Victor V
unread,
Aug 20, 2014, 10:06:25 PM8/20/14
to sc-sec…@googlegroups.com
Здравствуйте.
Можно уточнить как работает «усиленной аутентификации по паролю»,
или с моей стороны — почему не работает?
Secrret Net 7. (локальная)
Проверял на ОС XP и 7-ке.
У вас в инструкции есть картинка:
Где хорошо видно, что если не задан пароль в SN, то
его не должна система пускать при усиленной аутентификации
по паролю, что и делает возможность выполнять пункт
усиленного контроля входа «… контроль средствами СЗИ…».
Но проверяя на деле хорошо отрабатывает только функция
«по ключу», там всё выполняется.
Тут же как не пытался, снимать ставить эту галочки,
заводить новых пользователей, менять им пароли,
SN7 сразу всех добавляет и пускает.
На примере ПО «DALLAS LOCK» там в отличии от SN
заносится пользователь «администратор безопасности»
и пока он не добавит сам кого то из пользователей,
вход им не возможен — вот тут сразу видно выполнение.
Хотелось бы уточнить как так же сделать средствами SN7
если это возможно, как и где можно стереть пароли для
учётных записей в SN7?
Или эта функция не работает получается.
Victor V
unread,
Aug 25, 2014, 9:15:48 PM8/25/14
to sc-sec…@googlegroups.com
Ну что специалисты, проверили — если тишина, значит всё верно?
Молчание знак согласия — не работает ваш каменные цветок?
y.amineva
unread,
Sep 8, 2014, 3:33:00 PM9/8/14
to sc-sec…@googlegroups.com
Добрый день.
Для решения Вашей ситуации понадобится дополнительный анализ, для этого просим Вас написать в Службу технической поддержки по адресу: support@securitycode.ru
la…@securitycode.ru
unread,
Sep 11, 2014, 11:17:50 PM9/11/14
to sc-sec…@googlegroups.com
Добрый день!
Все работает.
Просто при создании локальных пользователей мы перехватываем функцию задания пароля пользователя и сохраняем в БД Secret Net.
Соответственно, проверка пароля срабатывает, когда пользователь вводит свой пароль.
Режим «доверять аутентификации Windows» предназначен для того, чтобы 1 раз пропустить проверку Secret Net и сохранить пароль пользователя (и администратору не нужно бы было сбрасывать пароли пользователей или их задавать). После сохранения этот режим выключается.
Для проверки (в автономном варианте) можно сделать следующее (естественно, режим усиленной аутентификации по паролю должен быть включен).
Вариант 1. Ввести компьютер в домен. Добавить доменного пользователя. Отключить галку «доверять парольной аутентификации Windows».
Сменить пароль пользователю на контроллере домена (НЕ на этом компьютере).
Попробовать зайти на этот комьпютер. Не пустит.
Вариант 2 (при отсутствии домена). Удалить SN. Создать нескольких пользователей. Установить Secret Net. Открыть программу управления.
Проверить состояние галки «доверять …». Снять ее у тех пользователей, что не жалко. Включить режим усиленной аутентификации по паролю.
Попробовать войти (теми, что не жалко). Не пустит.
Смысл в том, что при установленном SN при смене пароля пользователем в модуле входа или администратором — пароль (точнее — данные для проверки) сразу прописывается и в базу SN, и в Windows. Т.е., пароли синхронизируются.
Если очень нужно рассинхронизировать — надо это делать там, где Secret Net не установлен.
Операция стирания паролей не предусмотрена. Не представляем, зачем она нужна.
Victor V
unread,
Sep 12, 2014, 4:35:02 AM9/12/14
to sc-sec…@googlegroups.com
Спасибо, я так и понял что она синхронно работает и перехватывает.
…
А для чего явно не давать или удалять, это просто соображения, что логичнее одному
пользователе (администратор безопасности) должно было бы доверие давать такие
разрешения, т.к. зачастую и другие пользователи имеют учётные как админ., иногда
так по работе не обходимо, а иногда временно надо и в это время они могут (или вернее
им то это зачем, но им могут помочь — так сказать) создать ещё пользователей, которым
не положено быть.
Потому тут другие средства СЗИ где это требуется явным указанием «выигрывают».
…
Понятно что всё решается и средствами ОС, создать отдельную уч. запись, разрешить
только ей работать с программой, но это как писали ниже где то уже лишние движения,
когда спокойно всё это можно было реализовать в самой ПО.
…
А так всё понятно.
Не хватило времени добраться до того чтоб создать отдельно пользователей
и ещё думал создать тогда когда службы SN отменяются (или в ЗЩ.Р. или отменной
принудительной) и как раз проверить до конца.
Спасибо.
Добрый день!
Все работает.
Просто при создании локальных пользователей мы перехватываем функцию задания пароля пользователя и сохраняем в БД Secret Net.
Соответственно, проверка пароля срабатывает, когда пользователь вводит свой пароль.
Victor V
unread,
Sep 12, 2014, 4:39:46 PM9/12/14
to sc-sec…@googlegroups.com
Проверил ваш вариант и свой и итог — не получится рассинхронизоровать.
1) Снять «галочку» не возможно без занесения пароля в базу SN, т.к. при её снятии
сразу требует пароль пользователя, а иначе не снимает.
тогда отпадает полностью смысл.
2) Всем новым пользователям до установки SN эти галочки автоматически ставятся,
потому вариант 2 ни как не подходит.
3) Если попататься через защищённый режим поменять пароль, когда галочка снята,
то при не работающем SN думал потом он не даст войти, но ОС ругается что SN не работает
(несколько раз там ошибки про модели) и вроде как итог пароль установлен,
НО всё это фикция т.к. пароль на самом деле не изменяется и остаётся прежним.
4) Если завести пользователя в защищённом и задать пароль, то при входе с политикой
«Усиленная аутентификация по паролю»- включена, на «пустоё» значение пароля (или не верное),
видно что отрабатывает служба SN и выдаёт своё сообщение только на тех, кто ранее был
и попал под SN. а тот пользователь который не проходил ещё синхронизацию выдаёт
обычную ошибку ОС.
Так же надо учесть, что он был введён в защ. режиме при не работающей политике SN
потому синхронизацию не прощёл (т.е. как бы левый) и он то точно не должен был
войти пока его админ. безопасности не одобрит (по хорошему). т.е. не поставит в ручную
эту «галочку доверия», но пробуем войти и — всё нормальное, SN его спокойно запускает,
записывает себе, что по хорошему не должно быть.
Вот именно поэтому если у вас было как в DL есть и сейчас, что пока не добавить кого нужно,
не кто левый не зайдёт было и вы всё спустили на самотёк — это минус считаю.
Ну а так да, получается типа отрабатывает функция по сообщению.
la…@securitycode.ru
unread,
Sep 12, 2014, 6:58:39 PM9/12/14
to sc-sec…@googlegroups.com
Добрый день!
Система была разработана в предположении, что у пользователей нет административных привилегий (кстати, реально категорически не рекомендую их давать (при наличии любого СЗИ), потому что при соответствующей квалификации пользователь с такими правами сделает с системой все что угодно).
Соответственно, «левым» пользователям в системе просто не откуда взяться.
=> Вариант, реализованный в Secret Net не требует дополнительных действий от администратора после установки.
Как пользователи работали — так и продолжают работать.
На наш взгляд, в большинстве сценариев это гораздо удобнее, чем дополнительная процедура добавления пользователей, которые итак уже один раз были введены в систему (которая обязательно требуется в DL).
P.S. А «левым» пользователям просто не место в системе — и лучше и безопаснее их просто удалить.
Victor V
unread,
Sep 18, 2014, 5:33:24 PM9/18/14
to sc-sec…@googlegroups.com
Спасибо. Прекрасно понимаю ваши слова и так же такого же мнения,
но вот пойдите и предложите это «царю» или «королевне» — лишить их прав..
И хорошо если просто живым потом уйти, а то же и лишить могут головы и других
частей тела за такое))) ..
Принцип того ролики про «5 перпендикулярных красных линях» — если не видели, посмотрите
и поймёте почему не бывает иногда всё так просто и правильно как хотелось бы.
А тут ещё когда и не знаешь всех способов и подавно страшно
===
Ну а так без шуток повторяю, что понял вашу политику и проверил ещё на другой ОС (XP)
как работает и там даже видел как успевает строчка проскальзывать наподобие «применение политики бе..»
ну хотя и так уже понял что работает — ладно.
Но появились другие вопросы… поищу сейчас ответы на них тут,
если нет то снова спрошу.
А эта тема думаю РЕШЕНА.
как тут нажать такую отметку не нашёл
пятница, 12 сентября 2014 г., 21:58:39 UTC+7 пользователь la…@securitycode.ru написал:
Система была разработана в предположении, что у пользователей нет административных привилегий (кстати, реально категорически не рекомендую их давать (при наличии любого СЗИ), потому что при соответствующей квалификации пользователь с такими правами сделает с системой все что угодно).
Алексей Фортуна
unread,
Sep 19, 2014, 3:31:43 PM9/19/14
to sc-sec…@googlegroups.com
Добрый день.
Большое спасибо за информацию.
При возникновении каких-либо вопросов, пишите нам на форум или на sup…@securitycode.ru.
четверг, 18 сентября 2014 г., 17:33:24 UTC+4 пользователь Victor V написал:
Listen to this article
Защита рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийных устройств.
Предназначен для решения следующих задач:
- Защита конфиденциальной информации
- Защита от проникновения и несанкционированных
действий злоумышленника внутри системы - Выполнение требований и рекомендаций по защите
конечных точек
Защита конечных точек с помощью Secret Net Studio
Обучение Secret Net Studio
Требования к железу
Операционная система:
Windows 10 (версии 1903 – 2009);
Windows 8.1 Rollup Update KB2919355;
Windows 7 SP1;
Windows Server 2019;
Windows Server 2016;
Windows Server 2012/Server 2012 R2 Rollup Update KB2919355;
Windows Server 2008 R2 SP1
Поддерживаются 32 — и 64 — разрядные версии ОС с установленными пакетами обновлений не ниже указанных
Процессор:
В соответствии с требованиями ОС, установленной на компьютер
Оперативная память:
Минимально – 2 ГБ
Рекомендуется – 4 ГБ
Жесткий диск:
До 4 ГБ (свободного пространства)
Secret Net заблокировал вход в ОС! Исправляем ошибку входа в систему Windows вызванную SNS
При включении компьютера при инициализации системных сервисов Secret Net на Windows не проходит инициализацию подсистема контроля целостности: зависает.
Код безопасности SNS: функциональный контроль предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net загружены и функционируют. Функциональный контроль осуществляется перед входом пользователя в систему.
При функциональном контроле проверяется наличие в системе и работоспособность следующих компонентов:
- ядро Secret Net;
- модуль входа в систему;
- криптоядро;
- модуль репликации;
- подсистема контроля целостности;
- подсистема аппаратной поддержки.
В случае нарушении функциональной целостности:
- В журнале Secret Net регистрируется факт нарушения. Это возможно при условии работоспособности ядра Secret Net.
- Администратор информируется об ошибочном завершении функционального контроля.
- Вход в систему разрешается только пользователям, входящим в локальную группу администраторов компьютера.
Запуск функционального контроля инициирует модуль входа в систему. При обнаружении нарушений этот модуль управляет административным входом пользователя в систему. Кроме того, он информирует администратора об ошибках контроля.
Если нарушен и сам модуль входа в систему, то при входе пользователя в систему функциональный контроль проводит модуль репликации. Он проверяет, был ли выполнен функциональный контроль, и если нет — инициирует его выполнение. Далее при обнаружении нарушений он управляет административным входом пользователя в систему и информирует администратора об ошибках контроля.
При старте системы Windows 7 Professional появилась ошибка:
Перезагрузка и проверка на наличие ошибок жесткого диска не помогают. После авторизации под админом, SNS не даёт войти в локальный центр управления, пишет, что служба ядра не смогла завершить инициализацию.
Secret Net Studio: как исправить?
Данная проблема проявляется при наличии в системе старых версий компонентов Secret Net или SNS. Также такое может возникнуть при некорректном обновлении, когда обновлению мешают антивирусы, не входящие в список совместимых, или установленный параметр в модуле затирания данных (оперативной памяти). В данном случае необходимо проверить перечисленные выше случаи, очистить старые записи от SNS, путем установки нужной версии SN или SNS которые были ранее установлены и замечены в системе, а затем последовательного удаления. Впоследствии устанавливать актуальную на данный момент версию.
Сделайте резервные копии удаляемых файлов
Вариант исправления 1
1) В папке C:Program FilesSecret NetClientetalons удаляем всё, кроме файла SnIcEtlDB.sdb
2) В папке C:Program FilesSecret NetClienticheck удаляем всё, кроме файла snicdb.sdb
3) Перезагружаем компьютер.
После этого Secret Net заново запустит подсистему контроля целостности с настройками по-умолчанию. Проблема в том, что Secret Net не может прочитать log-файл, находящийся в папке etalons
Вариант исправления 2
СКАЧАТЬ ФАЙЛ С GoogleDrive
В данном архиве находится две папки. Первая содержит некоторые системные компоненты от программы Secret Net Client. А во второй находятся куски от VipNET клиента.
Для исправления компонентов этих программ, просто распакуйте архив. И переместите все папки и файлы по своим местам на системном диске вашей ОС. Все это делаем с заменой существующих файлов.
Все это подходит для версии программы:
Все операции выполнять на Windows 7 Pro x64. На других версиях Windows нет никаких гарантий, что данные файлы не повредят вашу копию программы.
Для того чтобы получить доступ к всем файлам на диске компьютера от имени системы и безпрепятственно произвести копирование с заменой, вам нужно заранее сделать загрузочную флешку с реаниматором. Например Multibott 2k10. Скачать образ данного реаниматора можно — тут.
Вариант исправления 3
Просто позвонить или написать в техническую поддержку.
Узнать официальные контакты можно на сайте производителя — по этой ссылке
Защита входа в систему или как происходит идентификация и аутентификация пользователей в OS Windows SNS
Идентификация и аутентификация пользователя выполняются при каждом входе в систему. Штатная для ОС Windows процедура входа предусматривает ввод имени и пароля пользователя или использование аппаратных средств, поддерживаемых операционной системой.
Для обеспечения дополнительной защиты входа в Secret Net могут применяться средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken или iButton. Такие устройства должны быть зарегистрированы (присвоены пользователям) средствами системы защиты и могут использоваться в составе аппаратных средств защиты.
Кроме того, предусмотрен режим усиленной аутентификации, основанный на дополнительной проверке подлинности предъявленной ключевой информации пользователя. Носителями ключевой информации могут являться идентификаторы или сменные носители, такие как дискеты, Flash-карты, Flash-накопители и т. п. Генерация ключевой информации выполняется средствами системы Secret Net.
В системе Secret Net идентификация и аутентификация пользователей может выполняться в следующих режимах:
- «Стандартный» — пользователь может войти в систему, выполнив ввод имени и пароля, или используя аппаратные средства, стандартные для ОС Windows;
- «Смешанный» — пользователь может войти в систему, выполнив ввод имени и пароля, а также может использовать персональный идентификатор, поддерживаемый системой Secret Net 6;
- «Только по идентификатору» — каждый пользователь для входа в систему должен обязательно использовать персональный идентификатор, поддерживаемый системой Secret Net 6.
Для повышения степени защищенности компьютеров от несанкционированного использования предусмотрены следующие возможности:
- включение режима разрешения интерактивного входа только для доменных пользователей — в этом режиме блокируется вход в систему локальных учетных записей (не зарегистрированных в домене);
- включение режима запрета вторичного входа в систему — в этом режиме блокируется запуск команд и сетевых подсоединений с вводом учетных данных другого пользователя (не выполнившего интерактивный вход в систему).
Под блокировкой компьютера понимается запрет доступа пользователей (исключая администратора) к работе на данном компьютере. Механизм временной блокировки предназначен для предотвращения несанкционированного использования компьютера.
Для пользователей могут быть установлены ограничения на количество неудачных попыток входа в систему. В дополнение к стандартным возможностям ОС Windows (блокировка учетной записи пользователя после определенного числа попыток ввода неправильного пароля) система Secret Net контролирует неудачные попытки аутентификации пользователя по ключевой информации.
Если в режиме усиленной аутентификации пользователь определенное количество раз предъявляет неверную ключевую информацию, система блокирует компьютер. Разблокирование компьютера осуществляется администратором. Счетчик неудачных попыток обнуляется при удачном входе пользователя или после разблокирования компьютера.
Для временной блокировки компьютера используется стандартный механизм ОС Windows. Режим временной блокировки может быть включен самим пользователем или системой после некоторого периода простоя компьютера. Длительность интервала неактивности (простоя компьютера), после которого автоматически включается режим блокировки, устанавливается настройкой параметров и распространяется на всех пользователей. Для снятия блокировки необходимо указать пароль текущего пользователя.
Блокировка компьютера предусмотрена и в алгоритмах работы защитных механизмов. Такой тип блокировки используется в следующих ситуациях:
- при нарушении функциональной целостности системы Secret Net;
- при нарушении аппаратной конфигурации компьютера;
- при нарушении целостности контролируемых объектов.
Разблокирование компьютера в перечисленных случаях осуществляется администратором.
Если Вам понравилась статья — поделитесь с друзьями
5 573 просмотров
Отказ от ответственности: Автор или издатель не публиковали эту статью для вредоносных целей. Вся размещенная информация была взята из открытых источников и представлена исключительно в ознакомительных целях а также не несет призыва к действию. Создано лишь в образовательных и развлекательных целях. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий. Все причиненные возможные убытки посетитель берет на себя. Автор проделывает все действия лишь на собственном оборудовании и в собственной сети. Не повторяйте ничего из прочитанного в реальной жизни. | Так же, если вы являетесь правообладателем размещенного на страницах портала материала, просьба написать нам через контактную форму жалобу на удаление определенной страницы, а также ознакомиться с инструкцией для правообладателей материалов. Спасибо за понимание.
Если вам понравились материалы сайта, вы можете поддержать проект финансово, переведя некоторую сумму с банковской карты, счёта мобильного телефона или из кошелька ЮMoney.
Общие сведения
Назначение системы
Система Secret Net Studio предназначена для обеспечения безопасности информационных систем на компьютерах, функционирующих под управлением операционных систем MS Windows 10/8/7/Vista и Windows Server 2012/2008.
При использовании соответствующих подсистем изделие обеспечивает:
-
- защиту от НСД к информационным ресурсам компьютеров;
- контроль устройств, подключаемых к компьютерам;
- обнаружение вторжений в информационную систему;
- антивирусную защиту;
- межсетевое экранирование сетевого трафика;
- авторизацию сетевых соединений;
Управление функционированием системы Secret Net Studio может осуществляться централизованно или локально.
Основные функции
Система Secret Net Studio реализует следующие основные функции:
-
- Контроль входа пользователей в систему (идентификация и аутентификация пользователей).
- Дискреционное разграничение доступа к файловым ресурсам, устройствам, принтерам.
- Мандатное (полномочное) разграничение доступа к файловым ресурсам, устройствам, принтерам, сетевым интерфейсам, включая:
- контроль потоков конфиденциальной информации в системе;
- контроль вывода информации на съемные носители.
- Контроль состояния устройств компьютера с возможностями:
- блокирования компьютера при изменении состояния заданных устройств;
- блокирования подключения запрещенного устройства (устройства из запрещенной группы).
- Теневое копирование информации, выводимой на внешние носители и на печать.
- Автоматическая маркировка документов, выводимых на печать.
- Контроль целостности файловых объектов и реестра.
- Создание замкнутой программной среды для пользователей (контроль запуска исполняемых модулей, загрузки динамических библиотек, исполнения скриптов по технологии Active Scripts).
- Очистка оперативной и внешней памяти при ее перераспределении.
- Изоляция процессов (выполняемых программ) в оперативной памяти.
- Защита содержимого локальных жестких дисков при несанкционированной загрузке операционной системы.
- Антивирусная защита компьютеров.
- Обнаружение вторжений.
- Межсетевое экранирование сетевого трафика.
- Авторизация сетевых соединений.
- Управление ПАК «Соболь» (управление пользователями, контролем целостности, получение событий безопасности).
- Функциональный контроль ключевых защитных подсистем.
- Регистрация событий безопасности.
- Централизованное и локальное управление параметрами работы механизмов защиты.
- Централизованное и локальное управление параметрами работы пользователей.
- Мониторинг и оперативное управление защищаемыми компьютерами.
- Централизованный сбор, хранение и архивирование журналов.
Состав устанавливаемых компонентов
Система Secret Net Studio состоит из следующих программных пакетов, устанавливаемых на компьютерах:
- «Secret Net Studio» (далее — клиент).
- «Secret Net Studio — Сервер безопасности» (далее — сервер безопасности или СБ).
- «Secret Net Studio — Центр управления» (далее — программа управления).
Назначение компонентов
Клиент
Клиент системы Secret Net Studio предназначен для реализации защиты компьютера, на котором установлен данный компонент. Защита реализуется путем применения защитных механизмов, расширяющих и дополняющих средства безопасности ОС Windows. Защитные механизмы — это совокупность настраиваемых программных средств, входящих в состав клиента и обеспечивающих безопасное использование ресурсов.
Клиент может функционировать в следующих режимах:
-
- автономный режим — предусматривает только локальное управление защитными механизмами;
- сетевой режим — предусматривает локальное и централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.
Режим функционирования определяется при установке клиентского ПО.
Сервер безопасности
Сервер безопасности реализует возможности централизованного управления клиентами в сетевом режиме функционирования. Данный компонент обеспечивает:
-
- хранение данных централизованного управления;
- координацию работы других компонентов в процессе централизованного управления системой;
- получение от клиентов и обработку информации о состоянии защищаемых компьютеров;
- управление пользователями и авторизацией сетевых соединений;
- централизованный сбор, хранение и архивирование журналов.
Программа управления
Программа управления используется для централизованного управления серверами безопасности и клиентами в сетевом режиме функционирования. Данный компонент обеспечивает:
-
- управление параметрами объектов;
- отображение информации о состоянии защищаемых компьютеров и произошедших событиях тревоги;
- загрузку журналов событий;
- оперативное управление компьютерами.
Составные части клиента Secret Net Studio
Группы функциональных компонентов клиента
В состав клиента системы Secret Net Studio входят следующие функциональные компоненты:
-
- основные программные службы, модули и защитные подсистемы (базовая защита);
- дополнительно подключаемые функциональные компоненты, условно разделенные на следующие группы:
- локальная защита;
- сетевая защита;
- защита от вирусов и вредоносного ПО;
- шифрование трафика.
Обобщенная структурная схема клиента представлена на следующем рисунке.
Базовая защита
В базовую защиту входят следующие программные службы, модули и защитные подсистемы:
-
- ядро;
- агент;
- средства локального управления;
- подсистема локальной аутентификации;
- подсистема контроля целостности;
- подсистема работы с аппаратной поддержкой.
Ядро
Служба ядра автоматически запускается на защищаемом компьютере при его включении и функционирует на протяжении всего времени работы компьютера. Она осуществляет управление подсистемами и обеспечивает их взаимодействие.
Ядро выполняет следующие функции:
-
- обеспечивает обмен данными между подсистемами клиента и обработку поступающих команд;
- обеспечивает доступ других компонентов к информации, хранящейся в локальной базе данных Secret Net Studio;
- обрабатывает поступающую информацию о событиях, связанных с безопасностью системы, и регистрирует их в журнале Secret Net Studio.
Подсистема регистрации является одним из элементов ядра клиента. Она предназначена для управления регистрацией событий, связанных с работой системы защиты. Такие события регистрируются в журнале Secret Net Studio. Эта информация поступает от подсистем Secret Net Studio, которые следят за происходящими событиями. Перечень событий Secret Net Studio, подлежащих регистрации, устанавливается администратором безопасности.
В локальной БД Secret Net Studio хранится информация о настройках системы защиты, необходимых для работы защищаемого компьютера. Локальная БД размещается в реестре ОС Windows и специальных файлах.
Агент
Агентом является программный модуль в составе клиента, обеспечивающий взаимодействие с сервером безопасности. Агент принимает команды от сервера безопасности и отправляет ему данные о состоянии компьютера.
Агент используется только в сетевом режиме функционирования клиента.
Средства локального управления
Средства локального управления обеспечивают:
-
- управление объектами защиты (устройствами, файлами, каталогами);
- управление параметрами пользователей и защитных механизмов;
- формирование заданий на контроль целостности;
- просмотр локальных журналов.
Подсистема локальной аутентификации
Подсистема используется в механизме защиты входа в систему. Cовместно с ОС Windows подсистема обеспечивает:
-
- проверку возможности входа пользователя в систему;
- оповещение остальных модулей о начале или завершении работы пользователя;
- блокировку работы пользователя;
- загрузку данных с персональных идентификаторов пользователя;
- усиленную аутентификацию пользователя при входе в систему.
При обработке входа пользователя в систему осуществляется формирование контекста пользователя: определение его привилегий, уровня допуска и др. Дополнительно с помощью модуля входа в систему реализуется функциональный контроль работоспособности системы Secret Net Studio.
Подсистема контроля целостности
Подсистема контроля целостности обеспечивает проверку неизменности ресур сов компьютера: каталогов, файлов, ключей и значений реестра. В составе механизма контроля целостности подсистема реализует защиту от подмены ресурсов, сравнивая их с определенными эталонными значениями. Данная подсистема выполняет контролирующие функции не при обращении пользователя к ресурсам, а при наступлении определенных событий в системе (загрузка, вход пользователя, контроль по расписанию).
Подсистема аппаратной поддержки
Подсистема используется в механизме защиты входа в систему для работы с устройствами аппаратной поддержки. Она обеспечивает взаимодействие системы Secret Net Studio с определенным набором устройств и состоит из следующих модулей:
-
- модуль, обеспечивающий единый интерфейс обращения ко всем поддерживаемым устройствам аппаратной поддержки;
- модули работы с устройствами (каждый модуль обеспечивает работу с конкретным устройством);
- драйверы устройств аппаратной поддержки (если они необходимы).
Подключаемые функциональные компоненты клиента
Локальная защита
К группе локальной защиты относятся подсистемы, реализующие применение следующих механизмов защиты:
-
- контроль устройств;
- контроль печати;
- замкнутая программная среда;
- полномочное управление доступом;
- дискреционное управление доступом к ресурсам файловой системы;
- затирание данных;
- защита информации на локальных дисках;
- шифрование данных в криптоконтейнерах.
Сетевая защита
К группе сетевой защиты относятся подсистемы, реализующие применение следующих механизмов защиты:
-
- межсетевой экран;
- авторизация сетевых соединений.
Защита от вирусов и вредоносного ПО
К группе защиты от вирусов и вредоносного ПО относятся подсистемы, реализующие применение следующих механизмов защиты:
-
- обнаружение и предотвращение вторжений;
- антивирус.
Шифрование трафика (VPN клиент)
Подсистема шифрования трафика обеспечивает безопасную передачу данных через общедоступные незащищенные сети. Для организации передачи данных используется технология «виртуальной частной сети» (Virtual Private Network — VPN), реализуемая аппаратно- программным комплексом шифрования (АПКШ) «Континент». При установлении соединения с сервером доступа АПКШ «Континент» подсистема шифрования трафика выступает в роли VPN клиента.
Механизмы защиты, реализуемые клиентом
Защита входа в систему
Защита входа в систему обеспечивает предотвращение доступа посторонних лиц к компьютеру. К механизму защиты входа относятся следующие средства:
-
- средства для идентификации и аутентификации пользователей;
- средства блокировки компьютера;
- аппаратные средства защиты от загрузки ОС со съемных носителей.
Идентификация и аутентификация пользователей
Идентификация и аутентификация пользователя выполняются при каждом входе в систему. Штатная для ОС Windows процедура входа предусматривает ввод имени и пароля пользователя или использование аппаратных средств, поддерживаемых операционной системой.
В системе Secret Net Studio идентификация пользователей может выполняться в следующих режимах:
-
- «По имени» — для входа в систему пользователь может ввести свои учетные данные (имя и пароль) или использовать аппаратныесредства, поддерживаемые ОС;
- «Смешанный» — для входа в систему пользователь может ввести свои учетные данные (имя и пароль) или использовать персональный идентификатор, поддерживаемый системой Secret Net Studio;
- «Только по идентификатору» — каждый пользователь для входа в систему должен обязательно использовать персональный идентификатор, поддерживаемый системой Secret Net Studio.
В качестве персональных идентификаторов в Secret Net Studio применяются средства идентификации и аутентификации на базе идентификаторов eToken, Rutoken, JaCarta, ESMART или iButton. Чтобы использовать эти устройства, необходимо зарегистрировать их в системе защиты (присвоить пользователям).
Аутентификация пользователей может выполняться в усиленном режиме с дополнительной проверкой пароля пользователя системой Secret Net Studio. В режиме усиленной аутентификации пароли пользователей проверяются на соответствие требованиям политики паролей как в операционной системе, так и в Secret Net Studio.
Дополнительно для защиты компьютеров в Secret Net Studio предусмотрены следующие режимы:
-
- разрешение интерактивного входа только для доменных пользователей — в этом режиме блокируется вход в систему локальных пользователей (под локальными учетными записями);
- запрет вторичного входа в систему — в этом режиме блокируется запуск команд и сетевых подключений с вводом учетных данных другого пользователя (не выполнившего интерактивный вход в систему).
Блокировка компьютера
Средства блокировки компьютера предназначены для предотвращения несанкционированного использования компьютера. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора.
Блокировка при неудачных попытках входа в систему
Для пользователей могут быть установлены ограничения на количество неудачных попыток входа в систему. В дополнение к стандартным возможностям ОС Windows (блокировка учетной записи пользователя после определенного числа попыток ввода неправильного пароля) система Secret Net Studio может контролировать неудачные попытки входа в систему при включенном режиме усиленной аутентификации по паролю. Если пользователь определенное коли- чество раз вводит пароль, который не был сохранен в БД Secret Net Studio, — сис- тема блокирует компьютер. Разблокирование компьютера осуществляется администратором. Счетчик неудачных попыток обнуляется при удачном входе пользователя или после разблокирования компьютера.
Временная блокировка компьютера
Режим временной блокировки включается в следующих случаях:
-
- если пользователь выполнил действие для включения блокировки;
- если истек заданный интервал неактивности (простоя) компьютера.
Для включения блокировки пользователь может применить стандартный способ блокировки рабочей станции или изъять свой идентификатор из считывателя. Чтобы выполнялась блокировка при изъятии идентификатора, администратору необходимо настроить реакцию на это действие в политиках с помощью программы управления. Блокировка при изъятии идентификатора выполняется при условии, что пользователь выполнил вход в систему с использованием этого идентификатора.
Блокировка по истечении заданного интервала неактивности осуществляется автоматически и распространяется на всех пользователей компьютера.
Для снятия временной блокировки необходимо указать пароль текущего пользователя или предъявить его идентификатор.
Блокировка компьютера при работе защитных подсистем
Блокировка компьютера предусмотрена и в алгоритмах работы защитных подсистем. Такой тип блокировки используется в следующих ситуациях:
-
- при нарушении функциональной целостности системы Secret Net Studio;
- при изменениях аппаратной конфигурации компьютера;
- при нарушении целостности контролируемых объектов.
Разблокирование компьютера в перечисленных случаях осуществляется администратором.
Блокировка компьютера администратором оперативного управления
В сетевом режиме функционирования блокировка и разблокирование защищаемого компьютера могут осуществляться удаленно по команде пользователя программы управления.
Аппаратные средства защиты
В Secret Net Studio поддерживается работа с аппаратными средствами, перечисленными в следующей таблице.
Аппаратные средства | Основные решаемые задачи |
Средства идентификации и аутентификации на базе идентификаторов eToken, Rutoken, JaCarta и ESMART |
|
Программно-
аппаратный комплекс (ПАК) «Соболь» версии 3.0 |
|
Рис. Запрос персонального идентификатора после включения компьютера.
Для идентификации и аутентификации пользователей могут применяться следующие средства:
-
- идентификаторы iButton (поддерживаемые типы DS1992 — DS1996). Считывающее устройство iButton подключается к разъему платы ПАК «Соболь» или Secret Net Card;
-
- USB-ключи eToken PRO, eToken PRO (Java), Rutoken, Rutoken S, Rutoken ЭЦП, Rutoken Lite, JaCarta PKI, JaCarta PKI Flash, JaCarta ГОСТ, JaCarta ГОСТ Flash, JaCarta-2 PKI/ГОСТ, ESMART Token, ESMART Token ГОСТ;
- контактные смарт- карты eToken PRO, eToken PRO (Java), Rutoken ЭЦП, Rutoken Lite, JaCarta PKI, JaCarta ГОСТ, ESMART Token, ESMART Token ГОСТ с любыми совместимыми USB-считывателями.
Функциональный контроль подсистем
Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС (т. е. к моменту начала работы пользователя) все ключевые защитные подсистемы загружены и функционируют.
В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net Studio.
При неуспешном завершении функционального контроля в журнале Secret Net Studio регистрируется событие с указанием причин (это возможно при условии работоспособности ядра Secret Net Studio). Вход в систему разрешается только пользователям, входящим в локальную группу администраторов компьютера.
Одной из важных задач функционального контроля является обеспечение защиты ресурсов компьютера при запуске ОС в безопасном режиме (Safe mode). Безопасный режим запуска не является штатным режимом функционирования для системы Secret Net Studio, однако при необходимости администратор может его использовать для устранения неполадок. Поскольку в безопасном режиме не действуют некоторые функции системы защиты, функциональный контроль в этих условиях завершается с ошибкой. В результате блокируется вход любых пользователей, кроме администраторов. Поэтому при надлежащем соблюдении правил политики безопасности, когда никто из обычных пользователей не обладает полномочиями администратора, доступ к ресурсам компьютера в обход механизмов защиты невозможен.
Регистрация событий
В процессе работы системы Secret Net Studio события, происходящие на компьютере и связанные с безопасностью системы, регистрируются в журнале Secret Net Studio. Все записи журнала хранятся в файле на системном диске. Формат данных идентичен формату журнала безопасности ОС Windows.
Предоставляются возможности для настройки перечня регистрируемых событий и параметров хранения журнала. Это позволяет обеспечить оптимальный объем сохраняемых сведений с учетом размера журнала и нагрузки на систему.
Контроль целостности
Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов. Контроль проводится в автоматическом режиме в соответствии с заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»). Каждый тип объектов имеет свой набор контролируемых параметров. Например, файлы могут контролироваться на их существование, целостность содержимого, неизменность прав доступа, атрибутов.
В системе предусмотрена возможность настройки периодичности контроля по определенным дням и времени в течение дня. Запуск процесса контроля может выполняться при загрузке ОС, при входе пользователя в систему или после входа.
При проверке целостности могут применяться различные варианты реакции системы на выполнение заданий контроля. Можно настраивать регистрацию определенных типов событий (успех или ошибка проверки отдельного объекта, либо всего задания контроля) и действия в случае нарушения целостности (игнорировать ошибку, заблокировать компьютер или принять новое значение как эталон).
Вся информация об объектах, методах, расписаниях контроля сосредоточена в специальной структуре, которая называется модель данных. Модель данных хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.
Используются следующие категории объектов в порядке от низшего уровня иерархии к высшему:
-
- ресурсы;
- группы ресурсов;
- задачи;
- задания;
- субъекты управления (компьютеры, пользователи, группы компьютеров и пользователей).
Модель данных является общей для механизмов контроля целостности и замкнутой программной среды.
Управление локальными моделями данных на защищаемых компьютерах можно осуществлять централизованно (для клиентов в сетевом режиме функционирования). Для централизованного управления в глобальном каталоге создаются две модели данных — для компьютеров под управлением 32- разрядных версий ОС Windows и для компьютеров с 64- разрядными версиями операционных систем. Такое разделение позволяет учитывать специфику используемого ПО на защищаемых компьютерах с различными платформами.
Каждая из централизованных моделей данных является общей для всех защищаемых компьютеров под управлением версий ОС Windows соответствующей разрядности (32- или 64- разрядные версии). При изменении параметров централизованной модели выполняется локальная синхронизация этих изменений на защищаемом компьютере. Новые параметры из централизованного хранилища передаются на компьютер, помещаются в локальную модель данных и затем используются защитными механизмами.
Синхронизация может выполняться в следующие моменты:
-
- при загрузке компьютера;
- при входе пользователя в систему;
- после входа (в фоновом режиме во время работы пользователя);
- периодически через определенные интервалы времени;
- принудительно по команде администратора;
- непосредственно после внесения изменений в ЦБД КЦ-ЗПС.
Редактирование централизованных моделей данных осуществляется со следующими особенностями: для изменения доступна та модель данных, которая соответствует разрядности ОС Windows на рабочем месте администратора. Модель данных другой разрядности доступна только для чтения (при этом можно экспортировать данные из этой модели в другую). Таким образом, если в системе имеются защищаемые компьютеры с версиями ОС различной разрядности, для централизованного управления моделями данных администратору следует организовать два рабочих места — на компьютере с 32- разрядной версией ОС Windows и на компьютере с 64-разрядной версией ОС.
Дискреционное управление доступом к ресурсам файловой системы
В состав системы Secret Net Studio входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:
-
- разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
- контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
- невозможность доступа к объектам в обход установленных прав доступа (если используются стандартные средства ОС или прикладные программы без собственных драйверов для работы с файловой системой);
- независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.
Аналогично реализации в ОС Windows матрица доступа в системе Secret Net Studio представляет собой списки файловых объектов, в которых определены учетные записи с правами доступа. Права устанавливают разрешения или запреты на выполнение операций. Перечень предусмотренных прав доступа представлен в следующей таблице.
Право доступа | Действие для каталога | Действие для файла |
Чтение (R) | Разрешает или запрещает просмотр имен файлов и подкаталогов | Разрешает или запрещает чтение данных |
Разрешает или запрещает просмотр атрибутов файлового объекта | ||
Запись (W) | Разрешает или запрещает создание подкаталогов и файлов | Разрешает или запрещает внесение изменений |
Разрешает или запрещает смену атрибутов файлового объекта | ||
Выполнение (X) | Разрешает или запрещает перемещение по структуре подкаталогов | Разрешает или запрещает выполнение |
Удаление (D) | Разрешает или запрещает удаление файлового объекта | |
Изменение прав доступа (P) | Разрешает или запрещает изменение прав доступа к файловому объекту. Пользователь, имеющий разрешение на изменение прав доступа к ресурсу, условно считается администратором ресурса |
Права доступа для файлового объекта могут быть заданы явно или наследоваться от вышестоящего элемента иерархии. Явно заданные права имеют более высокий приоритет по сравнению с наследуемыми правами. Права доступа считаются заданными явно, если для объекта отключен режим наследования прав.
Для управления списками доступа к любым файловым объектам предусмотрена специальная привилегия «Дискреционное управление доступом: Управление правами доступа». Пользователи, обладающие этой привилегией, могут изменять права доступа для всех каталогов и файлов на локальных дисках (независимо от установленных прав доступа к объектам).
По умолчанию привилегией на управление правами доступа обладают пользователи, входящие в локальную группу администраторов. При этом для всех пользователей действуют разрешающие права доступа к любым ресурсам на чтение, запись, выполнение и удаление (RWXD). Эти права наследуются от корневых каталогов логических разделов. Во избежание непреднамеренной блокировки работы ОС, которая может произойти из- за некорректно установленных прав доступа к ресурсам, — отсутствует возможность изменения прав доступа для корневого каталога системного диска (%SystemDrive%) и всего системного каталога (%SystemRoot%).
Копирование и перемещение файловых объектов
При копировании файлового объекта для его копии принудительно включается режим наследования прав доступа, даже если оригинальный объект обладает явно заданными правами.
Перемещение файлового объекта в пределах своего логического раздела осуществляется с сохранением явно заданных прав доступа для этого объекта. Если для объекта включен режим наследования — после перемещения вступают в дей- ствие права того каталога, в который перемещен объект. При перемещении объекта в другой логический раздел принудительно включается режим наследования прав.
Аудит операций с файловыми объектами
При работе механизма дискреционного управления доступом в журнале Secret Net Studio могут регистрироваться события успешного доступа к объектам, запрета доступа или изменения прав. По умолчанию регистрация событий успешного доступа не осуществляется, а события запрета доступа и изменения прав регистрируются для всех файловых объектов. Включение и отключение регистрации указанных событий осуществляется администратором безопасности при настройке параметров групповых политик.
Для файловых объектов можно детализировать аудит по выполняемым операциям, которые требуют определенных прав доступа. Например, включить аудит успешного доступа при выполнении операций записи в файл или его удаления. Включение и отключение аудита операций может выполнять администратор ресурса при настройке дополнительных параметров прав доступа к файловому объекту.
Затирание удаляемой информации
Затирание удаляемой информации обеспечивает невозможность восстановления и повторного использования данных после удаления. Гарантированное уничтожение достигается путем записи случайных последовательностей чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.
При настройке механизма можно установить различное количество циклов затирания для локальных и сменных дисков, оперативной памяти, а также для файловых объектов, удаляемых с помощью специальной команды.
Затирание файла подкачки виртуальной памяти выполняется стандартными средствами ОС Windows при выключении компьютера. Если в Secret Net Studio включен режим затирания оперативной памяти, рекомендуется дополнительно в политиках Windows включить действие стандартного параметра «Завершение работы: очистка файла подкачки виртуальной памяти» (размещается в разделе Конфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиПараметры безопасности).
Не осуществляется затирание файлов при их перемещении в папку «Корзина», так как во время нахождения в этой папке файлы не удаляются с диска. Затирание таких файлов происходит после очистки содержимого «Корзины».
Контроль подключения и изменения устройств компьютера
Механизм контроля подключения и изменения устройств компьютера обеспечивает:
-
- своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
- поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.
Изменения аппаратной конфигурации отслеживаются системой защиты для устройств с включенным режимом контроля «Устройство постоянно подключено к компьютеру».
Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. При этом значения параметров контроля задаются по умолчанию. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.
Используются следующие методы контроля конфигурации:
-
- Статический контроль конфигурации. Каждый раз при загрузке компьютера подсистема получает информацию об актуальной аппаратной конфигурации и сравнивает ее с эталонной.
- Динамический контроль конфигурации. Во время работы компьютера (а также при выходе из спящего режима) драйвер- фильтр устройств отслеживает факты подключения, отключения или изменения параметров устройств. Если произошло изменение конфигурации, драйвер- фильтр выдает оповещение об этом и система выполняет определенные действия.
При обнаружении изменений аппаратной конфигурации система ожидает утверждения этих изменений администратором безопасности. Процедура утверждения аппаратной конфигурации необходима для санкционирования обнаруженных изменений и принятия текущей аппаратной конфигурации в качестве эталонной.
Разграничение доступа к устройствам
Разграничение доступа пользователей к устройствам выполняется на основании списков устройств, которые формируются механизмом контроля подключения и изменения устройств.
Система Secret Net Studio предоставляет следующие возможности для разграничения доступа пользователей к устройствам:
-
- установка стандартных разрешений и запретов на выполнение операций с устройствами;
- назначение устройствам категорий конфиденциальности или допустимых уровней конфиденциальности сессий пользователей — чтобы разграничить доступ с помощью механизма полномочного управления доступом.
Возможности по разграничению доступа зависят от типов устройств. Разграничение не осуществляется полностью или частично для устройств, имеющих особую специфику использования или необходимых для функционирования компьютера. Например, не ограничивается доступ к процессору и оперативной памяти, ограничены возможности разграничения доступа для портов ввода/вывода.
Для устройств с отключенным режимом контроля или запрещенных для подключения не действует разграничение доступа по установленным разрешениям и запретам на выполнение операций. Права доступа пользователей к таким устройствам не контролируются.
При установке клиентского ПО системы Secret Net Studio выставляются права доступа для всех обнаруженных устройств, поддерживающих такое разграничение доступа. По умолчанию предоставляется полный доступ трем стандартным группам пользователей: «Система», «Администраторы» и «Все». То есть всем пользователям разрешен доступ без ограничений ко всем устройствам, обнаруженным на компьютере. Далее администратор безопасности разграничивает доступ пользователей к устройствам в соответствии с требованиями политики безопасности. Для этого можно выполнить настройку прав доступа непосредственно для устройств или для классов и групп, к которым относятся устройства.
Настройка прав доступа для классов и групп позволяет подготовить систему защиты к возможным подключениям новых устройств. При подключении новое устройство включается в соответствующую группу, класс и модель (если есть). Доступ пользователей к этому устройству будет разграничен автоматически — в соответствии с правилами, которые установлены для группы, класса или модели.
Разграничение доступа пользователей к устройствам с назначенными категориями конфиденциальности или уровнями конфиденциальности сессий осуществляется механизмом полномочного управления доступом.
Замкнутая программная среда
Механизм замкнутой программной среды позволяет определить для любого пользователя компьютера индивидуальный перечень программного обеспечения, разрешенного для использования. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:
-
- файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
- сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.
Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.
На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов (журнал безопасности или журнал Secret Net Studio), содержащих сведения о запусках программ, библиотек и сценариев.
Для файлов, входящих в список, можно включить проверку целостности с использованием механизма контроля целостности. По этой причине механизм замкнутой программной среды и механизм контроля целостности используют единую модель данных.
Механизм замкнутой программной среды не осуществляет блокировку запускаемых программ, библиотек и сценариев в следующих случаях:
-
- при наличии у пользователя привилегии «Замкнутая программная среда: Не действует» (по умолчанию привилегия предоставлена администраторам компьютера) — контроль запускаемых пользователем ресурсов не осуществляется;
- при включенном мягком режиме работы подсистемы замкнутой программной среды — в этом режиме контролируются попытки запуска программ, библиотек и сценариев, но разрешается использование любого ПО. Этот режим обычно используется на этапе настройки механизма.
Изоляция процессов
В системе Secret Net Studio может применяться режим изоляции процессов для предотвращения стороннего доступа к данным определенных исполняемых модулей. При действующем режиме контролируются следующие операции с данными, которыми обмениваются различные процессы:
-
- чтение данных из буфера обмена;
- чтение данных в окне другого процесса;
- запись данных в окно другого процесса;
- перетаскивание данных между процессами методом drag-and-drop.
Процесс считается изолированным, если в модели данных включена изоляция для ресурса, соответствующего исполняемому файлу этого процесса. Для изолированного процесса обмен данными с другими процессами невозможен. Разрешается использование буфера обмена только при записи и чтении данных одного и того же процесса. Неизолированные процессы обмениваются данными без ограничений.
Изоляция процессов реализуется при включенном механизме замкнутой программной среды (должен функционировать драйвер механизма). Режим работы механизма ЗПС может быть любым. При этом для исключения возможностей
запуска копий исполняемых файлов в неизолированной среде рекомендуется настроить механизм ЗПС и включить жесткий режим работы механизма.
Полномочное управление доступом
Механизм полномочного управления доступом обеспечивает:
-
- разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
- контроль подключения и использования устройств с назначенными категориями конфиденциальности;
- контроль потоков конфиденциальной информации в системе;
- контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
- контроль печати конфиденциальных документов.
По умолчанию в системе предусмотрены следующие категории конфиденциальности:
- «неконфиденциально» (для общедоступной информации),
- «конфиденциально»,
- «строго конфиденциально».
При необходимости можно увеличить количество используемых категорий и задать для них названия в соответствии со стандартами, принятыми в вашей организации. Максимально возможное количество категорий — 16.
Категорию конфиденциальности можно назначить для следующих ресурсов:
-
- локальные физические диски (кроме диска с системным логическим разделом) и любые устройства, включаемые в группы устройств USB, PCMCIA, IEEE1394 или Secure Digital;
- каталоги и файлы на дисках.
Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса, — система блокирует доступ к этому ресурсу. После получения доступа к конфиденциальной информации уровень конфиденциальности программы (процесса) повышается до категории конфиденциальности ресурса. Это необходимо для того, чтобы исключить возможность сохранения конфиденциальных данных в файлах с меньшей категорией конфиденциальности.
Полномочное разграничение доступа на уровне устройств осуществляется следующим образом. Если устройство подключается во время сеанса работы пользователя c уровнем допуска ниже, чем категория устройства, система блокирует подключение устройства. При подключении такого устройства до начала сеанса работы пользователя — запрещается вход пользователя в систему. В режиме контроля потоков уровень конфиденциальности сессии пользователя должен соответствовать категориям всех подключенных устройств.
Функционирование устройства разрешено независимо от уровня допуска пользователя, если для этого устройства включен режим «Устройство доступно без учета категории конфиденциальности». Данный режим включен по умолчанию.
Доступ к содержимому конфиденциального файла предоставляется пользователю, если категория файла не превышает уровень допуска пользователя. При этом категория конфиденциальности устройства, на котором располагается файл, также анализируется и имеет более высокий приоритет по сравнению с категорией конфиденциальности файла. Если категория файла ниже категории конфиденциальности устройства — система считает категорию файла равной категории устройства. При обратной ситуации, когда категория файла превы- шает категорию конфиденциальности устройства, такое состояние расценивается как некорректное и доступ к файлу запрещается.
Режим контроля потоков
При использовании механизма в режиме контроля потоков конфиденциальной информации всем процессам обработки данных в системе присваивается единый уровень конфиденциальности. Нужный уровень конфиденциальности из числа
доступных пользователю выбирается перед началом сессии работы на компьютере. Этот уровень нельзя изменить до окончания сессии.
В режиме контроля потоков сохранение информации разрешено только с категорией, равной уровню конфиденциальности сессии. Полностью запрещается доступ к данным, категория которых превышает уровень конфиденциальности сессии (даже если уровень допуска пользователя позволяет доступ к таким данным). Таким образом, режим контроля потоков обеспечивает строгое соблюдение принципов полномочного разграничения доступа и предотвращает несанкционированное копирование или перемещение конфиденциальной информации.
В режиме контроля потоков запрещается использование устройств, которым назначена категория конфиденциальности, отличающаяся от выбранного уровня сессии. Если на момент входа пользователя к компьютеру подключены устройства с различными категориями конфиденциальности, вход запрещается по причине конфликта подключенных устройств. Использование устройств, которым назначена категория конфиденциальности выше, чем уровень допуска пользователя, ограничивается так же, как и при отключенном режиме контроля потоков.
Режим контроля потоков позволяет установить ограничения на использование сетевых интерфейсов. Для каждого сетевого интерфейса можно выбрать уровни конфиденциальности сессий, в которых этот интерфейс будет доступен пользователю. Если открыта сессия с другим уровнем конфиденциальности, функционирование этого интерфейса блокируется системой защиты. Это позволяет организовать работу пользователя в различных сетях в зависимости от выбранного уровня конфиденциальности сессии.
Для сетевых интерфейсов предусмотрен режим доступности «Адаптер доступен всегда» (включен по умолчанию). В этом режиме функционирование сетевого интерфейса разрешено независимо от уровня конфиденциальности сессии.
Вывод конфиденциальной информации
Механизм полномочного управления доступом осуществляет контроль вывода конфиденциальной информации на внешние носители. Внешними носителями в системе Secret Net Studio считаются сменные диски, для которых включен режим доступа «без учета категории конфиденциальности». При копировании или перемещении конфиденциального ресурса на таком носителе может не сохраниться исходная категория конфиденциальности ресурса. Поэтому чтобы осуществлять вывод конфиденциальной информации на внешие носители в режиме контроля потоков, пользователь должен обладать соответствующей привилегией.
Для предотвращения несанкционированного вывода конфиденциальных документов на локальные и сетевые принтеры используется механизм контроля печати. Механизм обеспечивает вывод конфиденциальных документов на печать только при наличии соответствующей привилегии. Также в распечатываемые документы может автоматически добавляться специальный маркер (гриф), в котором указывается категория конфиденциальности документа. События печати регистрируются в журнале Secret Net Studio.
Контроль печати
Механизм контроля печати обеспечивает:
-
- разграничение доступа пользователей к принтерам;
- регистрацию событий вывода документов на печать в журнале Secret Net Studio;
- вывод на печать документов с определенной категорией конфиденциальности;
- автоматическое добавление грифа в распечатываемые документы (маркировка документов);
- теневое копирование распечатываемых документов.
Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров». Виртуальные принтеры соответствуют реальным принтерам, установленным на компьютере. Список виртуальных принтеров автоматически формируется при включении контроля печати и режима теневого копирования. Печать в этом случае разрешается только на виртуальные принтеры.
При печати на виртуальный принтер выполняются дополнительные преобразования для получения образа распечатываемого документа в формате XML Paper Specification (XPS). Далее XPS- документ копируется в хранилище теневого копирования (если для принтера включена функция теневого копирования), модифицируется нужным образом и после этого передается для печати в соответствующее печатающее устройство.
Теневое копирование выводимых данных
Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на съемные носители информации. Дубликаты (копии) сохраняются в специальном хранилище, доступ к которому имеют только уполномоченные пользователи. Действие механизма распространяется на те устройства, для которых включен режим сохранения копий при записи информации.
При включенном режиме сохранения копий вывод данных на внешнее устройство возможен только при условии создания копии этих данных в хранилище теневого копирования. Если по каким-либо причинам создать дубликат невозможно, операция вывода данных блокируется.
Теневое копирование поддерживается для устройств следующих видов:
-
- подключаемые сменные диски;
- дисководы гибких дисков;
- дисководы оптических дисков с функцией записи;
- принтеры.
При выводе данных на подключаемый сменный диск (например, USB- флеш- накопитель) в хранилище теневого копирования создаются копии файлов, записанных на носитель в ходе операции вывода. Если файл открыт для редактирования непосредственно со сменного носителя, при сохранении новой версии файла в хранилище будет создан его отдельный дубликат.
Для устройства записи оптических дисков механизм теневого копирования создает в хранилище образ диска, если для записи используется интерфейс Image Mastering API (IMAPI), или копии файлов, если запись осуществляется в формате файловой системы Universal Disk Format (UDF).
Некоторые программные пакеты, имеющие функцию записи оптических дисков, используют собственные драйверы управления устройствами. Такие драйверы могут осуществлять доступ к устройству в обход механизма теневого копирования. Для обеспечения гарантированного контроля запись дисков необходимо осуществлять только с использованием штатных средств ОС MS Windows.
Теневое копирование распечатываемых документов осуществляется с использованием механизма контроля печати. В качестве копии выводимой на печать информации сохраняется образ печатаемого документа в формате XPS (сокр. от XML Paper Specification) — открытый графический формат фиксированной разметки на базе языка XML, разработанный компанией Microsoft.
Контроль вывода данных с помощью механизма теневого копирования является одной из задач аудита. События вывода данных регистрируются в журнале Secret Net Studio. Доступ к дубликатам в хранилище теневого копирования осуществляется с помощью программы управления Secret Net Studio в локальном режиме работы.
Администратор настраивает функционирование механизма теневого копирования в программе управления. При настройке определяются параметры хранилища теневого копирования, а также включается или отключается действие механизма для устройств или принтеров.
Защита информации на локальных дисках
Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера. Загрузка считается санкционированной, если она выполнена средствами операционной системы с установленным клиентским ПО Secret Net Studio. Все другие способы загрузки ОС считаются несанкционированными (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере).
Механизм обеспечивает защиту информации при попытках доступа, осуществляемых с помощью штатных средств операционной системы.
Действие механизма защиты дисков основано на модификации загрузочных секторов (boot-секторов) логических разделов на жестких дисках компьютера. Содержимое загрузочных секторов модифицируется путем кодирования с использованием специального ключа, который автоматически генерируется при включении механизма. При этом часть служебных данных для механизма защиты дисков сохраняется в системном реестре.
Модификация позволяет скрыть информацию о логических разделах при несанкционированной загрузке компьютера — разделы с модифицированными загрузочными секторами будут восприниматься системой как неформатированные или поврежденные. При санкционированной загрузке компьютера осуществляется автоматическое раскодирование содержимого boot- секторов защищенных логических разделов при обращении к ним.
Выбор логических разделов, для которых устанавливается режим защиты (то есть модифицируются boot-секторы), осуществляет администратор.
Механизм защиты дисков может использоваться при условии, если физический диск, с которого выполняется загрузка ОС, относится к одному из следующих типов:
-
- диск с таблицей разделов на идентификаторах GUID (GUID Partition Table — GPT) на компьютере с интерфейсом UEFI (Unified Extensible Firmware Interface). При включении механизма на диск записывается специальный загрузчик Secret Net Studio в скрытом системном UEFI-разделе, после чего загрузчик регистрируется в UEFI;
- диск с основной загрузочной записью (Master Boot Record — MBR). При включении механизма на этом диске модифицируется MBR и часть остального пространства нулевой дорожки диска.
При работе механизма обеспечивается защита до 128 логических разделов при общем количестве физических дисков до 32. Логические разделы, для которых устанавливается режим защиты, должны иметь файловую систему FAT, NTFS или ReFS.
ReFS— это новейшая файловая система Майкрософт, которая повышает уровень доступности данных, обеспечивает эффективное масштабирование для очень крупных наборов данных и различных вариантов нагрузки и гарантирует целостность данных благодаря устойчивости к повреждениям. Она используется для растущего числа сценариев хранения данных и служит основой для будущих нововведений.
Разделы могут быть на физических дисках с основной загрузочной записью (MBR) или с таблицей разделов на идентификаторах GUID (GPT). Диски с другими типами разбиения на логические разделы не поддерживаются (например, динамические диски).
При использовании механизма защиты дисков на компьютере должна быть установлена только одна операционная система. Если установлено несколько ОС, после включения механизма в одной из них не гарантируется устойчивая работа остальных ОС.
Шифрование данных в криптоконтейнерах
Система Secret Net Studio предоставляет возможность шифрования содержимого объектов файловой системы (файлов и папок). Для операций зашифрования и расшифрования используются специальные хранилища — криптографические контейнеры или криптоконтейнеры.
Физически криптоконтейнер представляет собой файл, который можно подключить к системе в качестве дополнительного диска. Криптоконтейнер является образом диска, но все действия с ним выполняются через драйвер механизма шифрования. Драйвер обеспечивает работу с пользовательскими данными в контейнере в режиме «прозрачного шифрования». То есть пользователь, после подключения криптоконтейнера в качестве диска, выполняет операции с файлами на этом диске так же, как и на любом другом носителе. Дополнительных действий для зашифрования или расшифрования файлов не требуется. Все криптографические операции с файлами выполняются автоматически.
Криптоконтейнеры можно подключать к системе с локальных дисков, сменных носителей или с сетевых ресурсов. Доступный объем для записи данных указывается при создании криптоконтейнера. Предельное ограничение объема определяется исходя из свободного пространства на ресурсе и типа файловой системы. Минимальный размер контейнера — 1 МБ.
Для разграничения доступа пользователей к криптоконтейнерам в системе Secret Net Studio предусмотрены следующие права:
-
- чтение данных — предоставляет только возможности чтения файлов в криптоконтейнере;
- полный доступ к данным — предоставляет возможности чтения и записи файлов в криптоконтейнере;
- управление криптоконтейнером — предоставляет возможности управления списком пользователей, имеющих доступ к криптоконтейнеру, а также чтения и записи файлов.
Создание криптоконтейнеров доступно пользователям с соответствующей привилегией. По умолчанию эта привилегия предоставлена всем учетным записям, которые входят в локальные группы администраторов или пользователей.
Пользователь, создавший криптоконтейнер, получает право на управление им и в дальнейшем может делегировать (предоставить) это право доступа другому пользователю. При необходимости создатель криптоконтейнера может быть удален из списка пользователей с правами доступа с тем условием, что в списке будет присутствовать хотя бы один пользователь с правами на управление криптоконтейнером.
Для работы с шифрованными ресурсами пользователи должны иметь ключи шифрования. Процедуры генерации и выдачи ключей выполняются администратором безопасности. Для пользователей создаются ключевые пары, каждая из которых состоит из открытого и закрытого ключей. Открытые ключи хранятся в общем хранилище (для ключей локальных пользователей используется локальная БД Secret Net Studio, для доменных — хранилище глобального каталога). Закрытые ключи хранятся в ключевых носителях, присвоенных пользователям. Носителями для хранения закрытых ключей (ключевой информации) могут являться идентификаторы или сменные носители, такие как флеш- карты, флеш-накопители и т. п.
Общие сведения о ключевой схеме
Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10-2012, ГОСТ Р34.11-2012 и ГОСТ 28147–89. Во время криптографических операций генерируются и вычисляются определенные наборы ключей и дополнительных значений, используемых для доступа к криптоконтейнеру.
Криптоконтейнер содержит следующие группы данных:
-
- управляющая информация криптоконтейнера — представляет собой структуру зашифрованных ключей и значений для доступа к криптоконтейнеру;
- зашифрованные данные пользователей — криптографически преобразованные файлы, помещенные в криптоконтейнер пользователями.
Управляющая информация криптоконтейнера формируется при его создании. Изначально в этой структуре совместно с другими сведениями сохраняется открытый ключ пользователя, создавшего криптоконтейнер. Далее в процессе формирования списка пользователей, имеющих доступ к контейнеру, открытые ключи этих пользователей также помещаются в структуру. С использованием открытых ключей шифруются соответствующие части структуры.
Файлы, помещаемые пользователями в криптоконтейнер, шифруются с использованием ключей шифрования, рассчитанных на основе базового ключа шифрования — общего для всех пользователей криптоконтейнера. Базовый ключ шифрования генерируется при создании криптоконтейнера. Вычисление ключа осуществляется при доступе к криптоконтейнеру с помощью закрытого ключа пользователя.
Для дополнительной защиты базового ключа шифрования может использоваться специальный «корпоративный ключ». Данный ключ генерируется при создании криптоконтейнера, если включен параметр «использовать корпоративный ключ». Ключ сохраняется в системном реестре компьютера и применяется для зашифрования и расшифрования базового ключа.
При использовании корпоративного ключа доступ к криптоконтейнеру возможен при условии, если ключ хранится в системном реестре (в зашифрованном виде). Поэтому для доступа к криптоконтейнеру на другом компьютере корпоративный ключ необходимо импортировать в реестр этого компьютера.
Смена ключей
В процессе эксплуатации системы следует регулярно выполнять смену ключей пользователей и базовых ключей шифрования криптоконтейнеров.
Смена ключей пользователя выполняется самим пользователем или администратором безопасности. Периодичность смены ключей пользователей контролируется системой и может настраиваться путем ограничения максимального и минимального сроков действия ключей. При смене ключей пользователя в системе сохраняются две ключевые пары — текущая и предыдущая. Предыдущая ключевая пара необходима для перешифрования на новом ключе соответствующей части управляющей информации в криптоконтейнерах пользователя. Процесс перешифрования управляющей информации запускается автоматически после смены ключей.
Смена базового ключа шифрования криптоконтейнера выполняется поль- зователем с правами на управление криптоконтейнером. Для смены базового ключа пользователь инициирует процедуру перешифрования криптоконтейнера, в результате чего все зашифрованные данные криптоконтейнера будут перешифрованы на новом базовом ключе. При использовании корпоративного ключа его смена происходит автоматически при смене базового ключа.
Межсетевой экран
Система Secret Net Studio обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях на основе формируемых правил фильтрации.
Подсистема межсетевого экранирования Secret Net Studio реализует следующие основные функции:
-
- фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
- фильтрация пакетов служебных протоколов (ICMP, IGMP и т.д.), необходимых для диагностики и управления работой сетевых устройств;
- фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
- фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
- фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах);
- фильтрация с учетом полей сетевых пакетов;
- фильтрация с учетом даты/времени суток.
Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi-Fi (IEEE 802.11b/g/n). События, связанные с работой межсетевого экрана, регистрируются в журнале Secret Net Studio.
Авторизация сетевых соединений
При действующем механизме авторизации сетевых соединений осуществляется добавление специальной служебной информации к сетевым пакетам, с помощью которой обеспечивается аутентичность и целостность передаваемых данных и защита от атак типа Man in the Middle.
Подсистема авторизации сетевых соединений обеспечивает:
-
- получение с сервера авторизации, входящего в состав компонента «Secret Net Studio — Сервер безопасности», правил авторизации соединений (список параметров соединений, в которые будет добавляться служебная информация);
- получение с сервера авторизации сессионных данных для добавления служебной информации;
- добавление в сетевой трафик специальной служебной информации для пакетов, удовлетворяющих правилам авторизации;
- разбор специальной служебной информации во входящих пакетах и передачу информации о контексте удаленного пользователя в подсистему межсетевого экранирования для фильтрации по правилам.
Авторизация сетевых соединений осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi-Fi (IEEE 802.11b/g/n).
Обнаружение и предотвращение вторжений
Secret Net Studio реализует обнаружение и блокирование внешних и внутренних вторжений, направленных на защищаемый компьютер.
Настройка параметров механизма осуществляется администратором безопасности с помощью групповых и локальных политик в программе управления Secret Net Studio.
Вся информация об активности механизма обнаружения и предотвращения вторжений регистрируется в журнале Secret Net Studio.
Функция | Описание |
Детекторы сетевых атак | Фильтрация входящего трафика, используемая для блокировки внешних атак. Детекторы атак функционируют на прикладном уровне модели OSI. Анализ входящих данных производится с помощью изучения поведения |
Сигнатурный анализ | Контроль входящего и исходящего сетевого трафика на наличие элементов, зарегистрированных в базе решающих правил (БРП). Атакующие компьютеры могут блокироваться на заданный промежуток времени |
Антивирус
Secret Net Studio позволяет осуществлять эвристический анализ данных и автоматическую проверку на наличие вредоносных программ, зарегистри- рованных в базе сигнатур. При проверке компьютера осуществляется скани- рование жестких дисков, сетевых папок, внешних запоминающих устройств и др. Это позволяет обнаружить и заблокировать внешние и внутренние сетевые атаки, направленные на защищаемый компьютер.
Настройка параметров установленного антивируса осуществляется администра- тором безопасности с помощью групповых и локальных политик в программе управления Secret Net Studio.
Вся информация об активности механизма регистрируется в журнале Secret Net Studio.
Для обеспечения антивирусной защиты предусмотрены следующие функции.
Функция | Описание |
Постоянная защита | Проверка файлов в режиме реального времени. Обнаружение компьютерных вирусов сигнатурными и эвристическими методами при попытках получения доступа к исполняемым файлам, файлам документов, изображений, архивов, скриптов и другим типам потенциально опасных файлов |
Контекстное сканирование | Проверка, запускаемая пользователем из контекстного меню в проводнике Windows |
Сканирование по расписанию | Проверка, запускаемая по расписанию. Параметры проверки настраиваются администратором в программе управления. Пропущенное сканирование по расписанию (например, компьютер выключен) принудительно запускается после восстановления работы компьютера |
Автоматическая проверка съемных носителей | В Secret Net Studio реализована возможность автоматической проверки съемных носителей при их подключении к компьютеру |
Список исключений | Создание списка файлов, которые не проверяются при проверке файлов в режиме реального времени и при сканировании по расписанию. Список исключений действует глобально для всех видов сканирования и не настраивается отдельно для разных режимов |
Выполнение действий с обнаруженными вирусами | Возможно выполнение следующих действий с зараженными объектами: удаление, изолирование (перемещение в карантин), блокировка доступа (только в режиме постоянной защиты), лечение. Выбор реакции на обнаруженные вредоносные программы осуществляется в настройках параметров антивируса |
Обновление антивирусных баз | Автоматическое обновление базы с сервера обновлений, запускаемое в фоновом режиме, или ручное обновление базы из выбранной директории |
Контроль целостности сигнатур | Проверка неизменности базы сигнатур при загрузке службы и при обновлении. При несанкционированном изменении базы создается запись в журнале Secret Net Studio |
Шифрование трафика с использованием VPN клиента
В состав клиентского ПО системы Secret Net Studio включен VPN клиент, предназначенный для организации доступа удаленных пользователей к ресурсам, защищаемым средствами АПКШ «Континент». VPN клиент обеспечивает крипто- графическую защиту трафика, циркулирующего по каналу связи. На стороне сервера доступа АПКШ «Континент» VPN клиент системы Secret Net Studio рассматривается как отдельный абонентский пункт (АП).
При подключении абонентского пункта к серверу доступа выполняется процедура установки соединения, в ходе которой осуществляется взаимная аутентификация абонентского пункта и сервера доступа. Завершается процедура установки соединения генерацией сеансового ключа, который используется для шифрования трафика между абонентским пунктом и сервером доступа.
При аутентификации используются сертификаты X.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11— 1994 или ГОСТ Р 34.11— 2012, формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10— 2001 или ГОСТ Р 34.10—2012.
Генерация закрытого ключа и формирование на его основе открытого при создании запроса на получение сертификата удостоверяющего центра выполняется средствами встроенного криптопровайдера «Код Безопасности CSP». Поддерживается работа с внешним криптопровайдером «КриптоПро CSP».
Для VPN клиента можно создать и настроить несколько подключений. Например, если защищаемая сеть АПКШ «Континент» имеет в составе несколько серверов доступа. В этом случае для соединения с каждым из них можно использовать отдельное подключение. При установленном соединении с сервером доступа дру- гие подключения запрещаются. Поэтому перед активацией другого подклю- чения необходимо разорвать текущее соединение.
Организация централизованного управления системой
Взаимодействующие компоненты
Клиент в сетевом режиме функционирования
Для реализации централизованного управления на всех защищаемых компьютерах должно быть установлено ПО клиента в сетевом режиме функционирования. Эти компьютеры необходимо подчинить серверам безопасности.
Сервер безопасности
Основные функции сервера безопасности:
-
- получение информации от агентов на защищаемых компьютерах о текущем состоянии рабочих станций и сессиях работы пользователей;
- оперативное получение и передача сведений о событиях тревоги, зарегистрированных на защищаемых компьютерах;
- отправка команд управления на защищаемые компьютеры;
- получение информации о состоянии защитных подсистем на компьютерах и отправка команд на изменение состояния защитных подсистем;
- получение и передача на защищаемые компьютеры параметров групповых политик, заданных в программе управления системы Secret Net Studio;
- контроль действительности лицензий на использование компонентов системы Secret Net Studio;
- получение локальных журналов с защищаемых компьютеров и передача содержимого журналов в базу данных сервера безопасности;
- обработка запросов к базе данных;
- архивирование и восстановление содержимого журналов в базе данных;
- протоколирование обращений к серверу.
Сервер безопасности реализует функции контроля и управления защищаемыми компьютерами при условии их подчинения. Серверу могут быть подчинены ком- пьютеры с установленным клиентом Secret Net Studio.
Для функционирования сервера безопасности требуется наличие системы управ- ления базами данных (СУБД), реализуемой сервером СУБД MS SQL. Сервер безо- пасности и сервер СУБД могут быть установлены на разных компьютерах (рекомендуется) или на одном компьютере.
Сервер авторизации
В состав ПО сервера безопасности входит отдельное приложение — сервер авторизации. Данное приложение обеспечивает работу механизмов межсетевого экрана и авторизации сетевых соединений. Сервер авторизации устанавливается и удаляется вместе с ПО сервера безопасности.
Программа управления
Программа управления устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами. Программа осуществляет взаимодействие с сервером безопасности, через который выполняются необходимые действия.
Домены безопасности
В системе Secret Net Studio реализация централизованного управления компью- терами и синхронизации параметров защиты базируется на концепции доменов безопасности. Домены безопасности формируются из объектов, включенных в определенные контейнеры Active Directory, — в организационных подразделениях (Organizational Unit) или во всем домене AD. По аналогии с доменами Active Directory несколько доменов безопасности (со своими серверами безопасности) могут образовывать лес доменов.
Формирование первого домена безопасности в домене AD происходит при уста- новке первого сервера безопасности.
Сервер безопасности использует базу данных служб облегченного доступа к каталогам Active Directory (Active Directory Lightweight Directory Services, AD LDS). Контроль получения и применения параметров на защищаемых компью- терах осуществляется самим сервером безопасности.
Домен безопасности создается как часть структуры леса доменов безопасности. Для леса назначается группа пользователей, которым будут предоставлены права на создание новых доменов безопасности. Эта группа будет являться группой администраторов леса доменов безопасности. При создании домена безо- пасности назначается группа пользователей, которым будут предоставлены права администрирования домена безопасности, — группа администраторов домена безопасности.
Сетевая структура системы Secret Net Studio
Сетевая структура системы Secret Net Studio строится по принципу подчинения защищаемых компьютеров сети серверу безопасности. Для подчинения серверу безопасности компьютер должен быть в составе домена безопасности.
В рамках леса доменов можно организовать функционирование нескольких серверов безопасности с подчинением по иерархическому принципу. При этом иерархия подчинения серверов не обязательно должна соответствовать структуре доменов в лесе. На рисунке представлен пример использования нескольких серверов СБ1 — СБ4.
Каждый сервер контролирует работу своей группы защищаемых компьютеров и имеет свою базу данных. При этом некоторые операции доступны и в отношении объектов, относящихся к подчиненным серверам. Как видно из рисунка, серверы безопасности СБ2 и СБ3 являются подчиненными по отношению к СБ1, а СБ4 — подчиненным по отношению к СБ2.
Сетевую структуру системы Secret Net Studio можно формировать с учетом различных особенностей построения сети и распределения полномочий между
администраторами. Одним из основных факторов, влияющих на формирование сетевой структуры системы Secret Net Studio, является вопрос наделения полномочиями администраторов безопасности. При необходимости разделить полномочия администраторов следует сформировать домены безопасности на базе организационных подразделений. Такой вариант позволяет в нужном объеме разделить полномочия администраторов безопасности и администраторов домена Active Directory, поскольку в рамках организационного подразделения администратору безопасности могут быть предоставлены все необходимые права на администрирование.
Обмен данными между клиентами и сервером осуществляется в режиме сессий. При передаче данных используется протокол HTTPS. На сервере должен быть установлен сертификат для обеспечения защиты соединений с сервером.
Управление доменными пользователями
Настройка параметров доменных пользователей для работы в системе Secret Net Studio осуществляется в программе управления пользователями. Программа входит в состав средств управления Secret Net Studio и дополнительно предос- тавляет возможности создания и удаления учетных записей, а также позволяет настраивать основные параметры пользователей и групп.
Штатные средства ОС (оснастки для управления пользователями) рекомендуется использовать только для настройки параметров, отсутствующих в программе управления пользователями. При создании или удалении учетных записей с использованием штатных средств некоторые функции управления и контроля могут быть недоступны до синхронизации изменений в системе Secret Net Studio.
Централизованное хранение данных
Компоненты системы Secret Net Studio используют следующие структуры централизованного хранения данных:
-
- база данных сервера безопасности на сервере СУБД — содержит централизованные журналы и оперативную информацию для мониторинга системы;
- база данных служб AD LDS — содержит параметры системы Secret Net Studio, относящиеся к учетным записям, списки серверов безопасности, списки электронных идентификаторов и других объектов для централизованного управления системой защиты.
Разделение хранилищ обусловлено спецификой обращения к данным. Обращения осуществляют только те компоненты, которым это разрешено. Контроль и разграничение доступа к хранилищам осуществляются самой системой, поэтому от администратора не требуется дополнительных действий для обеспечения защиты обращений.
В системе Secret Net информационная безопасность компьютеров обеспечивается механизмами защиты. Механизм защиты — совокупность настраиваемых программных средств, разграничивающих доступ к информационным ресурсам, а также осуществляющих контроль действий пользователей и регистрацию событий, связанных с информационной безопасностью.
Функции администратора безопасности
Функциональные возможности Secret Net позволяют администратору безопасности решать следующие задачи:
- усилить защиту от несанкционированного входа в систему;
- разграничить доступ пользователей к информационным ресурсам на основе принципов избирательного и полномочного управления доступом и замкнутой программной среды;
- контролировать и предотвращать несанкционированное изменение целостности ресурсов;
- контролировать вывод документов на печать;
- контролировать аппаратную конфигурацию защищаемых компьютеров и предотвращать попытки ее несанкционированного изменения;
- загружать системные журналы для просмотра сведений о событиях, произошедших на защищаемых компьютерах;
- не допускать восстановление информации, содержавшейся в удаленных файлах;
- управлять доступом пользователей к сетевым интерфейсам компьютеров.
Для решения перечисленных и других задач администратор безопасности использует средства системы Secret Net и операционной системы (ОС) Windows.
Основными функциями администратора безопасности являются:
- настройка механизмов защиты, гарантирующая требуемый уровень безопасности ресурсов компьютеров;
- контроль выполняемых пользователями действий с целью предотвращения нарушений информационной безопасности.
Параметры механизмов защиты и средства управления
Параметры механизмов защиты Secret Net в зависимости от места их хранения в системе и способа доступа к ним можно разделить на следующие группы:
- параметры объектов групповой политики;
- параметры пользователей;
- атрибуты ресурсов;
- параметры механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Описание параметров объектов групповой политики
К общим параметрам безопасности ОС Windows добавляются параметры Secret Net. Эти параметры применяются на компьютере средствами групповых политик и действуют в рамках локальной политики безопасности. В системе Secret Net предусмотрены возможности настройки параметров групповых политик в стандартных оснастках ОС Windows и в программе оперативного управления.
В стандартных оснастках ОС Windows параметры Secret Net представлены в узле «Параметры безопасности» иерархии узлов групповой политики.
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
- Вызовите оснастку «Локальная политика безопасности», нажать кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Локальная политика безопасности»
- Перейдите к разделу » Параметры безопасности | Параметры Secret Net».
По умолчанию раздел «Параметры Secret Net» содержит следующие группы параметров:
Группа | Назначение |
Настройки подсистем | Управление режимами работы механизма защиты входа в систему.
Управление режимами работы механизмов полномочного управления доступом и контроля печати. Настройка параметров хранения локального журнала Secret Net. Управление механизмом затирания удаляемой информации. Управление механизмом теневого копирования. Управление перенаправлением локальных устройств и ресурсов для терминальных подключений. Управление режимом локального оповещения о событиях НСД. |
Ключи пользователя | Настройка параметров ключей для усиленной аутентификации пользователей.
Управление привилегиями пользователей в системе Secret Net: • для работы с локальным журналом Secret Net; • для работы в условиях замкнутой программной среды; • для изменения прав доступа к каталогам и файлам в механизме дискреционного управления доступом. |
Регистрация
событий |
Настройка перечня событий, регистрируемых системой Secret Net. |
Устройства | Управление параметрами контроля подключения и изменения
устройств и правами доступа к устройствам. |
Принтеры | Управление параметрами использования принтеров |
Параметры настройки системы могут быть сгруппированы по принадлежности к защитным механизмам. Переключение режима группировки параметров осуществляется с помощью специальных кнопок панели инструментов или команд в меню «Вид» («По группам» и «По подсистемам»).
Для настройки параметров объектов политик безопасности:
- Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
- Выберите папку «Настройки подсистем».
- Вызовите контекстное меню для нужного параметра (см. таблицу ниже) и выберите в нем команду «Свойства».
На экране появится диалог настройки параметра.
Настройте параметры безопасности согласно приведенной таблице:
Политика | Параметр безопасности |
Администрирование: локальное оповещение об НСД | включено |
Вход в систему: Запрет вторичного входа в систему | отключен |
Вход в систему: количество неудачных попыток аутентификации | 5 |
Вход в систему: Максимальный период неактивности до блокировки экрана | 10 минут |
Реакция на изъятие идентификатора | нет |
Вход в систему: Режим аутентификации пользователя | стандартная аутентификация |
Вход в систему: Режим идентификации пользователя | смешанный |
Журнал: максимальный размер журнала системы защиты | 4096 кБ |
Журнал: политика перезаписи событий | затирать при необходимости |
Затирание данных: Количество циклов затирания конфиденциальной информации | 3 |
Затирание данных: Количество циклов затирания на локальных дисках | 3 |
Затирание данных: затирания на сменных носителях | 3 |
Контроль печати: Маркировка документов | стандартная обработка |
Контроль печати: Перенаправление принтеров в RDP-подключениях | запрещено |
Контроль печати: теневое копирование | определяется настройками принтера |
Контроль приложений: Режим аудита | аудит пользовательских приложений |
Контроль устройств: Перенаправление устройств в rdp-подключениях | запрещено |
Контроль устройств: Теневое копирование | определяется настройками устройства |
Полномочное управление доступом: названия уровней конфиденциальности | Неконфиденциально, Конфиденциально, Строго конфиденциально |
Полномочное управление доступом: режим работы | контроль потоков отключен |
Теневое копирование: Размер хранилища | Размер 20%, автоматическая перезапись отключена |
Для настройки событий, регистрируемых в журнале:
- Вызвать оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
- Выбрать раздел «Регистрация событий».
В правой части окна появится список регистрируемых событий.
- В списке событий выбрать элемент с именем события, для которого необходимо изменить режим регистрации, и вызвать диалог настройки параметра.
- Установить отметку в поле «отключена» (чтобы событие не регистрировалось в журнале) или «включена» (чтобы включить регистрацию) и нажмите кнопку «ОК».
- Настроить события согласно таблице:
Политика | Параметр безопасности |
Общие события: Событие | включена |
Общие события: Несанкционированное действие | включена |
Общие события: Ошибка | включена |
Общие события: Предупреждение | включена |
Общие события: Информационное событие | включена |
Администрирование: Добавлен пользователь | включена |
Администрирование: Удален пользователь | включена |
Администрирование: Изменены параметры пользователя | включена |
Администрирование: Изменен ключ пользователя | включена |
Администрирование: Изменены параметры действующей политики безопасности | включена |
Вход/выход: Вход пользователя в систему | включена |
Вход/выход: Завершение работы пользователя | включена |
Вход/выход: Запрет входа пользователя | включена |
Вход/выход: Идентификатор не зарегистрирован | отключена |
Вход/выход: Пользователь приостановил сеанс работы на компьютере | включена |
Вход/выход: Пользователь возобновил сеанс работы на компьютере | включена |
Вход/выход: Компьютер заблокирован системой защиты | включена |
Вход/выход: Компьютер разблокирован | включена |
Служба репликации: Ошибка создания контекста пользователя | включена |
Вход/выход: Пароль пользователя не соответствует требованиям безопасности | включена |
Администрирование: Изменен пароль пользователя | включена |
Контроль целостности: Начало обработки задания на контроль целостности | включена |
Контроль целостности: Успешное завершение задания на контроль целостности | включена |
Контроль целостности: Обнаружено нарушение целостности при обработке задания | включена |
Контроль целостности: Ресурс восстановлен по эталонному значению | включена |
Контроль целостности: Успешная проверка целостности ресурса | включена |
Контроль целостности: Нарушение целостности ресурса | включена |
Контроль целостности: Для ресурса отсутствует эталонное значение | включена |
Контроль целостности: Удаление устаревших эталонных значений | включена |
Контроль целостности: Текущее значения ресурса принято в качестве эталонного | включена |
Контроль целостности: Ошибка при восстановлении ресурса по эталонному значению | включена |
Контроль целостности: Ошибка при открытии базы данных контроля целостности | включена |
Контроль целостности: Ошибка при принятии текущего значения ресурса в качестве эталонного | включена |
Контроль целостности: Установка задания КЦ на контроль | включена |
Контроль целостности: Снятие задания КЦ с контроля | включена |
Контроль целостности: Создание задания | включена |
Контроль целостности: Удаление задания | включена |
Контроль целостности: Изменение задания | включена |
Вход/выход: Ошибка выполнения функционального контроля | включена |
Администрирование: Удален ключ пользователя | включена |
Вход/выход: Успешное завершение функционального контроля | включена |
Сеть: Запрет сетевого подключения под другим именем | включена |
Администрирование: Включена защитная подсистема | включена |
Администрирование: Отключена защитная подсистема | включена |
Администрирование: Установлена защита для диска | включена |
Администрирование: Отключена защита для диска | включена |
Контроль приложений: Запуск процесса | включена |
Контроль приложений: Завершение процесса | включена |
Вход/выход: Система защиты инициировала блокировку сессии пользователя | включена |
Trust Access: Ошибка синхронизации учетной информации с Trust Access | отключена |
Trust Access: Синхронизация учетной информации с Trust Access | отключена |
Дискреционное управление доступом: Запрет доступа к файлу или каталогу | включена |
Дискреционное управление доступом: Изменение прав доступа | включена |
Замкнутая программная среда: Запрет запуска программы | отключена |
Замкнутая программная среда: Запуск программы | отключена |
Замкнутая программная среда: Запрет загрузки библиотеки | отключена |
Замкнутая программная среда: Загрузка библиотеки | отключена |
Контроль целостности: Добавление учетной записи к заданию ЗПС | включена |
Контроль целостности: Удаление учетной записи из задания ЗПС | включена |
Полномочное управление доступом: Вывод конфиденциальной информации на внешний носитель | отключена |
Полномочное управление доступом: Запрет вывода конфиденциальной информации на внешний носитель | отключена |
Замкнутая программная среда: Исполнение скрипта | отключена |
Замкнутая программная среда: Запрет исполнения неизвестного скрипта | отключена |
Контроль печати: Печать документа | отключена |
Контроль печати: Запрет прямого обращения к принтеру | отключена |
Полномочное управление доступом: Удаление конфиденциального ресурса | отключена |
Полномочное управление доступом: Перемещение конфиденциального ресурса | отключена |
Полномочное управление доступом: Конфликт категорий конфиденциальности | отключена |
Полномочное управление доступом: Запрет перемещения конфиденциального ресурса | отключена |
Полномочное управление доступом: Изменение параметров конфиденциальности ресурса | отключена |
Полномочное управление доступом: Запрет изменения параметров конфиденциальности ресурса | отключена |
Полномочное управление доступом: Доступ к конфиденциальному ресурсу | отключена |
Полномочное управление доступом: Запрет доступа к конфиденциальному ресурсу | отключена |
Полномочное управление доступом: Использование механизма исключений | отключена |
Контроль печати: Начало печати документа | отключена |
Контроль печати: Успешное завершение печати документа | отключена |
Контроль печати: Ошибка при печати документа | отключена |
Контроль печати: Начало печати экземпляра документа | отключена |
Контроль печати: Успешное завершение печати экземпляра документа | отключена |
Контроль печати: Ошибка при печати экземпляра документа | отключена |
Контроль печати: Запрет печати документа | отключена |
Контроль печати: Сохранение копии напечатанного документа | отключена |
Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации | включена |
Контроль конфигурации: Обнаружены изменения в процессе контроля аппаратной конфигурации | включена |
Контроль конфигурации: Обнаружено новое устройство | включена |
Контроль конфигурации: Устройство удалено из системы | включена |
Контроль конфигурации: Изменены параметры устройства | включена |
Контроль конфигурации: Утверждение аппаратной конфигурации компьютера | включена |
Разграничение доступа к устройствам: Подключение устройства | включена |
Разграничение доступа к устройствам: Отключение устройства | включена |
Разграничение доступа к устройствам: Запрет подключения устройства | включена |
Разграничение доступа к устройствам: Несанкционированное отключение устройства | включена |
Разграничение доступа к устройствам: Доступ к устройству | включена |
Разграничение доступа к устройствам: Запрет доступа к устройству | включена |
Контроль конфигурации: Переход в спящий режим | включена |
Контроль конфигурации: Выход из спящего режима | включена |
Теневое копирование: Начата запись на сменный диск | включена |
Теневое копирование: Завершена запись на сменный диск | включена |
Теневое копирование: Ошибка записи на сменный диск | включена |
Теневое копирование: Запрет записи на сменный диск | включена |
Теневое копирование: Начата запись образа CD/DVD/BD | включена |
Теневое копирование: Завершена запись образа CD/DVD/BD | включена |
Теневое копирование: Ошибка записи образа CD/DVD/BD | включена |
Теневое копирование: Запрет записи образа CD/DVD/BD | включена |
Контроль целостности: Исправление ошибок в базе данных | включена |
Контроль целостности: Создание задачи | включена |
Контроль целостности: Удаление задачи | включена |
Контроль целостности: Изменение задачи | включена |
Контроль целостности: Ошибка при расчете эталона | включена |
Контроль целостности: Создание группы ресурсов | включена |
Контроль целостности: Удаление группы ресурсов | включена |
Контроль целостности: Изменение группы ресурсов | включена |
Дискреционное управление доступом: Доступ к файлу или каталогу | включена |
Вход в систему в административном режиме
При штатном функционировании системы Secret Net вход любого пользователя компьютера, включая администратора, должен выполняться по одинаковым правилам, установленным соответствующими механизмами защиты. Во время загрузки компьютера перед входом пользователя система защиты проводит инициализацию компонентов и их функциональный контроль. После успешного проведения всех проверок вход в систему разрешается.
В тех случаях, когда необходимо получить доступ к компьютеру в обход действующих механизмов или прервать выполнение инициализации компонентов, администратор может активировать специальный административный режим входа. Применение административного режима входа может потребоваться, при повторяющихся ошибках функционального контроля, приводящих к длительному ожиданию инициализации компонентов.
Примечание.
Административный режим входа следует использовать только в крайних случаях для восстановления нормального функционирования системы. Выполнив вход в административном режиме, устраните возникшую проблему и перезагрузите компьютер.
Для входа в систему в административном режиме:
- Перезагрузите компьютер.
- Во время загрузки компьютера при появлении сообщений об инициализации системных сервисов Secret Net нажмите клавишу <Esc>. Удерживайте клавишу или периодически нажимайте ее до появления экрана приветствия (приглашение на вход в систему).
- Выполните стандартные действия процедуры входа в систему.
Настройки параметров Secret Net, разделов: «Ключи пользователя», «Привилегии», «Регистрация событий», «Устройства», «Принтеры» — не требуют дополнительного конфигурирования.
Описание и настройка параметров пользователей
Параметры пользователей используются механизмами защиты входа и полномочного управления доступом. Параметры применяются при входе пользователя в систему после выполнения процедуры идентификации и аутентификации. Параметры доменных и локальных пользователей хранятся в локальной базе данных компьютера.
Примечание.
При копировании объектов «Пользователь» параметры Secret Net не копируются.
Настройка параметров пользователей осуществляется в стандартной оснастке ОС Windows «Управление компьютером».
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
- Вызовите оснастку «Локальная политика безопасности», нажмите кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Управление компьютером | Локальные пользователи и группы | Пользователи».
- Выберите раздел или организационное подразделение, в котором находится нужный пользователь.
В правой части окна появится список пользователей.
- Вызовите окно настройки свойств пользователя и перейдите к диалогу «Secret Net 7».
В левой части диалога расположена панель выбора групп параметров. Средства для настройки представлены в правой части диалога. Для перехода к нужной группе параметров выберите на панели соответствующую пиктограмму:
- «Идентификатор» — содержит средства управления персональными идентификаторами пользователя;
- «Криптоключ» — содержит средства управления ключами для усиленной аутентификации пользователя;
- «Доступ» — содержит средства управления параметрами полномочного доступа и входа в систему;
- «ПАК «Соболь»» — содержит средства управления доступом пользователя к компьютерам с установленными комплексами «Соболь». Группа присутствует только для доменных пользователей в сетевом режиме функционирования;
- «Сервис» — содержит средства управления ключами централизованного управления ПАК «Соболь» и интеграцией системы Secret Net с программным средством TrustAccess.
В текущей конфигурации ИС — настройки параметров Secret Net, разделов: «Идентификатор», «Криптоключ», «Доступ», «ПАК «Соболь» — не требуют дополнительного конфигурирования.
Атрибуты ресурсов
Параметры, относящиеся к атрибутам ресурсов файловой системы (файлов и каталогов), используются в механизмах управления доступом. Управление параметрами осуществляется с помощью расширения программы «Проводник».
Параметры настроек атрибутов ресурсов достаточны и не требуют дополнительных процедур настройки.
Описание механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Механизм контроля целостности (КЦ) предназначен для слежения за неизменностью содержимого ресурсов компьютера. Действие этого механизма основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма. В процессе контроля при обнаружении несоответствия текущих и эталонных значений система оповещает администратора о нарушении целостности ресурсов и выполняет заданное при настройке действие, например, блокирует компьютер, на котором нарушение обнаружено.
Механизм замкнутой программной среды (ЗПС) предназначен для ограничения использования ПО на компьютере. Доступ разрешается только к тем программам, которые необходимы пользователям для работы. Для каждого пользователя определяется перечень ресурсов, в который входят разрешенные для запуска программы, библиотеки и сценарии. Попытки запуска других ресурсов блокируются, и в журнале безопасности регистрируются события несанкционированного доступа (НСД).
Настройка механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Для работы с программой управления КЦ-ЗПС пользователь должен входить в локальную группу администраторов компьютера.
Параметры механизмов контроля целостности и замкнутой программной среды настраиваются в программе «Контроль программ и данных», входящая в состав клиентского ПО системы Secret Net.
Для запуска программы нажмите кнопку «Пуск» и в меню вызова программ выберите команду «Код Безопасности | Secret Net | Контроль программ и данных».
В общем случае порядок настройки сводиться к выполнению следующих этапов:
- Подготовка к построению модели данных: проводится анализ размещения ПО и данных на защищаемых компьютерах. Разрабатываются требования к настройке механизмов КЦ и ЗПС. Осуществляется подготовка рабочего места для проведения настройки;
- Построение фрагмента модели данных по умолчанию: этап выполняется при формировании новой модели с нуля. В модель данных автоматически добавляются описания ресурсов для важных ресурсов ОС Windows, а также описания ресурсов некоторых прикладных программ.
- Добавление задач в модель данных: в модель данных добавляются описания задач (прикладное и системное ПО, наборы файлов данных и т. д.) для контроля целостности и использования в ЗПС в соответствии с требованиями, разработанными на
- Добавление заданий и включение в них задач: в модель данных добавляются все необходимые задания КЦ, ЗПС и ПАК «Соболь» и в них включаются задачи.
- Подготовка ЗПС к использованию: субъектам назначаются задания ЗПС. Для того чтобы ресурсы контролировались механизмом ЗПС, они должны быть специально подготовлены — иметь признак «выполняемый».
- Расчет эталонов: для всех заданий рассчитываются эталоны ресурсов
- Включение ЗПС в жестком режиме: включается жесткий режим ЗПС. В жестком режиме разрешается запуск только разрешенных программ, библиотек и сценариев. Запуск других ресурсов блокируется, а в журнале Secret Net регистрируются события НСД
- Включение механизма КЦ: устанавливаются связи заданий контроля целостности с субъектами «Компьютер» или «Группа» (компьютеров). С этого момента механизм КЦ начинает действовать в штатном режиме
- Проверка заданий: перед началом эксплуатации механизма КЦ можно выполнить проверку корректности настроек заданий. Проверка заключается в немедленном выполнении задания независимо от расписания.
Программа управления «Контроль программ и данных», располагает как автоматическими, так и ручными средствами формирования элементов модели данных. Ручные методы можно использовать на любом уровне модели для формирования и модификации объектов и связей. Автоматические методы предпочтительнее при работе с большим количеством объектов, однако они требуют более тщательного контроля результатов.
Во время установки клиентского ПО системы Secret Net автоматически формируется локальная модель данных, в которую добавляются следующие задания:
- «Задание для контроля ресурсов Secret Net»;
- «Задание для контроля реестра Windows»;
- «Задание для контроля файлов Windows».
Задания включают готовые задачи с ресурсами, сформированными по предопределенному списку. Для этих заданий устанавливаются связи с субъектом «Компьютер»;
В текущей конфигурации автоматизированной системы — параметры, субъекты и задания механизмов контроля целостности и замкнутой программной среды, выставленные в автоматическом режиме достаточны и не требуют дополнительных процедур настройки.
Более детально порядок и правила администрирования и управления средством защиты информации Secret Net представлены в документации, входящей в состав комплекта поставки
Содержание
- Администратор не может разблокировать «заблокированный» компьютер
- Симптомы
- Причина
- Решение
- ВРЕМЕННОЕ РЕШЕНИЕ
- Способ 1. При появлении сообщения об ошибке о том, что компьютер заблокирован домен имя_пользователя
- Способ 2. Если в сообщении об ошибке не указано, кто именно заблокировал компьютер
- Статус
- Secret Net
- Дубликаты не найдены
- Стрелочка не поворачивается?
- Тестовое
- А я думал они уже вымерли
- Уделите восемь секунд на просмотр
- Онлайн собеседование
- Отзыв на весы
- B Москве мигранты избили и ограбили 28-летнего парня
- О, счастливчик!
- Детство
- Передайте товарищу тренеру, произошла ужасная ошибка!
- Ответ на пост «На Озон у меня украли полмиллиона»
- Настройка параметров механизмов защиты и средств управления Secret Net 7
- Настройка параметров механизмов защиты и средств управления Secret Net 7
- Защита входа в систему
Администратор не может разблокировать «заблокированный» компьютер
Симптомы
Локальный вход в систему или домен после перезагрузки компьютера под управлением операционной системы Windows, если никто не вошел в систему, может быть невозможен.
При входе в систему может появиться следующее сообщение об ошибке:
Компьютер используется и заблокирован.
Только или администратор может снять блокировку компьютера.
Для снятия блокировки нажмите Ctrl-Alt-Del.
При попытке снятия блокировки может появиться следующее сообщение об ошибке:
Компьютер заблокирован. Снять блокировку может только или администратор.
Если пользователь вошел в систему, а затем вышел из нее, последующий вход в систему может быть невозможен (локально или к домену), при этом может отобразиться следующее сообщение об ошибке:
Компьютер используется и заблокирован.
Снять блокировку может только домен имя_пользователя или администратор.
Для снятия блокировки нажмите Ctrl-Alt-Del.
При попытке снятия блокировки может появиться следующее сообщение об ошибке:
Компьютер заблокирован. Снять блокировку может только домен имя_пользователя или администратор.
В сообщении об ошибке, приведенном выше, домен является именем домена последнего пользователя, вошедшего на сервер, а имя_пользователя — это имя последнего пользователя, вошедшего на сервер.
Причина
У подобного поведения могут быть следующие причины:
Для экранной заставки по умолчанию установлено использование несуществующей программы экранной заставки.
Использована поврежденная экранная заставка, защищенная паролем.
Решение
Внимание! В этом разделе, описании метода или задачи содержатся сведения об изменении реестра. Однако неправильное его изменение может привести к серьезным проблемам. Поэтому такие действия следует выполнять очень внимательно. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows
Для устранения этой проблемы используйте другую неповрежденную и установленную локально программу заставки (например, Logon.scr).
Запустите редактор реестра (Regedit32.exe).
Найдите значение в следующем разделе реестра:
В меню Правка выберите пункт Строка, введите logon.scr и нажмите кнопку ОК.
Найдите параметр ScreenSaverIsSecure.
В меню Правка выберите пункт Строка, введите 0 и нажмите кнопку ОК.
Закройте редактор реестра.
ВРЕМЕННОЕ РЕШЕНИЕ
Для решения этой проблемы воспользуйтесь соответствующим способом.
Способ 1. При появлении сообщения об ошибке о том, что компьютер заблокирован домен имя_пользователя
Нажмите сочетание клавиш CTRL+ALT+DELETE для снятия блокировки.
Введите учетные данные последнего вошедшего в систему пользователя и нажмите кнопку ОК.
После исчезновения диалогового окна Снятие блокировки компьютера нажмите клавиши CTRL+ALT+DELETE и войдите в систему, как обычно.
Способ 2. Если в сообщении об ошибке не указано, кто именно заблокировал компьютер
С помощью средства выключения в наборе Microsoft Windows Resource Kit выключите заблокированный компьютер. На заблокированном компьютере отображается диалоговое окно Завершение работы системы, но перезагрузка компьютера не происходит.
По истечении времени завершения работы отображается диалоговое окно Операционная система Windows.
До активизации экранной заставки нажмите сочетание клавиш CTRL+ALT+DELETE и войдите в систему обычным образом.
ПРИМЕЧАНИЕ. Если для входа в систему не используется ни один из этих способов, необходимо перезагрузить компьютер и войти в систему до запуска программы экранной заставки.
Статус
Такое поведение является особенностью данного продукта.
Источник
Привет умной половине Пикабу, столкнулся с такой проблемой в армии как Secret Net. Мой знакомый контрактник притараканил ноутбук в ЛАЗ, сказал что могу забрать себе, но в него нельзя вставлять флешку из-за этого самого Secret Net (ходит слух что любое подключение к ноутбуку отображается у службы ЗГТ) доступа к администратору нет, интернет не подключить, флешку тоже, но желание использовать ноутбук дикое) есть ли способ обойти эту «штуку»?
Дубликаты не найдены
он надеется сам кого-нибудь посадить
через пол года ноутбук отказался не нужен и его вернули
Оххх, молодо-зелено, вопрос стоит не в технической плоскости как удалить систему защиты и заиметь инструмент для просмотра порнухи, а исключительно в нормативно-правовой.
Само наличие секрет нета как бы толсто намекает, что ноут предназначен для обработки ГТ.
Даже если ноут списанный и с него удали все защищемые данные, все равно гриф с жесткого диска не снимается и жесткий диск (если он съемной) или весь ноут целиком подлежат хранению в первом отделе.
Этот ноут рано или поздно будут искать, а когда найдут, а найдут обязательно, то всех причастных анально покарают.
Мой совет пока не поздно вернуть где росло и не лезть в ноут с попытками обхода системы защиты. А по факту, спиздивший контрактник уже на статью себе накрутил, т.к. создал предпосылки утечки ГТ.
Подумайте как следует, возможно еще не поздно в сЗГТ с повинной идти, дальше уже только с органами госбезопасности уже общаться будете
Думаю, лучше вернуть обратно.
а второй половине Пикабу что, без привета оставаться?!)
Специальная галографическая наклейка с тремя буквами подтверждает, что проведена спец проверка и нет закладных устройств. На нормальных объектах проверяют все, например кондиционеры и чайники. Но наличие этой наклейки никак не связано с возможностью вынести
Блин да по обычному гуглению Secret Net сразу находит что делать. Но Вам бы я посоветовал отдать обратно где взяли. А если уж там админа требует, то просто винду переставить.
Сбрасываешь биос, грузиться с флешки, сбрасываешь пароль администратора, отключаешь секрет нет студио и настраиваешь как тебе надо
Если нет на биосе пароля, то выбираешь загрузку с флкшки и грузиться, потом получаешь пароль администратора и творишь все что хочешь, проверенно
Стрелочка не поворачивается?
Тестовое
А я думал они уже вымерли
Иду сейчас по улице, а навстречу коробейник с книгами. И сразу так агрессивно мне их в нос сует:
-Мужчина, посмотрите книги.
-Я не продаю, я показываю.
Уделите восемь секунд на просмотр
возможно это поможет спасти жизнь кому-то из ваших близких и любимых)
Онлайн собеседование
Отзыв на весы
Заказывал тут жене на ВБ весы на кухню и набрел на данный отзыв.
B Москве мигранты избили и ограбили 28-летнего парня
О, счастливчик!
Детство
Эх, мелкий я был умный. Дураком стал позже
Передайте товарищу тренеру, произошла ужасная ошибка!
Ответ на пост «На Озон у меня украли полмиллиона»
Доброй ночи, Пикабу!
Пост получился очень резонансным и быстро набрал высокий рейтинг, однако в этот раз представители Озона связались с нами и предоставили нам обширные данные, по которым выходило, что пользователь злоупотребил площадкой и необоснованно требовал возмещения с маркетплейса. В связи с этим информация из поста была удалена как введение пользователей в заблуждение и нами был дан комментарий, почему мы поступили подобным образом.
Пользователь обратился к нам в поддержку, а также в комментариях к представителю маркетплейса и предоставил свои данные, которые, однако, не опровергали имеющуюся у нас информацию, и потому у нас не было оснований для восстановления поста. Случаи, когда наши пользователи вводят читателей в заблуждение с целью создать искусственный резонанс и заработать на этом, к сожалению, тоже случаются.
Однако сегодня вечером, в пятницу, представители Озон снова связались с нами и предоставили новые, дополнительные данные. За последние двое суток они провели масштабную внутреннюю проверку всех сторон конфликта и, несмотря на то, что изначально действительно складывалась очевидная попытка обмануть площадку, в ходе проверки была выявлена мошенническая схема, из-за которой мошенник действительно украл деньги. Также они связались с нашим пользователем и сегодня полностью компенсировали сумму похищенных денежных средств в размере почти 497 тысяч рублей.
Администрация Пикабу не принимает на веру слова, не подтверждённые доказательствами, однако сейчас сложилась одна из тех редких ситуаций, когда события развиваются крайне неоднозначно и непредсказуемо. Мы благодарим Озон за то, что они разобрались в ситуации и предоставили нам все данные, реабилитирующие пользователя. С нашей стороны от лица администрации Пикабу хочу принести извинения пользователю @MikhailVettsel, и осветить ситуацию, что его притязания были полностью удовлетворены, а справедливость восстановлена. Также мы восстанавливаем первоначальный пост, чтобы пикабушники могли ознакомиться с его содержанием.
По сообщению маркетплейса, в настоящее время служба безопасности проводит розыскные мероприятия, чтобы найти мошенников, привлечь их к ответственности и вернуть похищенные деньги.
При появлении новой информации и официальных заявлений маркетплейса пост будет дополнен.
Источник
Настройка параметров механизмов защиты и средств управления Secret Net 7
Настройка параметров механизмов защиты и средств управления Secret Net 7
В системе Secret Net информационная безопасность компьютеров обеспечивается механизмами защиты. Механизм защиты — совокупность настраиваемых программных средств, разграничивающих доступ к информационным ресурсам, а также осуществляющих контроль действий пользователей и регистрацию событий, связанных с информационной безопасностью.
Функции администратора безопасности
Функциональные возможности Secret Net позволяют администратору безопасности решать следующие задачи:
Для решения перечисленных и других задач администратор безопасности использует средства системы Secret Net и операционной системы (ОС) Windows.
Основными функциями администратора безопасности являются:
Параметры механизмов защиты и средства управления
Параметры механизмов защиты Secret Net в зависимости от места их хранения в системе и способа доступа к ним можно разделить на следующие группы:
Описание параметров объектов групповой политики
К общим параметрам безопасности ОС Windows добавляются параметры Secret Net. Эти параметры применяются на компьютере средствами групповых политик и действуют в рамках локальной политики безопасности. В системе Secret Net предусмотрены возможности настройки параметров групповых политик в стандартных оснастках ОС Windows и в программе оперативного управления.
В стандартных оснастках ОС Windows параметры Secret Net представлены в узле «Параметры безопасности» иерархии узлов групповой политики.
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
По умолчанию раздел «Параметры Secret Net» содержит следующие группы параметров:
Группа | Назначение |
Настройки подсистем | Управление режимами работы механизма защиты входа в систему.
Управление режимами работы механизмов полномочного управления доступом и контроля печати. Настройка параметров хранения локального журнала Secret Net. Управление механизмом затирания удаляемой информации. Управление механизмом теневого копирования. Управление перенаправлением локальных устройств и ресурсов для терминальных подключений. Управление режимом локального оповещения о событиях НСД. |
Ключи пользователя | Настройка параметров ключей для усиленной аутентификации пользователей.
Управление привилегиями пользователей в системе Secret Net: • для работы с локальным журналом Secret Net; • для работы в условиях замкнутой программной среды; • для изменения прав доступа к каталогам и файлам в механизме дискреционного управления доступом. |
Регистрация
событий |
Настройка перечня событий, регистрируемых системой Secret Net. |
Устройства | Управление параметрами контроля подключения и изменения
устройств и правами доступа к устройствам. |
Принтеры | Управление параметрами использования принтеров |
Параметры настройки системы могут быть сгруппированы по принадлежности к защитным механизмам. Переключение режима группировки параметров осуществляется с помощью специальных кнопок панели инструментов или команд в меню «Вид» («По группам» и «По подсистемам»).
Для настройки параметров объектов политик безопасности:
На экране появится диалог настройки параметра.
Настройте параметры безопасности согласно приведенной таблице:
Политика | Параметр безопасности |
Администрирование: локальное оповещение об НСД | включено |
Вход в систему: Запрет вторичного входа в систему | отключен |
Вход в систему: количество неудачных попыток аутентификации | 5 |
Вход в систему: Максимальный период неактивности до блокировки экрана | 10 минут |
Реакция на изъятие идентификатора | нет |
Вход в систему: Режим аутентификации пользователя | стандартная аутентификация |
Вход в систему: Режим идентификации пользователя | смешанный |
Журнал: максимальный размер журнала системы защиты | 4096 кБ |
Журнал: политика перезаписи событий | затирать при необходимости |
Затирание данных: Количество циклов затирания конфиденциальной информации | 3 |
Затирание данных: Количество циклов затирания на локальных дисках | 3 |
Затирание данных: затирания на сменных носителях | 3 |
Контроль печати: Маркировка документов | стандартная обработка |
Контроль печати: Перенаправление принтеров в RDP-подключениях | запрещено |
Контроль печати: теневое копирование | определяется настройками принтера |
Контроль приложений: Режим аудита | аудит пользовательских приложений |
Контроль устройств: Перенаправление устройств в rdp-подключениях | запрещено |
Контроль устройств: Теневое копирование | определяется настройками устройства |
Полномочное управление доступом: названия уровней конфиденциальности | Неконфиденциально, Конфиденциально, Строго конфиденциально |
Полномочное управление доступом: режим работы | контроль потоков отключен |
Теневое копирование: Размер хранилища | Размер 20%, автоматическая перезапись отключена |
Для настройки событий, регистрируемых в журнале:
В правой части окна появится список регистрируемых событий.
Вход в систему в административном режиме
При штатном функционировании системы Secret Net вход любого пользователя компьютера, включая администратора, должен выполняться по одинаковым правилам, установленным соответствующими механизмами защиты. Во время загрузки компьютера перед входом пользователя система защиты проводит инициализацию компонентов и их функциональный контроль. После успешного проведения всех проверок вход в систему разрешается.
В тех случаях, когда необходимо получить доступ к компьютеру в обход действующих механизмов или прервать выполнение инициализации компонентов, администратор может активировать специальный административный режим входа. Применение административного режима входа может потребоваться, при повторяющихся ошибках функционального контроля, приводящих к длительному ожиданию инициализации компонентов.
Примечание.
Административный режим входа следует использовать только в крайних случаях для восстановления нормального функционирования системы. Выполнив вход в административном режиме, устраните возникшую проблему и перезагрузите компьютер.
Для входа в систему в административном режиме:
Настройки параметров Secret Net, разделов: «Ключи пользователя», «Привилегии», «Регистрация событий», «Устройства», «Принтеры» — не требуют дополнительного конфигурирования.
Описание и настройка параметров пользователей
Параметры пользователей используются механизмами защиты входа и полномочного управления доступом. Параметры применяются при входе пользователя в систему после выполнения процедуры идентификации и аутентификации. Параметры доменных и локальных пользователей хранятся в локальной базе данных компьютера.
Примечание.
При копировании объектов «Пользователь» параметры Secret Net не копируются.
Настройка параметров пользователей осуществляется в стандартной оснастке ОС Windows «Управление компьютером».
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
В правой части окна появится список пользователей.
В левой части диалога расположена панель выбора групп параметров. Средства для настройки представлены в правой части диалога. Для перехода к нужной группе параметров выберите на панели соответствующую пиктограмму:
В текущей конфигурации ИС — настройки параметров Secret Net, разделов: «Идентификатор», «Криптоключ», «Доступ», «ПАК «Соболь» — не требуют дополнительного конфигурирования.
Атрибуты ресурсов
Параметры, относящиеся к атрибутам ресурсов файловой системы (файлов и каталогов), используются в механизмах управления доступом. Управление параметрами осуществляется с помощью расширения программы «Проводник».
Параметры настроек атрибутов ресурсов достаточны и не требуют дополнительных процедур настройки.
Описание механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Механизм контроля целостности (КЦ) предназначен для слежения за неизменностью содержимого ресурсов компьютера. Действие этого механизма основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма. В процессе контроля при обнаружении несоответствия текущих и эталонных значений система оповещает администратора о нарушении целостности ресурсов и выполняет заданное при настройке действие, например, блокирует компьютер, на котором нарушение обнаружено.
Механизм замкнутой программной среды (ЗПС) предназначен для ограничения использования ПО на компьютере. Доступ разрешается только к тем программам, которые необходимы пользователям для работы. Для каждого пользователя определяется перечень ресурсов, в который входят разрешенные для запуска программы, библиотеки и сценарии. Попытки запуска других ресурсов блокируются, и в журнале безопасности регистрируются события несанкционированного доступа (НСД).
Настройка механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Для работы с программой управления КЦ-ЗПС пользователь должен входить в локальную группу администраторов компьютера.
Параметры механизмов контроля целостности и замкнутой программной среды настраиваются в программе «Контроль программ и данных», входящая в состав клиентского ПО системы Secret Net.
Для запуска программы нажмите кнопку «Пуск» и в меню вызова программ выберите команду «Код Безопасности | Secret Net | Контроль программ и данных».
В общем случае порядок настройки сводиться к выполнению следующих этапов:
Программа управления «Контроль программ и данных», располагает как автоматическими, так и ручными средствами формирования элементов модели данных. Ручные методы можно использовать на любом уровне модели для формирования и модификации объектов и связей. Автоматические методы предпочтительнее при работе с большим количеством объектов, однако они требуют более тщательного контроля результатов.
Во время установки клиентского ПО системы Secret Net автоматически формируется локальная модель данных, в которую добавляются следующие задания:
Задания включают готовые задачи с ресурсами, сформированными по предопределенному списку. Для этих заданий устанавливаются связи с субъектом «Компьютер»;
В текущей конфигурации автоматизированной системы — параметры, субъекты и задания механизмов контроля целостности и замкнутой программной среды, выставленные в автоматическом режиме достаточны и не требуют дополнительных процедур настройки.
Более детально порядок и правила администрирования и управления средством защиты информации Secret Net представлены в документации, входящей в состав комплекта поставки
Источник
Защита входа в систему
Защита от несанкционированного входа предназначена для предотвращения доступа посторонних лиц к защищенному компьютеру. К этой группе средств относятся:
· программные и аппаратные средства идентификации;
· средства блокировки компьютера.
Идентификация и аутентификация пользователя выполняются при каждом входе в систему. Штатная для ОС Windows процедура входа предусматривает ввод имени и пароля пользователя или использование аппаратных средств, поддерживаемых операционной системой.
Для обеспечения дополнительной защиты входа в Secret Net 6 могут применяться средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken или iButton. Такие устройства должны быть зарегистрированы (присвоены пользователям) средствами системы защиты и могут использоваться в составе аппаратных средств защиты. Кроме того, предусмотрен режим усиленной аутентификации, основанный на дополнительной проверке подлинности предъявленной ключевой информации пользователя. Носителями ключевой информации могут являться идентификаторы или сменные носители, такие как дискеты, Flash-карты, Flash-накопители и т. п. Генерация ключевой информации выполняется средствами системы Secret Net 6.
В системе Secret Net 6 идентификация и аутентификация пользователей может выполняться в следующих режимах:
· «Стандартный» — пользователь может войти в систему, выполнив ввод имени и пароля, или используя аппаратные средства, стандартные для ОС Windows;
· «Смешанный» — пользователь может войти в систему, выполнив ввод имени и пароля, а также может использовать персональный идентификатор, поддерживаемый системой Secret Net 6;
· «Только по идентификатору» — каждый пользователь для входа в систему должен обязательно использовать персональный идентификатор, поддерживаемый системой Secret Net 6.
Для повышения степени защищенности компьютеров от несанкционированного использования предусмотрены следующие возможности:
· включение режима разрешения интерактивного входа только для доменных пользователей — в этом режиме блокируется вход в систему локальных учетных записей (не зарегистрированных в домене);
· включение режима запрета вторичного входа в систему — в этом режиме блокируется запуск команд и сетевых подсоединений с вводом учетных данных другого пользователя (не выполнившего интерактивный вход в систему).
Под блокировкой компьютера понимается запрет доступа пользователей (исключая администратора) к работе на данном компьютере. Механизм временной блокировки предназначен для предотвращения несанкционированного использования компьютера.
Для пользователей могут быть установлены ограничения на количество неудачных попыток входа в систему. В дополнение к стандартным возможностям ОС Windows (блокировка учетной записи пользователя после определенного числа попыток ввода неправильного пароля) система Secret Net 6 контролирует неудачные попытки аутентификации пользователя по ключевой информации. Если в режиме усиленной аутентификации пользователь определенное количество раз предъявляет неверную ключевую информацию, система блокирует компьютер. Разблокирование компьютера осуществляется администратором. Счетчик неудачных попыток обнуляется при удачном входе пользователя или после разблокирования компьютера.
Для временной блокировки компьютера используется стандартный механизм ОС Windows. Режим временной блокировки может быть включен самим пользователем или системой после некоторого периода простоя компьютера. Длительность интервала неактивности (простоя компьютера), после которого автоматически включается режим блокировки, устанавливается настройкой параметров и распространяется на всех пользователей. Для снятия блокировки необходимо указать пароль текущего пользователя.
Блокировка компьютера предусмотрена и в алгоритмах работы защитных механизмов. Такой тип блокировки используется в следующих ситуациях:
Разблокирование компьютера в перечисленных случаях осуществляется администратором.
В сетевом режиме функционирования блокировка и разблокирование защищаемого компьютера могут осуществляться удаленно по команде пользователя программы мониторинга.
Источник
Victor V
unread,
Aug 20, 2014, 10:06:25 PM8/20/14
to sc-sec…@googlegroups.com
Здравствуйте.
Можно уточнить как работает «усиленной аутентификации по паролю»,
или с моей стороны — почему не работает?
Secrret Net 7. (локальная)
Проверял на ОС XP и 7-ке.
У вас в инструкции есть картинка:
Где хорошо видно, что если не задан пароль в SN, то
его не должна система пускать при усиленной аутентификации
по паролю, что и делает возможность выполнять пункт
усиленного контроля входа «… контроль средствами СЗИ…».
Но проверяя на деле хорошо отрабатывает только функция
«по ключу», там всё выполняется.
Тут же как не пытался, снимать ставить эту галочки,
заводить новых пользователей, менять им пароли,
SN7 сразу всех добавляет и пускает.
На примере ПО «DALLAS LOCK» там в отличии от SN
заносится пользователь «администратор безопасности»
и пока он не добавит сам кого то из пользователей,
вход им не возможен — вот тут сразу видно выполнение.
Хотелось бы уточнить как так же сделать средствами SN7
если это возможно, как и где можно стереть пароли для
учётных записей в SN7?
Или эта функция не работает получается.
Victor V
unread,
Aug 25, 2014, 9:15:48 PM8/25/14
to sc-sec…@googlegroups.com
Ну что специалисты, проверили — если тишина, значит всё верно?
Молчание знак согласия — не работает ваш каменные цветок?
y.amineva
unread,
Sep 8, 2014, 3:33:00 PM9/8/14
to sc-sec…@googlegroups.com
Добрый день.
Для решения Вашей ситуации понадобится дополнительный анализ, для этого просим Вас написать в Службу технической поддержки по адресу: support@securitycode.ru
la…@securitycode.ru
unread,
Sep 11, 2014, 11:17:50 PM9/11/14
to sc-sec…@googlegroups.com
Добрый день!
Все работает.
Просто при создании локальных пользователей мы перехватываем функцию задания пароля пользователя и сохраняем в БД Secret Net.
Соответственно, проверка пароля срабатывает, когда пользователь вводит свой пароль.
Режим «доверять аутентификации Windows» предназначен для того, чтобы 1 раз пропустить проверку Secret Net и сохранить пароль пользователя (и администратору не нужно бы было сбрасывать пароли пользователей или их задавать). После сохранения этот режим выключается.
Для проверки (в автономном варианте) можно сделать следующее (естественно, режим усиленной аутентификации по паролю должен быть включен).
Вариант 1. Ввести компьютер в домен. Добавить доменного пользователя. Отключить галку «доверять парольной аутентификации Windows».
Сменить пароль пользователю на контроллере домена (НЕ на этом компьютере).
Попробовать зайти на этот комьпютер. Не пустит.
Вариант 2 (при отсутствии домена). Удалить SN. Создать нескольких пользователей. Установить Secret Net. Открыть программу управления.
Проверить состояние галки «доверять …». Снять ее у тех пользователей, что не жалко. Включить режим усиленной аутентификации по паролю.
Попробовать войти (теми, что не жалко). Не пустит.
Смысл в том, что при установленном SN при смене пароля пользователем в модуле входа или администратором — пароль (точнее — данные для проверки) сразу прописывается и в базу SN, и в Windows. Т.е., пароли синхронизируются.
Если очень нужно рассинхронизировать — надо это делать там, где Secret Net не установлен.
Операция стирания паролей не предусмотрена. Не представляем, зачем она нужна.
Victor V
unread,
Sep 12, 2014, 4:35:02 AM9/12/14
to sc-sec…@googlegroups.com
Спасибо, я так и понял что она синхронно работает и перехватывает.
…
А для чего явно не давать или удалять, это просто соображения, что логичнее одному
пользователе (администратор безопасности) должно было бы доверие давать такие
разрешения, т.к. зачастую и другие пользователи имеют учётные как админ., иногда
так по работе не обходимо, а иногда временно надо и в это время они могут (или вернее
им то это зачем, но им могут помочь — так сказать) создать ещё пользователей, которым
не положено быть.
Потому тут другие средства СЗИ где это требуется явным указанием «выигрывают».
…
Понятно что всё решается и средствами ОС, создать отдельную уч. запись, разрешить
только ей работать с программой, но это как писали ниже где то уже лишние движения,
когда спокойно всё это можно было реализовать в самой ПО.
…
А так всё понятно.
Не хватило времени добраться до того чтоб создать отдельно пользователей
и ещё думал создать тогда когда службы SN отменяются (или в ЗЩ.Р. или отменной
принудительной) и как раз проверить до конца.
Спасибо.
Добрый день!
Все работает.
Просто при создании локальных пользователей мы перехватываем функцию задания пароля пользователя и сохраняем в БД Secret Net.
Соответственно, проверка пароля срабатывает, когда пользователь вводит свой пароль.
Victor V
unread,
Sep 12, 2014, 4:39:46 PM9/12/14
to sc-sec…@googlegroups.com
Проверил ваш вариант и свой и итог — не получится рассинхронизоровать.
1) Снять «галочку» не возможно без занесения пароля в базу SN, т.к. при её снятии
сразу требует пароль пользователя, а иначе не снимает.
тогда отпадает полностью смысл.
2) Всем новым пользователям до установки SN эти галочки автоматически ставятся,
потому вариант 2 ни как не подходит.
3) Если попататься через защищённый режим поменять пароль, когда галочка снята,
то при не работающем SN думал потом он не даст войти, но ОС ругается что SN не работает
(несколько раз там ошибки про модели) и вроде как итог пароль установлен,
НО всё это фикция т.к. пароль на самом деле не изменяется и остаётся прежним.
4) Если завести пользователя в защищённом и задать пароль, то при входе с политикой
«Усиленная аутентификация по паролю»- включена, на «пустоё» значение пароля (или не верное),
видно что отрабатывает служба SN и выдаёт своё сообщение только на тех, кто ранее был
и попал под SN. а тот пользователь который не проходил ещё синхронизацию выдаёт
обычную ошибку ОС.
Так же надо учесть, что он был введён в защ. режиме при не работающей политике SN
потому синхронизацию не прощёл (т.е. как бы левый) и он то точно не должен был
войти пока его админ. безопасности не одобрит (по хорошему). т.е. не поставит в ручную
эту «галочку доверия», но пробуем войти и — всё нормальное, SN его спокойно запускает,
записывает себе, что по хорошему не должно быть.
Вот именно поэтому если у вас было как в DL есть и сейчас, что пока не добавить кого нужно,
не кто левый не зайдёт было и вы всё спустили на самотёк — это минус считаю.
Ну а так да, получается типа отрабатывает функция по сообщению.
la…@securitycode.ru
unread,
Sep 12, 2014, 6:58:39 PM9/12/14
to sc-sec…@googlegroups.com
Добрый день!
Система была разработана в предположении, что у пользователей нет административных привилегий (кстати, реально категорически не рекомендую их давать (при наличии любого СЗИ), потому что при соответствующей квалификации пользователь с такими правами сделает с системой все что угодно).
Соответственно, «левым» пользователям в системе просто не откуда взяться.
=> Вариант, реализованный в Secret Net не требует дополнительных действий от администратора после установки.
Как пользователи работали — так и продолжают работать.
На наш взгляд, в большинстве сценариев это гораздо удобнее, чем дополнительная процедура добавления пользователей, которые итак уже один раз были введены в систему (которая обязательно требуется в DL).
P.S. А «левым» пользователям просто не место в системе — и лучше и безопаснее их просто удалить.
Victor V
unread,
Sep 18, 2014, 5:33:24 PM9/18/14
to sc-sec…@googlegroups.com
Спасибо. Прекрасно понимаю ваши слова и так же такого же мнения,
но вот пойдите и предложите это «царю» или «королевне» — лишить их прав..
И хорошо если просто живым потом уйти, а то же и лишить могут головы и других
частей тела за такое))) ..
Принцип того ролики про «5 перпендикулярных красных линях» — если не видели, посмотрите
и поймёте почему не бывает иногда всё так просто и правильно как хотелось бы.
А тут ещё когда и не знаешь всех способов и подавно страшно
===
Ну а так без шуток повторяю, что понял вашу политику и проверил ещё на другой ОС (XP)
как работает и там даже видел как успевает строчка проскальзывать наподобие «применение политики бе..»
ну хотя и так уже понял что работает — ладно.
Но появились другие вопросы… поищу сейчас ответы на них тут,
если нет то снова спрошу.
А эта тема думаю РЕШЕНА.
\как тут нажать такую отметку не нашёл\
пятница, 12 сентября 2014 г., 21:58:39 UTC+7 пользователь la…@securitycode.ru написал:
Система была разработана в предположении, что у пользователей нет административных привилегий (кстати, реально категорически не рекомендую их давать (при наличии любого СЗИ), потому что при соответствующей квалификации пользователь с такими правами сделает с системой все что угодно).
Алексей Фортуна
unread,
Sep 19, 2014, 3:31:43 PM9/19/14
to sc-sec…@googlegroups.com
Добрый день.
Большое спасибо за информацию.
При возникновении каких-либо вопросов, пишите нам на форум или на sup…@securitycode.ru.
четверг, 18 сентября 2014 г., 17:33:24 UTC+4 пользователь Victor V написал:
This article will discuss Web Authentication in general, and Specifically Setup Windows Authentication.
A: Introduction
A-1: What is Authentication
- Authentication
is knowing the identity of the user. For example, Alice logs in with
her username and password and the server uses the password to
authenticate Alice. - Authorization is deciding whether a user is allowed to perform an action. For example,
Alice has permission to get a resource but not create a resource.
Web App assumes that authentication happens in the host, such as IIS, which uses HTTP modules for authentication. One can configure the project to
use any of the authentication modules built into IIS or ASP.NET, or
write your own HTTP module to perform custom authentication.
When the host authenticates the user, it creates a principal, which is an
IPrincipal object that represents the security context under which code
is running. For example, Web API authentication and authorization the process could be like this:
A-2: Authentication Types
- Windows Authentication
- Forms Authentication
- Passport Authentication
- None
In details,
- Windows Authentication, IIS performs the authentication, and the authenticated token is forwarded to the ASP.NET worker process.
- Forms Authentication: authenticates the user by inspecting the forms authentication ticket,
which is typically included in the user’s cookies collection. If no form of authentication ticket is present, the user is anonymous.. - Passport Authentication: Centralized authentication service provided by Microsoft that offers single logon and core profile services for member sites.
- None: No Authentication provided. This is the default Authentication mode.
All types are fit into the four types of Windows/Forms/Passport/None authentications, we may discuss some of them later. For In this article, we will discuss the basic concept of Windows Authentication,
configuration setup, and test, as a starting point.
B: Windows Authentication
In Windows authentication, IIS performs the authentication, and the
authenticated token is forwarded to the ASP.NET worker process. The
advantage of using Windows authentication is that it requires minimal
coding. One may want to use Windows authentication to impersonate the
Windows user account that IIS authenticates beforehand off the request
to ASP.NET.
Windows authentication needs two steps configurations, one is in Web App, another is in IIS.
B-1: Authentication Configuration in Web App
For .NET Framework, configuration is in the web.config file,
- <authentication mode= ‘ [ Windows | Forms | Passport | None ] ‘> </authentication>
- The following is ASP.NET app Windows Authentication configuration in web.config file:
For .NET Core, configuration is in the launchSettings.json file under Profiles folder:
Such as,
- «iisSettings»: {
- «windowsAuthentication»: true,
- «anonymousAuthentication»: false,
- «iisExpress»: {
- «applicationUrl»: «http://localhost:9877»,
- «sslPort»: 44313
- }
- },
2, Application Configuration
For both .NET Framework and .NET Core, we can easily configure the Windows Authentication when we start an app:
For .NET Framework:
- Start Visual Studio and select Create a new project.
- In the Create a new project dialog, select ASP.NET Web Application (.NET Framework) > Next.
- In the Configure your new project dialog, enter Project name > Create.
- In the Create a new ASP.NET Web Application dialog,
- on the right-side panel Click Change under Authentication,
- on the left panel Choose: Windows Authentication
this will set web.config file as,
- <authentication mode= ‘Windows’> </authentication>
For .NET Core,
- Start Visual Studio and select Create a new project.
- In the Create a new project dialog, select ASP.NET Core Web App (or Web API) > Next
- In the Configure your new project dialog, enter
Project name > Next
- In the Additional Information dialog, select Authentication Type as Windows
this will set launchSettings.json file as,
- «windowsAuthentication»: true,
- «anonymousAuthentication»: false,
For .NET Core, Existing project,
- Right-click the project in Solution Explorer and select Properties.
- Select the Debug tab.
- Clear the check box for Enable Anonymous Authentication.
- Select the check box for Enable Windows Authentication.
3, Code Configuration
We can access the Mode property programmatically to configure the type of Authentication, such as,
- AuthenticationMode currentMode = authenticationSection.Mode;
- authenticationSection.Mode = AuthenticationMode.Windows;
B-2: Authentication Configuration in IIS Server
After publishing and deploying the project, perform server-side configuration with the IIS Manager:
- In IIS Manager, select the IIS site under the Sites node of the Connections sidebar.
- Highlight the Web Site for your app, in our case: ContosoUniversity
- Double-click Authentication in the IIS area on the middle panel, the Authentication window will show the authentication type IIS supports
- Select Anonymous Authentication. Select Disable in the Actions sidebar, or right Click => Disable
- Select Windows Authentication. Select Enable in the Actions sidebar, or right Click => Enable
IIS provides three types of authentication mechanisms,
- Basic Authentication
The Windows user name and password has to be
provided to connect and this information is sent over the network in
plain text, and, hence, this is an insecure method of authentication. - Digest Authentication
It is the same as basic authentication except that the password is hashed before it is sent across the network. - Integrated Windows Authentication
In this kind of authentication technique,
passwords are not sent across the network. The application here uses either the Kerberos or challenge/response protocols to authenticate users.
B-3: Test Cases
For the purpose of the test, we must use two different computers, from one remote access to another one, otherwise, as an administrator in a local machine, one can always pass the Windows Authentication.
Case 1
Web app set as Windows Authentication, IIS set Windows Authentication enabled, we got Windows Login page for protection:
If we give the correction login id/password, we can login and access the web app,
While if we give wrong credentials, the access is denied with a 401 unauthorized error,
Case 2
If web app set as Windows Authentication, IIS set Windows Authentication is disabled,
- for ASP.NET (.NET Framework): we got 401 unauthorized error, access is denied.
- for ASP.NET Core: we have passed as an anonymous user:
Case 3
Further test, we set authorize attribute in the code for Privacy() action,
- namespace WindowsAuth_MVC.Controllers
- {
- public class HomeController : Controller
- {
- private readonly ILogger<HomeController> _logger;
- public HomeController(ILogger<HomeController> logger)
- {
- _logger = logger;
- }
- public IActionResult Index()
- {
- return View();
- }
- [Authorize]
- public IActionResult Privacy()
- {
- return View();
- }
- [ResponseCache(Duration = 0, Location = ResponseCacheLocation.None, NoStore = true)]
- public IActionResult Error()
- {
- return View(new ErrorViewModel { RequestId = Activity.Current?.Id ?? HttpContext.TraceIdentifier });
- }
- }
- }
When we Click Privacy, we got the error message, however, this message page is not from IIS Server, but from the ASP.NET application
It seems ASP.NET Core has more features in Windows Authentication.
Summary
We briefly discussed Authentication in general and Windows Authentication in specific. We will discuss some other types of Authentication later on, and even for different tools, such as Angular.
References
- Configure Windows Authentication in ASP.NET Core — MS
- Microsoft .NET Core Authentication Types — MS
- ASP.NET security overview — MS
- Authentication and Authorization in ASP.NET Web API — MS
- Windows Authentication — codeproject, not just windows authentication, including everything.