Меню Рубрики

Установка secret net удаленно

Установка и настройка СЗИ Secret Net Studio в автономном режиме

Установка и настройка СЗИ Secret Net Studio в автономном режиме

Программное обеспечение системы защиты информации Secret Net Studio поставляются на установочном компакт диске. В корневом каталоге данного диска размещается исполняемый файл программы для работы с диском. Запустить установку Secret Net Studio можно как с помощью программы автозапуска, так и непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Client\Setup\Client\x64\SnSetup.ru-RU.exe.

Установку компонентов Secret Net Studio можно выполнять при работе на компьютере как в локальной сессии, так и в терминальной. Установка любого компонента должна выполняться пользователем, входящим в локальную группу администраторов компьютера.

Для установки клиента:

  1. Вставьте в привод установочный диск системы Secret Net Studio. Дождитесь появления окна программы автозапуска (см. стр.10) и запустите установку с помощью команды «Защитные компоненты». На экране появится диалог принятия лицензионного соглашения.
  2. Ознакомьтесь с содержанием лицензионного соглашения и нажмите кнопку «Принимаю». На экране появится диалог для выбора режима работы компонента.
  1. В поле «Режим работы» укажите режим функционирования клиента — автономный («Автономный режим»).
  2. Нажмите кнопку «Далее >». На экране появится диалог для выбора лицензий и формирования списка устанавливаемых защитных подсистем.

  1. В диалоге укажите метод получения лицензий:
  • чтобы загрузить лицензии из файла (в частности, при установке клиента в автономном режиме функционирования) — установите отметку в поле «ввести новую лицензию».

Если строите систему защиты в ЦОД, рассмотрите вариант размещения сервера в стойке в компании «Микс Телеком». Требуйте скидку при переезде из другого ЦОД!

  1. Нажмите кнопку «Выбрать». Если указан метод получения лицензий из файла, выберите нужный файл в появившемся диалоге. После загрузки данных в диалоге появятся сведения о лицензиях.
  2. Отметьте в списке устанавливаемые подсистемы, для которых имеются свободные лицензии (установку компонента «Базовая защита» отключить нельзя). При наличии нескольких групп лицензий для компонента, можно выбрать нужную группу в раскрывающемся списке.
  3. Нажмите кнопку «Далее >». На экране появится диалог для выбора папки установки клиента и настройки параметров подключений.
  4. В поле «Установить в папку» оставьте заданную по умолчанию папку установки клиента или укажите другую папку назначения.
  5. Используйте ссылки в разделе «Дополнительно» для выполнения следующих действий:
  • чтобы сохранить заданные параметров установки в файле — выберите ссылку «Сохранить сценарий установки». Файл сценария установки можно использовать для автоматизации процесса установки клиентского ПО на других компьютерах;
  • чтобы ввести сведения о компьютере для учета — выберите ссылку «Учетная информация компьютера».
  1. По окончании настройки параметров нажмите кнопку «Готово».

Начнется процесс установки защитных подсистем в соответствии с заданными параметрами.

  1. После завершения всех операций установки нажмите кнопку «Далее».

На экране появится завершающий диалог со сведениями о выполненных операциях и предложением перезагрузить компьютер.

  1. Проверьте состав подключенных к компьютеру устройств. Если подключены устройства, которые в дальнейшем должны быть запрещены к использованию, — отключите их.

Внимание!
При первой загрузке компьютера после установки клиентского ПО текущая аппаратная конфигурация автоматически принимается в качестве эталонной. Поэтому до перезагрузки необходимо отключить те устройства, которые должны быть запрещены к использованию на данном компьютере.

  1. Перезагрузите компьютер и дождитесь загрузки системы.

Настройка программного обеспечение системы Secret Net Studio будет организованна согласно требованиям, к настройкам политик безопасности, приведенной в таблице 1.

Настройки подсистем
Политика Параметр безопасности
Вход в систему: Запрет вторичного входа в систему отключен
Вход в систему: Количество неудачных попыток аутентификации 5 попыток
Вход в систему: Максимальный период неактивности до блокировки экрана 10 минут
Вход в систему: Реакция на изъятие идентификатора блокировать станцию при изъятии любого идентификатора
Вход в систему: Режим аутентификации пользователя стандартная аутентификация
Вход в систему: Режим идентификации пользователя смешанный
Журнал: Максимальный размер журнала системы защиты 4096 кБ
Журнал: Политика перезаписи событий затирать по необходимости
Затирание данных: Количество циклов затирания конфиденциальной информации 3
Затирание данных: Количество циклов затирания на локальных дисках 3
Затирание данных: Количество циклов затирания на сменных носителях 3
Контроль печати: Маркировка документов стандартная обработка
Контроль печати: Теневое копирование определяется настройками устройства
Контроль устройств: Теневое копирование определяется настройками устройства
Полномочное управление доступом: Названия уровней конфиденциальности Неконфиденциально, Конфиденциально, Строго конфиденциально
Полномочное управление доступом: Режим работы контроль потоков отключен
Теневое копирование: Размер хранилища размер: 20%, автоматическая перезапись отключена
Политика паролей
Политик Параметр безопасности
Макс. срок действия пароля 90 дней
Мин. длина пароля 8 символов
Мин. срок действия пароля 0 дней
Пароль должен отвечать требованиям сложности Включен

К группе локальной защиты относятся подсистемы, реализующие применение

  • следующих механизмов защиты:
  • контроль устройств;
  • контроль печати;
  • замкнутая программная среда;
  • полномочное управление доступом;
  • дискреционное управление доступом к ресурсам файловой системы;
  • затирание данных;
  • защита информации на локальных дисках;
  • шифрование данных в криптоконтейнерах.

Все настройки Secret Net Studio производятся в локальном центре управления (Пуск -> Код Безопасности -> Локальный центр управления). Локальный центр управления – это плиточная панель настроек.

Для настроек базовых параметров нажмите на плитку: Вход в систему (помечен оранжевой единицей) -> Перейдите по ссылке: Перейти к настройкам подсистемы. В открывшемся окне, установите значения общих политик и парольной политике согласно таблице 1.

Настройки параметров парольной политики:

Параметры блокировок и реакции на извлечение идентификатора:

После внесения изменений нажмите кнопку применить:

На данном этапе базовая настройка программного обеспечения системы защиты информации Secret Net Studio закончена. В следующем материале будет рассмотрена сетевая установка Secret Net Studio, средствами сервера безопасности и расширенная настройка политик безопасности.

источник

Средства защиты информации и где дёготь

Предисловие

Основные инструменты

В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:

  • Secret Net от компании «Код безопасности»
  • Страж NT от НПЦ «Модуль»
  • Ранее упомянутый Dallas Lock

Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock’а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Secret Net

Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

источник

Установка ПО Secret Net Studio

Установка ПО Secret Net Studio

В статье показано как установить комплексное решение Secret Net Studio для защиты рабочих станций и серверов на уровне данных, приложений, сети, ОС и периферийного оборудования. Данный программный продукт пришел на смену известного СЗИ Secret Net 7 версии. Теперь это комбайн различных защитных механизмов. При использовании соответствующих подсистем (в зависимости от используемой лицензии) изделие обеспечивает:
защиту от несанкционированного доступа к информационным ресурсам компьютеров, контроль устройств, подключаемых к компьютерам, обнаружение вторжений в информационную систему, антивирусную защиту, межсетевое экранирование сетевого трафика, авторизацию сетевых соединений.

Состав устанавливаемых компонентов

Система Secret Net Studio состоит из следующих программных пакетов, устанавливаемых на компьютерах:

  1. «Secret Net Studio» (далее — клиент).
  2. «Secret Net Studio — Сервер безопасности» (далее СБ).
  3. «Secret Net Studio — Центр управления» (далее — программа управления).

Для установки клиента в сетевом режиме функционирования компьютер должен быть включен в домен Active Directory. Системный каталог ОС Windows %SystemRoot% должен располагаться на томе с файловой системой NTFS или NTFS5. Установка клиента в сетевом режиме функционирования может выполняться централизованно под управлением сервера безопасности. В этом случае в брандмауэре, если он включен, необходимо разрешить использование портов для доступа к общим ресурсам: 137, 138, 139, 445. Данные порты по умолчанию закрыты брандмауэром при отсутствии на компьютере сетевых папок общего доступа.

Компонент «Secret Net Studio — Сервер безопасности» реализует функции контроля и управления защищаемыми компьютерами при условии их подчинения. Серверу могут быть подчинены компьютеры с установленным клиентом Secret Net Studio. Сервер безопасности устанавливается на компьютеры, включенные в домен Active Directory и работающие под управлением следующих ОС Windows Server 2012/Server 2012 R2 и Windows Server 2008 R2 SP1. Для функционирования компонента требуется наличие системы управления базами данных, реализуемой сервером СУБД MS SQL. Сервер безопасности и сервер СУБД могут быть установлены на разных компьютерах (рекомендуется) или на одном компьютере. В состав ПО сервера безопасности входит отдельное приложение — сервер авторизации. Данное приложение обеспечивает работу механизмов межсетевого экрана и авторизации сетевых соединений. Сервер авторизации устанавливается и удаляется вместе с ПО сервера безопасности.

Компонент «Secret Net Studio — Центр управления» устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами. Программа осуществляет взаимодействие с сервером безопасности, через который выполняются необходимые действия. Центр управления устанавливается на компьютеры, включенные в домен Active Directory.

Перед установкой компонентов системы Secret Net Studio для централизованного управления необходимо выполнить действия по подготовке к созданию доменов безопасности и сетевой структуры. Сведения о доменах безопасности и сетевой структуре системы Secret Net Studio.

Состав подготовительных действий:

  1. Домены безопасности будут формироваться на базе организационных подразделений, подготовьте организационные подразделения и включите в них нужные компьютеры.
  2. Для каждого леса доменов безопасности создайте группу пользователей, которая будет указана в качестве группы администраторов леса. Пользователи, входящие в группу администраторов леса доменов безопасности, будут обладать правами на создание новых доменов безопасности в соответствующем лесу.
  3. Создайте группы пользователей, которые будут указаны в качестве групп администраторов доменов безопасности.

Программное обеспечение системы Secret Net Studio поставляются на установочном диске. В корневом каталоге диска размещается исполняемый файл программы для работы с диском. Запустить установку компонентов Secret Net Studio можно как с помощью программы автозапуска, так и непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\.
Установку компонентов Secret Net Studio можно выполнять при работе на компьютере как в локальной сессии, так и в терминальной. Установка любого компонента должна выполняться пользователем, входящим в локальную группу администраторов компьютера. Установка клиента в сетевом режиме функционирования может выполняться централизованно под управлением сервера безопасности.

Перед установкой сервера безопасности Secret Net Studio необходимо установить ПО сервера СУБД MS SQL или воспользоваться имеющемся. Поддерживаемые версии MS SQL Server 2012 SP1, SQL Server 2012 Express, MS SQL Server 2014, MS SQL Server 2014 Express; MS SQL Server 2008 R2 SP1, MS SQL Server 2008 R2 Express. Здесь найдете инструкцию по установки СУБД MS SQL.

Для установки сервера безопасности Secret Net Studio:

Запустите установку Secret Net Studio с помощью программы авто-запуска, или непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Server\x64\SnSetup.ru-RU.exe.

После запуска программы установки выполняется анализ системы на соответствие программным и аппаратным требованиям для установки компонента. При этом проверяется текущее состояние встроенного в ОС механизма управления учетными записями (User Account Control — UAC).
После приветствия мастера установки нажмите кнопку «далее».
Ознакомьтесь с содержанием лицензионного соглашения, установите флажок на «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее».
Установите переключатель на пункт «Создать новый домен в новом лесу доменов безопасности» и нажмите «Далее».
Месторасположение файла с настройками сервера аутентификации оставьте по умолчанию и нажмите «Далее»
Контейнер и имя домена безопасности оставьте по умолчанию и нажмите «Далее».
Укажите ранее созданные группы пользователей, которым будут предоставлены права администрирования домена и леса доменов безопасности и нажмите «Далее».

Каталоги оставьте по умолчанию и нажмите «Далее».Запустите установку Secret Net Studio с помощью программы авто-запуска, или непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Console\x64\SnSetup.ru-RU.exe
Программа установки выполнит подготовительные действия, по окончании настройках СУБД укажите: имя БД, логин и пароль.Введите название организации и подразделение и нажмите «Далее».

На финальной форме установки нажмите кнопку «Установить».

После успешной установки Secret Net Studio, сервер автоматически перезагрузится.

Для установки программы управления:

Запустите установку Secret Net Studio с помощью программы автозапуска, или непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Console\x64\SnSetup.ru-RU.exe

Программа установки выполнит подготовительные действия, по окончании которых на экране появится диалог приветствия. Для продолжения установки нажмите кнопку «Далее».

На экране появится диалог принятия лицензионного соглашения.

Ознакомьтесь с содержанием лицензионного соглашения, отметьте соответствующий принятию соглашения пункт и нажмите кнопку «Далее».

На экране появится диалог «Конечная папка».

Оставьте заданную по умолчанию папку установки ПО или укажите другую папку назначения и нажмите кнопку «Далее».

На экране появится диалог, сообщающий о готовности к установке.

Нажмите кнопку «Установить».

Начнется процесс установки, ход которого отображается в информационном окне в виде полосы прогресса. После успешной установки на экране появится диалог «Установка завершена».

Для установки клиента Secret Net Studio в сетевом режиме функционирования (под управлением сервера безопасности):

Централизованная установка ПО клиента под управлением сервера безопасности реализуется с помощью программы управления. В программе управления осуществляется формирование списка, устанавливаемого ПО и заданий развертывания.

На клиентских компьютерах установка ПО выполняется автоматически в фоновом режиме. Пользователь оповещается о начале и завершении процесса установки. По окончании процесса пользователю предлагается перезагрузить компьютер.

Чтобы сформировать репозиторий (список централизовано устанавливаемого ПО):

В панели «Развертывание» перейдите на вкладку «Репозиторий».

Полностью скопируйте содержимое диска (без изменения структуры папок) на системный диск (на котором установлена операционная система).

Вызовите контекстное меню в любом месте списка и выберите команду «Добавить». На экране появится диалог для добавления.

В поле «Путь к дистрибутиву» укажите путь к каталогу с файлами для создания установочного комплекта. После считывания содержимого указанного каталога автоматически будут заполнены остальные поля в диалоге для добавления.

Нажмите кнопку «Добавить» и дождитесь окончания процедуры создания комплекта (процесс отправки файлов на сервер безопасности может занять продолжительное время).

По окончании процесса в списке появится новый элемент, содержащий сведения о загруженном комплекте.

Формирование заданий развертывания

После того как вы сформировали репозиторий, необходимо добавить задания развертывания. Задания определяют списки компьютеров, на которых в автоматическом режиме будет выполняться установка клиента Secret Net Studio.

В Secret Net Studio присутствует возможность добавления централизованной лицензии, это удобно при дальнейшей автоматической установке ПО на сетевых клиентах. При формировании заданий будет лицензия будет автоматически добавляться в задание.

В панели «Развертывание» перейдите на вкладку «Лицензирование».

Нажмите кнопку «Добавить/Заменить», укажите путь к файлу лицензии.

По окончании процесса в списке появится новый элемент, содержащий сведения о загруженной лицензии.

Для добавления задания развертывания:

В панели «Развертывание» перейдите на вкладку «Развертывание».

Выберите компьютеры, для которых нужно сформировать задание установки и контекстном меню вызовите команду «Установить ПО».

В правой части окна появится панель настройки параметров задания. Проверьте корректность установленных настроек установки. В конце панели введите имя и пароль пользователя с правами установки ПО и нажмите «Установить».

После создания задания перейдите к списку заданий на вкладке «Задания» для проверки добавления нового элемента.

На клиентских компьютерах установка программного обеспечения выполняется в фоновом режиме. Пользователь получает оповещение о начале и завершении процесса установки. По окончании процесса пользователю предлагается перезагрузить компьютер.

источник

Читайте также:  Установка pacman arch linux

Добавить комментарий