Меню Рубрики

Установка vipnet и dallas lock

Настройка СЗИ Dallas Lock версии 8-К

Настройка СЗИ Dallas Lock версии 8-К

В предыдущей статье рассмотрена тема установки «Системы защиты от несанкционированного доступа Dallas Lock 8.0». В этом материале показано как настроить сертифицированное средство защиты информации (СЗИ) от несанкционированного доступа Dallas Lock версии 8-К. Показано как настроить СЗИ Dallas Lock и установить на контроль целостности другие средства защиты, на примере антивирусного средства Dr.Web, средства криптографической защиты информации (СКЗИ) КриптоПро CSP, СКЗИ ViPNet Client, СКЗИ ViPNet CSP.

Настройка параметры входа

Для настройки входа в систему, установки атрибутов пароля, аппаратных считывателей необходимо выбрать вкладку «Параметры безопасности», закладку «Вход», требуемые настройки показаны на (рис. 1).

Рис 1. Параметры входа в систему

Настройка полномочий пользователей

Для настройки прав пользователей в оболочке администратора на основной вкладке «Параметры безопасности» выделить категорию «Права пользователей» установить параметры как показано на. (рис. 2):

Рис 2. Параметры входа в систему

Настройка параметров аудита

Для настройки параметров аудита необходимо выбрать вкладку «Параметры безопасности» => «Аудит. Требуемые параметры показаны на рисунке ниже (рис 3).

Настройка очистки остаточной информации

Для того чтобы настроить процесс очистки остаточной информации, необходимо в оболочке администратора открыть категорию «Очистка остаточной информации» на вкладке «Параметры безопасности» и установить параметры, как показано на (рис. 4).

Рис 4. Параметры очистки остаточной информации

Настройка параметров контроля целостности

Для настройки контроля целостности необходимо в оболочке администратора на вкладке «Параметры безопасности» выделить категорию «Контроль целостности» и установить параметры как показано на рисунке (рис. 5).

Рис 5. Закладка Контроль целостности в оболочке администратора

Настройка контроля ресурсов

Для настройки контроля ресурсов, необходимо добавить исполняемые файлы средств защиты информации, установленных на АРМ, для которых необходимо назначить аудит (список файлов приведен в конце статьи). Для того чтобы добавить объект в контроль целостности необходимо: с помощью оболочки администратора в списке объектов категории «Контроль целостности» на вкладке «Контроль доступа» нажать кнопку «Добавить». В появившемся диалоговом окне, с помощью управляющих кнопок или прописав вручную, необходимо указать путь к ресурсу и нажать кнопку «Выбрать». Откроется окно редактирования параметров объекта ФС. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (см. ниже). Задать проверку контроля целостности для локальных объектов файловой системы без помощи оболочки администратора, а с помощью контекстного меню можно следующим способом:

  1. Правым щелчком мыши на значке объекта, для которого необходимо установить проверку контроля целостности, открыть контекстное меню и выбрать из него пункт «DL8.0: Права доступа» (рис. 6).

  1. В отобразившемся окне редактирования параметров необходимо открыть закладку «Контроль целостности» (рис. 7).

Рис 6. Закладка контроль целостности

  1. Необходимо выставить флажок в поле «Контроль целостности включен» и выбрать алгоритм расчета контрольной суммы, ГОСТ Р 34.11-94.
  2. Отметить при необходимости поле «Проверять контроль целостности при доступе».
  3. Нажать «Применить» и «ОК»

Системные файлы средств защиты информации, которые необходимо поставить на контроль целостности указаны в Приложении 1, данного руководства.

Читайте также:  Установка tor для linux mint

Управление учетными записями

По умолчанию в системе защиты Dallas Lock 8.0 всегда присутствуют следующие учетные записи:

— Суперадминистратор — учетная запись пользователя, установившего СЗИ НСД (запись невозможно удалить из системы);

— «anonymous» — учетная запись для проверки входов с незащищенных СЗИ машин (запись невозможно удалить из системы, но нужно отключить);

— «secServer» — через эту учетную запись Сервер безопасности подключается к данному ПК и проводит оперативное управление (запись невозможно удалить из системы, но нужно отключить, если не используется Сервер Безопасности);

«*\*» — специальная учетная запись, разрешающая всем доменным пользователям вход на защищенный системой компьютер. Создаётся только на ПК, которые в момент установки СЗИ НСД входят в Active Directory. Запись нужно отключить.

Для отключения учетных записей необходимо выделить категорию «Учетные записи» на одноименной вкладке оболочки администратора и выбрать учетную запись, которую необходимо отключить, нажав на нее два раза левой кнопкой мыши, появится окно редактирования параметров учетной записи, на вкладке «Общие» в поле «Параметры» отметить пункт «Отключена».

В системе должно быть заведено три пользователя: Пользователь 1, Пользователь 2 и Администратор информационной безопасности.

№ п/п Роль Описание
1. Пользователь 1 Выполнение работ согласно должностных обязанностей. Работа с разрешенным прикладным программным обеспечением.
2. Администратор информационной безопасности Реализация политики информационной безопасности: администрирование средств защиты информации, выполнение функций контролера-аудитора параметров настроек для всех приложений и данных АС УЦ
3. Пользователь 2
Выполнение работ согласно должностных обязанностей. Работа с разрешенным прикладным программным обеспечением.

У пользователей имеется индивидуальная учетная запись в операционной системе Windows и своим идентификатором для ПАК «Соболь».

Администратору ИБ, Пользователь 1, Пользователь 2, предоставлены права на доступ к информационным ресурсам, программным и техническим средствам автоматизированной системы согласно матрице доступа.

Матрица доступа к защищаемым ресурсам

п/п Защищаемый ресурс Права доступа должностных лиц Наименование Путь доступа Администратор ИБ Пользователь 1 Пользователь 2 1 Файлы операционной системы Windows C:\WINDOWS Полный

доступ 2 Установленное программное обеспечение C:\Program Files Полный

доступ Чтение и выполнение

доступ 3 Место хранения защищаемой информации C:\secinf Нет доступа Чтение и изменение Нет доступа 4 Место хранения копии дистрибутивов СЗИ С:\distrib Полный

доступ Полный запрет Полный запрет 5 Место хранения резервных копий файлов и настроек СЗИ С:\backup Полный доступ Полный запрет Полный запрет 6 Программно-аппаратный комплекс (ПАК) «Соболь» версии 3.0 C:\SOBOL Полный

доступ Чтение и выполнение Чтение и выполнение 7 СКЗИ «Крипто Про CSP» C:\Program Files\Crypto Pro

C:\Program Files (x86)\Crypto Pro Полный

доступ Чтение и выполнение Чтение и выполнение 8 СКЗИ Программный комплекс (ПК) ViPNet Client 4 (КС3) C:\Program Files\ViPNet Client Полный

доступ Чтение и выполнение Чтение и выполнение 9 СКЗИ ViPNet CSP C:\Program Files\ViPNet CSP Полный

доступ Чтение и выполнение Чтение и выполнение 10 Файлы CЗИ от НСД Dallas Lock 8.0 – К C:\DLLOCK80 Полный

доступ Чтение и выполнение Чтение и выполнение

Читайте также:  Установка газовых плит на петроградской
11 Антивирус Dr.Web Enterprise Security Suite (для Windows) C:\Program Files\drweb Полный

доступ Чтение и выполнение Чтение и выполнение 12 Учтенный съёмный USB носитель Z:\ Чтение / Запись Чтение

оптических дисков E:\ Чтение

1 Системные каталоги включают в себя директорию операционной системы (C:\Windows) а также каталоги прикладного программного обеспечений (C:\Program files);

2 К объектам профиля пользователя относят каталоги «Рабочий стол», «Мои документы», «Мои рисунки», а также каталоги, в которых хранятся пользовательские настройки прикладного программного обеспечения «Application Data», «Local Settings» и другие;

3 К операциям записи так же относят модификацию, удаление и изменение прав доступа;

4 Запрет доступа имеет приоритет над остальными правами пользователя, в том числе групповыми.

Создание локального пользователя

Для создания нового пользователя в системе защиты необходимо:

  1. Выделить категорию «Учетные записи» на одноименной вкладке оболочки администратора.
  2. Нажать кнопку «Создать» в категориях «Действия» или выбрать соответствующую из контекстного меню. На экране появится окно создания новой учетной записи
  3. В поле «Размещение» необходимо выбрать значение «Локальный».
  4. В поле «Логин» необходимо ввести логин (имя) регистрируемого пользователя. При вводе имени в системе существуют следующие правила: максимальная длина имени — 32 символа; имя может содержать латинские символы, символы кириллицы, цифры и специальные символы; разрешается использовать различные регистры клавиатуры.

Если учетная запись была создана ранее, нажатие кнопки поиска, разворачивает список учетных записей пользователей, зарегистрированных только в ОС данного компьютера

  1. После нажатия кнопки «OK» появится окно редактирования параметров учетной записи

На вкладке «Общие» требуется ввести следующие параметры: полное имя;

Далее, в процессе создания или регистрации локального пользователя необходимо включить его в группу «Пользователи». В окне закладки «Группы» отображены названия групп, в которые включен пользователь (рис. 24). По умолчанию, каждый новый пользователь входит в группу «Пользователи»

  1. Чтобы включить пользователя в определенную группу необходимо нажать «Добавить». Появится список всех групп пользователей, имеющихся в системе (кроме тех, в которые пользователь уже включен)
  2. В поле «Размещение» необходимо оставить значение «Локальный». В списке групп нужно выбрать «Пользователи».
  3. Завершающей операцией по созданию учетной записи пользователя является назначение пароля. Назначение пароля предлагается системой после заполнения всех необходимых параметров в окне создания учетной записи и нажатия кнопки «ОК»

Для создания пароля, отвечающего всем установленным требованиям политик безопасности, необходимо воспользоваться помощью генератора паролей системы защиты. Для этого нажать кнопку с надписью: «Генерация пароля». Система автоматически создаст случайный пароль, удовлетворяющий политикам сложности пароля, значение которого необходимо ввести в поля «Пароль» и «Подтверждение».

Перечень файлов VipNet Client и VipNet CSP.

источник

VipNet 4.3 (3.47224) + Kaspersky Endpoint Security для Windows (11.1.0) (11.1.0.15919) = черный экран с курсором

#1 OFF Misha Serikov

  • Новички
  • Cообщений: 2
  • Здравствуйте, после установки комплекта ПО из Kaspersky Endpoint Security для Windows (11.1.0) (11.1.0.15919) VipNet 4.3 (3.47224) на Windows 7×64 Pro ,после перезагрузки получаю черный экран с курсором, если ставить Kaspersky Endpoint Security для Windows (11.1.0) (11.1.0.15919) или VipNet 4.3 (3.47224) по отдельности то все работает. Так же на ПК стоит Dallas Lock 8.0-K и КрипроПро 4.0.9963, пробовал ставить разные версии VipNet 4x а так же Kaspersky Endpoint Security 10 для Windows 10.3.3.275 но результата нет, оставлял обращение через https://companyaccount.kaspersky.com/но ответа уже нет более недели. Подскажите что еще можно сделать для решения этой проблемы.

    Читайте также:  Установка пешеходных переходов по госту

    #2 OFF oit

  • Совет фан-клуба
  • Cообщений: 8739
  • Награды

    Думаю, что для KES 11.1 ещё не т патча от ЛК, а у випнета нет своей бета-версии.

    Ставьте KES 11.0.1.90 и патч к нему или бета-версии випнета ( где-то с два месяца назвд так было). Может уже и релиз вышел випнета, корректно работающий с продуктами ЛК.

    Сообщение отредактировал oit: 16 May 2019 — 07:35

    #3 OFF Misha Serikov

  • Новички
  • Cообщений: 2
  • 11.01.90 я сегодня попробую, а где можно взять патч к нему, и бета-версию крипто про или vipnet?

    11.01.90 я сегодня попробую, а где можно взять патч к нему, и бета-версию крипто про или vipnet?

    Сегодня нашел думаю что временное решение, если кому интересно и это поможет то сделано было следующее:

    1. Установил Kaspersky Endpoint Security 11 for Windows (Strong encryption) 11.0.1.90 ( Возможно будет работать и с Kaspersky Endpoint Security для Windows (11.1.0) (11.1.0.15919)) Я не проверял

    2. Скачал с сайта https://infotecs.ru/бета версию ViPNet CSP 4.2.11 windows rus и установил

    3. Поверх поставил VipNet Client 4.3 (3.47224)

    При такой манипуляции все окей работает, как я понял проблема была именно с CSP

    #4 OFF Friend

  • Старожилы
  • Cообщений: 5263
  • Misha Serikov , да, проблема связана с ViPNetом, на официальном форуме Касперского обсуждалась.

    #5 OFF oit

  • Совет фан-клуба
  • Cообщений: 8739
  • Награды

    Misha Serikov , все верно, либо патч для kes через companyaccount у ЛК, либо бета-версию випнета

    * Перепутал випнет и крипто про в прошлом сообщении, исправил

    С 11.1 будет ли работать — 50/50

    Сообщение отредактировал oit: 16 May 2019 — 07:36

    #6 OFF VictorOM

  • Новички
  • Cообщений: 3
  • Самое не приятно в данных случаях, когда то что должно вроде быть на 100% првоерено на совместимость, оказывается также криворабочим и итог: (Касперский_11_0_0_6499_ФСБ 643_46856491_00100-1) + (Client_RUS_4.3.2.46794_cert) = синие экраны, как например и в этой теме совсем с другими сборками, где можно ещё списать на типа не совместимое и не проверенное ПО.

    На удивление KES 11.0.1.90 работает, как там описано, но где и как эту версию нашёл не помню.

    Интересно в 11.2.0.2254 исправлена данная проблема или нет?

    #7 OFF Friend

  • Старожилы
  • Cообщений: 5263
  • VictorOM, вроде нет, исправление ожидают со стороны ViPNet.
    Здесь остается мучить поддержки продуктов, пусть оба вендора все исправляют.

    Внимание! Криптопровайдер ViPNet CSP этой версии (4.2) несовместим с антивирусным ПО Лаборатории Касперского. Рекомендуем использовать бета-версию.

    Сообщение отредактировал Friend: 07 December 2019 — 13:29

    источник

    Добавить комментарий