрос рабочих станций». 8 Рис Контекстное меню пункта «Корень» Не рекомендуется закрывать консоль управления до завершения настройки в рамках одной сессии развертывания. В противном случае необходимо будет повторить шаги настройки, начиная с 3 шага Ввод лицензии При выборе пункта контекстного меню «Ввести код лицензии» (рис. 3.3) появится окно ввода лицензий (рис. 3.4). Рис Окно ввода лицензии По умолчанию введенные лицензии применятся ко всем рабочим станциям, на которые будет удаленно устанавливаться СЗИ «Блокхост-сеть К» в рамках данной сессии развертывания. После ввода локальной и сетевой лицензий необходимо нажать «ОК». Появится сообщение об успешном сохранении лицензионного кода (рис. 3.5). Рис Сообщение об успешном сохранении лицензионного кода
9 3.2. Поиск машин в домене 9 Далее необходимо определить рабочие станции, на которые в рамках данной сессии развертывания будет удаленно установлено СЗИ «Блокхост-сеть К». Для этого в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Поиск машин в домене». Появится окно со списком доменов, в котором нужно выбрать полное имя домена, на рабочие станции которого будет производиться установка, и нажать «ОК» (в примере на рисунке 3.6 «TEST.BH»). Рис Выбор домена После выбора домена появится окно доменной аутентификации (рис. 3.7), в котором необходимо ввести данные любого доменного пользователя (в частности администратора домена) и нажать «ОК». Рис Окно доменной аутентификации пользователя После аутентификации в домене появится окно «Поиск в домене». В нем следует выбрать контейнер (в примере на рисунке «Computers»), содержащий контролируемые рабочие станции, при помощи кнопок управления (, ) добавить необходимые рабочие станции и нажать кнопку «ОК».
10 10 Рис Окно «Поиск в домене» с выбранным пунктом «Computers» Добавленные станции отобразятся во вкладке «Корень» (рис. 3.9) и будут отмечены красным цветом (т.е. настройки с этих рабочих станций не получены). Рис Добавленные из домена рабочие станции В рамках одной сессии развертывания рекомендуется добавлять не более 20 рабочих станций Опрос добавленных рабочих станций Далее необходимо получить настройки с добавленных рабочих станций, которые предоставит ранее установленный на удаленных машинах агент системы развертывания GIS.BHAgent_K.msi. Для получения настроек в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Опросить станции». После получения настроек рабочие станции в списке изменят значок с красного на синий, а в правом нижнем углу консоли управления отобразится сообщение об успешной загрузке данных с рабочих станций (рис. 3.10). Удаленная рабочая станция должна быть включена в этот момент.
11 11 Рис Получение настроек с рабочих станций Если цвет значка не изменился на синий, возможна одна из следующих причин: на удаленных рабочих станциях не доступен TCP порт; на удаленных рабочих станциях включен брандмауэр Windows или другой сетевой экран; DNS не работоспособна; между удаленными рабочими станциями и сервером безопасности отсутствует соединение по сети; удаленная рабочая станция выключена; на удаленной рабочей станции не запущена служба GIS.Update.Service; в поле «Домен» выбрано короткое имя домена Добавление пользователей на рабочие станции Следующим шагом является добавление доменного пользователя на удаленную рабочую станцию, чтобы на нее можно было осуществить вход после установки СЗИ «Блокхост-сеть К». Следует добавить пользователя, который в дальнейшем будет работать за выбранным удаленным компьютером. Также на удаленную рабочую станцию рекомендуется добавить учетную запись встроенного в ОС администратора (она появится автоматически в выпадающем списке) (рис. 3.14). Это необходимо сделать, чтобы можно было войти на удаленную рабочую станцию, например, в случае утери пользователем своего персонального идентификатора. Для каждой рабочей станции из списка процедура добавления повторяется заново. Для добавления на выбранную рабочую станцию учетной записи пользователя и встроенного администратора следует: 1) подключить к серверу безопасности персональный идентификатор, который будет сопоставлен добавляемому пользователю. На этом же шаге следует подключить к серверу безопасности электронный идентификатор, который будет сопоставлен встроенному администратору (рекомендуется использовать флешку); 2) в консоли управления СР выбрать пункт «Корень <Имя_Рабочей_Станции> Пользователи», щелкнуть по нему правой кнопкой мыши и выбрать пункт «Добавить».
12 12 Появится окно доменной аутентификации с сохраненными данными, в нем нужно нажать «ОК» (рис. 3.11). Рис Окно доменной аутентификации с сохраненными данными 3) в появившемся окне «Поиск в домене» следует выбрать контейнер, содержащий необходимую учетную запись доменного пользователя (в примере на рисунке 3.12 «Users»), при помощи кнопок управления (, ) добавить ее и нажать кнопку «ОК»; Рис Окно «Поиск в домене» с выбранным пунктом «Users» 4) в появившемся окне «Добавить пользователя» (рис. 3.13) следует указать учетную запись доменного пользователя, выбрать в списке персональный идентификатор пользователя, ввести его PIN-код и повтор PIN-кода и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления системы развертывания. Указанный носитель впоследствии должен быть передан пользователю.
13 13 Рис Добавление учетной записи пользователя удаленной рабочей станции 5) добавить в СЗИ учетную запись встроенного в ОС администратора удаленной рабочей станции. Для этого в окне «Добавить пользователя» (рис. 3.14) следует выбрать учетную запись встроенного администратора (она появляется в выпадающем списке автоматически), выбрать персональный идентификатор администратора, который был подключен ранее, (см. перечисление 1), ввести PIN-код идентификатора, повторить PIN-код и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления. После этого окно «Добавить пользователя» можно закрыть. Рис Добавление учетной записи встроенного в ОС администратора удаленной рабочей станции
14 1. Добавление учетных записей пользователя и встроенного в ОС администратора необходимо выполнить отдельно для каждой удаленной рабочей станции. 2. Для удобства работы учетные записи встроенных в ОС администраторов на различных рабочих станциях могут быть созданы с использованием одной и той же флешки Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Следующим шагом является удаленная установка СЗИ клиентской части СЗИ «Блокхост-сеть К» на удаленные рабочие станции. Для установки в контекстном меню пункта «Корень» (рис. 3.3) следует выбрать пункт «Произвести установку». При необходимости следует подтвердить введенные ранее коды, нажав кнопку «Сохранить». Введенные лицензии можно изменить, после чего также следует нажать «Сохранить». Начнется процесс удаленной установки СЗИ. Удаленная установка будет произведена одновременно на все добавленные в консоль управления рабочие станции с указанной ранее лицензией (см. п. 3.1 настоящего документа). Если для каких-либо рабочих станций лицензионные данные нужно изменить, перед началом установки следует выбрать пункт «Корень <Имя_Рабочей_Станции>. В консоли управления СР отобразятся добавленные лицензии (рис. 3.15), в которые следует внести необходимые изменения и нажать кнопку «Сохранить». Рис Данные лицензии для рабочей станции После выбора пункта «Произвести установку» начнется установка СЗИ на рабочие станции. Для пользователей, работающих в данный момент на удаленных рабочих станциях, установка пройдет незаметно, без появления каких-либо окон или сообщений. После завершения установки в консоли управления появится соответствующее сообщение (рис. 3.16):
15 15 Рис Сообщение об успешном завершении установки 3.6. Перезагрузка удаленных рабочих станций После установки СЗИ «Блокхост-сеть К» удаленные рабочие станции необходимо перезагрузить. Перезагрузку можно выполнить следующими способами: 1) перзагрузить все рабочие станции одновременно. Для этого нужно выбрать в контекстном меню пункта «Корень» (рис. 3.3) пункт «Перезагрузить станции»; 2) перезагрузить выбранную рабочую станцию. Для этого нужно выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и в контекстном меню нажать «Перезагрузить» (рис. 3.17). Рис Перезагрузка выбранной рабочей станции После перезагрузки ОС на удаленной рабочей станции появится окно авторизации СЗИ «Блокхост-сеть К». Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС появится окно авторизации СЗИ «Блокхост-сеть К» Проверка установки СЗИ «Блокхост-сеть К» При необходимости можно проверить установку клиентской части СЗИ «Блокхост-сеть К» на удаленной рабочей станции, для этого нужно воспользоваться пунктом «Проверить установку» в контекстном меню пункта «Корень» (рис. 3.18). Результаты проверки отобразятся в правом нижнем углу консоли управления (рис. 3.18).
16 Перезапуск служб Рис Проверка установки СЗИ «Блокхост-сеть К» Последним шагом является выполнение пункта «Перезапустить службы» из контекстного меню пункта «Корень» (рис. 3.3). При выборе этого пункта на сервере безопасности произойдет перезапуск службы и GIS.Server.NetworkServer.exe. Этот пункт желательно выполнить уже после того, как пользователь (или встроенный в ОС администратор) войдет на удаленную рабочую станцию после установки на нее СЗИ, в этом случае контролируемые рабочие станции отобразятся в серверной конcоли администрирования СЗИ как доступные для удаленного администрирования (со значком ). Далее управление данными рабочими станциями должно осуществляться администратором безопасности с использованием серверной консоли администрирования СЗИ. Если рабочие станции не отобразились как доступные по сети, можно перезапустить вышеуказанную службу на сервере безопасности вручную. После окончания данной сессии развертывания СЗИ «Блокхост-сеть К» можно приступать к развертыванию СЗИ на другие рабочие станций. Предварительно добавленные в консоль управления рабочие станции нужно удалить. Это можно сделать, щелкнув по ним правой кнопкой мыши и в контекстном меню выбрать соответсвующий пункт «Удалить». Рис Удаление рабочих станций из консоли управления СР Далее при необходимости можно начать новую сессию развертывания СЗИ, выполнив действия, описанные в подразделах настоящего документа, для других рабочих станций домена.
17 17 После установки СЗИ через систему развертывания на клиентских рабочих станциях включен мягкий режим. Выключить мягкий режим на клиентских рабочих станциях можно централизованно из серверной консоли администрирования СЗИ, для чего: 1) в серверной консоли администрирования выбрать пункт «Рабочие станции <Имя_Машины> Настройки машины Система»; 2) в области настроек отключить механизм мягкого режима, сняв галочку с пункта «Мягкий режим»; 3) сохранить произведенные настройки с помощью пункта меню «Файл Сохранить настройки для текущей машины» для выбранной рабочей станции (либо с помощью пункта «Файл Сохранить все настройки» для всех рабочих станций).
18 18 4. УДАЛЕНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» С ЗАЩИЩАЕМЫХ РАБОЧИХ СТАНЦИЙ Если необходимо удалить СЗИ «Блокхост-сеть К» с защищаемой рабочей станции, через консоль управления СР это можно сделать следующим образом: в консоли управления выбрать пункт «Корень <Имя_Рабочей_Станции>; щелкнуть по нему правой кнопкой мыши и в контекстном меню (рис. 3.18) выбрать «Удалить СЗИ Блокхост». СЗИ «Блокхост-сеть К» будет удалена с выбранной рабочей станции и в консоли управления СР появится соответствующее сообщение (рис. 4.1). После этого удаленную рабочую станцию необходимо перезагрузить. Для этого в консоли управления СР следует выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и выбрать «Перезагрузить» (рис. 3.18). Рис Сообщение об успешном удалении СЗИ «Блокхост-сеть К» 1. Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС процесс удаления СЗИ «Блокхост-сеть К» будет завершен. 2. При удалении СЗИ «Блокхост-сеть К» через консоль управления СР с удаленных рабочих станций под управлением они не должны быть заблокированы.
