Руководство dallas lock linux

to VMax
С новой сборкой-без-уязвимостей в DL и без того куча косяков. Причем они различны для каждого конкретного случая. Вами приведенный fail не попадался. Мой совет по опыту обновления — не обновляйте. Сносите к чертям без сохранения настроек, ставьте новую сборку и настраивайте заново. Меньше риск получить огрехи по факту
«подсоса» старых настроек, imho…

ЗЫ Кстати, похоже на конфликт драйвера МЭ в составе DL с драйвером WiFi от Intel. Если WiFi использоваться не будет — снесите его драйвер и попробуйте еще раз. Если не поможет — высылайте отчет и лог-файлы в техподдержку Конфидента. Чувствую, их подход с комбайнерством (НСД+МЭ+СОВ+СДЗ) еще не раз аукнется в будущем…

Руководство — СЗИ НСД Dallas Lock 8.0 Руководство по эксплуатации

Доступные файлы (2):

n1.doc

11.4.Автоматическое тестирование функционала

Данная функция позволяет выполнить автоматическое тестирование основного функционала системы защиты (создание/удаление пользователя, назначение/снятие параметров доступа к ресурсам и пр.).

Для запуска автоматического тестирования функционала необходимо в оболочке администратора нажать кнопу основного меню и в списке функций выбрать пункт «Тестирование функционала СЗИ» (Рис. 164).

Рис. 164. Меню выбора дополнительных функция системы защиты

Вызов функции тестирования также возможен из ярлыка программы в меню «Пуск».

В появившемся окне нужно нажать кнопку «Запустить». По окончании тестирования, при необходимости, можно сохранить отчет, нажав кнопку «Сохранить» (Рис. 165).

Рис. 165. Запуск автоматического тестирования функционала

Для сохранения отчета системой будет предложено выбрать папку и указать расширение для текстового файла. По умолчанию отчет сохранится в формате *.rtf.

Примечание. В Dallas Lock 8.0 редакции «С» функцию «Автоматическое тестирование функционала» можно запускать, только авторизовавшись под мандатным уровнем 0:«Открытые данные».

11.5.Возврат к настройкам по умолчанию

В некоторых случаях бывает необходимо полностью или в большой степени изменить параметры безопасности, установленные в системе защиты. С этой задачей можно справиться, не прибегая к переустановке системы, а просто вернув системе защиты Dallas Lock 8.0 настройки по умолчанию.

Следует учесть, что помимо возврата всех настроек, в том числе настроек доступа и аудита к изначальным настройкам, учетных записей пользователей, созданных прежде в системе защиты, не окажется. Но так как при создании новых пользователей в СЗИ НСД, их учетная запись создается и в операционной системы, то при возврате к настройкам по умолчанию, необходимые учетные записи можно снова зарегистрировать, выбрав их из списка локальных.

Для того чтобы вернуть системе защиты ее исходное состояние, необходимо в списке функций кнопки основного меню выбрать пункт «Установить настройки по умолчанию» (Рис. 166)

Рис. 166. Выбор установки настроек системы по умолчанию

Появится окно подтверждения установки настроек по умолчанию (Рис. 167).

Рис. 167. Подтверждение установки настроек по умолчанию

После подтверждения установки, система сообщит об успешном завершении операции.

Для завершения установки первоначальных настроек системы защиты Dallas Lock 8.0 необходимо самостоятельно перезагрузить компьютер.

11.6.Работа с оболочкой Dallas Lock

11.6.1.Включение и выключение оболочки

Вместо стандартной графической оболочки пользователя Windows (англ. Windows shell), программы, которая отвечает за создание рабочего стола, панели задач и меню «Пуск», в СЗИ НСД Dallas Lock 8.0 может использоваться специальная защищенная оболочка.

Оболочка Dallas Lock позволяет создавать защищенный рабочий стол без меню «Пуск» и панели задач, позволяя пользователю запускать только «ярлыки» приложений, определенные администратором. Такой режим может использоваться в дополнении к режиму

«Замкнутая программная среда»

, чтобы предоставить пользователю максимально ограниченный интерфейс, предназначенный только для выполнения профессиональных задач.

Для включения оболочки Dallas Lock 8.0 необходимо в списке функций кнопки основного меню выбрать пункт «Активировать оболочку DL» (Рис. 168).

Рис. 168. Выбор установки оболочки Dallas Lock

Оболочка Dallas Lock будет применена для всех пользователей в операционной системе после перезагрузки (Рис. 169).

Рис. 169. Оболочка Dallas Lock

В правой части защищенного рабочего стола располагается список запущенных приложений, позволяющий пользователю переключаться между приложениями. Этот список является упрощенной версией диспетчера задач стандартной оболочки.

Основным механизмом ограничения оболочки Dallas Lock является блокировка меню «Пуск» и контекстного меню рабочего стола. Однако, пользователи, нажав комбинацию клавиш Ctrl + Alt + Del, могут запустить диспетчер задач и уже из него попытаться выполнить любое приложение (при наличии прав на запуск).

Чтобы исключить возможность запуска диспетчера задач и избежать лишних попыток пользователя перебирать приложения с правами на запуск необходимо заблокировать диспетчер задач. Блокировка реализуется через групповые политики Windows. Настроить групповую политику для группы компьютеров можно через групповые политики Active Directory, если используется домен AD, либо самостоятельно отредактировав локальную групповую политику локального компьютера. Оболочка Dallas Lock предоставляет возможность запустить редактор групповых политик и отключить диспетчер задач локально. Для этого в запущенной оболочке необходимо выбрать пункт «Отключить диспетчер задач», после чего появится окно подтверждения действия (Рис. 170).

Рис. 170. Окно запуска редактора групповых политик

Следует учесть, что данная групповая политика применяется ко всем пользователям, работающим на данном компьютере.

Для применения нового значения необходимо завершить сеанс и снова войти в систему. Если политика настраивается через контроллер домена AD, то для ускорения применения политики на рабочих станциях перед выходом пользователя (с правами администратора) из системы требуется запустить утилиту gpupdate. После применения данной политики при попытке запуска диспетчера задач будет появляться сообщение «Диспетчер задач отключен администратором».

Для выключения оболочки Dallas Lock и включения графической оболочки Windows необходимо зайти в систему с правами администратора безопасности, и в дополнительном меню консоли управления, как и при включении, выбрать пункт «Активировать оболочку Explorer» (Рис. 171) и перезагрузить компьютер. Стандартная оболочка Windows станет доступной для всех пользователей.

Рис. 171. Выбор установки оболочки Windows

11.6.2.Настройка оболочки

Все настройки оболочки Dallas Lock хранятся в файле Zpsshell.ini в системной папке Windows. Настройки позволяют определить внешний вид защищенного рабочего стола, список общих ярлыков для всех пользователей, а также список уникальных ярлыков для каждого пользователя (в том числе для доменных пользователей).

Изначально файл настроек содержит в себе пример настройки с установкой различных приложений для нескольких разных пользователей. Все настройки располагаются в различных секциях данного ini файла и состоят из имени параметра и значения. Опираясь на примеры представленных настроек в данном файле, можно сформировать их для любого необходимого пользователя системы.

Среди общих настроек можно выбрать настройки фона оболочки, изменив его цвет или прописав путь к выбранному рисунку фона, а также изменить размер и расположение ярлыков и надписей. Следует помнить, что настройка параметров оболочки Dallas Lock доступна только пользователю с правами администратора и доступом к системной папке Windows. Открыть данный ini файл можно из оболочки Dallas Lock, выбрав пункт «Настройка оболочки».

После изменения настроек для их применения необходимо завершить сеанс и вновь войти в систему.

Средство доверенной загрузки Dallas Lock проходит процедуру сертификационных испытаний изделия в рамках решения ФСТЭК России от 17.11.2019 г. № 6069 о проведении сертификационных испытаний для продления срока действия сертификата соответствия.

Обратите внимание, что в соответствии с абзацем 2 пункта 15 раздела 2 Положения о сертификации средств защиты информации, утвержденного Приказом ФСТЭК России от 03.04.2018 года № 55, средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки. Реализация (продажа, приобретение, а также установка и настройка, в том числе с целью аттестации объектов информатизации) складских запасов СДЗ Dallas Lock, произведенных до окончания срока действия сертификата соответствия требованиям безопасности, допустима в соответствии с Положением о системе сертификации средств защиты информации.

«Конфидент» направил во ФСТЭК России сведения о сроках оказания технической поддержки на серийно выпускаемые изделия, имеющие сертификаты соответствия требованиям безопасности информации ФСТЭК России. Таким образом, никаких ограничений на использование СДЗ Dallas Lock до появления продленного сертификата соответствия нет.

Сроки оказания технической поддержки для средства доверенной загрузки Dallas Lock ПФНА.501410.003 — до 25.11.2024 г.

Данная информация доступна в Государственном реестре сертифицированных средств защиты информации, опубликованном на официальном сайте ФСТЭК России (https://fstec.ru).

По мере прохождения изделием сертификационных испытаний и испытаний, связанных с внесением в сертифицированное изделие изменений, сроки оказания технической поддержки будут пролонгироваться.

Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.

СДЗ Dallas Lock является программно-аппаратным средством, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.

СДЗ Dallas Lock предназначено для использования на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры intel х86-32, x86-64. Реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5. Поддерживаются разъемы: PCI Express; Mini PCI Express; M.2.

СДЗ Dallas Lock обеспечивает:

• идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
• двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
• автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
• контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
• блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
• блокировку пользователя при выявлении попыток обхода СДЗ;
• автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
• реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
• недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
• контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
• выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.

Возможности при интеграции с СЗИ Dallas Lock

Автоматическое прохождение идентификации и аутентификации в штатной ОС после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ.

Ключевые особенности СДЗ Dallas Lock

• Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ).
• Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ.
• Полноценная поддержка UEFI.
• Поддерживается широкий спектр аппаратных идентификаторов: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART.
• Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации.
• Разграничение доступа к управлению СДЗ.
• Датчик вскрытия корпуса (для варианта исполнения – PCIe «KT-500»).
• Наличие собственных часов с независимым источником питания (для варианта исполнения – PCIe «KT-500»).
• Поддержка разъема M.2.
• Централизованное управление*.
• СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и 2 уровню контроля отсутствия НДВ.

* Централизованное управление СДЗ Dallas Lock реализовано и будет доступно после прохождения процедуры инспекционного контроля.

Характеристики СДЗ Dallas Lock

Тип СЗИ	Программно-аппаратный комплекс
Сертификат соответствия ФСТЭК России	№ 3666 от 25.11.2016 г. действителен до 25.11.2019 г.
Уровень контроля отсутствия НДВ	2
Класс защиты СДЗ	2
Класс АС	1Б
Класс защищенности ГИС / АСУ ТП Уровень защищенности ПДн	до 1 вкл.
Современный графический интерфейс	Да
Интерфейс подключения	PCI Express, Mini PCI Express, M.2
Форм-фактор платы	Full Size, Half Size
Единый реестр российских программ для ЭВМ и БД	Приказ Минкомсвязи России № 487 от 07.10.2016г.