Dallas lock что это за программа

Лекция 17. Применение сзи от нсд ««Dallas Loc».

Установка системы защиты «Dallas Lock» производится стандартным образом с вводом кода активации, получаемого в сервисном центре фирмы «Конфидент». Для работы с системой на практических занятиях используется предварительно установленный экземпляр СЗИ в виде образа системы VMware, в котором имеется пользователь Администратор.

После запуска образа системы и отработки процедуры POST BIOS происходит инициализация системы защиты «Dallas Lock» из MBR активного раздела. При этом запрашиваются идентификатор и пароль пользователя. После предъявления правильного пароля и идентификатора выполняется процедура контроля целостности (рис. 3.29), при удачном завершении которой стандартным образом загружается ОС Windows 2000.

3. Создание пользователей

Создание пользователей в СЗИ осуществляется с использованием программы «Администратор DL 7.0», которая вызывается командой Пуск ⇒ Программы ⇒ Dallas Lock 7.0 ⇒ Администратор DL 7.0. Для создания учетных записей необходимо выполнить команду меню Пользователи ⇒ Создать.

Решения линейки Dallas Lock для комплексной защиты информации

Открывающееся окно «Новый пользователь» имеет четыре вкладки: «Общие», «Идентификация», «Расписание», «Группы». Вкладка «Общие» позволяет установить для каждого из создаваемых пользователей следующие рекомендуемые параметры: «Потребовать смену пароля при следующем входе» (после первой регистрации каждый из пользователей должен будет изменить свой пароль), «Разрешена загрузка компьютера» (все пользователи могут включать защищаемый компьютер), «Блокировать клавиатуру», «Блокировать при нарушении целостности», «Запретить прерывать преобразование диска». Вкладка «Идентификация» позволяет установить для каждого из пользователей электронный идентификатор Touch Memory. С помощью Вкладки «Расписание» указываются разрешенные дни недели и время работы пользователей, а вкладка «Группы» предназначена для включения учетной записи в одну или несколько рабочих групп. После задания необходимых параметров для каждой учетной записи вводится пароль.

Источник: studfile.net

4systems

Dallas Lock, в отличие от большинства аналогичных средств защиты от НСД, может поставляться как в программном варианте комплектации, так и с опциональным дополнением аппаратных средств защиты, что значительно повышает их эксплуатационные характеристики, снимая вопросы совместимости с аппаратными платформами используемых средств вычислительной техники. Кроме того, предусмотрена возможность подключения различных видов считывателей и идентификаторов (TouchMemory, eToken, Rutoken) через com- и usb-порты. Особого внимания заслуживают такие особенности версии Dallas Lock 7.x, как встроенная возможность печати грифов конфиденциальности на любых документах и возможность использования системы для защиты ресурсов мобильных (Notebook) и промышленных компьютеров. Важным преимуществом версии Dallas Lock 7.7 является трехуровневая модель централизованного управления.

Нюанс!!! Dallas Lock 8 против Secret Net 7 * Вход после установки СЗИ

Успешное прохождение сертификационных испытаний и получение сертификатов ФСТЭК России, а также восемнадцатилетний практический опыт ООО «Конфидент», как разработчика средств защиты и интегратора в области обеспечения информационной безопасности, позволяет рекомендовать Dallas Lock в качестве эффективного, обладающего высокими техническими характеристиками, надежного и апробированного средства защиты от несанкционированного доступа.

Dallas Lock широко используется в таких уважаемых организациях, как Центральный Банк РФ, Федеральная налоговая служба России, Федеральная таможенная служба России, МЧС России, Администрации краев и областей, многие коммерческие банки и страховые компании.

Подробное о возможностях Dallas Lock

• Система блокирует доступ посторонних лиц к ресурсам ПК и позволяет разграничить права пользователей при работе на компьютере. Контролируются права локальных, сетевых и терминальных пользователей.
• CЗИ Dallas Lock 7.7 блокирует доступ посторонних лиц к ресурсам ПК и позволяет разграничить права пользователей и администраторов при работе на компьютере. Контролируются права локальных, сетевых и терминальных пользователей. Разграничения касаются прав доступа к объектам файловой системы, доступа к сети, к сменным накопителям и к аппаратным ресурсам.
• Для идентификации пользователей служат индивидуальные пароли и аппаратные идентификаторы Touch Memory, eToken, ruToken (двухфакторная аутентификация). Аппаратная идентификация не является обязательной – система может работать в полностью программном режиме.
• Запрос пароля и аппаратных идентификаторов происходит до начала загрузки ОС. Загрузка ОС возможна только после проверки идентификационных данных пользователя в СЗИ. Таким образом обеспечивается доверенная загрузка системы.
• СЗИ позволяет контролировать целостность файлов, папок и параметров аппаратно-программной среды компьютера. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.
• Подсистема аудита действий пользователей состоит из шести журналов, в которые заносятся события и результат (с указанием причины, при отказах) попыток входов и выходов пользователей, события доступа к ресурсам файловой системы, события запуска процессов, события печати на локальных и сетевых принтерах, события по администрированию СЗИ. Для облегчения работы с журналами, реализована возможность фильтрации записей по определенным признакам и экспорт журналов в формат MS Excel.
• Подсистема очистки остаточной информации гарантирует невозможность восстановления удаленных данных. Возможно очищение освобождаемого дискового пространства, файла подкачки, освобождаемой памяти и заданных папок при выходе пользователя из системы. Подсистема может работать в автоматическом режиме, когда зачищаются все удаляемые данные, либо данные зачищаются по команде пользователя.
• Подсистема перехвата событий печати позволяет на каждом распечатанном с ПК документе добавлять штамп. Формат и поля штампа могут гибко настраиваться.
• Для защиты от загрузки компьютера и доступа к информации в обход СЗИ предусмотрена возможность преобразования содержимого диска в «прозрачном» режиме. Информация преобразуется при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя. После преобразования диска получить доступ к хранящейся на нем информации невозможно без пароля для входа в СЗИ. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск будет подключен к другому компьютеру. Данные могут быть преобразованы по алгоритмам XOR32 или ГОСТ 28147-89.
• СЗИ предоставляет возможность преобразования отдельных файлов и/или папок. В качестве ключа преобразования используется пароль и, по желанию пользователя, аппаратный идентификатор. Преобразованные данные хранятся в файле-контейнере, который может использоваться для безопасной передачи данных или хранения информации на отчуждаемом носителе. Доступ к преобразованным данным можно получить с любого компьютера с СЗИ при совпадении пароля и аппаратного идентификатора. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего сертифицированного криптопровайдера (например, «КриптоПро»).
• Для предотвращения утечки информации через сменные накопители предусмотрена возможность гибкого разграничения доступа к дискетам, оптическим дискам, USB-Flash – возможно разграничения доступа по типу накопителя, либо к конкретным экземплярам.
• Система позволяет настраивать замкнутую программную среду (режим, в котором пользователь может запускать только программы, определенные администратором).
• Для осуществления централизованного управления защищёнными компьютерами в составе ЛВС, в состав системы входит «Сервер Безопасности» (СБ). СБ Dallas Lock и зарегистрированные на нем компьютеры с Dallas Lock образуют «Домен Безопасности». При использовании СБ возможно централизованное управление учётными записями пользователей, управление политиками безопасности, просмотр и автоматический сбор журналов, назначение прав доступа к ресурсам, управление прозрачным преобразованием и выполнение команд оперативного управления.
• С помощью модуля «Менеджер серверов безопасности» возможно объединение нескольких СБ в «Лес Безопасности», с помощью которого осуществляется централизованное управления несколькими Доменами Безопасности (получение журналов, управление политиками и учётными записями пользователей).
• Возможна установка СЗИ на портативные компьютеры (ноутбуки).
• Существует возможность просматривать экранные снимки удаленных компьютеров. Эти снимки могут быть сохранены в файлы и просмотрены в дальнейшем
• Возможна установка СЗИ на компьютеры, работающие в составе домена (как на клиентские машины, так и на контроллер домена) – таким образом с помощью Dallas Lock 7.7 можно защитить всю сеть.
• Возможна установка на сервер терминального доступа.

Разграничение прав доступа к ресурсам файловой системы реализуется следующими методами:

• Дискреционный – предоставляет доступ к защищаемым объектам файловой системы на основании списков контроля доступа. В соответствии с содержимым списков определяются права доступа для каждого пользователя.
• Мандатный – каждому пользователю присваивается максимальный уровень мандатного доступа. Пользователь получает доступ к объектам, мандатный уровень которых не превышает его текущий уровень.

Основные конкурентные преимущества Dallas Lock:

• По стоимости комплекта для защиты ПК СЗИ от НСД «Dallas Lock» выигрывает по всем ценовым (количественным) диапазонам у надежных аналогов, в частности «Secret Net» и «Аккорд». Заказчику сертифицированная защита обходится дешевле.
• Линейка «Dallas Lock 7.х» одна из первых была сертифицирована Гостехкомисией (ФСТЭК) РФ для Windows XP (в 2004 году) и Windows 7 (в 2010 году), получила широкое распространение и апробирована во многих государственных учреждениях и коммерческих организациях. В то же время, некоторые конкурирующие аналоги сравнительно недавно выпущены и сертифицированы, имеют ограниченный функционал или «сырую» реализацию. Другими словами, малоизвестный дешевый аналог может обойтись сильно дороже по совокупной стоимости владения – когда возникнут проблемы при внедрении и эксплуатации.
• Сертифицированная по высоким классам (для защиты конфиденциальной информации, в т.ч. до 1 класса ИСПДн включительно, и гостайны до категории «Совершенно секретно» — АС класса 1Б включительно) линейка СЗИ от НСД Dallas Lock позволяет защищать ОС MS Windows 95982000XP2003Vista20087.
• Программная реализация продукта позволяет защищать не только настольные рабочие станции и сервера, но также мобильных пользователей (ноутбуки) и компьютеры в промышленном исполнении. Также данная реализация позволяет упростить установку СЗИ. Предлагается широкий выбор дополнительной аппаратной идентификации (Touch Memory, USB eToken, USB RuToken, Смарт-карты eToken).

Смотрите также в нашем каталоге товаров

• СЗИ от НСД Dallas Lock 7.7
• СЗИ от НСД Dallas Lock 7.5
• Сервер безопасности Dallas Lock 7.7
• Средства защиты информации от несанкционированного доступа Dallas Lock

Хотите сделать заказ или задать нам вопрос? Воспользуйтесь формой обратной связи.

Обращаем ваше внимание на то, что данный сайт носит исключительно информационный (ознакомительный) характер и ни при каких условиях не является публичной офертой, определяемой положениями Статьи 437 Гражданского кодекса Российской Федерации. Для получения исчерпывающей информации о стоимости и наличию товара на складе, обращайтесь к менеджерам ООО «ФорСистемс» по телефону или электронной почте.

Источник: 4systems.ru

Средства защиты информации и где дёготь

Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.

Основные инструменты

• Secret Net от компании «Код безопасности»
• Страж NT от НПЦ «Модуль»
• Ранее упомянутый Dallas Lock

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются.

В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна.

С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Secret Net

Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа.

Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLMSystemCurrentControlSetServicesSNMC5xxParams (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Источник: habr.com

СЗИ НСД Dallas Lock

Инструменты защиты Dallas Lock призваны исключить утечку данных из информационной среды и предотвратить их неправомерное использование. СЗИ Dallas Lock – это программный продукт для развертывания в операционной среде Windows или Linux.

Dallas Lock 8.0-К

Система защиты информации от несанкционированного доступа (СЗИ НСД) накладного типа, предназначенная для защиты конфиденциальной информации.

Модули: «Средство контроля съёмных машинных носителей информации» (СКН), «Межсетевой экран» (МЭ), «Система обнаружения и предотвращения вторжений» (СОВ, включает модуль «Безопасной среды»/»песочница»), Модуль паспортизации программного обеспечения (МП) для подключения к Серверу конфигураций Dallas Lock, Модуль резервного копирования и восстановления (РК, доступен после окончания процедуры инспекционного контроля), Модуль СКН уровня отчуждения (переноса) информации (СКН2, доступен после окончания процедуры инспекционного контроля).

Для ОС Windows (х32/х64): Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10, Windows Server 2016.

Возможно использование в АС до класса защищенности 1Г включительно, в ГИС до 1 класса защищенности включительно, в АСУ ТП до 1 класса защищен-

ности включительно, в значимых объектах КИИ до 1 категории включительно, для обеспечения 1 уровня защищенности ПДн.

Ключевые особенности:

• Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие стандартные механизмы ОС Windows.

• Не требуется серверной ОС, сторонней СУБД и домена Windows.

• Возможность применения в различных версиях и редакциях ОC Windows (от Windows XP до Windows 10 и Windows Server 2016) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах, в виртуализированных средах.

• Широкий набор дополнительных возможностей (помимо традиционной защиты от НСД, контроля носителей информации, межсетевого экранирования, обнаружения и предотвращения вторжений).

• Централизованное управление из консоли Сервера безопасности Dallas Lock 8.0 клиентами Linux и Windows, защищенными соотвественно СЗИ НСД Dallas Lock Linux и СЗИ Dallas Lock 8.0-K.

• Модуль Безопасной среды («песочницы»).

• Улучшенная графическая визуализация событий ИБ, сетевого трафика и т.п. на Сервере безопасности Dallas Lock.

• Гибкое управление доменными пользователями (Active Directory).

• Создание и визирование паспортов программного обеспечения (при использовании дополнительного модуля в составе продуктовой линейки Dallas Lock).

Dallas Lock 8.0-С

Система защиты информации от несанкционированного доступа (СЗИ НСД) накладного типа, предназначенная для защиты конфиденциальной информации и государственной тайны до уровня «совершенно секретно».

Модули: «Средство контроля съёмных машинных носителей информации» (СКН), «Межсетевой экран» (МЭ), «Система обнаружения и предотвращения вторжений» (СОВ), Модуль паспортизации программного обеспечения (МП) для подключения к Серверу конфигураций Dallas Lock, Модуль резервного копирования и восстановления (РК, доступен после окончания процедуры инспекционного контроля), Модуль СКН уровня отчуждения (переноса) информации (СКН2, доступен после окончания процедуры инспекционного контроля).

Для ОС Windows (х32/х64): Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10, Windows Server 2016.

Возможно использование в АС до класса защищенности 2А (1Б) включительно, в ГИС до 1 класса защищенности включительно, в АСУ ТП до 1 класса защищенности включительно, в значимых объектах КИИ до 1 категории включительно, для обеспечения 1 уровня защищенности ПДн.

Ключевые особенности:

• Возможность использования модуля «Загрузчик» для компенсации отсутствия СДЗ уровня платы расширения или уровня BIOS (в случае невозможности или необязательности применения СДЗ).

• Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие стандартные механизмы ОС Windows.

• Не требуется серверной ОС, сторонней СУБД и домена Windows.

• Возможность применения в различных версиях и редакциях ОC Windows (от Windows XP до Windows 10 и Windows Server 2016) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах, в виртуализированных средах.

• Широкий набор дополнительных возможностей (помимо традиционной защиты от НСД, контроля носителей информации, межсетевого экранирования, обнаружения и предотвращения вторжений).

• Централизованное управление из консоли Сервера безопасности Dallas Lock 8.0 клиентами Linux и Windows, защищенными соотвественно СЗИ НСД Dallas Lock Linux и СЗИ Dallas Lock 8.0-K.

• Модуль Безопасной среды («песочницы»).

• Улучшенная графическая визуализация событий ИБ, сетевого трафика и т.п. на Сервере безопасности Dallas Lock.

• Гибкое управление доменными пользователями (Active Directory).

• Создание и визирование паспортов программного обеспечения (при использовании дополнительного модуля в составе продуктовой линейки Dallas Lock).

Источник: caub.ru