情報セキュリティツールとクラッシュする場所

まえがき

親愛なるhabravchanへの挨拶。
Habrahabrでは、不正アクセス（NSD）からの情報セキュリティツール（ISS）に関する言及は、検索によるとかなりまれです。 たとえば、 ダラスの要請で、 26件のトピックと2件の質問を受け取りましたが、そのうち、サンクトペテルブルクの会社CONFIDENT LLCの NSDダラスロックからSZIが特に言及したトピックは1つだけでした。 他の方法では、画像は似ています。 この投稿では、このようなツールを使用した経験と、ツールを使用する際の最も一般的な間違い/誤解を共有したいと思います。

コアツール

当社では、お客様にソフトウェアおよびハードウェア情報保護の3つのオプションが提供されています。

• セキュリティコードからのシークレットネット
• NPC「モジュール」からNTを保護
• 前述のダラスロック

すべての製品の特性はほぼ同じです（特にダラスロックのバージョン7.7でのUSBデバイスの制御の出現により）。特定のツールを使用するという問題は、ターゲットシステムへのインストールの可能性に基づいて、またはサプライヤーとの関係のレベルに基づいて解決されます。

インストールする能力により、SPIのアーキテクチャとハードウェアの可用性の要件の違いを理解しています。 たとえば、ダラスロック（またはNT Sentinel）は、ブート段階でコンピューター制御をインターセプトし、ユーザーがパスワードを入力して識別子を提示するまでオペレーティングシステムが起動しないようにします。 このメカニズムの実装の違いは、NT SentinelがこのためにPCI拡張カードを使用することです。これはPC内にインストールする必要があります（これは新しいバージョンでは必要ありません。バージョン2.5にも記載されていますが、別のSPIを使用する方が簡単に機能しませんでした ）。 したがって、たとえば、ダラスロックはラップトップにインストールされました。トラステッドブートの実装全体は完全にソフトウェアです。

サプライヤーとの関係のレベルでは、「再販の可能な割合」を読む必要があります。 最近、「技術サポートの質」、「操作のしやすさ」の点で当局を説得することが可能になりました。

申込み

ほとんどすべての注文には、ローカルワークステーション（AWS）の認証が必要です。 したがって、セキュリティソフトウェアのオンラインバージョンが使用されることはほとんどありません。 スタンドアロンバージョンでは、すべてがシンプルです-Secret Netは非常に便利でシンプルで直感的な構成のためのお気に入りです-Windowsコンポーネント（スナップインコンソール）への完全な統合、明確なアクセス制御。 2番目はNT Sentinelです-構成はより複雑であり、強制アクセス制御のメカニズムはユーザーにとってはいくぶん明白ではありません。 バージョン7.5に関するダラスロックは、USBデバイスの制御不足のため、非常にまれにしか使用されませんでした。 バージョン7.7の登場により、状況は変わります-特に価格設定ポリシーのため。

ネットワークバージョン（それぞれ、Secret NetとDallas Lockのみを検討）では、状況は逆です。 そして、それほど単純ではありません。 一方で、Secret Netの設定の利便性は失われていません。 はい。ActiveDirectoryに埋め込み、OSのメカニズムを使用して作業するのは非常に簡単で理解しやすいものです。 一方、ネットワークバージョンのすべての機能（具体的には、Secret Netの用語によるとセキュリティサーバー）はリモートログ収集で構成され、ダラスロックセキュリティ管理者ワークステーションでは、接続されている各クライアントのすべてのセキュリティ設定をリモート操作できます。 多くの場合、これはSZIの選択における決定的な要因です。 かつて、更新された不動産を見たとき、顧客の管理者から多くの驚きと失望を聞かなければなりませんでした。 残念ながら、顧客はInformzashchitaに縛られており、Confident製品を購入することは不可能でした。

問題

多くのエラーは、単に特定のSISの動作原理の不注意または誤解により発生します。 証明書/ガイドがロシアの民主主義の父を救うことは状況を解決するのに役立つことは明らかですが、多くの場合、防衛システムの統合者を呼ぶ方が簡単です。 当然、問題は修正されますが、時間が無駄になります。 顧客とインテグレーターの両方。 最も一般的なユーザーの苦情の解決に役立つ個人的な経験を共有したいと思います。

始めましょう。

シークレットネット

お気に入り-彼はどこでもお気に入りです

インストールされたSZIのほぼ基本的なプロパティを無視するため、多くの問題が発生します。すべてのフォルダーは常にファイルシステムで分類されず、 現在のセッション機密レベルのファイルはポップアップウィンドウで確認できます。


多くの場合、オフィススイート（Word、Excel）の動作不能の問題があります。 ところで、SZIはOpenOffice.orgで動作しないことを忘れないでください。 エラーは大きく異なる可能性がありますが、理由は誰でも同じです。公式の操作に必要なフォルダーは、強制アクセス制御用に正しく構成されていません。 フォルダの完全なリストはドキュメントに記載されており、特定の問題はいつでもSecret Netログで診断できます。プログラムアクションに関する情報はログに表示されます。 Secret Netでは、フォルダーの署名スタンプ以下の署名スタンプを持つファイルをフォルダーに保存できるため、ファイルおよびフォルダーに資格情報マークを割り当てるときは、フォルダーの署名スタンプが特定のワークステーションで許容される最大値であることを覚えておく必要があります。 したがって、Microsoft Wordがシークレットセッションで実行されている場合、自動保存ファイルを書き込むには、特定のフォルダーに「シークレット」署名が必要です。

ソフトウェアが「非公開」以外のモードでインストールされる場合があります。 もちろん、すべてが機能するように、ログインして非シークレットセッションを選択する価値があります。


ワークステーションでUSBフラッシュドライブを使用することが許可されている場合、フォルダーにソートされた大量のデータをコピーできない場合があります。 ここではすべて同じです-新しく作成されたフォルダーは未分類になり、ファイルは自動的に現在の署名スタンプを受け取ります。 フラッシュドライブの使用が禁止されている場合、そのようなPCを接続しようとするとブロックされます。「ハード」に設定された2つの選択されたパラメーターがこれを担当します。


ユーザーがコンピューターの動作が遅いことについて絶えず苦情を言い、組織がKasperskyアンチウイルスを使用している場合、バージョンを確認する必要があります。バージョン6.0.3はSecretNet 5.xと互換性がないことがよくあります。 したがって、ブレーキは確実に消えます。


最後に、レジストリブランチHKLM \ System \ CurrentControlSet \ Services \ SNMC5xx \ Params （5.xバージョンの場合）を見ると、MessageBoxSuppression（および2つ目はByDir）であり、リソースのプライバシーカテゴリを増やすことに関するダイアログボックスが表示されないファイル拡張子またはフォルダが示されます。

センチネルNT

これを行うために、問題は（少なくともお客様の間では）あまり一般的ではなく、より使いやすい保護メカニズムを示している可能性があります。

このソフトウェアの場合の誤解は、各アプリケーションの機密レベルを個別に選択する必要があり、標準コンダクターに権利を委任できないことによるものです。 したがって、AWPがUSBフラッシュドライブを登録していて、それらが秘密である場合、エクスプローラーでそれらを開こうとすると、アクセスエラーが発生します。 起動時にフラッシュドライブのセキュリティに対応するトレランススタンプを選択して、インストールされているファイルマネージャーを選択する必要があります。

また、Word / Excelドキュメントを開くと、プライバシーラベルを選択するためのウィンドウが最初に表示され、その後、対応するエディターのウィンドウが要求されたドキュメントなしで展開されます-これは正常です。 Officeアプリケーション自体を使用してファイルを再度開く必要があります。

ダラスロック

Sentinelの場合と同様に、エラーはほとんどありません-パスワードが適合しなかった、「プライバシーカテゴリ」パラメーターがログインウィンドウから消え、電子識別子をバインドするエラーが発生しました。

最初のエラーは、2つのパスワードの使用に関連しています-ダラスロックとWindowsでは、偶然（たとえば、管理者がパスワードを変更するなど）を含めて、異なるパスワードを設定できます。 この場合、Windowsようこそウィンドウをロードした後、ダラスロックパスワードを入力し、ダイアログでSZIとOSパスワードが一致しないことを示す「OK」をクリックし、Windowsユーザーパスワードを入力して「ダラスロックで使用」チェックボックスをオンにします。

2番目は、セッションネックのデフォルトの隠し署名ボックスに関連付けられています。 ユーザーがそのことを忘れてしまい、チップボードの署名スタンプが付いたフォルダーに入れることさえできないと不平を言うことがあります。

この操作が管理者に対して行われる場合、または使用されるトークンがバージョンに適していない場合、電子識別子は結び付けられない場合があります。 したがって、バージョン7.5では、eToken RTEドライバーを備えたeToken 64kが適用可能です。 たとえば、eToken 72k Javaと同様に、長年のeToken PKIは機能しません。

あとがき

この投稿がコミュニティに役立つか、単なる参考になることを願っています。 ご清聴ありがとうございました！