Средство защиты информации от несанкционированного доступа «Блокхост-сеть К» Система развертывания. Руководство администратора безопасности – PDF Free Download

1 Средство защиты информации от несанкционированного доступа «Блокхост-сеть К» Система развертывания безопасности

2 Аннотация Настоящее руководство предназначено для администраторов средства защиты информации от несанкционированного доступа «Блокхост-сеть К» (далее по тексту СЗИ «Блокхост-сеть К») и содержит описание работы с системой развертывания СЗИ «Блокхост-сеть К». 2 Список сокращений SMS Systems Management Server АРМ автоматизированное рабочее место НСД несанкционированный доступ ОС операционная система ПК персональный компьютер ПО программное обеспечение СЗИ средство защиты информации СР система развертывания Знаки, расположенные на полях руководства, указывают на примечания. Степени важности примечаний: Важная информация Дополнительная информация, примеры

3 Содержание 3 1. Подготовка к установке системы развертывания СЗИ «Блокхост-сеть К» Установка и удаление системы развертывания СЗИ «Блокхост-сеть К» Установка агента системы развертывания GIS.BHAgent_K.msi Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Удаление системы развертывания Развертывание СЗИ «Блокхост-сеть К» Ввод лицензии Поиск машин в домене Опрос добавленных рабочих станций Добавление пользователей на рабочие станции Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Перезагрузка удаленных рабочих станций Проверка установки СЗИ «Блокхост-сеть К» Перезапуск служб Удаление СЗИ «Блокхост-сеть К» с защищаемых рабочих станций… 18

4 1. ПОДГОТОВКА К УСТАНОВКЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» позволяет выполнять удаленную установку клиентских частей СЗИ «Блокхост-сеть К» на рабочие станции с сервера безопасности. На сервера безопасности должна быть установлена ОС Windows Server 2003/2008R2. На сервере безопасности и на клиентских рабочих станциях, куда планируется удаленная установка СЗИ «Блокхост-сеть К, должны быть открыты TCP порты и соответственно. При установке клиентских частей СЗИ «Блокхост-сеть К» с помощью системы развертывания сервер безопасности (АРМ администратора безопасности) и удаленные рабочие станции, на которых будет выполняться установка клиентских частей СЗИ, должны находиться в контролируемой зоне. Перед установкой СР СЗИ «Блокхост-сеть К» необходимо: 1) установить клиентскую и серверную части СЗИ «Блокхост-сеть К» на сервер безопасности в соответствии с документами «СЗИ «Блокхост-сеть К» (клиентская часть). Руководство по установке» и «СЗИ «Блокхост-сеть К» (серверная часть). Руководство по установке». 2) добавить сервер безопасности в список контролируемых рабочих станций серверной консоли СЗИ. Для этого на сервере безопасности выполнить экспорт и импорт сетевых настроек в соответствии с пунктами 3.3.2, документа «СЗИ «Блокхост-сеть К». безопасности», после чего перезагрузить АРМ администратора безопасности. Примечание: Если СЗИ «Блокхост-сеть К» установлена на контроллер домена, то удаленные рабочие станции должны быть добавлены в сетевые пользователи сервера безопасности (см. подробно пункты 5.2.1, документа «СЗИ «Блокхост-сеть К». безопасности»); 3) установить дополнительное ПО на удаленные рабочие станций, куда планируется установка СЗИ «Блокхост-сеть К»:.Net Framework 2.0, драйверы для устройств etoken/safenet etoken/rutoken/jacarta PRO. Для ОС Windows 7/2008R2/8/8.1/2021/2021R2 при необходимости включить платформу Microsoft.NetFramework 3.5. Подробный перечень дополнительного ПО приведен в документе «СЗИ «Блокхост-сеть К». Руководство по инсталляции. Клиентская часть». 4) отключить брандмауэр Windows или другие сетевые экраны на защищаемых рабочих станциях В ОС Windows 8/8.1/ R2 необходимо отключить встроенный антивирус Windows Defender. 4

5 5 2. УСТАНОВКА И УДАЛЕНИЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» включает в себя два дистрибутива, поставляемых в виде файлов инсталлятора Microsoft Windows Installer: агент системы развертывания GIS.BHAgent_K.msi; консоль управления системы развертывания GIS.DeploymentConsole_K.msi Установка агента системы развертывания GIS.BHAgent_K.msi Агент системы развертывания осуществляет взаимодействие между сервером администратора безопасности и удаленной рабочей станцией. Агент системы развертывания GIS.BHAgent_K.msi устанавливается на удаленных рабочих станциях, куда планируется установить СЗИ «Блокхост-сеть К». Агент системы развертывания может быть установлен различными способами: вручную на удаленной рабочей станции; с использованием Active Directory; с использованием SMS; с использованием других программных средств, позволяющих устанавливать файлы с расширением.msi (например, антивирус Касперского и др). Примечание: перед началом установки необходимо убедиться в отсутствии на удаленных рабочих станциях папки С:BlockHost. Далее приведена последовательность ручной установки агента системы развертывания GIS.BHAgent_K.msi на удаленной рабочей станции. Для установки агента системы развертывания необходимо дважды щелкнуть по файлу GIS.BHAgent_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку агента системы развертывания. Если установка прошла корректно, в списке служб удаленной рабочей станции появится служба GIS.Update.Service (рис. 2.1). Рис Появление службы GIS.Update.Service после установки

6 2.2. Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Консоль управления системы развертывания GIS.DeploymentConsole_K.msi позволяет управлять процессом развертывания СЗИ «Блокхост-сеть К» в сети и устанавливается на сервер безопасности, на котором уже установлены клиентская и серверная части СЗИ «Блокхост-сеть К». Перед началом установки консоли управления системы развертывания необходимо загрузить ОС под встроенной учетной записью администратора ОС (домена) с предъявлением персонального идентификатора АБ, указанного при установке клиентской и серверной частей СЗИ «Блокхост-сеть К». Для начала установки консоли управления системы развертывания необходимо дважды щелкнуть по файлу GIS.DeploymentConsole_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку консоли управления системы развертывания. Консоль управления можно запустить через пункт меню «Пуск» «GIS.UpdateConsole.exe». Далее можно приступить к развертыванию СЗИ «Блокхост-сеть К» на удаленных рабочих станциях Удаление системы развертывания При необходимости удалить систему развертывания это можно сделать следующим образом: 1) для удаления агента системы развертывания в списке установленных программ удаленной рабочей станции выбрать GIS.BHAgent и нажать «Удалить»; 2) для удаления консоли управления системы развертывания в списке установленных программ сервера безопасности выбрать GIS.DeploymentConsole и нажать «Удалить».

7 7 3. РАЗВЕРТЫВАНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» Для запуска консоли управления СР СЗИ «Блокхост-сеть К» необходимо выбрать в меню «Пуск» пункт «Все программы» «GIS.UpdateConsole.exe» (рис. 3.1). Рис Запуск консоли управления СР СЗИ «Блокхост-сеть К» из меню «Пуск» Консоль управления системы управления имеет вид, приведенный на рисунке 3.2. По щелчку левой кнопки мыши по пункту «Корень» отображаются поля, содержащие информацию о сетевых настройках, необходимых для подключения удаленных рабочих станций к серверной консоли СЗИ «Блокхост-сеть К». Изменять сетевые настройки не следует. В нижнем правом поле отображаются информационные сообщения в процессе развертывании СЗИ «Блокхост-сеть К», удалить их можно, нажав кнопку «Очистить». Рис Консоль управления системы развертывания СЗИ «Блокхост-сеть К» Развертывание СЗИ «Блокхост-сеть К» состоит из следующих шагов: 1. Ввод лицензии; 2. Поиск машин в домене; 3. Опрос рабочих станций; 4. Добавление пользователей на рабочие станции; 5. Удаленная установка; 6. Перезагрузка защищаемых рабочих станций; 7. Проверка установки; 8. Перезапуск служб.

8 Данные шаги доступны из контекстного меню пункта «Корень» (рис. 3.3). Добавление пользователей на рабочие станции доступно после выполнения пункта «Опрос рабочих станций». 8 Рис Контекстное меню пункта «Корень» Не рекомендуется закрывать консоль управления до завершения настройки в рамках одной сессии развертывания. В противном случае необходимо будет повторить шаги настройки, начиная с 3 шага Ввод лицензии При выборе пункта контекстного меню «Ввести код лицензии» (рис. 3.3) появится окно ввода лицензий (рис. 3.4). Рис Окно ввода лицензии По умолчанию введенные лицензии применятся ко всем рабочим станциям, на которые будет удаленно устанавливаться СЗИ «Блокхост-сеть К» в рамках данной сессии развертывания. После ввода локальной и сетевой лицензий необходимо нажать «ОК». Появится сообщение об успешном сохранении лицензионного кода (рис. 3.5). Рис Сообщение об успешном сохранении лицензионного кода

9 3.2. Поиск машин в домене 9 Далее необходимо определить рабочие станции, на которые в рамках данной сессии развертывания будет удаленно установлено СЗИ «Блокхост-сеть К». Для этого в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Поиск машин в домене». Появится окно со списком доменов, в котором нужно выбрать полное имя домена, на рабочие станции которого будет производиться установка, и нажать «ОК» (в примере на рисунке 3.6 «TEST.BH»). Рис Выбор домена После выбора домена появится окно доменной аутентификации (рис. 3.7), в котором необходимо ввести данные любого доменного пользователя (в частности администратора домена) и нажать «ОК». Рис Окно доменной аутентификации пользователя После аутентификации в домене появится окно «Поиск в домене». В нем следует выбрать контейнер (в примере на рисунке «Computers»), содержащий контролируемые рабочие станции, при помощи кнопок управления (, ) добавить необходимые рабочие станции и нажать кнопку «ОК».

10 10 Рис Окно «Поиск в домене» с выбранным пунктом «Computers» Добавленные станции отобразятся во вкладке «Корень» (рис. 3.9) и будут отмечены красным цветом (т.е. настройки с этих рабочих станций не получены). Рис Добавленные из домена рабочие станции В рамках одной сессии развертывания рекомендуется добавлять не более 20 рабочих станций Опрос добавленных рабочих станций Далее необходимо получить настройки с добавленных рабочих станций, которые предоставит ранее установленный на удаленных машинах агент системы развертывания GIS.BHAgent_K.msi. Для получения настроек в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Опросить станции». После получения настроек рабочие станции в списке изменят значок с красного на синий, а в правом нижнем углу консоли управления отобразится сообщение об успешной загрузке данных с рабочих станций (рис. 3.10). Удаленная рабочая станция должна быть включена в этот момент.

11 11 Рис Получение настроек с рабочих станций Если цвет значка не изменился на синий, возможна одна из следующих причин: на удаленных рабочих станциях не доступен TCP порт; на удаленных рабочих станциях включен брандмауэр Windows или другой сетевой экран; DNS не работоспособна; между удаленными рабочими станциями и сервером безопасности отсутствует соединение по сети; удаленная рабочая станция выключена; на удаленной рабочей станции не запущена служба GIS.Update.Service; в поле «Домен» выбрано короткое имя домена Добавление пользователей на рабочие станции Следующим шагом является добавление доменного пользователя на удаленную рабочую станцию, чтобы на нее можно было осуществить вход после установки СЗИ «Блокхост-сеть К». Следует добавить пользователя, который в дальнейшем будет работать за выбранным удаленным компьютером. Также на удаленную рабочую станцию рекомендуется добавить учетную запись встроенного в ОС администратора (она появится автоматически в выпадающем списке) (рис. 3.14). Это необходимо сделать, чтобы можно было войти на удаленную рабочую станцию, например, в случае утери пользователем своего персонального идентификатора. Для каждой рабочей станции из списка процедура добавления повторяется заново. Для добавления на выбранную рабочую станцию учетной записи пользователя и встроенного администратора следует: 1) подключить к серверу безопасности персональный идентификатор, который будет сопоставлен добавляемому пользователю. На этом же шаге следует подключить к серверу безопасности электронный идентификатор, который будет сопоставлен встроенному администратору (рекомендуется использовать флешку); 2) в консоли управления СР выбрать пункт «Корень <Имя_Рабочей_Станции> Пользователи», щелкнуть по нему правой кнопкой мыши и выбрать пункт «Добавить».

12 12 Появится окно доменной аутентификации с сохраненными данными, в нем нужно нажать «ОК» (рис. 3.11). Рис Окно доменной аутентификации с сохраненными данными 3) в появившемся окне «Поиск в домене» следует выбрать контейнер, содержащий необходимую учетную запись доменного пользователя (в примере на рисунке 3.12 «Users»), при помощи кнопок управления (, ) добавить ее и нажать кнопку «ОК»; Рис Окно «Поиск в домене» с выбранным пунктом «Users» 4) в появившемся окне «Добавить пользователя» (рис. 3.13) следует указать учетную запись доменного пользователя, выбрать в списке персональный идентификатор пользователя, ввести его PIN-код и повтор PIN-кода и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления системы развертывания. Указанный носитель впоследствии должен быть передан пользователю.

13 13 Рис Добавление учетной записи пользователя удаленной рабочей станции 5) добавить в СЗИ учетную запись встроенного в ОС администратора удаленной рабочей станции. Для этого в окне «Добавить пользователя» (рис. 3.14) следует выбрать учетную запись встроенного администратора (она появляется в выпадающем списке автоматически), выбрать персональный идентификатор администратора, который был подключен ранее, (см. перечисление 1), ввести PIN-код идентификатора, повторить PIN-код и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления. После этого окно «Добавить пользователя» можно закрыть. Рис Добавление учетной записи встроенного в ОС администратора удаленной рабочей станции

14 1. Добавление учетных записей пользователя и встроенного в ОС администратора необходимо выполнить отдельно для каждой удаленной рабочей станции. 2. Для удобства работы учетные записи встроенных в ОС администраторов на различных рабочих станциях могут быть созданы с использованием одной и той же флешки Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Следующим шагом является удаленная установка СЗИ клиентской части СЗИ «Блокхост-сеть К» на удаленные рабочие станции. Для установки в контекстном меню пункта «Корень» (рис. 3.3) следует выбрать пункт «Произвести установку». При необходимости следует подтвердить введенные ранее коды, нажав кнопку «Сохранить». Введенные лицензии можно изменить, после чего также следует нажать «Сохранить». Начнется процесс удаленной установки СЗИ. Удаленная установка будет произведена одновременно на все добавленные в консоль управления рабочие станции с указанной ранее лицензией (см. п. 3.1 настоящего документа). Если для каких-либо рабочих станций лицензионные данные нужно изменить, перед началом установки следует выбрать пункт «Корень <Имя_Рабочей_Станции>. В консоли управления СР отобразятся добавленные лицензии (рис. 3.15), в которые следует внести необходимые изменения и нажать кнопку «Сохранить». Рис Данные лицензии для рабочей станции После выбора пункта «Произвести установку» начнется установка СЗИ на рабочие станции. Для пользователей, работающих в данный момент на удаленных рабочих станциях, установка пройдет незаметно, без появления каких-либо окон или сообщений. После завершения установки в консоли управления появится соответствующее сообщение (рис. 3.16):

15 15 Рис Сообщение об успешном завершении установки 3.6. Перезагрузка удаленных рабочих станций После установки СЗИ «Блокхост-сеть К» удаленные рабочие станции необходимо перезагрузить. Перезагрузку можно выполнить следующими способами: 1) перзагрузить все рабочие станции одновременно. Для этого нужно выбрать в контекстном меню пункта «Корень» (рис. 3.3) пункт «Перезагрузить станции»; 2) перезагрузить выбранную рабочую станцию. Для этого нужно выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и в контекстном меню нажать «Перезагрузить» (рис. 3.17). Рис Перезагрузка выбранной рабочей станции После перезагрузки ОС на удаленной рабочей станции появится окно авторизации СЗИ «Блокхост-сеть К». Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС появится окно авторизации СЗИ «Блокхост-сеть К» Проверка установки СЗИ «Блокхост-сеть К» При необходимости можно проверить установку клиентской части СЗИ «Блокхост-сеть К» на удаленной рабочей станции, для этого нужно воспользоваться пунктом «Проверить установку» в контекстном меню пункта «Корень» (рис. 3.18). Результаты проверки отобразятся в правом нижнем углу консоли управления (рис. 3.18).

16 Перезапуск служб Рис Проверка установки СЗИ «Блокхост-сеть К» Последним шагом является выполнение пункта «Перезапустить службы» из контекстного меню пункта «Корень» (рис. 3.3). При выборе этого пункта на сервере безопасности произойдет перезапуск службы и GIS.Server.NetworkServer.exe. Этот пункт желательно выполнить уже после того, как пользователь (или встроенный в ОС администратор) войдет на удаленную рабочую станцию после установки на нее СЗИ, в этом случае контролируемые рабочие станции отобразятся в серверной конcоли администрирования СЗИ как доступные для удаленного администрирования (со значком ). Далее управление данными рабочими станциями должно осуществляться администратором безопасности с использованием серверной консоли администрирования СЗИ. Если рабочие станции не отобразились как доступные по сети, можно перезапустить вышеуказанную службу на сервере безопасности вручную. После окончания данной сессии развертывания СЗИ «Блокхост-сеть К» можно приступать к развертыванию СЗИ на другие рабочие станций. Предварительно добавленные в консоль управления рабочие станции нужно удалить. Это можно сделать, щелкнув по ним правой кнопкой мыши и в контекстном меню выбрать соответсвующий пункт «Удалить». Рис Удаление рабочих станций из консоли управления СР Далее при необходимости можно начать новую сессию развертывания СЗИ, выполнив действия, описанные в подразделах настоящего документа, для других рабочих станций домена.

17 17 После установки СЗИ через систему развертывания на клиентских рабочих станциях включен мягкий режим. Выключить мягкий режим на клиентских рабочих станциях можно централизованно из серверной консоли администрирования СЗИ, для чего: 1) в серверной консоли администрирования выбрать пункт «Рабочие станции <Имя_Машины> Настройки машины Система»; 2) в области настроек отключить механизм мягкого режима, сняв галочку с пункта «Мягкий режим»; 3) сохранить произведенные настройки с помощью пункта меню «Файл Сохранить настройки для текущей машины» для выбранной рабочей станции (либо с помощью пункта «Файл Сохранить все настройки» для всех рабочих станций).

18 18 4. УДАЛЕНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» С ЗАЩИЩАЕМЫХ РАБОЧИХ СТАНЦИЙ Если необходимо удалить СЗИ «Блокхост-сеть К» с защищаемой рабочей станции, через консоль управления СР это можно сделать следующим образом: в консоли управления выбрать пункт «Корень <Имя_Рабочей_Станции>; щелкнуть по нему правой кнопкой мыши и в контекстном меню (рис. 3.18) выбрать «Удалить СЗИ Блокхост». СЗИ «Блокхост-сеть К» будет удалена с выбранной рабочей станции и в консоли управления СР появится соответствующее сообщение (рис. 4.1). После этого удаленную рабочую станцию необходимо перезагрузить. Для этого в консоли управления СР следует выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и выбрать «Перезагрузить» (рис. 3.18). Рис Сообщение об успешном удалении СЗИ «Блокхост-сеть К» 1. Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС процесс удаления СЗИ «Блокхост-сеть К» будет завершен. 2. При удалении СЗИ «Блокхост-сеть К» через консоль управления СР с удаленных рабочих станций под управлением они не должны быть заблокированы.