Thuis-Software downloaden-Guardian NT is een systeem voor het beschermen van informatie tegen ongeoorloofde toegang. Hulpmiddelen voor informatiebeveiliging en waar de teer ligt

Guardian NT is een systeem voor het beschermen van informatie tegen ongeoorloofde toegang. Hulpmiddelen voor informatiebeveiliging en waar de teer ligt

Certificaat FSTEC van Rusland Nr. 3553 bevestigt dat het informatiebeveiligingssysteem van NSD Guardian NT (versie 4.0) dat is software bescherming van informatie tegen ongeoorloofde toegang en voldoet aan de vereisten van de bestuursdocumenten van de Technische Staatscommissie van Rusland "Means computertechnologie. Bescherming van informatie tegen ongeoorloofde toegang tot informatie. Indicatoren van beveiliging tegen ongeoorloofde toegang tot informatie" voor beveiligingsklasse 3, "Bescherming tegen ongeoorloofde toegang tot informatie. Deel 1. Mediasoftware. Classificatie volgens het controleniveau van de afwezigheid van niet-aangegeven capaciteiten" volgens het tweede controleniveau.

In het informatiebeveiligingssysteem van NSD Guardian NT (versie 4.0) is het volgende geïmplementeerd: functionaliteit, onderscheidend van eerdere versies.

Ondersteuning voor nieuwe Microsoft-besturingssystemen tot en met Windows 10
SZI van NSD Guardian NT (versie 4.0) werkt onder de volgende besturingssystemen:
- MS Windows 7 Home / Pro / Enterprise / Ultieme x86/x64;
-MS Windows 8.1 Core/Pro/Enterprise x86/x64;
-MS Windows 10 Home/Pro/Enterprise x86/x64;
- MS Windows 2008 Server R2 Standaard / Essentials / Datacenter x64;
- MS Windows 2012 Server R2 Standaard / Essentials / Datacenter x64.

Subsysteem voor netwerkimplementatie
De mogelijkheid toegevoegd om een ​​beveiligingssysteem te installeren computers op afstand, gelegen zowel in werkgroep en in het domein. Installatie op afstand gebruik gemaakt speciaal programma.

Ondersteuning voor terminalsessies
Ondersteuning toegevoegd voor beveiligingsmechanismen wanneer gebruikers verbinding maken met de terminalserver. Als er een beveiligingssysteem op de terminalserver is geïnstalleerd en gebruikers er verbinding mee maken, wordt terminalgebruikersidentificatie uitgevoerd, d.w.z. Er wordt gevraagd naar de gebruikers-ID en het wachtwoord.

Ondersteuning voor computers met UEFI
Ondersteuning voor het installeren van een beveiligingssysteem op computers met UEFI is geïmplementeerd, ook wanneer het systeem is gepartitioneerd harde schijf V GPT-stijl.

Ondersteuning voor nieuwe identificatietypen
De volgende typen apparaten kunnen worden gebruikt als persoonlijke identificatiemiddelen in het Guardian NT-informatiebeveiligingssysteem:
- flexibel magnetische schijven 3,5";
- iButton-apparaten: DS 1993, DS 1995, DS 1996;
- USB-tokens eToken Pro 32K en eToken Pro Java 72K, evenals smartcards eToken Pro SC en eToken Pro Java SC met met behulp van USB smartcardlezer ASEDrive van Athena Smartcard Solutions;
- Guardant ID USB-tokens;
- Rutoken S USB-tokens;
- eSmart USB-tokens, evenals eSmart-smartcards bij gebruik van USB-smartcards van ACR38, ACR39-lezers van Advanced Card Systems;
- USB-flashstations.

Schakelbaar subsysteem met gesloten lus software-omgeving
De mogelijkheid toegevoegd om het closed-loop subsysteem voor gebruikers uit te schakelen. Wanneer de ZPS-mechanismen zijn uitgeschakeld, kunnen gebruikers vrijelijk alle programma's starten. In dit geval worden programmastartgebeurtenissen ook vastgelegd in het gebeurtenislogboek.

Verbeterd subsysteem voor het instellen van vanaf elke werkplek
De mechanismen voor het op afstand configureren en beheren van het beveiligingssysteem zijn aanzienlijk geoptimaliseerd en uitgebreid. IN nieuwe versie Alle beveiligingssysteeminstellingen kunnen worden uitgevoerd vanaf het werkstation van de informatiebeveiligingsbeheerder.

Mechanismen voor selectieve conversie van opslagmedia
Het inschakelen van de mediaconversiemodus is als optie toegevoegd bij het verwerken van opslagmedia. Bij gebruik van de informatieconversiemodus kunnen de media alleen worden gelezen op computers waarop het beveiligingssysteem is geïnstalleerd met dezelfde persoonlijke identificatie van de beheerder van het beveiligingssysteem.

Scriptsysteem voor geavanceerde instellingen
Instellingen scriptsysteem ( voormalige sjablonen instellingen) is aanzienlijk uitgebreid om de automatisering van het opzetten van complexen te vergroten softwaresystemen.

Flexibele mechanismen voor het configureren van het subsysteem voor gebeurtenisregistratie
De mogelijkheid toegevoegd om de lijst met geregistreerde gebeurtenissen te bewerken voor maximale flexibiliteit voor de beheerder van het beveiligingssysteem.

Inexporteren, zowel via het netwerk als via een bestand
Er zijn mechanismen geïmplementeerd voor het overbrengen van beveiligingssysteeminstellingen naar offline of externe computers, niet alleen via het netwerk, maar ook via instellingenbestanden.

Verbeterd subsysteem van verplichte toegangscontrole
Het aantal gevoeligheidslabels is verhoogd naar vier. Daarnaast is een mechanisme voor het monitoren van benoemde leidingen geïmplementeerd. Er is een programma toegevoegd aan de hulpprogramma's voor het bekijken van de huidige toestemming van processen die dat niet hebben standaardinterface.

Mechanismen voor het genereren van rapporten over in
De mogelijkheid toegevoegd om rapporten over beveiligingssysteeminstellingen te maken. Rapporten kunnen informatie bevatten over gebruikers, hun identificatiegegevens, geregistreerde media, aangesloten apparaten en instellingen van beschermde bronnen.

Mechanismen voor computerherstel
Er is een opslagfunctie toegevoegd aan de Security Installer speciale informatie, noodzakelijk bij het herstellen van een computer in geval van verlies of falen van de beheerders-ID van het beveiligingssysteem. Herstel wordt uitgevoerd met behulp van een speciaal gegenereerde CD-image.

Gegroet lieve Khabravianen.
Op Habrahabr zijn vermeldingen van informatiebeveiligingstools (IPS) tegen ongeoorloofde toegang (NSD) vrij zeldzaam, als je de zoekopdracht gelooft. Op verzoek van Dallas ontving ik bijvoorbeeld 26 onderwerpen en 2 vragen, waarvan slechts één onderwerp informatiebeveiliging noemde van NSD Dallas Lock, het bedrijf CONFIDENT LLC uit St. Petersburg. Voor andere middelen is het beeld vergelijkbaar. In dit bericht wil ik graag mijn ervaring delen met het gebruik van dergelijke tools en de meest voorkomende fouten/misverstanden bij het werken ermee.

Basishulpmiddelen

Ons bedrijf biedt klanten drie opties voor software en hardware voor informatiebeveiliging:

  • Secret Net van het bedrijf Security Code
  • Eerder genoemde Dallas Lock
Alle producten zijn qua kenmerken ongeveer gelijk (vooral met de komst van USB-apparaatbeheer in versie 7.7 Dallas Lock), de kwestie van het gebruik van een specifieke tool wordt beslist op basis van de mogelijkheid van installatie in het doelsysteem, of op basis van het niveau van relaties met leveranciers.

Met installeerbaarheid bedoel ik verschillen in de architectuur van het informatiebeveiligingssysteem en de eisen aan de beschikbaarheid van hardware. Dallas Lock (of NT Guardian) onderschept bijvoorbeeld de controle over de computer tijdens het opstarten, waardoor deze niet kan opstarten besturingssysteem totdat de gebruiker het wachtwoord invoert en de ID presenteert. Het verschil zit hem in de implementatie van dit mechanisme - Guardian NT gebruikt hiervoor een PCI-uitbreidingskaart, die in de pc moet worden geïnstalleerd (in nieuwe versies is dit niet nodig; in versie 2.5 stond dit ook vermeld, maar het werkte niet; het was gemakkelijker om een ​​ander informatiebeveiligingssysteem te gebruiken). Dienovereenkomstig werd bijvoorbeeld Dallas Lock op de laptop geïnstalleerd - de volledige implementatie van Trusted Boot is volledig softwaregebaseerd.

Onder het niveau van relaties met leveranciers leest u “mogelijk percentage wederverkoop”. De laatste tijd Het is mogelijk om het management te overtuigen op de punten ‘kwaliteit van de technische ondersteuning’ en ‘gebruiksgemak’.

Sollicitatie

Bijna alle bestellingen vereisen certificering van lokale geautomatiseerde werkstations (AWS). Dienovereenkomstig worden netwerkversies van beveiligingssoftware zelden gebruikt. In stand-alone versies is alles eenvoudig - de favoriet is Secret Net, vanwege de zeer handige, eenvoudige en begrijpelijke installatie - volledige integratie in Windows-componenten(consoleapparatuur), duidelijke toegangscontrole. Op de tweede plaats staat Guardian NT - de opzet is complexer en het verplichte toegangscontrolemechanisme is enigszins onduidelijk voor gebruikers. Dallas Lock werd, met betrekking tot versie 7.5, uiterst zelden gebruikt vanwege het gebrek aan controle over USB-apparaten. Met de komst van versie 7.7 zal de situatie veranderen - niet in de laatste plaats vanwege het prijsbeleid.

In de netwerkversie (dienovereenkomstig beschouwen we alleen Secret Net en Dallas Lock) is de situatie het tegenovergestelde. En minder simpel. Aan de ene kant is het gemak van de Secret Net-integratie niet verdwenen Actieve map, is het werken via OS-mechanismen vrij eenvoudig en duidelijk. Aan de andere kant: alle mogelijkheden netwerk versie(met name beveiligingsservers, in de terminologie van Secret Net) bestaan ​​uit het op afstand verzamelen van logbestanden, terwijl het werkstation van de beveiligingsbeheerder in Dallas Lock manipulatie op afstand mogelijk maakt van alle beveiligingsinstellingen van elke verbonden client. Dit is vaak de doorslaggevende factor bij de keuze voor een informatiebeveiligingssysteem. Ooit heb ik veel verbazing en teleurstelling moeten aanhoren bij de beheerder van de klant toen hij zijn vernieuwde patrimonium zag. Helaas is de klant gebonden aan Informzashita en was het onmogelijk om het Confident-product te kopen.

Problemen

Geheim Net

Favoriet - hij is overal een favoriet

Veel problemen ontstaan ​​door onwetendheid over de bijna fundamentele eigenschap van het geïnstalleerde informatiebeveiligingssysteem: alle mappen worden aangemaakt bestandssysteem Altijd niet-geclassificeerd, en bestanden - met huidig sessieprivacyniveau, dat kan worden gecontroleerd in het pop-upvenster:

Vaak is er een probleem van inoperabiliteit kantoorpakket(Word, Excel). Vergeet overigens niet dat het informatiebeveiligingssysteem niet werkt met OpenOffice.org. Fouten kunnen heel verschillend zijn, maar de reden voor alles is hetzelfde: de mappen die nodig zijn voor het uitvoeren van servicebewerkingen zijn niet correct geconfigureerd volgens verplichte toegangscontrole. Volledige lijst mappen worden gegeven in de documentatie, en specifieke problemen U kunt dit altijd diagnosticeren via het Secret Net-logboek - informatie over eventuele programma-acties verschijnt in het logboek. Wanneer u verplichte labels aan bestanden en mappen toekent, moet u er rekening mee houden dat de mapclassificatie de maximaal toegestane classificatie voor een specifiek werkstation moet zijn, aangezien u met Secret Net alle bestanden met een classificatie in mappen kunt opslaan. niet hoger mapkop. Dienovereenkomstig, indien gelanceerd Microsoft Word in een geheime sessie - om automatisch opgeslagen bestanden op te nemen, heeft hij de "geheime" stempel op een bepaalde map nodig.

Er zijn situaties waarin software wordt geïnstalleerd in een andere modus dan ‘niet-geheim’. Natuurlijk moet u opnieuw inloggen en een niet-geheime sessie selecteren om alles te laten werken:

In het geval dat het toegestaan ​​is om op een geautomatiseerde werkplek te gebruiken USB-flashstations, kan het onmogelijk zijn om grote hoeveelheden gegevens, gesorteerd in mappen, te kopiëren. Alles is hier hetzelfde: de nieuw gemaakte map is niet meer geclassificeerd en de bestanden krijgen automatisch de huidige classificatie. Als het gebruik van flashdrives verboden is, wordt de pc geblokkeerd wanneer u er een probeert aan te sluiten. Hiervoor zijn twee geselecteerde parameters ingesteld op "hard" verantwoordelijk:

Als gebruikers voortdurend klagen over langzaam werk computer, en de organisatie gebruikt Kaspersky Anti-Virus, is het de moeite waard om de versie te controleren - vaak blijkt versie 6.0.3 incompatibel te zijn met SecretNet 5.x. Zo zullen de remmen definitief verdwijnen:

En tot slot - een kleine fijnafstemming kan het leven van gebruikers aanzienlijk gemakkelijker maken en hun zenuwen sparen als u toegang krijgt tot de registertak HKLM\System\CurrentControlSet\Services\SNMC5xx\Params(voor 5.x-versies), waar u twee tekenreeksparameters kunt vinden - MessageBoxSuppression (en de tweede -ByDir), waar bestandsextensies of mappen worden aangegeven die niet worden weergegeven dialoogvensters over het verhogen van de vertrouwelijkheidscategorie van de bron.

Guardian NT

Bij dit informatiebeveiligingssysteem komen problemen veel minder vaak voor (althans bij onze klanten), wat kan duiden op een gebruiksvriendelijker beveiligingsmechanisme.

Misverstanden bij deze software houden verband met de noodzaak om het privacyniveau van elke applicatie afzonderlijk te selecteren en het onvermogen om rechten te delegeren aan een standaardgeleider. Dienovereenkomstig, als de geautomatiseerde werkplek zich heeft geregistreerd USB-flashstations en ze zijn geheim, een poging om ze te openen met Explorer zal resulteren in een toegangsfout. U moet het geïnstalleerde selecteren bestandsbeheerder, waarbij u bij het opstarten de beveiligingsclassificatie selecteert die overeenkomt met de geheimhouding van de flashdrive.

Ook als bij het openen van een Word/Excel-document eerst een venster verschijnt voor het selecteren van een beveiligingsclassificatie en vervolgens het bijbehorende editorvenster wordt geopend zonder het gevraagde document, is dit normaal. U moet het bestand opnieuw openen via de kantoortoepassing zelf.

Dallas Slot

Net als in het geval van The Guardian waren er heel weinig fouten: de wachtwoorden kwamen niet overeen, de parameter 'privacycategorie' verdween uit het inlogvenster en er was een fout bij het koppelen van een elektronische identificatie.

De eerste fout heeft betrekking op mogelijk gebruik twee wachtwoorden - voor Dallas Lock en Windows kunt u verschillende instellen, ook per ongeluk (bijvoorbeeld door het wachtwoord door de beheerder te wijzigen, na het laden van het venster). Windows-groeten voer het Dallas Lock-wachtwoord in en klik op "OK" in het dialoogvenster waar de beveiligingsinformatie en het besturingssysteemwachtwoord niet overeenkomen, voer het wachtwoord in Windows-gebruiker en vink het selectievakje "Gebruik in Dallas Lock" aan.

De tweede heeft betrekking op het selectieveld voor de handtekening van de sessie, dat standaard verborgen is. Het komt voor dat gebruikers dit vergeten - en vervolgens klagen dat ze niet eens in mappen met het label spaanplaat kunnen komen.

De elektronische identificatie mag niet worden gekoppeld als deze handeling wordt uitgevoerd voor de beheerder, of als het gebruikte token niet overeenkomt met de versie. In versie 7.5 is eToken 64k met het eToken RTE-stuurprogramma dus van toepassing. De lang beschikbare eToken PKI zal niet werken, en bijvoorbeeld eToken 72k Java ook niet.

Nawoord

Ik hoop dat dit bericht nuttig zal zijn voor de gemeenschap of alleen maar informatief zal zijn. Bedankt voor uw aandacht!

Gerelateerde publicaties: