Меню Рубрики

Установка принтера dallas lock

Установка принтера dallas lock

Сообщения: 5312
Благодарности: 1099

Организовали новое рабочее место на Windows 7 Prof x64
Для работы с документами установили MS Office 2003 (знаю, старый, но операторам так привычнее).
Для защиты информации используется Dallas Lock 8.0-C

Вскоре выявилась следующая проблема: при работе в сеансе с повышенным уровнем секретности программы Microsoft Office 2003 не могут ничего выводить на печать. Показывает окно с сообщением о проблемах отправки документа на печать.
Причём проблема именно в MS Office 2003 — «Блокнот», LibreOffice и прочие программы печатают нормально.

Пытался отследить момент ошибки через Procmon, но ничего подозрительного не нашёл.

При переводе Dallas Lock в режим обучения, было выявлено следующее
При печати из программ MS Office 2003 процесс диспетчера печати (Spool.exe) записывает информацию в файл C:\Windows\System32\NE00 или NE01.
Для каждого принтера используется своё имя файла: NE00 — предустановленный драйвер виртуального принтера «Microsoft XPS», NE01 — физический принтер рабочего места, другие виртуальные или реальные принтеры получали бы следующие номера в порядке установки.

После выхода из режима обучения в список прав мандатного доступа было добавлено правило «Секретно» для файла C:\Windows\System32\NE01 (файл соответствует физическому принтеру). Поскольку файл является временным, был использован режим «дескриптор по пути».
После этого программы MS Office 2003 начали печатать на этот принтер при работе системы на мандатном уровне «секретно», но перестали печатать в обычном уровне работы.

На рабочем месте выполняется работа с документами разной степени секретности.
Dallas Lock не позволяет назначить режим «разделяемой папки» для файла.
Для папки System32 назначить режим «разделяемой папки» невозможно, поскольку это нарушит работу операционной системы.

Прошу дать совет по способу исправления или обхода выявленной проблемы.

——-
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

источник

Настройка СЗИ Dallas Lock версии 8-К

Настройка СЗИ Dallas Lock версии 8-К

В предыдущей статье рассмотрена тема установки «Системы защиты от несанкционированного доступа Dallas Lock 8.0». В этом материале показано как настроить сертифицированное средство защиты информации (СЗИ) от несанкционированного доступа Dallas Lock версии 8-К. Показано как настроить СЗИ Dallas Lock и установить на контроль целостности другие средства защиты, на примере антивирусного средства Dr.Web, средства криптографической защиты информации (СКЗИ) КриптоПро CSP, СКЗИ ViPNet Client, СКЗИ ViPNet CSP.

Настройка параметры входа

Для настройки входа в систему, установки атрибутов пароля, аппаратных считывателей необходимо выбрать вкладку «Параметры безопасности», закладку «Вход», требуемые настройки показаны на (рис. 1).

Рис 1. Параметры входа в систему

Настройка полномочий пользователей

Для настройки прав пользователей в оболочке администратора на основной вкладке «Параметры безопасности» выделить категорию «Права пользователей» установить параметры как показано на. (рис. 2):

Рис 2. Параметры входа в систему

Настройка параметров аудита

Для настройки параметров аудита необходимо выбрать вкладку «Параметры безопасности» => «Аудит. Требуемые параметры показаны на рисунке ниже (рис 3).

Настройка очистки остаточной информации

Для того чтобы настроить процесс очистки остаточной информации, необходимо в оболочке администратора открыть категорию «Очистка остаточной информации» на вкладке «Параметры безопасности» и установить параметры, как показано на (рис. 4).

Рис 4. Параметры очистки остаточной информации

Настройка параметров контроля целостности

Для настройки контроля целостности необходимо в оболочке администратора на вкладке «Параметры безопасности» выделить категорию «Контроль целостности» и установить параметры как показано на рисунке (рис. 5).

Рис 5. Закладка Контроль целостности в оболочке администратора

Настройка контроля ресурсов

Для настройки контроля ресурсов, необходимо добавить исполняемые файлы средств защиты информации, установленных на АРМ, для которых необходимо назначить аудит (список файлов приведен в конце статьи). Для того чтобы добавить объект в контроль целостности необходимо: с помощью оболочки администратора в списке объектов категории «Контроль целостности» на вкладке «Контроль доступа» нажать кнопку «Добавить». В появившемся диалоговом окне, с помощью управляющих кнопок или прописав вручную, необходимо указать путь к ресурсу и нажать кнопку «Выбрать». Откроется окно редактирования параметров объекта ФС. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (см. ниже). Задать проверку контроля целостности для локальных объектов файловой системы без помощи оболочки администратора, а с помощью контекстного меню можно следующим способом:

  1. Правым щелчком мыши на значке объекта, для которого необходимо установить проверку контроля целостности, открыть контекстное меню и выбрать из него пункт «DL8.0: Права доступа» (рис. 6).

  1. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (рис. 7).

Рис 6. Закладка контроль целостности

  1. Необходимо выставить флажок в поле «Контроль целостности включен» и выбрать алгоритм расчета контрольной суммы, ГОСТ Р 34.11-94.
  2. Отметить при необходимости поле «Проверять контроль целостности при доступе».
  3. Нажать «Применить» и «ОК»

Системные файлы средств защиты информации, которые необходимо поставить на контроль целостности указаны в Приложении 1, данного руководства.

Управление учетными записями

По умолчанию в системе защиты Dallas Lock 8.0 всегда присутствуют следующие учетные записи:

— Суперадминистратор — учетная запись пользователя, установившего СЗИ НСД (запись невозможно удалить из системы);

— «anonymous» — учетная запись для проверки входов с незащищенных СЗИ машин (запись невозможно удалить из системы, но нужно отключить);

— «secServer» — через эту учетную запись Сервер безопасности подключается к данному ПК и проводит оперативное управление (запись невозможно удалить из системы, но нужно отключить, если не используется Сервер Безопасности);

«*\*» — специальная учетная запись, разрешающая всем доменным пользователям вход на защищенный системой компьютер. Создаётся только на ПК, которые в момент установки СЗИ НСД входят в Active Directory. Запись нужно отключить.

Для отключения учетных записей необходимо выделить категорию «Учетные записи» на одноименной вкладке оболочки администратора и выбрать учетную запись, которую необходимо отключить, нажав на нее два раза левой кнопкой мыши, появится окно редактирования параметров учетной записи, на вкладке «Общие» в поле «Параметры» отметить пункт «Отключена».

В системе должно быть заведено три пользователя: Пользователь 1, Пользователь 2 и Администратор информационной безопасности.

№ п/п Роль Описание
1. Пользователь 1 Выполнение работ согласно должностных обязанностей. Работа с разрешенным прикладным программным обеспечением.
2. Администратор информационной безопасности Реализация политики информационной безопасности: администрирование средств защиты информации, выполнение функций контролера-аудитора параметров настроек для всех приложений и данных АС УЦ
3. Пользователь 2
Выполнение работ согласно должностных обязанностей. Работа с разрешенным прикладным программным обеспечением.

У пользователей имеется индивидуальная учетная запись в операционной системе Windows и своим идентификатором для ПАК «Соболь».

Администратору ИБ, Пользователь 1, Пользователь 2, предоставлены права на доступ к информационным ресурсам, программным и техническим средствам автоматизированной системы согласно матрице доступа.

Матрица доступа к защищаемым ресурсам

п/п Защищаемый ресурс Права доступа должностных лиц Наименование Путь доступа Администратор ИБ Пользователь 1 Пользователь 2 1 Файлы операционной системы Windows C:\WINDOWS Полный

доступ 2 Установленное программное обеспечение C:\Program Files Полный

доступ Чтение и выполнение

доступ 3 Место хранения защищаемой информации C:\secinf Нет доступа Чтение и изменение Нет доступа 4 Место хранения копии дистрибутивов СЗИ С:\distrib Полный

доступ Полный запрет Полный запрет 5 Место хранения резервных копий файлов и настроек СЗИ С:\backup Полный доступ Полный запрет Полный запрет 6 Программно-аппаратный комплекс (ПАК) «Соболь» версии 3.0 C:\SOBOL Полный

доступ Чтение и выполнение Чтение и выполнение 7 СКЗИ «Крипто Про CSP» C:\Program Files\Crypto Pro

C:\Program Files (x86)\Crypto Pro Полный

доступ Чтение и выполнение Чтение и выполнение 8 СКЗИ Программный комплекс (ПК) ViPNet Client 4 (КС3) C:\Program Files\ViPNet Client Полный

доступ Чтение и выполнение Чтение и выполнение 9 СКЗИ ViPNet CSP C:\Program Files\ViPNet CSP Полный

доступ Чтение и выполнение Чтение и выполнение 10 Файлы CЗИ от НСД Dallas Lock 8.0 – К C:\DLLOCK80 Полный

доступ Чтение и выполнение Чтение и выполнение 11 Антивирус Dr.Web Enterprise Security Suite (для Windows) C:\Program Files\drweb Полный

доступ Чтение и выполнение Чтение и выполнение 12 Учтенный съёмный USB носитель Z:\ Чтение / Запись Чтение

оптических дисков E:\ Чтение

1 Системные каталоги включают в себя директорию операционной системы (C:\Windows) а также каталоги прикладного программного обеспечений (C:\Program files);

2 К объектам профиля пользователя относят каталоги «Рабочий стол», «Мои документы», «Мои рисунки», а также каталоги, в которых хранятся пользовательские настройки прикладного программного обеспечения «Application Data», «Local Settings» и другие;

3 К операциям записи так же относят модификацию, удаление и изменение прав доступа;

4 Запрет доступа имеет приоритет над остальными правами пользователя, в том числе групповыми.

Создание локального пользователя

Для создания нового пользователя в системе защиты необходимо:

  1. Выделить категорию «Учетные записи» на одноименной вкладке оболочки администратора.
  2. Нажать кнопку «Создать» в категориях «Действия» или выбрать соответствующую из контекстного меню. На экране появится окно создания новой учетной записи
  3. В поле «Размещение» необходимо выбрать значение «Локальный».
  4. В поле «Логин» необходимо ввести логин (имя) регистрируемого пользователя. При вводе имени в системе существуют следующие правила: максимальная длина имени — 32 символа; имя может содержать латинские символы, символы кириллицы, цифры и специальные символы; разрешается использовать различные регистры клавиатуры.

Если учетная запись была создана ранее, нажатие кнопки поиска, разворачивает список учетных записей пользователей, зарегистрированных только в ОС данного компьютера

  1. После нажатия кнопки «OK» появится окно редактирования параметров учетной записи
Читайте также:  Установка застенного модуля подвесного унитаза

На вкладке «Общие» требуется ввести следующие параметры: полное имя;

Далее, в процессе создания или регистрации локального пользователя необходимо включить его в группу «Пользователи». В окне закладки «Группы» отображены названия групп, в которые включен пользователь (рис. 24). По умолчанию, каждый новый пользователь входит в группу «Пользователи»

  1. Чтобы включить пользователя в определенную группу необходимо нажать «Добавить». Появится список всех групп пользователей, имеющихся в системе (кроме тех, в которые пользователь уже включен)
  2. В поле «Размещение» необходимо оставить значение «Локальный». В списке групп нужно выбрать «Пользователи».
  3. Завершающей операцией по созданию учетной записи пользователя является назначение пароля. Назначение пароля предлагается системой после заполнения всех необходимых параметров в окне создания учетной записи и нажатия кнопки «ОК»

Для создания пароля, отвечающего всем установленным требованиям политик безопасности, необходимо воспользоваться помощью генератора паролей системы защиты. Для этого нажать кнопку с надписью: «Генерация пароля». Система автоматически создаст случайный пароль, удовлетворяющий политикам сложности пароля, значение которого необходимо ввести в поля «Пароль» и «Подтверждение».

Перечень файлов VipNet Client и VipNet CSP.

источник

СЗИ Dallas Lock 8.0-K

Возможности

Сертифицированная система защиты конфиденциальной информации накладного типа. Предназначена для автономных персональных компьютеров и компьютеров в составе локально-вычислительной сети, в том числе под управлением контроллера домена.

Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.

Соответствует требованиям ФСТЭК России:

Сертификат № 2720 от 25 сентября 2012 г.

по 5 классу
защищенности
СВТ от НСД

«Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации»
(Гостехкомиссия России, 1992)

по 4 классу
защиты МЭ
(ИТ.МЭ.В4.ПЗ)

«Профиль защиты межсетевых экранов типа «В»
четвертого класса защиты» ИТ.МЭ.В4.ПЗ (ФСТЭК России, 2016)

по 4 классу
защиты СОВ
(ИТ.СОВ.У4.ПЗ)

«Профиль защиты систем обнаружения вторжений уровня узла
четвертого класса защиты» ИТ.СОВ.У4.ПЗ (ФСТЭК России, 2012)

по 4 классу
защиты СКН
(ИТ.СКН.П4.ПЗ)

«Профиль защиты средств контроля подключения съемных
машинных носителей информации четвертого класса защиты»
ИТ.СКН.П4.ПЗ (ФСТЭК России, 2014)

по 4 уровню
контроля
отсутствия НДВ

«Защита от несанкционированного доступа к информации.
Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия
недекларированных возможностей» (Гостехкомиссия России, 1999)

Назначение Dallas Lock 8.0-K

Защита информации в автоматизированных системах до класса защищенности 1Г включительно

«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992))

Защита информации в информационных системах 1 уровня защищенности персональных данных

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Защита информации в государственных информационных системах 1 класса защищенности

Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Защита информации в автоматизированных системах управления производственными и
технологическими процессами на критически важных объектах, потенциально опасных объектах,
а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для
окружающей природной среды, 1 класса защищенности

Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Защита информации в значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории включительно

Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Необходимо защитить Гос. тайну?

Ключевые возможности Dallas Lock 8.0-K

Защита конфиденциальной информации от несанкционированного доступа на персональных, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС. Поддерживает виртуальные среды;

Дискреционный принцип разграничения доступа к информационным ресурсам и подключаемым устройствам в соответствии со списками пользователей и их правами доступа (матрица доступа);

Аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий;

Контроль целостности файловой системы, программно-аппаратной среды
и реестра ;

Объединение защищенных ПК для централизованного управления механизмами
безопасности;

Приведение АС, ГИС, АСУ ТП, КИИ и систем обработки ПДн в соответствие законодательству РФ по защите информации;

Собственные механизмы управления информационной безопасностью, подменяющие (дублирующие) механизмы операционной системы;

Эмулятор среды исполнения («песочница»), в котором можно запустить любое программное обеспечение и протестировать его в изолированной, защищённой среде. Ресурсы операционной системы при этом будут в безопасности.

Решите проблемы безопасности быстро и эффективно

В компании используются физические машины различного вида: ПК, ноутбуки, планшеты, есть сервер. Нужно единое решение для защиты всех устройств.

Есть необходимость отслеживать действия пользователей в автоматизированной системе.

Существует вероятность несанкционированного запуска, изменения, установки или удаления программ или файлов, в том числе с использованием сети Интернет.

В инфраструктуре более 50 машин и их количество растет. Необходимо периодически проводить оперативное внедрение СЗИ от НСД.

Необходимо выполнить требования ФСТЭК России в части защиты информации от НСД для прохождения аттестации информационной системы.

Сотрудники имеют одинаковые права доступа ко всей информации автоматизированной системы. Необходимо создать систему разграничения прав доступа с простым и понятным администрированием.

Нужна комплексная защита, в том числе от угроз со стороны сетей и угроз, связанных с использованием накопителей.

В организации принято решение об обязательной двухфакторной аутентификации пользователя при входе в ОС.

Необходимо создать замкнутую программную среду для защиты данных.

Необходимо обеспечить очистку остаточной информации и теневое копирование распечатываемых документов.

Надежная защита от НСД
с использованием современных инструментов

Набор подключаемых модулей
для дополнительной защиты от угроз ИБ

Предназначен для защиты рабочих станций и серверов от несанкционированного доступа посредством осуществления контроля и фильтрации, проходящих через сетевые интерфейсы ПК сетевых пакетов в соответствии с заданными правилами.

Обеспечивает контроль использования интерфейсов ввода/вывода СВТ, подключения внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации.

Предназначена для обнаружения и блокирования несанкционированного доступа или специальных воздействий на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, а также со стороны внутренних нарушителей.. Анализирует поведение приложений, журналы операционной системы и прикладного ПО.

Простое внедрение в сложных инфраструктурах
Сервер Безопасности (СБ) + Менеджер СБ + Сервер лицензий

Сервер безопасности позволяет объединять защищаемые компьютеры в Домен безопасности для централизованного и оперативного управления. Обеспечивает централизованное управление пользователями и группами пользователей на клиентах, политиками безопасности клиентов. Позволяет собирать журналы безопасности с клиентов, просматривать их состояние.

Менеджер СБ позволяет управлять несколькими Серверами безопасности через единую консоль.

Сервер лицензий позволяет гибко распределять квоты клиентских лицензий между Серверами безопасности и создавать отказоустойчивые терминальные системы и кластеры безопасности.

Результат — полная защита не только конечной точки, но и всей инфраструктуры на базе СЗИ от НСД Dallas lock 8.0-К и сопутствующих решений.

Протестируйте комплексную защиту Dallas Lock прямо сейчас

Ответим на любые вопросы по продукту

Обзор и практическая демонстрация СЗИ Dallas Lock 8.0

Полный список вопросов и ответов по СЗИ Dallas Lock

Обеспечивается идентификация и аутентификация локальных, доменных, терминальных и удаленных пользователей на этапе входа в операционную систему.

Для гибкой настройки всех защитных механизмов СЗИ в качестве интерфейсов взаимодействия предоставляются современные графические оболочки администрирования (администратора на клиенте, Сервера безопасности, Менеджера серверов безопасности) с интуитивно понятным управлением.

Обеспечивается контроль целостности объектов файловой системы и реестра, программно-аппаратной среды, периодическое тестирование СЗИ, проверка наличия средств восстановления СЗИ, а также восстановление файлов и веток реестра в случае нарушения их целостности.

Может производиться аварийное отключение системы защиты в ручном режиме или в автоматическом с помощью диска восстановления.

Производится регистрация событий, касающихся безопасности, и их группировка в зависимости от типов событий, подлежащих протоколированию, также задается степень детализации аудита и другие факторы.

Реализуется дополнительная защита информации от утечек путем преобразования защищаемых объектов в формат, исключающий несанкционированное ознакомление с ней.

Реализуются собственные механизмы, направленные на контроль доступа пользователей в операционную систему и к защищаемым объектам – объектам файловой системы и реестра, к устройствам.

Предназначена для обнаружения и блокирования несанкционированного доступа или специальных воздействий на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, а также со стороны внутренних нарушителей.. Анализирует поведение приложений, журналы операционной системы и прикладного ПО.

Предназначен для защиты рабочих станций и серверов от несанкционированного доступа посредством осуществления контроля и фильтрации, проходящих через сетевые интерфейсы ПК сетевых пакетов в соответствии с заданными правилами.

Обеспечивает контроль использования интерфейсов ввода/вывода СВТ, подключения внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации.

С полным описанием каждого компонента системы
вы можете ознакомиться в руководстве по эксплуатации Dallas Lock 8.0-К

Новое в СЗИ Dallas Lock 8.0-К (инспекционный контроль в мае 2019):

  • Программный модуль «Сервер конфигураций Dallas Lock».
  • Автоматическое сохранение файла конфигурации Сервера безопасности по расписанию.
  • Агрегация событий НСД по разнородным клиентам домена безопасности: «Windows», «Linux», «СДЗ».

Подсистема обеспечения целостности

  • Опциональная установка проверки цифровой подписи объектов файловой системы, находящихся под контролем целостности, при их обновлении.
Читайте также:  Установка active directory certificate services 2012

Подсистема регистрации и учёта

  • Автоматическая архивация журнала по истечении установленного интервала времени.

Централизованное управление

  • Доработана ролевая модель управления.
  • Опциональная возможность включения контроллеров домена ОС Windows в Домен безопасности.
  • Тесная интеграция управления пользователями домена безопасности с управлением пользователями Active Directory (далее — AD).
  • Одновременное подключение нескольких консолей администрирования.
  • Включение клиентской части СЗИ в Домен безопасности по IP-адресу.
  • Гибкое распределение групп пользователей по клиентам и группам дерева в консоли администрирования Сервера безопасности.
  • Индикация «неактивного режима» в дереве клиентов.
  • Отображение сообщений об окончании удаленной установки клиентской части СЗИ для ТС, на который была произведена удаленная установка.
  • Репликация настроек СДЗ Dallas Lock (далее — СДЗ) при кластеризации серверов безопасности.
  • Опциональная возможность включения Серверов безопасности в Домен безопасности.

Межсетевое экранирование

  • Информирование о возможности обновления сигнатур и «черного списка» IP-адресов.
  • Активация более жестких правил МЭ при отсутствии на защищаемом ТС антивируса, обновлений или при нарушении контроля целостности.
  • Фильтрация по HTTP-заголовку для выявления аномальности трафика.
  • «Пакетное» управление правилами МЭ.
  • Анализ типов данных по расширению в сетевом трафике (текст, таблицы, видео, аудио) за счет анализа MIME – заголовка.
  • Оптимизация режима обучения в части создания правил.
  • Запись в журнал соответствующего события, в случае деинсталляции драйвера МЭ при активном компоненте, а также защита в соответствии с установленными политиками.
  • Гибкость настройки правил МЭ за счет возможности задавать и анализировать командную строку.
  • Вывод всплывающего детализированного уведомления при блокировке соединения.
  • Использование технологии «WFP» в ОС Windows 7 и выше для блокирования, журналирования протоколов.
  • Добавлены дополнительные фильтры: «PDF», «Postscript», «Java», «OpenVPN».

Система обнаружения вторжений

  • Запуск процессов в безопасной среде («Песочница»).
  • Импорт и обновление «черного списка» URL-адресов из внешнего «*.txt» файла.
  • В журнал трафика добавлено поле «Внешнее имя».
  • Защита службы СОВ от неавторизированного останова.
  • Гибкость настройки правил СОВ за счет возможности задавать и анализировать командную строку для процессов.

Новое в СЗИ Dallas Lock 8.0-К (инспекционный контроль в апреле 2018):

Доработки клиента СЗИ в части базовой функциональности

  • Реализована функциональная возможность автоматическим образом ограничивать доступ к теневой копии, сделанной СЗИ при копировании секретного документа на сменный машинный носитель.
  • Реализовано гибкое управление блокировкой системных пользователей.

Централизованное управление

  • Выполнено улучшение функциональных возможностей в части обработки событий НСД на СБ (отображение, обработка, статистика).
  • Реализована возможность централизованного управления номерами лицензий и кодами технической поддержки клиентов Linux.
  • Выполнено улучшение мастера удаленной установки.
  • Реализована возможность централизованного управления контролем целостности объектов ФС, системного реестра.

Межсетевое экранирование

  • Реализована дополнительная возможность записи в журнал пакетов МЭ не принадлежащих существующим соединениям (out-of-state).
  • Расширена возможность выполнения самотестирования функциональных возможностей МЭ в части сетевого функционала.
  • Улучшена обработка трансляции сетевых пакетов (NAT).
  • Реализован режим «обучения» для настройки МЭ.
  • Реализована фильтрация содержимого при обращении к веб-сайтам (включая HTTPS).
  • Реализована возможность оперативно временно полностью разрешить или заблокировать все сетевые пакеты из контекстного меню.
  • Реализована возможность установки доменных имен вместо IP-адресов для правил МЭ.
  • Реализован режим «наблюдения» за журналами в реальном времени.
  • Реализована возможность выполнения групповых операций над правилами МЭ.
  • Увеличена детализация аудита событий (какие настройки были и на какие были изменены).
  • Выполнено улучшение подсистемы аудита в части детализации редактирования политик на Сервере Безопасности.

Система обнаружения вторжений

  • Реализовано регулярное сопровождение (наполнение, редактирование, актуализация, улучшение механизмов) базы сигнатур.
  • Реализован редактируемый уровень тревожности для правил контроля приложений.
  • Реализована возможность настройки исключений в части реализации возможности указания MAC и IP адресов в одном исключении одновременно.
  • Реализована детализация сообщений в уведомлениях о НСД на СБ клиентов (детализации в части какая именно атака сработала).
  • Реализована возможность более детально настраивать аудит контроля приложений для фиксации в журнале только значимых событий, через возможность настройки аудита для каждого отдельного правила подсистемы контроля приложений.
  • Реализована возможность маскирования датчиков СОВ («маскирование» — это механизм сокрытия факта использования СОВ на ПК от пользователя, который на нем работает).
  • Реализован контроль целостности базы решающих правил СОВ (сигнатур журналов, трафика).
  • Реализована возможность сохранения отфильтрованной информации из журналов после применения фильтрации.
  • Выполнено улучшение механизма контроля приложений в части процедуры настройки правил контроля приложений и редактирования режима работы.

Новое в СЗИ Dallas Lock 8.0-К (инспекционный контроль в июле 2017):

  • Список поддерживаемых современных ОС дополнен Windows Server 2016 и Windows 10 Creators Update.
  • Реализована интеграция с журналами антивирусной активности, которая позволяет:
    — определять наличие и версию установленного антивируса;
    — анализировать журнал событий антивируса;
    — оповещать об обнаружении вирусных угроз.
  • Функциональность Системы обнаружения вторжений (СОВ) выделена в отдельный модуль СЗИ. Приобретение и активация возможна без Межсетевого экрана Dallas Lock 8.0-К.
  • Функциональность Средства контроля съемных носителей информации (СКН) выделена в отдельный модуль.

Администрирование

  • Список поддерживаемых аппаратных идентификаторов дополнен смарт-картами и USB-ключами ESMART.
  • Возможность использования NFC-меток в качестве средств опознавания пользователей.

Подсистема управления доступом

  • Возможность контроля устройств, подключаемых к терминальному серверу с RDP-клиентов (контроль перенаправления устройств).

Централизованное управление

  • Возможность управления (регистрации) сменными накопителями через консоль СБ.
  • Интеграция с СЗИ НСД Dallas Lock Linux:
    — синхронизация политик безопасности;
    — выгрузка журналов клиентских подключений СЗИ НСД Dallas Lock Linux во внешнюю СУБД (SQL);
    — синхронизация учетных записей пользователей в рамках защищаемого контура;
    — удаленное развертывание и удаление клиентских частей СЗИ НСД Dallas Lock Linux.
  • Интеграция со Средством доверенной загрузки (СДЗ) Dallas Lock:
    — централизованное управление клиентскими подключениями Средства доверенной загрузки из консоли Сервера безопасности;
    — возможность использования времени из часов аппаратной платы для регистрации событий безопасности.
  • Добавлена графическая панель мониторинга защищенности системы (защищаемого контура).
  • Интеграция с SIEM-системами (поддержка «Syslog»):
    — реализована новая политика аудита, позволяющая настроить возможность экспорта событий СЗИ на внешний сервер по протоколу «Syslog».
  • Возможность формирования отчета (на Сервере безопасности) о событиях НСД, произошедших в рамках защищаемого контура.

Новое в СЗИ Dallas Lock 8.0-K (инспекционный контроль в январе 2016):

  • Список поддерживаемых современных ОС дополнен ОС Windows 10.
  • Отдельный модуль для работы с преобразованными файлами-контейнерами.
    Модуль обеспечивает работу с преобразованными файлами-контейнерами на ПК, где не установлена СЗИ Dallas Lock. Поставка модуля осуществляется по запросу клиента.
  • Добавлены новые возможности, направленные на упрощение работы по администрированию и сопровождению системы защиты, а также на соответствие новым требованиям и рекомендациям регуляторов в области защиты информации.
  • Проверка наличия обновлений.
    Возможность администратору безопасности организации проверить актуальность текущей версии СЗИ Dallas Lock.
  • Реплицирование серверов безопасности.
    Повышение отказоустойчивости и производительности системы безопасности.
  • Сервер лицензий.
    Реализована возможность совместной работы с сервером лицензий.
  • Расширение механизмов лицензирования.
    Поддержка аппаратного ключа Rutoken в качестве средства хранения лицензирований.

Подсистема управления доступом

  • Настройка расписания работы пользователей.
  • Аппаратная идентификация. Расширен список поддерживаемых аппаратных идентификаторов: в качестве средств опознавания пользователей есть возможность использования карт HID Proxymity.

Аудит

  • Интеграция с SIEM-системами.
    Подсистема аудита Dallas Lock 8.0-К расширена новым параметром, включение которого осуществляет возможность интеграции с SIEM-системами (экспорт по расписанию и/или с периодом журналов СЗИ в журналы ОС).
  • Возможность гибкой настройки произвольного штампа при печати.

Новое в СЗИ Dallas Lock 8.0-K (инспекционный контроль в ноябре 2014):

Подсистема управления доступом

  • Учетные записи.
    Реализовано создание учетных записей на основании уже созданной учетной записи пользователя, т. е. для вновь созданной учетной записи копируются все настроенные свойства, но пароль устанавливается индивидуально.
    Заблокированные учетные записи пользователей выделены в отдельную категорию. В списке заблокированных пользователей отображается время блокировки и разблокировки, имеется возможность разблокировать всех или выделенных пользователей.
  • Контроль доступа к принтерам.
    Реализовано разграничение доступа пользователей к принтерам (локальным и сетевым), которые установлены на данном ПК. Разграничение доступно на уровне класса устройств «Принтеры» и на уровне отдельно взятого устройства. Разграничение доступно дискреционным принципом. Доступно ведение аудита доступа к принтерам.
  • Контроль доступа к реестру.
    Реализован контроль доступа к веткам реестра: разграничение доступа мандатным и дискреционным принципами, установка аудита и контроля целостности с учетом или без учета вложенных веток.
    Реализовано восстановление ветки реестра при поврежденной целостности до состояния, когда целостность была установлена.
  • Преобразованные файл-диски.
    Реализован механизм работы на преобразованных файл-дисках.
    Особенность данного механизма в том, что данные файл-диски могут подключаться (монтироваться и демонтироваться) в ОС Windows как логические диски, иметь свою букву диска и определенный объем. В то же время информация на таком диске будет преобразованной, преобразование же будет происходить параллельно работе на этом диске с учетом выбранного алгоритма преобразования.
  • Работа со сменными накопителями.
    Для удобства администрирования (установки прав доступа, аудита и контроля целостности) сменных накопителей в модулях администрирования в категориях контроля файловой системы выделена категория «Сменные накопители».
    Для удобства мониторинга и контроля большого количества сменных накопителей в организации (например, при использовании более 30-40 идентификаторов в сети) реализована функция присвоения описания сменному накопителю. После присвоения описания оно отображается в списке объектов доступа и журналах вместо серийного номера накопителя.

Централизованное управление

  • Реализована возможность авторизации в Консоли сервера безопасности для администрирования самого Сервера безопасности с определёнными правами:
  • для возможности осуществлять полную настройку и установку параметров безопасности на СБ;
  • для возможности осуществлять только аудит (просмотр) настроенных параметров безопасности на СБ.
  • Для удобства администрирования в обновленной версии реализован гибкий механизм наследования настроенных параметров безопасности для клиентов, групп и подгрупп клиентов, в то же время имеется возможность настройки оригинальных параметров для индивидуальных клиентов, групп или подгрупп.
Читайте также:  Установка аппаратов для пополнения счета

Новое в СЗИ Dallas Lock 8.0-K (инспекционный контроль в мае 2014):

  • Список поддерживаемых современных ОС дополнен новыми версиями: Windows 8.1 и Windows Server 2012 R2. Доработана корректная поддержка входа в ОС по сертификату смарт-карты, выданному удостоверяющим центром Windows.
  • Терминальный доступ.
    СЗИ Dallas Lock 8.0-К позволяет осуществлять полноценную защиту терминального сервера, предоставляющего вычислительные ресурсы терминальным клиентам. По умолчанию после установки Dallas Lock 8.0-К ограничивает число разрешенных терминальных подключений до двух.
    Обновленная версия Dallas Lock 8.0-К позволяет увеличить количество разрешенных терминальных подключений, для чего используется специальный аппаратный ключ eToken, содержащий значение максимального количества терминальных подключений, который необходимо предъявить на терминальном сервере.

Подсистема управления доступом

  • Сессии-исключения.
    Реализован механизм регистрации сессий программного обеспечения, которые необходимы для корректной работы в режиме совместимости. Зарегистрированные в Dallas Lock 8.0-К сессии называются «сессии-исключения», их список отображается на отдельной вкладке и доступен для редактирования.
  • Аппаратная идентификация.
    Расширен список поддерживаемых аппаратных идентификаторов: в качестве средств опознавания пользователей есть возможность использовать USB-ключи JaCarta — JaCartaGOST и JaCartaPKI.
    Реализована возможность определения принадлежности аппаратного идентификатора.
    В обновленной версии Dallas Lock 8.0-К аппаратные идентификаторы могут использоваться не только для авторизации пользователя и создания преобразованных файлов-контейнеров, но и при создании ключа преобразования сменных накопителей (см. ниже).
  • Использование модуля доверенной загрузки на планшетных ПК.
    Модуль доверенной загрузки уровня загрузочной записи в обновленной версии Dallas Lock 8.0-К помимо стандартного BIOS корректно отрабатывает на ПК с материнскими платами, поддерживающими UEFI-интерфейс и GPT-разметку жесткого диска.
    Для случаев установки Dallas Lock 8.0-К на планшетный ПК с сенсорным экраном реализована возможность отображения виртуальной клавиатуры для ввода PIN-кода.
    Условием поддержки сенсорного ввода в загрузчике на планшетных ПК является возможность сенсорного ввода в BIOS. В случае непредвиденной активации загрузчика на планшетном компьютере, не поддерживающем сенсорный ввод в BIOS, можно обойти ввод PIN-кода в загрузчике, активировав функцию автоматического входа в загрузчике для определенного PIN-кода через оболочку администратора.
  • Права доступа к сменным накопителям.
    Используется наиболее надежный способ идентификации сменных USB-Flash-накопителей для определения устройства при назначении к нему прав доступа. В списке дескрипторов и журналов формат устройства определяется из названия типа накопителя и его номера.
  • Настройка мандатного доступа в автоматическом режиме.
    Настройка мандатного доступа для корректной работы пользователей с установленным ПО упрощена автоматической настройкой. В автоматическом режиме данная настройка представляет собой применение определенного шаблона мандатного доступа с помощью специальной встроенной утилиты.
  • Дополнительные режимы доступа: неактивный режим.
    Реализован особый механизм контроля доступа к ресурсам – «неактивный режим». Включение и настройка «неактивного режима» приводит к полному отключению подсистем и модулей СЗИ Dallas Lock 8.0.
  • Разграничение доступа к буферу обмена.
    Реализован механизм изолированных процессов, который позволяет исключить возможность копирования информации через буфер обмена при терминальном подключении к удалённому компьютеру.
  • Контроль устройств.
    Реализованы механизмы контроля устройств. Основная задача данной функции — возможность разграничения доступа к подключаемым на ПК устройствам для определенных пользователей или их групп и ведения аудита событий доступа.
    Разграничение доступа и ведение аудита возможно как для классов устройств, так и для конкретных экземпляров. Список классов фиксирован и одинаков для всех защищённых ПК. Список устройств на каждом ПК индивидуальный и составляется из значений в локальной ОС.
  • Преобразование сменных накопителей.
    Реализована возможность преобразования сменных накопителей. Данная функция представляет собой создание с помощью ключа криптографического преобразования такого накопителя, на котором работа с информацией возможна строго на рабочих станциях, защищенных Dallas Lock 8.0, при условии наличия и совпадения ключа преобразования.
    Дополнительно параметрами безопасности можно определить, какие пользователи с какими правами могут работать с преобразованными накопителями, а какие – нет. Для этого используется механизм глобальных дескрипторов, механизм дискреционного и мандатного доступов.

Аудит

  • Подсистема аудита Dallas Lock 8.0-К расширена новым параметром, включение которого позволяет вести аудит событий попыток входа на другие компьютеры.
    Также с появлением новых механизмов расширен список параметров аудита прав пользователей «Аудит: Просмотр теневых копий распечатываемых документов» и «Аудит: Просмотр теневых копий файлов».
    При экспорте записей журналов в новой версии Dallas Lock 8.0-К реализована возможность сохранять файлы в форматах XML, HTML.
    Реализована поддержка работы Dallas Lock 8.0-К с архивированными журналами от предыдущих сертифицированных версий (Dallas Lock 8.0-К редакции «K» v45, Dallas Lock 8.0-К редакций «K», «C» v131, Dallas Lock 7.7).
  • Создание паспорта аппаратной части ПК.
    Реализована функция, позволяющая пользователю, наделенному соответствующими полномочиями, сформировать отчет со списком и характеристиками установленных на данном компьютере устройств.
  • Теневое копирование.
    Функция теневого копирования обеспечивает копирование информации, которую пользователь записывает на сменные или сетевые накопители, в специальную папку на локальном жестком диске и ее перенос на Сервер безопасности (при централизованном управлении) (для ПК в составе Домена безопасности) для последующего анализа.

Очистка остаточной информации

  • Проверка очистки информации.
    Добавлен параметр «Проверять очистку информации». Его включение означает, что после проведения очистки объектов ФС выполняется проверка того, что очистка действительно осуществлена. В журнале отображается соответствующее событие.

Контроль целостности

  • Восстановление файла в случае нарушения его целостности.
    Файл, у которого установлена целостность (рассчитаны контрольные суммы) и отмечено свойство «Восстановить в случае нарушения», после попытки несанкционированного изменения будет восстановлен до исходного состояния, для которого рассчитана целостность. Восстанавливается содержимое файла и его атрибуты.
  • Контроль целостности папок.
    Контроль целостности для папок устанавливается таким же образом, как и для файлов, с помощью окна прав доступа, вызванного через контекстное меню или оболочку администратора.
    Важной особенностью является наличие при установке целостности папки свойства «Включая вложенные папки».
    • Если данное свойство не отмечено, то контроль целостности будет распространяться только на содержимое корневой папки. Изменение содержимого вложенных папок к нарушению целостности корневой папки не приведет.
    • Если данное свойство отмечено, то помимо корневой папки, на которую назначен контроль целостности, он будет распространяться и на содержимое внутренних папок.
  • Контроль целостности реестра.
    С помощью политик контроля целостности на вкладке «Параметры безопасности» устанавливается периодичность и расписание контроля целостности для веток реестра.
    После установки целостности в списке контролируемых веток реестра появится новая запись.
    Моменты, когда осуществляется контроль целостности реестра, так же, как и для объектов ФС и программно-аппаратной среды, определяются политиками целостности: «Проверять целостность при загрузке ОС», «Периодический контроль», «Контроль по расписанию». Также контроль целостности реестра осуществляется по команде администратора (в оболочке администратора кнопка «Проверить»).

Централизованное управление

  • Управление клиентами.
    Функциональные возможности Консоли сервера безопасности дополнены централизованной возможностью блокировки пользователей на клиентских ПК и возможностью завершения сеанса работы пользователей на клиентских ПК, а также включением на клиентских ПК «неактивного режима» Dallas Lock 8.0.
    Реализована возможность централизованной настройки считывателей аппаратных идентификаторов на клиентских ПК.
    Полученные с клиентов журналы в обновленном СБ не хранятся по отдельности, а собираются в непрерывные журналы событий по типам. Новые записи присоединяются к предыдущим до их максимального количества.
  • Сигнализация об НСД.
    Список событий несанкционированного доступа, при которых происходит сигнализация на Сервере безопасности, дополнены событиями доступа к устройствам: попытки монтирования и работы при запрете доступа. События сигнализации отображаются в полученных с клиентов журналах и в отдельном окне состояния клиента «События НСД».
    Полученные оповещения о сигнализации об НСД на Сервере безопасности также отображаются и на Менеджере серверов безопасности.
  • Управление ключами преобразования.
    С помощью Сервера безопасности реализована возможность централизованного управления списком ключей преобразования для клиентских ПК: создание, редактирование, удаление ключей, формирование списка ключей для всего Домена безопасности, для группы клиентов и отдельного клиентского ПК.
  • Возможность централизованного обновления версий.
    С помощью механизмов централизованной удаленной установки СЗИ НСД с Сервера безопасности в обновленной версии Dallas Lock 8.0-К появилась возможность централизованного обновления сертифицированных версий.
    В помощь администратору при сканировании через функцию СБ в списке обнаруженных в ЛВС компьютеров помимо имен для защищенных Dallas Lock 8.0-К компьютеров дополнительно определяется версия Dallas Lock 8.0. Дополнить список ПК для обновления теперь также можно, воспользовавшись сохраненным файлом списка клиентов СБ Dallas Lock 7.7.
  • Визуализация сети.
    В возможности Сервера безопасности добавлена визуализация сети, защищаемой Dallas Lock 8.0.
    В отдельной вкладке Консоли сервера безопасности есть возможность просмотреть блок-схему объектов Домена безопасности, сохранить схему в файл, а также выполнить некоторые действия с клиентами СБ (подключиться, синхронизировать и т. д.).

При установке или обновлении СЗИ Dallas Lock 8.0-К запрашивается код технической поддержки. При обновлении СЗИ ввод кода технической поддержки обязателен. При установке СЗИ ввод кода можно пропустить и ввести его позже, в процессе эксплуатации СЗИ.

Действующий код технической поддержки является условием предоставления помощи в установке и настройке СЗИ НСД специалистами компании-разработчика, а также условием доступа к сертифицированным обновлениям.

По истечению срока действия технической поддержки система оповещает пользователя о его окончании.

Реализована возможность обновления до версии СЗИ Dallas Lock 8.0-К, прошедшей инспекционный контроль, с предыдущих версий Dallas Lock. Обновление доступно для версий «7.5», «7.7» и более ранних редакций версии «8.0-К» (до прохождения ИК). Для клиентов с действующим кодом техподдержки обновление предоставляется бесплатно.

СЗИ Dallas Lock 8.0-К сертифицирована ФСТЭК России на соответствие 5 классу защищенности СВТ от НСД, 4 классу защиты МЭ (ИТ.МЭ.В4.ПЗ), 4 классу защиты СОВ (ИТ.СОВ.У4.ПЗ), 4 классу защиты СКН (ИТ.СКН.П4.ПЗ), 4 уровню контроля отсутствия НДВ.

источник