Средство защиты информации от несанкционированного доступа «Блокхост-сеть К» Система развертывания. Руководство администратора безопасности – PDF Free Download

Введение

Защита рабочих станций и серверов от несанкционированного доступа (НСД) является базисом при обеспечении информационной безопасности инфраструктуры компании. Угрозы НСД ведут к утечкам конфиденциальных данных и утрате их целостности, что в свою очередь приводит к целому ряду негативных последствий для организации: от репутационного ущерба и финансовых потерь до приостановки бизнес-процессов.

Кроме того, если компания работает с информацией ограниченного доступа, например с  персональными данными или гостайной, то неизбежно сталкивается с многочисленными требованиями ФСТЭК России и ФСБ России. Например, ФСТЭК России включает требования к защите рабочих станций и серверов в обязательные для исполнения в приказы:

№21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Невыполнение этих требований приводит к нежелательным санкциям: это могут быть как значительные штрафы, так и полная остановка деятельности компании по требованию регулятора.

Для защиты серверов и рабочих станций по требованию регуляторов используются специализированные наложенные средства защиты информации (сокращенно СЗИ от НСД). Сегодня на российском рынке информационной безопасности представлено большое количество СЗИ от НСД.

На нашем сайте уже публиковался «Обзор сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)». В этом обзоре мы расскажем о подробно о продукте в линейке средств защиты информации компании «Газинформсервис» — «Блокхост-Сеть 2.0».

Ошибки при установке Блокхост-Cеть

В процессе установки серверной части Блокхоста возникает Ошибка вызова AddPrinter:3001
на ОС Windows Server 2008 R2 x64, версия БХ – 2.2.16.1038

Проблемы со входом в систему после установки Блокхост-Сеть


После разблокировки рабочей станции Блокхост не видит аппаратный
носитель, при вводе пароля выдает ошибку, что пароль неверный. После
перезагрузки, иногда неоднократной, все приходит в норму

  1. Самое простое решение – вынуть и вставить обратно носитель, подождать
    20-30 секунд и попробовать повторно разблокировать станцию.
  2. В подобных случаях помогает запрет настройки Параметр временного
    отключения USB-порта
    в настройках схемы электропитания компьютера:

Не конкретно к этому случаю, при проблемах разблокировки рабочей станции из
спящего режима также установите запрет на отключение жесткого диска в
спящем режиме – поможет избежать множества проблем.

Сложности входа на рабочую станцию с медленных компьютеров


После появления приглашения ctrl alt delete ждем 30-60 секунд (дожидаемся
загрузки служб Блокхоста) и пытаемся авторизоваться.

Ошибка при входе с eToken:
предъявленный ключевой носитель заблокирован на доступ пользователя
к данной рабочей станции»

Попробуйте разблокировать:


Еще похожая ошибка:

При входе в систему зависает на экране “Добро пожаловать”, после 1-2 перезагрузок приходит в норму.

Если сразу после ввода пароля и пин-кода при зависании нажать
ctrl alt delete и перейти на диспетчер задач, то загрузка ОС происходит
нормально.

Для Windows 10 можно посоветовать такую последовательность: перед
включением клиента не подключать носитель, а подключить его, когда
загрузится окно входа. После этого подключить носитель и произвести вход.


Как решить проблему при входе пользователя в ОС “время ожидания истекло”?

Посмотрите есть ли в списке установленного ПО на рабочей станции следующее:
wufuc – программа, разблокирующая центр обновления на неподдерживаемом
оборудовании. Если есть, удалите ее.

Если используется eToken PKI Client попробуйте вместо него установить
SafeNet Client, который по отзывам пользователей быстрее работает с
аппаратными ключами.

После ввода пользователем своих регистрационных данных появляется
сообщение “Не удалось загрузить службу персонального экрана”


В этом случае необходимо переустановить драйвер персонального экрана
БлокХоста автоматическим или ручным способом. Подробное описание способов
привелено в приложенном файле.

Восстановление персонального экрана.docx

На экране ввода пароля или не отображается окно носителя (нет иконки
носителя и поля для ввода пин-кода), только строчки домен, пользователь и пароль.

Необходимо нажать кнопку Сменить пользователя. Драйвер
носителя должен быть установлен. Сам аппаратный носитель должен быть вставлен в рабочую станцию.


Возникает синий экран и соответственно автоматическая перезагрузка
после разблокировки (ввода пароля и пин-кода) заблокированной рабочей станции на
Windows 10.

Нажимаем Win R, набираем secpol.msc,
запускаем.

Выбираем Локальные политики – Параметры безопасности –
Контроль учетных записей: все администраторы работают в режиме одобрения администратором:

Выключаем политику, перезагружаем.

При попытке штатного входа пользователя в систему с установлены БХС
после некоторого ожидания выводится ошибка: Автозапуск служб не
настроен. Вход в систему в этом режиме возможен только с токеном. Для
входа в мягком режиме настройте автозапуск служб

решение проблемы приводится в приложенном файле:

Руководство по диагностике и устранению проблемы автозапуска служб.docx

Эксплуатация – проблемы и решения

Какой пин-код спрашивает Блокхост-Сеть при входе?

Если носитель уже использовался в Блокхосте – нужно вспомнить. Если не
использовался – для флэшки при настройке Блокхоста задается носитель, и
пин-код, который вы введете при настройке, станет пин-кодом носителя. Для
токенов пин-коды необходимо задавать предварительно в соответствующем ПО.

Как предоставить общий доступ к папке на рабочей станции пользователя если установлен Блокхост-Сеть?

Доступ к общей папке открывается (помимо стандартного механизма Windows)
добавлением дополнительной доменной учетной записи в качестве пользователя
Блокхоста на станции с общей папкой. Вместо локального входа выбирается
“сетевой вход”, носитель в такой схеме привязывать не нужно.

Как в Блокхост-Сеть 2.0 ограничить использование usb-устройств перечнем
разрешенных? Как назначить группе сотрудников (отделу) одинаковые доступные
флэшки?


Управление в том числе и usb-устройствами производится в разделе Контроль портов и CD
окна Настройки машины:

В приложенным файле – практическое пособие от разработчиков по
использованию механизма контроля портов.

Настройка контроля usb-устройств в БХС 1038.docx

Недостаток механизма контроля портов в Блокхост-Сеть заключается в
следующем. Если необходимо, чтобы usb-устройство было доступным для всех
пользователей в организации, это устройство необходимо будет прописать на
рабочей станции каждого сотрудника. И так с каждого устройства! Частично
обойти это ограничение можно способом, указанным ниже.

Чтобы назначить одинаковые доступные флэшки группе пользователей необходимо
в список пользователей для групповой настройки добавить не только
пользователей Active Directory, но и группы безопасности AD
(группы отделов), а уже для них настроить контроль портов.

Как будет осуществляться техподдержка, в том числе удаленная, при установленном Блокхост-Сеть?

  1. Локально под учетной записью встроенного Администратора, либо учетной
    записи , входящей в группу локальных администраторов.
  2. Манипуляции с рабочими станциями удаленно – убивают смысл внедрения
    Блокхоста как средства защиты информации от несанкционированного доступа.
    Как вариант – использовать мандатный режим разграничения, чтобы нельзя было
    получить доступ к служебным и рабочим документам, подключившись удаленно.

Можно ли настроить автоматическую блокировку компьютера при отключении ключевого носителя?

Можно для рабочих станций, включенных в домен, через групповые политики.
Для этого на контроллере домена настроить политику действий при изъятии
смарт-карты:

Параметры безопасности– Локальные политики – Параметры безопасности –
Интерактивный вход в систему: поведение при извлечении смарт-картывыбрать:

Кроме того, на рабочей станции-клиенте СЗИ необходимо запустить службу Политика удаления смарт-карт и установить для нее
автоматический запуск при старте ОС

В результате этих действий после того, как пользователь извлечет из
компьютера свой ключевой носитель, рабочая станция будет заблокирована.


Указанный способ не будет работать для рабочих станций, не включенных в
домен, а находящихся в рабочей группе.

Как настроить БХ на клиенте чтобы пользователь мог зайти на рабочую станцию только с помощью eToken

выбираете в консоли машину, заходите список пользователей (чтобы в
основном окне высветился список всех пользователей), выделяете нужного
пользователя, нажимаете кнопку Управление носителями, выбираете носитель и
вводите его пин-код, жмете ОК, потом раскрываете нужного пользователя в
списке пользователей и в разделе Аутентификация ставите галочку Вход с
токеном.


Можно ли настроить клонирование настроек рабочих станций, то есть осуществить перенос настроек на другую.

Средство называется синхронизация настроек. Создается группа, туда
добавляются рабочие станции. Затем настраиваете одну из рабочих станций и
синхронизируете группу соответствующей командой из меню.

Однако таким способом синхронизировать можно только общие настройки, вроде
мягкого режима. Настройки пользователей синхронизировать получится только,
если предполагается, что синхронизируемые в группе пользователи работают на
всех машинах в группе, например это может быть администратор. Конкретных же
пользователей каждой машине придется задавать индивидуально.

Нужно ли обязательно записывать пароль на eToken при смене пароля?


Нет. Эта галочка:

актуальна в основном для учетных записей с несменяемым паролем, например
администратора. В таком случае пароль можно записать на ключевой носитель и
входить в систему без ввода пароля.

Клиентские машины в серверной консоли Блохост находятся в состоянии
Ожидание, а в колонке Описание присутствует надпись Settings node not
found

В этом случае следует попробовать развернуть msi пакеты снова на клиентских
станциях, добавив при этом в Параметрах Connect=1

Читайте также:  Подтверждение подписей на основе сертификатов, Adobe Acrobat


При запуске серверной консоли появляется окно с ошибкой Не возможно
получить клиентские настройки. Генерация параметров MSI развертывания и развертывание через агента работать не будут.

Существует готовое решение от разработчиков:

Устранение проблемы отсутствия подключения клиента сервера Блокхост.docx

Однако помогает оно не всегда и более простым решением может оказаться
переустановка серверной части. При условии наличии сохраненных ранее
настроек сервера:

все рабочие станции успешно присоединятся к серверу после его
восстановления.


Как удалить правильно удалить клиента Блокхост-Сеть?

Наилучшие результаты достигаются при удалении клиента через систему
развёртывания на сервере – задача на удаление Блок-сеть клиент:

Архитектура «блокхост-сеть 2.0» и механизмы защиты

СЗИ от НСД «Блокхост-Сеть 2.0» состоит из клиентской и серверной части.

Клиентская часть обеспечивает защиту рабочей станции от НСД к информации и может работать как на автономной рабочей станции, так и на рабочей станции в составе сети. Настройка клиентской части может быть выполнена через локальную или серверную консоль администрирования СЗИ «Блокхост-Сеть 2.0».

Рисунок 1. Локальная консоль администратора безопасности «Блокхост-Сеть 2.0»

Серверная часть СЗИ «Блокхост-Сеть2.0» выполняет функции централизованного управления удаленными рабочими станциями:

  • удаленное администрирование клиентской части СЗИ «Блокхост-Сеть 2.0» на рабочих станциях (объединенных в одноранговую или доменную сеть);
  • удаленное ведение оперативного контроля.

Рисунок 2. Серверная консоль администрирования СЗИ «Блокхост-Сеть 2.0»

В рамках клиентской части реализованы базовые механизмы защиты операционной системы. К ним относятся:

  • двухфакторная аутентификация администратора безопасности и пользователей с применением персональных идентификаторов;
  • дискреционный и мандатный механизмы разграничения доступа к информационным ресурсам в соответствии с заданными параметрами безопасности, в том числе по времени;
  • контроль целостности системного, прикладного программного обеспечения и информационных ресурсов АРМ с возможностью восстановления из резервной копии;
  • очистка областей оперативной памяти после завершения работы контролируемых процессов, что предотвращает считывание информации ограниченного доступа;
  • гарантированное удаление файлов и папок, что исключает возможность восстановления;
  • контроль вывода информации на печать и маркировка документов;
  • контроль использования отчуждаемых физических носителей при помощи формирования черных и белых списков устройств;
  • формирование замкнутой программной среды путем разрешения прав на запуск только указанных процессов и приложений;
  • персональный межсетевой экран (контроль доступа к сетевым ресурсам и фильтрация сетевого трафика);
  • защита от изменения и удаления СЗИ «Блокхост-Сеть 2.0».

Работа с «блокхост-сеть 2.0»

Подробно останавливаться на настройке всех реализованных механизмов защиты мы не будем. Описание всех возможностей СЗИ «Блокхост-Сеть 2.0» можно найти в «Руководстве администратора» на странице продукта. Расскажем лишь о некоторых наиболее интересных на наш взгляд функциях — централизованное развертывание системы, централизованное управление токенами с помощью панели администратора и групповое управление параметрами безопасности.

Системные требования и поддерживаемые технологии

Минимальные системные требования «Блокхост-Сеть 2.0» приведены в таблице ниже:

Таблица 1. Минимальные системные требования «Блокхост-Сеть 2.0»

ХарактеристикаКлиентская часть «Блокхост-Сеть 2.0»Серверная часть «Блокхост-Сеть 2.0»
Поддерживаемые ОСWindows Server 2008R2, Windows Vista, Windows 7,  Windows 8/8.1, Windows 10, Windows Server 2021/2021R2, Windows Server 2021Windows Server 2008R2,Windows Server 2021/2021R2, Windows Server 2021
Аппаратные характеристикиМинимальные требования к производительности АРМ и серверов обусловлены требованиями используемых операционных систем
Дополнительные программные модули.NET Framework 3.5.NET Framework 4.0 с обновлением NDP40-KB2468871 или вышеДрайверы для работы со смарт-картами
Поддерживаемые ключевые носители/смарт-картыeToken,SafeNet,ruToken,JaCarta,ESMART Token,Avest,USB-накопители,дискеты 3,5”,персональный идентификатор пользователя в реестре Windows

Соответствие требованиям регуляторов

«Блокхост-Сеть 2.0» сертифицировано ФСТЭК России (сертификат № 3740 от 30 ноября 2021 года) на соответствие требованиям:

  • 3 класс защищенности в соответствии с руководящим документом «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», (Гостехкомиссия России, 1992).
  • 2 уровень контроля отсутствия недекларированных возможностей в соответствии с руководящим документом «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». (Гостехкомиссия России, 1999).
  • 4 класс защищенности в соответствии с руководящим документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997).

Таким образом, «Блокхост-Сеть 2.0» может использоваться для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).

Средство защиты информации от несанкционированного доступа «блокхост-сеть к» система развертывания. руководство администратора безопасности – pdf free download

1 Средство защиты информации от несанкционированного доступа «Блокхост-сеть К» Система развертывания безопасности

2 Аннотация Настоящее руководство предназначено для администраторов средства защиты информации от несанкционированного доступа «Блокхост-сеть К» (далее по тексту СЗИ «Блокхост-сеть К») и содержит описание работы с системой развертывания СЗИ «Блокхост-сеть К». 2 Список сокращений SMS Systems Management Server АРМ автоматизированное рабочее место НСД несанкционированный доступ ОС операционная система ПК персональный компьютер ПО программное обеспечение СЗИ средство защиты информации СР система развертывания Знаки, расположенные на полях руководства, указывают на примечания. Степени важности примечаний: Важная информация Дополнительная информация, примеры

3 Содержание 3 1. Подготовка к установке системы развертывания СЗИ «Блокхост-сеть К» Установка и удаление системы развертывания СЗИ «Блокхост-сеть К» Установка агента системы развертывания GIS.BHAgent_K.msi Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Удаление системы развертывания Развертывание СЗИ «Блокхост-сеть К» Ввод лицензии Поиск машин в домене Опрос добавленных рабочих станций Добавление пользователей на рабочие станции Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Перезагрузка удаленных рабочих станций Проверка установки СЗИ «Блокхост-сеть К» Перезапуск служб Удаление СЗИ «Блокхост-сеть К» с защищаемых рабочих станций… 18

4 1. ПОДГОТОВКА К УСТАНОВКЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» позволяет выполнять удаленную установку клиентских частей СЗИ «Блокхост-сеть К» на рабочие станции с сервера безопасности. На сервера безопасности должна быть установлена ОС Windows Server 2003/2008R2. На сервере безопасности и на клиентских рабочих станциях, куда планируется удаленная установка СЗИ «Блокхост-сеть К, должны быть открыты TCP порты и соответственно. При установке клиентских частей СЗИ «Блокхост-сеть К» с помощью системы развертывания сервер безопасности (АРМ администратора безопасности) и удаленные рабочие станции, на которых будет выполняться установка клиентских частей СЗИ, должны находиться в контролируемой зоне. Перед установкой СР СЗИ «Блокхост-сеть К» необходимо: 1) установить клиентскую и серверную части СЗИ «Блокхост-сеть К» на сервер безопасности в соответствии с документами «СЗИ «Блокхост-сеть К» (клиентская часть). Руководство по установке» и «СЗИ «Блокхост-сеть К» (серверная часть). Руководство по установке». 2) добавить сервер безопасности в список контролируемых рабочих станций серверной консоли СЗИ. Для этого на сервере безопасности выполнить экспорт и импорт сетевых настроек в соответствии с пунктами 3.3.2, документа «СЗИ «Блокхост-сеть К». безопасности», после чего перезагрузить АРМ администратора безопасности. Примечание: Если СЗИ «Блокхост-сеть К» установлена на контроллер домена, то удаленные рабочие станции должны быть добавлены в сетевые пользователи сервера безопасности (см. подробно пункты 5.2.1, документа «СЗИ «Блокхост-сеть К». безопасности»); 3) установить дополнительное ПО на удаленные рабочие станций, куда планируется установка СЗИ «Блокхост-сеть К»:.Net Framework 2.0, драйверы для устройств etoken/safenet etoken/rutoken/jacarta PRO. Для ОС Windows 7/2008R2/8/8.1/2021/2021R2 при необходимости включить платформу Microsoft.NetFramework 3.5. Подробный перечень дополнительного ПО приведен в документе «СЗИ «Блокхост-сеть К». Руководство по инсталляции. Клиентская часть». 4) отключить брандмауэр Windows или другие сетевые экраны на защищаемых рабочих станциях В ОС Windows 8/8.1/ R2 необходимо отключить встроенный антивирус Windows Defender. 4

5 5 2. УСТАНОВКА И УДАЛЕНИЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» включает в себя два дистрибутива, поставляемых в виде файлов инсталлятора Microsoft Windows Installer: агент системы развертывания GIS.BHAgent_K.msi; консоль управления системы развертывания GIS.DeploymentConsole_K.msi Установка агента системы развертывания GIS.BHAgent_K.msi Агент системы развертывания осуществляет взаимодействие между сервером администратора безопасности и удаленной рабочей станцией. Агент системы развертывания GIS.BHAgent_K.msi устанавливается на удаленных рабочих станциях, куда планируется установить СЗИ «Блокхост-сеть К». Агент системы развертывания может быть установлен различными способами: вручную на удаленной рабочей станции; с использованием Active Directory; с использованием SMS; с использованием других программных средств, позволяющих устанавливать файлы с расширением.msi (например, антивирус Касперского и др). Примечание: перед началом установки необходимо убедиться в отсутствии на удаленных рабочих станциях папки С:BlockHost. Далее приведена последовательность ручной установки агента системы развертывания GIS.BHAgent_K.msi на удаленной рабочей станции. Для установки агента системы развертывания необходимо дважды щелкнуть по файлу GIS.BHAgent_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку агента системы развертывания. Если установка прошла корректно, в списке служб удаленной рабочей станции появится служба GIS.Update.Service (рис. 2.1). Рис Появление службы GIS.Update.Service после установки

Читайте также:  КриптоПро | Квалифицированная электронная подпись в облаке как она есть

6 2.2. Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Консоль управления системы развертывания GIS.DeploymentConsole_K.msi позволяет управлять процессом развертывания СЗИ «Блокхост-сеть К» в сети и устанавливается на сервер безопасности, на котором уже установлены клиентская и серверная части СЗИ «Блокхост-сеть К». Перед началом установки консоли управления системы развертывания необходимо загрузить ОС под встроенной учетной записью администратора ОС (домена) с предъявлением персонального идентификатора АБ, указанного при установке клиентской и серверной частей СЗИ «Блокхост-сеть К». Для начала установки консоли управления системы развертывания необходимо дважды щелкнуть по файлу GIS.DeploymentConsole_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку консоли управления системы развертывания. Консоль управления можно запустить через пункт меню «Пуск» «GIS.UpdateConsole.exe». Далее можно приступить к развертыванию СЗИ «Блокхост-сеть К» на удаленных рабочих станциях Удаление системы развертывания При необходимости удалить систему развертывания это можно сделать следующим образом: 1) для удаления агента системы развертывания в списке установленных программ удаленной рабочей станции выбрать GIS.BHAgent и нажать «Удалить»; 2) для удаления консоли управления системы развертывания в списке установленных программ сервера безопасности выбрать GIS.DeploymentConsole и нажать «Удалить».

7 7 3. РАЗВЕРТЫВАНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» Для запуска консоли управления СР СЗИ «Блокхост-сеть К» необходимо выбрать в меню «Пуск» пункт «Все программы» «GIS.UpdateConsole.exe» (рис. 3.1). Рис Запуск консоли управления СР СЗИ «Блокхост-сеть К» из меню «Пуск» Консоль управления системы управления имеет вид, приведенный на рисунке 3.2. По щелчку левой кнопки мыши по пункту «Корень» отображаются поля, содержащие информацию о сетевых настройках, необходимых для подключения удаленных рабочих станций к серверной консоли СЗИ «Блокхост-сеть К». Изменять сетевые настройки не следует. В нижнем правом поле отображаются информационные сообщения в процессе развертывании СЗИ «Блокхост-сеть К», удалить их можно, нажав кнопку «Очистить». Рис Консоль управления системы развертывания СЗИ «Блокхост-сеть К» Развертывание СЗИ «Блокхост-сеть К» состоит из следующих шагов: 1. Ввод лицензии; 2. Поиск машин в домене; 3. Опрос рабочих станций; 4. Добавление пользователей на рабочие станции; 5. Удаленная установка; 6. Перезагрузка защищаемых рабочих станций; 7. Проверка установки; 8. Перезапуск служб.

8 Данные шаги доступны из контекстного меню пункта «Корень» (рис. 3.3). Добавление пользователей на рабочие станции доступно после выполнения пункта «Опрос рабочих станций». 8 Рис Контекстное меню пункта «Корень» Не рекомендуется закрывать консоль управления до завершения настройки в рамках одной сессии развертывания. В противном случае необходимо будет повторить шаги настройки, начиная с 3 шага Ввод лицензии При выборе пункта контекстного меню «Ввести код лицензии» (рис. 3.3) появится окно ввода лицензий (рис. 3.4). Рис Окно ввода лицензии По умолчанию введенные лицензии применятся ко всем рабочим станциям, на которые будет удаленно устанавливаться СЗИ «Блокхост-сеть К» в рамках данной сессии развертывания. После ввода локальной и сетевой лицензий необходимо нажать «ОК». Появится сообщение об успешном сохранении лицензионного кода (рис. 3.5). Рис Сообщение об успешном сохранении лицензионного кода

9 3.2. Поиск машин в домене 9 Далее необходимо определить рабочие станции, на которые в рамках данной сессии развертывания будет удаленно установлено СЗИ «Блокхост-сеть К». Для этого в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Поиск машин в домене». Появится окно со списком доменов, в котором нужно выбрать полное имя домена, на рабочие станции которого будет производиться установка, и нажать «ОК» (в примере на рисунке 3.6 «TEST.BH»). Рис Выбор домена После выбора домена появится окно доменной аутентификации (рис. 3.7), в котором необходимо ввести данные любого доменного пользователя (в частности администратора домена) и нажать «ОК». Рис Окно доменной аутентификации пользователя После аутентификации в домене появится окно «Поиск в домене». В нем следует выбрать контейнер (в примере на рисунке «Computers»), содержащий контролируемые рабочие станции, при помощи кнопок управления (, ) добавить необходимые рабочие станции и нажать кнопку «ОК».

10 10 Рис Окно «Поиск в домене» с выбранным пунктом «Computers» Добавленные станции отобразятся во вкладке «Корень» (рис. 3.9) и будут отмечены красным цветом (т.е. настройки с этих рабочих станций не получены). Рис Добавленные из домена рабочие станции В рамках одной сессии развертывания рекомендуется добавлять не более 20 рабочих станций Опрос добавленных рабочих станций Далее необходимо получить настройки с добавленных рабочих станций, которые предоставит ранее установленный на удаленных машинах агент системы развертывания GIS.BHAgent_K.msi. Для получения настроек в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Опросить станции». После получения настроек рабочие станции в списке изменят значок с красного на синий, а в правом нижнем углу консоли управления отобразится сообщение об успешной загрузке данных с рабочих станций (рис. 3.10). Удаленная рабочая станция должна быть включена в этот момент.

11 11 Рис Получение настроек с рабочих станций Если цвет значка не изменился на синий, возможна одна из следующих причин: на удаленных рабочих станциях не доступен TCP порт; на удаленных рабочих станциях включен брандмауэр Windows или другой сетевой экран; DNS не работоспособна; между удаленными рабочими станциями и сервером безопасности отсутствует соединение по сети; удаленная рабочая станция выключена; на удаленной рабочей станции не запущена служба GIS.Update.Service; в поле «Домен» выбрано короткое имя домена Добавление пользователей на рабочие станции Следующим шагом является добавление доменного пользователя на удаленную рабочую станцию, чтобы на нее можно было осуществить вход после установки СЗИ «Блокхост-сеть К». Следует добавить пользователя, который в дальнейшем будет работать за выбранным удаленным компьютером. Также на удаленную рабочую станцию рекомендуется добавить учетную запись встроенного в ОС администратора (она появится автоматически в выпадающем списке) (рис. 3.14). Это необходимо сделать, чтобы можно было войти на удаленную рабочую станцию, например, в случае утери пользователем своего персонального идентификатора. Для каждой рабочей станции из списка процедура добавления повторяется заново. Для добавления на выбранную рабочую станцию учетной записи пользователя и встроенного администратора следует: 1) подключить к серверу безопасности персональный идентификатор, который будет сопоставлен добавляемому пользователю. На этом же шаге следует подключить к серверу безопасности электронный идентификатор, который будет сопоставлен встроенному администратору (рекомендуется использовать флешку); 2) в консоли управления СР выбрать пункт «Корень <Имя_Рабочей_Станции> Пользователи», щелкнуть по нему правой кнопкой мыши и выбрать пункт «Добавить».

12 12 Появится окно доменной аутентификации с сохраненными данными, в нем нужно нажать «ОК» (рис. 3.11). Рис Окно доменной аутентификации с сохраненными данными 3) в появившемся окне «Поиск в домене» следует выбрать контейнер, содержащий необходимую учетную запись доменного пользователя (в примере на рисунке 3.12 «Users»), при помощи кнопок управления (, ) добавить ее и нажать кнопку «ОК»; Рис Окно «Поиск в домене» с выбранным пунктом «Users» 4) в появившемся окне «Добавить пользователя» (рис. 3.13) следует указать учетную запись доменного пользователя, выбрать в списке персональный идентификатор пользователя, ввести его PIN-код и повтор PIN-кода и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления системы развертывания. Указанный носитель впоследствии должен быть передан пользователю.

13 13 Рис Добавление учетной записи пользователя удаленной рабочей станции 5) добавить в СЗИ учетную запись встроенного в ОС администратора удаленной рабочей станции. Для этого в окне «Добавить пользователя» (рис. 3.14) следует выбрать учетную запись встроенного администратора (она появляется в выпадающем списке автоматически), выбрать персональный идентификатор администратора, который был подключен ранее, (см. перечисление 1), ввести PIN-код идентификатора, повторить PIN-код и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления. После этого окно «Добавить пользователя» можно закрыть. Рис Добавление учетной записи встроенного в ОС администратора удаленной рабочей станции

14 1. Добавление учетных записей пользователя и встроенного в ОС администратора необходимо выполнить отдельно для каждой удаленной рабочей станции. 2. Для удобства работы учетные записи встроенных в ОС администраторов на различных рабочих станциях могут быть созданы с использованием одной и той же флешки Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Следующим шагом является удаленная установка СЗИ клиентской части СЗИ «Блокхост-сеть К» на удаленные рабочие станции. Для установки в контекстном меню пункта «Корень» (рис. 3.3) следует выбрать пункт «Произвести установку». При необходимости следует подтвердить введенные ранее коды, нажав кнопку «Сохранить». Введенные лицензии можно изменить, после чего также следует нажать «Сохранить». Начнется процесс удаленной установки СЗИ. Удаленная установка будет произведена одновременно на все добавленные в консоль управления рабочие станции с указанной ранее лицензией (см. п. 3.1 настоящего документа). Если для каких-либо рабочих станций лицензионные данные нужно изменить, перед началом установки следует выбрать пункт «Корень <Имя_Рабочей_Станции>. В консоли управления СР отобразятся добавленные лицензии (рис. 3.15), в которые следует внести необходимые изменения и нажать кнопку «Сохранить». Рис Данные лицензии для рабочей станции После выбора пункта «Произвести установку» начнется установка СЗИ на рабочие станции. Для пользователей, работающих в данный момент на удаленных рабочих станциях, установка пройдет незаметно, без появления каких-либо окон или сообщений. После завершения установки в консоли управления появится соответствующее сообщение (рис. 3.16):

Читайте также:  Электронная подпись: всё, что нужно о ней знать | Инфотекс Интернет Траст

15 15 Рис Сообщение об успешном завершении установки 3.6. Перезагрузка удаленных рабочих станций После установки СЗИ «Блокхост-сеть К» удаленные рабочие станции необходимо перезагрузить. Перезагрузку можно выполнить следующими способами: 1) перзагрузить все рабочие станции одновременно. Для этого нужно выбрать в контекстном меню пункта «Корень» (рис. 3.3) пункт «Перезагрузить станции»; 2) перезагрузить выбранную рабочую станцию. Для этого нужно выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и в контекстном меню нажать «Перезагрузить» (рис. 3.17). Рис Перезагрузка выбранной рабочей станции После перезагрузки ОС на удаленной рабочей станции появится окно авторизации СЗИ «Блокхост-сеть К». Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС появится окно авторизации СЗИ «Блокхост-сеть К» Проверка установки СЗИ «Блокхост-сеть К» При необходимости можно проверить установку клиентской части СЗИ «Блокхост-сеть К» на удаленной рабочей станции, для этого нужно воспользоваться пунктом «Проверить установку» в контекстном меню пункта «Корень» (рис. 3.18). Результаты проверки отобразятся в правом нижнем углу консоли управления (рис. 3.18).

16 Перезапуск служб Рис Проверка установки СЗИ «Блокхост-сеть К» Последним шагом является выполнение пункта «Перезапустить службы» из контекстного меню пункта «Корень» (рис. 3.3). При выборе этого пункта на сервере безопасности произойдет перезапуск службы и GIS.Server.NetworkServer.exe. Этот пункт желательно выполнить уже после того, как пользователь (или встроенный в ОС администратор) войдет на удаленную рабочую станцию после установки на нее СЗИ, в этом случае контролируемые рабочие станции отобразятся в серверной конcоли администрирования СЗИ как доступные для удаленного администрирования (со значком ). Далее управление данными рабочими станциями должно осуществляться администратором безопасности с использованием серверной консоли администрирования СЗИ. Если рабочие станции не отобразились как доступные по сети, можно перезапустить вышеуказанную службу на сервере безопасности вручную. После окончания данной сессии развертывания СЗИ «Блокхост-сеть К» можно приступать к развертыванию СЗИ на другие рабочие станций. Предварительно добавленные в консоль управления рабочие станции нужно удалить. Это можно сделать, щелкнув по ним правой кнопкой мыши и в контекстном меню выбрать соответсвующий пункт «Удалить». Рис Удаление рабочих станций из консоли управления СР Далее при необходимости можно начать новую сессию развертывания СЗИ, выполнив действия, описанные в подразделах настоящего документа, для других рабочих станций домена.

17 17 После установки СЗИ через систему развертывания на клиентских рабочих станциях включен мягкий режим. Выключить мягкий режим на клиентских рабочих станциях можно централизованно из серверной консоли администрирования СЗИ, для чего: 1) в серверной консоли администрирования выбрать пункт «Рабочие станции <Имя_Машины> Настройки машины Система»; 2) в области настроек отключить механизм мягкого режима, сняв галочку с пункта «Мягкий режим»; 3) сохранить произведенные настройки с помощью пункта меню «Файл Сохранить настройки для текущей машины» для выбранной рабочей станции (либо с помощью пункта «Файл Сохранить все настройки» для всех рабочих станций).

18 18 4. УДАЛЕНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» С ЗАЩИЩАЕМЫХ РАБОЧИХ СТАНЦИЙ Если необходимо удалить СЗИ «Блокхост-сеть К» с защищаемой рабочей станции, через консоль управления СР это можно сделать следующим образом: в консоли управления выбрать пункт «Корень <Имя_Рабочей_Станции>; щелкнуть по нему правой кнопкой мыши и в контекстном меню (рис. 3.18) выбрать «Удалить СЗИ Блокхост». СЗИ «Блокхост-сеть К» будет удалена с выбранной рабочей станции и в консоли управления СР появится соответствующее сообщение (рис. 4.1). После этого удаленную рабочую станцию необходимо перезагрузить. Для этого в консоли управления СР следует выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и выбрать «Перезагрузить» (рис. 3.18). Рис Сообщение об успешном удалении СЗИ «Блокхост-сеть К» 1. Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС процесс удаления СЗИ «Блокхост-сеть К» будет завершен. 2. При удалении СЗИ «Блокхост-сеть К» через консоль управления СР с удаленных рабочих станций под управлением они не должны быть заблокированы.

Централизованное развертывание системы «блокхост-сеть 2.0»

Серверная часть позволяет администратору со своего рабочего места устанавливать новые клиентские части на подчиненные рабочие станции и управлять настройками системы с помощью средств серверной консоли. Тем самым администратор получает инструмент для определения политик безопасности системы.

Централизованное развертывание системы может быть произведено как с использованием средств серверной консоли панели администратора, так и с помощью специально разработанной для решения этой задачи подсистемы развертывания. Подсистема позволяет назначать задачи по установке клиентских частей СЗИ, устанавливать расписание их выполнения, а также получать расширенную обратную связь об успехе установки и состоянии защищенности подчиненных рабочих станций. Те же функции доступны и при централизованной установке стороннего программного обеспечения.

Рисунок 3. Развертывание «Блокхост-Сеть 2.0» с помощью агентов развертывания

Рисунок 4. Установка агентов развертывания «Блокхост–Сеть 2.0» при помощи назначения задачи по установке клиентских частей СЗИ

Помимо этого, из серверной консоли СЗИ от НСД «Блокхост-Сеть 2.0» возможно производить удаленное управление контролируемыми рабочими станциями и обновление СЗИ, перезагрузку и выключение рабочих станций, управление пользователями.

Рисунок 5. Удаленное управление контролируемыми рабочими станциями «Блокхост-Сеть 2.0»

Сервера СЗИ могут быть выстроены в многоуровневую систему с возможностью распространения политик безопасности по всей иерархии. Неограниченное количество уровней вложенности иерархии позволяет как распределить нагрузку по нескольким серверам «Блокхост-Сеть 2.

Выводы

СЗИ от НСД «Блокхост-Сеть 2.0» способно обеспечить безопасность рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования, дополняя и усиливая собственные возможности защиты операционной системы, создавая тем самым доверенную рабочую среду функционирования процессов.

Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства Российской Федерации в части обеспечения безопасности информации. Наличие сертификата ФСТЭК России позволяет использовать продукт для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).

Из явных недостатков в настоящее время можно выделить следующее: отсутствие решения для операционных систем семейства Linux и macOS, а также сертификацию модуля межсетевого экранирования по старым требованиям ФСТЭК России (т. е. модуль межсетевого экранирования нельзя будет использовать как сертифицированное решение  во вновь создаваемых ГИС, ИСПДн и т. д., где требования по сертификации являются обязательными. В уже существующих ГИС, ИСПДн и т. д. его применение допускается).

Преимущества:   

  • Продукт в реестре отечественного ПО.
  • Соответствие требованиям законодательства, наличие необходимых сертификатов ФСТЭК России.
  • Отсутствует обязательная привязка к Active Directory.
  • Многоуровневая иерархия серверов (связывание серверов управления в иерархию для распространяя настроек безопасности с глубиной до 5 уровней иерархии).
  • Возможность распространения политик безопасности по группам пользователей с дальнейшим слиянием и возможностью установки приоритетов настроек для групп пользователей или серверов.
  • Поддержка большого числа аппаратных идентификаторов для осуществления двухфакторной аутентификации пользователей.
  • Централизованное развертывание и обновление СЗИ.
  • Наличие «мягкого режима» использования СЗИ для облегчения процесса адаптации пользователя.
  • Прямое MSI-развертывание с сервера.
  • Удаленное администрирование токенов из серверной консоли (привязка к пользователям, удаление, блокировка и т. д).

Недостатки:

  • Модуль межсетевого экранирования сертифицирован по старым требованиям ФСТЭК России.
  • Отсутствие поддержки СЗИ операционных систем Linux и и macOS.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector