Средство защиты информации Secret Net 7...Средство защиты информации Secret Net 7 Комментарии к версии 7.7.635.0 Данный

Secret Net 7. Комментарии к версии 7.7.635.0

1

Средство защиты информации Secret Net 7

Комментарии к версии 7.7.635.0

Данный документ содержит описание новых возможностей СЗИ Secret Net 7 версии 7.7.635.0 по

сравнению с версиями 7.6.604.0, 7.5.586.0, 7.4.577.0, 7.3.562.0, 7.2.515.0, 7.0.460.16, 7.0.460.0 и

6.5.333.53, а также особенностей и ограничений, которые необходимо учитывать при эксплуатации системы.

Оглавление

1. Комплект поставки ....................................................................................................... 3 1.1. Размещение файлов (ПО и документации) на компакт-диске .............................................. 3

2. Изменения и новые возможности ................................................................................ 3 2.1. Версия 7.7.635.0 ............................................................................................................ 3

2.1.1. Общесистемные .................................................................................................................... 3 2.1.2. Локальное и централизованное управление ........................................................................... 3 2.1.3. Вход в систему ..................................................................................................................... 3 2.1.4. Совместная работа с ПАК "Соболь" ........................................................................................ 3 2.1.5. Программа оперативного управления ..................................................................................... 3

2.2. Версия 7.6.604.0 ............................................................................................................ 4 2.2.1. Общесистемные .................................................................................................................... 4 2.2.2. Вход в систему ..................................................................................................................... 4 2.2.3. Подсистема контроля целостности ......................................................................................... 4 2.2.4. Централизованное управление КЦ-ЗПС* ................................................................................. 4 2.2.5. Полномочное управление доступом ........................................................................................ 4 2.2.6. Контроль печати ................................................................................................................... 4 2.2.7. Контроль устройств ............................................................................................................... 4 2.2.8. Подсистема аппаратной поддержки ........................................................................................ 4 2.2.9. Совместная работа с ПАК "Соболь" ........................................................................................ 5 2.2.10. Клиент ................................................................................................................................. 5 2.2.11. Сервер безопасности* ........................................................................................................... 5

2.3. Версия 7.5.586.0 ............................................................................................................ 5 2.3.1. Общесистемные .................................................................................................................... 5 2.3.2. Установка ............................................................................................................................. 5 2.3.3. Контроль печати ................................................................................................................... 5 2.3.4. Контроль устройств ............................................................................................................... 5 2.3.5. Подсистема аппаратной поддержки ........................................................................................ 6 2.3.6. Затирание данных ................................................................................................................ 6 2.3.7. Сервер безопасности* ........................................................................................................... 6 2.3.8. Программа оперативного управления* .................................................................................... 6

2.4. Версия 7.4.577.0 ............................................................................................................ 6 2.4.1. Общесистемные .................................................................................................................... 6 2.4.2. Вход в систему ..................................................................................................................... 6 2.4.3. Контроль печати ................................................................................................................... 6 2.4.4. Подсистема аппаратной поддержки ........................................................................................ 6 2.4.5. Совместная работа с ПАК "Соболь" ........................................................................................ 6 2.4.6. Сервер безопасности* ........................................................................................................... 7

2.5. Версия 7.3.562.0 ............................................................................................................ 7 2.5.1. Общесистемные .................................................................................................................... 7 2.5.2. Установка ............................................................................................................................. 7 2.5.3. Локальное и централизованное управление ........................................................................... 7 2.5.4. Вход в систему ..................................................................................................................... 7 2.5.5. Подсистема контроля целостности ......................................................................................... 7 2.5.6. Дискреционное управление доступом .................................................................................... 8 2.5.7. Полномочное управление доступом ........................................................................................ 8 2.5.8. Контроль печати ................................................................................................................... 8 2.5.9. Подсистема аппаратной поддержки ........................................................................................ 8 2.5.10. Клиент ................................................................................................................................. 8 2.5.11. Сервер безопасности* ........................................................................................................... 8 2.5.12. Программа оперативного управления* .................................................................................... 9


2

2.6. Версия 7.2.515.0 ............................................................................................................ 9 2.6.1. Общесистемные .................................................................................................................... 9 2.6.2. Установка ............................................................................................................................. 9 2.6.3. Локальное и централизованное управление ......................................................................... 10 2.6.4. Вход в систему ................................................................................................................... 10 2.6.5. Подсистема контроля целостности ....................................................................................... 10 2.6.6. Централизованное управление КЦ-ЗПС* ............................................................................... 11 2.6.7. Полномочное управление доступом ...................................................................................... 11 2.6.8. Контроль печати ................................................................................................................. 11 2.6.9. Контроль устройств ............................................................................................................. 11 2.6.10. Подсистема аппаратной поддержки ...................................................................................... 11 2.6.11. Совместная работа с ПАК "Соболь" ...................................................................................... 12 2.6.12. Клиент ............................................................................................................................... 12 2.6.13. Сервер безопасности* ......................................................................................................... 12 2.6.14. Отчеты ............................................................................................................................... 12 2.6.15. Программа оперативного управления* .................................................................................. 12

2.7. Версия 7.0.460.16 ........................................................................................................ 13 2.7.1. Полномочное управление доступом ...................................................................................... 13

2.8. Версия 7.0.460.0 .......................................................................................................... 13 2.8.1. Общесистемные .................................................................................................................. 13 2.8.2. Установка ........................................................................................................................... 13 2.8.3. Вход в систему ................................................................................................................... 14 2.8.4. Подсистема контроля целостности ....................................................................................... 14 2.8.5. Подсистема замкнутой программной среды ........................................................................... 14 2.8.6. Централизованное управление КЦ-ЗПС* ............................................................................... 15 2.8.7. Полномочное управление доступом ...................................................................................... 15 2.8.8. Контроль печати ................................................................................................................. 15 2.8.9. Контроль устройств ............................................................................................................. 15 2.8.10. Подсистема аппаратной поддержки ...................................................................................... 16 2.8.11. Совместная работа с ПАК "Соболь" ...................................................................................... 16 2.8.12. Сервер безопасности* ......................................................................................................... 17 2.8.13. Программа оперативного управления* .................................................................................. 17

3. Особенности работы и ограничения .......................................................................... 17 3.1. Общесистемные ........................................................................................................... 17 3.2. Установка .................................................................................................................... 18

3.2.2. Модификация схемы Active Directory* ................................................................................... 18 3.2.3. Установка клиента .............................................................................................................. 18 3.2.4. Установка сервера безопасности* ........................................................................................ 19

3.3. Локальное и централизованное управление ................................................................... 20 3.4. Вход в систему ............................................................................................................. 22 3.5. Подсистема контроля целостности ................................................................................. 23 3.6. Подсистема замкнутой программной среды ..................................................................... 23 3.7. Централизованное управление КЦ-ЗПС* ......................................................................... 24 3.8. Дискреционное управление доступом ............................................................................ 25 3.9. Полномочное управление доступом ............................................................................... 25

3.9.1. Общее ................................................................................................................................ 25 3.9.2. Режим работы без контроля потоков .................................................................................... 26 3.9.3. Режим работы с контролем потоков ..................................................................................... 26 3.9.4. Особенности работы с некоторыми приложениями ................................................................ 27

3.10. Контроль печати .......................................................................................................... 28 3.11. Контроль устройств ...................................................................................................... 29 3.12. Подсистема аппаратной поддержки................................................................................ 32 3.13. Затирание данных ........................................................................................................ 33 3.14. Клиент ........................................................................................................................ 34 3.15. Сервер безопасности* ................................................................................................... 35 3.16. Отчеты ........................................................................................................................ 36 3.17. Программа оперативного управления* ............................................................................ 36 3.18. Запрет вторичного входа в систему ................................................................................ 38


3

1. Комплект поставки

1.1. Размещение файлов (ПО и документации) на компакт-диске

Каталог Содержимое

\Setup\AD\ программа модификации схемы Active Directory

\Setup\Client\ дистрибутивы клиента

\Setup\Console\ дистрибутивы программы оперативного управления

\Setup\Server\ дистрибутивы сервера безопасности

\Setup\MigrationTools\ дистрибутивы средств поддержки клиентов предыдущих версий

\Setup\SnTmCard\ дистрибутивы драйвера средства аппаратной поддержки

\Documentation\ комплект документации

\Tools\ вспомогательные утилиты, программы для установки и настройки ПО

2. Изменения и новые возможности

2.1. Версия 7.7.635.0

Данный раздел содержит описание новых возможностей СЗИ Secret Net 7 версии 7.7.635.0 по

сравнению с версией 7.6.604.0.

2.1.1. Общесистемные

1. Реализована возможность создания нескольких доменов безопасности в одном контейнере Ac-tive Directory.

2.1.2. Локальное и централизованное управление

2. Реализована возможность экспорта в файл и импорта из файла одновременно нескольких USB-устройств в списке устройств групповой политики.

2.1.3. Вход в систему

3. Для режима идентификации "Только по идентификатору" оптимизированы процедуры входа в систему и разблокировки при наличии подключенных идентификаторов.

4. Активация административного режима входа на компьютере под управлением ОС Windows Vista и выше осуществляется при нажатии комбинации клавиш <Ctrl>+<Shift>+<Esc>. Для компьюте-ров под управлением ОС Windows XP/2003 переход в административный режим происходит по-прежнему после нажатия одной клавиши <Esc>.

2.1.4. Совместная работа с ПАК "Соболь"

5. Для идентификаторов Rutoken добавлена возможность отключения запроса PIN-кода при досту-пе к идентификатору в ПАК "Соболь" (если ПАК используется в режиме интеграции с Secret Net). Для отключения необходимо в системном реестре компьютера в ключе HKLM\Software\Infosec\Secret net 5\HwSystem создать параметр TokenPublic типа REG_DWORD с

ненулевым значением. После сохранения параметра перезапишите структуры данных в тех иденти-фикаторах Rutoken, которые используются для входа в ПАК "Соболь". Для этого выполните процеду-ры инициализации и присвоения всех этих идентификаторов средствами системы Secret Net.

Примечание: Перечисленные действия приводят к тому, что сохраненные в идентификаторе данные не будут защи-щены PIN-кодом. Во избежание компрометации пароль пользователя не рекомендуется записывать в идентификатор.

2.1.5. Программа оперативного управления*

6. Реализована корректная обработка конфликтов при появлении в структуре ОУ "дубликатов" (ко-гда в разных доменах безопасности одного леса присутствуют записи об одном и том же компьюте-

* Здесь и далее: разделы, обозначенные символом (*), относятся только к сетевому режиму функционирования СЗИ.


4

ре) или при обнаружении "потерянных" компьютеров (когда объект удален из AD, но запись о нем осталась в структуре ОУ).

7. Оптимизирована загрузка данных о структуре Active Directory при наличии большого количества вложенных контейнеров (от нескольких тысяч).

2.2. Версия 7.6.604.0




8. Устранены известные уязвимости продукта. Выполнены доработки по повышению безопасности взаимодействия системы защиты с внешней средой.

9. Реализована совместимость с продуктами сторонних производителей:

ПО CATIA;

надстройка Power Query в приложении Microsoft Excel;

ПО Veeam Backup & Replication 8.0;

служба теневого копирования тома Volume Shadow Copy Service;

СКЗИ "Валидата CSP".


10. Реализовано корректное определение типа учетной записи пользователя (доменной или ло-кальной) при работе на контроллере домена.

2.2.3. Подсистема контроля целостности

11. Реализована корректная постановка на контроль исполняемых файлов служб Windows при наличии кавычек или пробелов в параметре Path ключа регистрации службы.

2.2.4. Централизованное управление КЦ-ЗПС*

12. Реализована сортировка имен компьютеров в алфавитном порядке в диалогах добавления субъектов.

2.2.5. Полномочное управление доступом

13. Реализовано корректное копирование конфиденциальных каталогов и файлов на сетевых ре-сурсах.

2.2.6. Контроль печати

14. Для ОС Windows Vista и выше реализован новый сервер печати, который, в частности, обес-печивает:

устранение искажений текста при печати документов;

быстродействие процесса печати.

15. Оптимизированы по скорости выполнения функции получения и обработки сведений (о поль-зователях, принтерах) при отправке документов на печать.

2.2.7. Контроль устройств

16. Реализована возможность работы дисков с нестандартным (неподдерживаемым) методом "монтирования" в системе (например, диски с файловой системой IBM GPFS). Для разрешения ис-пользования таких дисков необходимо в системном реестре компьютера в ключе HKLM\SYSTEM\CurrentControlSet\Services\SnDDD\DC создать параметр AllowUnknownDisk типа

REG_DWORD со значением "1" и перезагрузить компьютер. После включения указанного режима при доступе к диску в журнале будут регистрироваться предупреждения об ошибках ассоциации диска, но работоспособность диска будет обеспечиваться.

2.2.8. Подсистема аппаратной поддержки

17. Доработана функция блокировки компьютера при изъятии идентификатора для обеспечения корректной работы в различных конфигурациях.


5

18. Добавлена возможность отключения автоматической авторизации по идентификатору с ис-пользованием PIN-кода по умолчанию. Для отключения необходимо в системном реестре компью-тера в ключе HKLM\Software\Infosec\Secret net 5\HwSystem создать параметр NoDefaultPin типа REG_DWORD с ненулевым значением.


19. Реализована поддержка новой платы ПАК "Соболь" PCI-E (2014 года).

2.2.10. Клиент

20. Доработана функция определения сервера подчинения при соединении агента с сервером. Процесс оптимизирован для сокращения сетевого трафика при установке соединения.

2.2.11. Сервер безопасности*

21. Выполнены доработки для корректного отображения символов кириллицы в теме письма с уведомлением о событиях НСД.

22. Реализована корректная обработка нескольких указанных событий в правиле фильтрации для фильтра уведомлений о НСД сервера безопасности.

23. Выполнены доработки для устранения утечек памяти при многократных попытках подключе-ния к СУБД.

2.3. Версия 7.5.586.0




24. Реализованы дополнительные функции централизованного управления компьютерами с уста-новленным средством защиты информации Secret Net LSP версии 1.4 и выше:

управление паролями и электронными идентификаторами доменных пользователей, имею-щих доступ к компьютерам с установленным СЗИ Secret Net LSP;

управление механизмом контроля устройств (включая настройку параметров разграничения

доступа к устройствам);

управление работой (включение и выключение) механизмов затирания данных, контроля доступа к файлам, усиленной аутентификации;

запуск программы PuTTY для подключения к компьютеру и отправки команд управления по протоколу Secure Shell (SSH).

25. Реализована совместимость с продуктами сторонних производителей:

ПО VipNet;

СКЗИ СКАД "Сигнатура".

26. Реализована поддержка работы с теневым хранилищем службы теневого копирования тома Volume Shadow Copy Service.

2.3.2. Установка

27. В программе установки сервера безопасности выполнены доработки для корректного выпол-нения сценариев развертывания IIS.


28. Выполнены доработки для корректной печати в альбомной ориентации на принтерах Kyocera.

29. Реализована поддержка печати в режиме расширенной обработки в приложении Adobe Acrobat Reader DC.


30. Доработана функция обнаружения устройств со сменными носителями из класса CD-ROM. В текущей версии учтены особенности реализации контроллера для чипсета nForce 430.


6


31. Реализована возможность использования идентификаторов JaCarta, подключаемых к тонким клиентам под управлением ОС Kraftway Terminal Linux. Для использования идентификаторов необ-

ходимо в системном реестре компьютера в ключе HKLM\Software\Infosec\Secret net 5\HwSystem\Modules\SnJacarta создать параметр SkipATRCheck типа REG_DWORD с ненулевым значением.

2.3.6. Затирание данных

32. Выполнены доработки для устранения утечек памяти при работе подсистемы затирания данных.


33. Доработан процесс архивации журналов в СУБД Oracle для оптимизации использования таб-личного пространства TEMP.

34. Реализована возможность удаления сервера, установленного в варианте размещения храни-лища объектов ЦУ вне AD, при недоступном контроллере домена. В этом случае не происходит уда-ление данных из хранилища.


35. Выполнены доработки для повышения быстродействия средств фильтрации и поиска объектов в диалоге выбора компьютеров для добавления и подчинения.

2.4. Версия 7.4.577.0

Данный раздел содержит описание новых возможностей СЗИ Secret Net 7 версии 7.4.577.0 по сравнению с версией 7.3.562.0.


36. Реализована корректная совместная работа в среде Citrix XenDesktop с обеспечением защиты виртуальных рабочих столов.

37. Реализована возможность запрета перенаправления буфера обмена и принтеров клиентского компьютера при удаленном подключении к терминальному серверу по протоколу RDP. Запрет мо-

жет действовать как в отношении терминального сервера (входящие перенаправления), так и в от-ношении терминального клиента (исходящие перенаправления). Под аналогичное правило доработана и уже существующая политика контроля перенаправления локальных устройств (пор-тов, дисков, устройств Plug and Play).


38. Реализована возможность удаленного входа на компьютер без необходимости предваритель-ного выполнения локального входа на терминальном сервере после его перезагрузки (независимо от состояния стандартного параметра групповой политики "Интерактивный вход в систему: не тре-бовать нажатия Ctrl+Alt+Del").


39. Расширены сохраняемые сведения при регистрации событий печати документов. Оптимизиро-вано представление информации в журнале.


40. Реализована поддержка идентификаторов ESMART Token в форм-факторах USB-токен и смарт-карта.

41. Реализована поддержка виртуальных каналов в терминальных подключениях с использовани-ем ПО Citrix (XenApp и XenDesktop).


42. Выполнены доработки для поддержки изменений, реализованных в ПАК "Соболь" версии 3.0.8.


7


43. Реализована возможность подчинения серверу безопасности компьютеров под управлением ОС семейства Linux с установленным средством защиты информации Secret Net LSP (с поддержкой

интеграции с СЗИ Secret Net). Компьютеры подключаются в качестве агентов, для которых доступ-ны следующие основные функции:

оперативная передача сведений о состоянии компьютеров, сессиях пользователей, произо-шедших событиях НСД;

выполнение команд оперативного управления для блокировки/разблокирования, переза-грузки или выключения компьютеров;

сбор локальных журналов по расписанию или по запросу администратора;

настройка параметров сетевых соединений с сервером.

2.5. Версия 7.3.562.0



44. Расширен список ПО, с которым обеспечивается совместимость (подробные сведения см. в до-кументе "Сведения о совместимости с другими программными средствами").

45. Составлен общий перечень операций администрирования СЗИ Secret Net 7 с указанием требо-ваний к учетным записям для выполнения действий. Сведения о необходимых правах для установ-

ки и управления приведены в документе "Система защиты информации Secret Net 7. Руководство администратора. Принципы построения".

46. В документации уточнен принцип обеспечения защиты ресурсов при запуске ОС в безопасном режиме (Safe mode) — система защиты блокирует вход любых пользователей кроме администрато-

ров из-за ошибки функционального контроля (см. документ "Система защиты информации Se-cret Net 7. Руководство администратора. Принципы построения").

47. В состав дополнительных инструкций добавлен документ со сведениями о вспомогательных утилитах и файлах настройки для СЗИ Secret Net 7.


48. Для установки сервера безопасности необходимо указать в качестве администратора базы данных Oracle пользователя с привилегией SYSDBA. В качестве администратора БД можно указать пользователя sys, который является встроенным администратором СУБД Oracle и обладает всеми необходимыми привилегиями.


49. Реализована возможность настройки аудита контроля запускаемых приложений. Регистрация событий запуска и завершения может выполняться для всех процессов системы или только для приложений, запуск которых выполнен пользователем (по умолчанию).

50. Доработан интерфейс программы управления пользователями: реализованы стандартные принципы отображения и сортировки объектов, параметры внешнего вида окна сохраняются и ис-пользуются в следующих сеансах.

51. Реализована возможность вызова диалогового окна "Управление Secret Net 7" из Панели управления при работе в безопасном режиме загрузки ОС.


52. Выполнены доработки для обеспечения однократного указания учетных данных пользователя при доступе к инфраструктуре VMware Horizon View.

53. Выполнены доработки для устранения выявленных проблем совместимости с инфраструктурой VMware Horizon View и аутентификации с использованием идентификаторов.


54. Оптимизированы списки ресурсов и методы контроля в заданиях по умолчанию для сокраще-ния времени выполнения контроля целостности.


8

2.5.6. Дискреционное управление доступом

55. Доработан механизм дискреционного управления доступом к ресурсам файловой системы. Ре-ализован собственный пользовательский интерфейс управления механизмом, а также минимизиро-

вано использование функций ОС.


56. Расширен набор предусмотренных правил и прав для функционирования в режиме контроля по-токов следующих приложений: OpenOffice 4, AutoCad 2014/2015, LibreOffice 4, Adobe Photoshop CS6.


57. Выполнены доработки для обеспечения корректной печати документов с накопителей USB Flash (независимо от формата документа и файловой системы).

58. Расширена поддержка функциональных возможностей печати в приложении Adobe Reader.

59. Расширена поддержка функциональных возможностей печати в приложениях MS Office, вы-полнены доработки для решения проблем совместного функционирования.

60. Реализована поддержка неинтерактивной печати, которая осуществляется с использованием скриптов.

61. Расширен список принтеров, протестированных на совместимость. Выполнены доработки для расширения поддержки функциональных возможностей принтеров.

62. Реализована поддержка контроля печати для принтеров, подключаемых различными способа-ми. Поддерживаются подключения по сетевому имени, по протоколу Internet Printing Protocol (IPP), по IP-адресу сетевого устройства, а также с использованием службы Web Services on Devices (WSD). Добавлены рекомендации по настройке для корректного разграничения доступа и иденти-фикации принтеров.

63. Выполнены доработки для устранения выявленных проблем при использовании режима печа-

ти нескольких страниц на лист.

64. Реализована поддержка и контроль печати в файл из приложений.


65. Реализована поддержка идентификаторов JaCarta PKI и JaCarta ГОСТ в форм-факторах USB-токен и смарт-карта.


66. Расширена совместимость подсистемы внедрения в процессы с различным системным ПО, ря-дом антивирусов и криптопровайдеров (в частности КриптоПро, Symantec, DLP InfoWatch).

67. Реализовано корректное восстановление системы из точки восстановления ОС с уже установ-ленным ПО клиента Secret Net. В текущей версии не требуется предварительно останавливать ра-боту служб перед созданием точки восстановления.

68. При открытии журнала Secret Net выполняется дополнительная проверка целостности содер-жимого журнала. Если обнаружены некорректные записи (например, из-за неожиданного отключе-ния питания компьютера), автоматически осуществляется корректировка содержимого журнала для обеспечения возможности его загрузки.

69. Выполнены доработки для устранения проблем совместимости с серверным ПО Microsoft SharePoint.

70. Изменена схема лицензирования терминальных подключений. На компьютере-сервере разре-шается открывать до трёх терминальных подключений без регистрации серийного номера терми-

нального доступа.


71. Реализовано применение на компьютерах параметров групповых политик, заданных для всех вышестоящих серверов безопасности (не только для сервера, которому компьютеры непосред-ственно подчинены). При этом действует иерархический принцип применения политик: больший

приоритет имеют параметры вышестоящего сервера в иерархии. Таким образом, параметры поли-тик, заданные для корневого сервера безопасности, имеют наивысший приоритет и применяются на всех компьютерах, которые находятся в непосредственном или транзитивном подчинении.


9


72. Для запуска и работы программы оперативного управления не требуются права локального администратора.

73. Реализована возможность копирования (тиражирования) всех значений параметров объектов, отображаемых в табличном виде в режиме конфигурирования (включая колонки "Департамент",

"Автоматизированная система", "Рабочее место" и "Номер системного блока").

74. Реализована фильтрация событий НСД, пересылаемых между серверами безопасности. Фильтр задается на стороне корневого сервера. Данный тип фильтрации действует независимо от пара-

метров фильтров НСД в групповых политиках и позволяет ограничить поступление уведомлений, которые накапливаются на подчиненных серверах безопасности. Настройка параметров фильтра для выбранного сервера осуществляется в отдельной вкладке

75. Реализована возможность создания правил для фильтров НСД с автоматическим добавлением условий фильтрации на основе уведомлений в панели событий системы или записей журнала НСД.

76. Реализована возможность транзитивного применения команд оперативного управления (не только к агентам сервера подключения, но и к агентам подчиненных серверов безопасности).

77. В режиме конфигурирования реализована возможность отключения отображения объектов, не относящихся к серверу подключения. Фильтрация объектов по отношению к серверу подключения выполняется с помощью команд меню "Режим отображения" в основном меню программы).

78. Выполнены доработки для улучшения отображения объектов в структуре ОУ: реализованы сортировка и группировка доменов и организационных подразделений, добавлены средства поиска объектов в дереве объектов на виде свойств.

79. Выполнены доработки для оптимизации получения и представления данных в структурах, со-держащих большое количество объектов управления и объектов иерархии AD (порядка 10 тысяч и

более) с интенсивным поступлением событий мониторинга на сервер безопасности.

2.6. Версия 7.2.515.0



80. Реализована поддержка следующих ОС:

Windows 8/8.1;

Windows Server 2012/Server 2012 R2.

Примечание: Поддерживаются как традиционные приложения, так и приложения Магазина Windows (ограничение: при включенном механизме контроля печати блокируется возможность печати из приложений Магазина Windows).

81. Реализована поддержка работы на серверах виртуализации Server Core, Hyper-V Server 2012.

82. Реализована поддержка работы СЗИ в сетевом режиме функционирования без внесения каких-либо изменений в каталог конфигурации AD и без использования групповых политик. Адми-нистратору безопасности достаточно прав на чтение Active Directory, чтобы установить СЗИ и цен-

трализованно управлять защищаемыми компьютерами в рамках организационного подразделения.

83. Оптимизирована обработка операций с системным файлом подкачки.


84. Для автоматической установки клиента рекомендовано использование сценариев завершения

работы, которые осуществляют запуск процесса установки или обновления автоматически при за-вершении работы ОС. Это позволяет существенно упростить процедуру настройки автоматической установки, а также препятствует возникновению типичных ошибок. Описания действий для настройки системы см. в документации и в прилагаемых дополнительных инструкциях.

85. Процесс автоматической установки визуализирован для более наглядного его выполнения.

86. Реализована блокировка установки/удаления СЗИ, если не соблюдены принципы установки продукта (неправильное использование политик для автоматической установки, продуктов для управления ИТ-инфраструктурой System Center Configuration Manager и др.).

87. При установке клиента создается системная переменная окружения SNINSTALLDIR, в которую записывается путь к каталогу установки клиента.


10

88. Доработана последовательность команд в командном файле sn7-modify-AD.cmd (размещается на установочном компакт-диске в каталоге \Tools\Infosec\ModifyAD\). Регистрация конфигурацион-ных данных системы Secret Net с помощью данного файла выполняется корректно на различных платформах.


89. Разработаны собственные средства централизованного управления политиками и параметрами доменных пользователей. При этом сохраняется возможность использования стандартных средств управления в оснастках групповых политик и "Active Directory — пользователи и компьютеры".

90. Реализовано централизованное управление режимом локального оповещения о событиях НСД (локальное оповещение на компьютерах осуществляется звуковым сигналом с кратковременным выводом пиктограммы предупреждения в правом верхнем углу экрана).

91. Описания параметров групповых политик выведены в отдельные элементы интерфейса, акту-ализированы и дополнены.

92. Если хранилище объектов централизованного управления размещается вне Active Directory, по умолчанию блокируется возможность изменения параметров пользователей, не входящих в теку-щий домен безопасности. При необходимости работы с параметрами таких пользователей можно

включить специальный расширенный режим редактирования параметров с помощью команды в контекстном меню любого пользователя. В расширенном режиме можно настроить параметры лю-бых пользователей для работы в данном домене безопасности. За счет этого один пользователь

может входить в несколько доменов безопасности и при этом иметь разные параметры для работы в этих доменах.

93. Разработана утилита командной строки для работы с хранилищем объектов централизованно-го управления. В частности утилита предоставляет возможность очистки хранилища от сведений о неиспользуемых идентификаторах. Такие сведения остаются, например, после удаления доменного пользователя с присвоенными идентификаторами на компьютере без установленного клиентского

ПО системы Secret Net. Утилита размещается на установочном компакт-диске в каталоге \Tools\Infosec\SnDSTool\. Имя файла запуска SnDSTool.exe. Утилита выполняет действия от имени

текущего пользователя. При запуске без параметров или с параметром –h выводятся сведения о

использовании утилиты. Примеры команд:

SnDSTool.exe –duei — выполняется очистка в текущем домене Active Directory (применяется, если сервер безопасности установлен с размещением хранилища объектов централизован-ного управления в AD);

SnDSTool.exe –lds –duei — выполняется очистка в домене безопасности, параметры соеди-нения с которым хранятся в системном реестре (применяется, если сервер безопасности

установлен с размещением хранилища объектов ЦУ вне AD). Необходимые параметры со-единения присутствуют в системном реестре при условии, что на компьютере установлен клиент системы Secret Net с подчинением серверу безопасности.

94. Разработана программа локального конфигурирования клиента для работы в структуре опера-тивного управления. С помощью этой программы можно перевести компьютер из одного домена безопасности в другой и подчинить компьютер другому серверу безопасности. Файл запуска про-

граммы SnLDAPConfig.exe размещается в каталоге установки клиента. Программа может функцио-нировать в графическом режиме или в режиме командной строки (описание использования программы см. в документе "Система защиты информации Secret Net 7. Руководство администрато-

ра. Установка, обновление и удаление").


95. Для компьютеров под управлением ОС Windows Vista и выше реализована поддержка входа в систему по стандартным сертификатам.

96. Выполнены доработки для обеспечения однократного указания учетных данных пользователя при терминальном входе.


97. В список алгоритмов контроля добавлен алгоритм "встроенная ЭЦП", который позволяет обес-печить выполнение контроля целостности файлов, обновленных при установке обновлений ПО

приложений и операционной системы. Для контроля целостности по данному алгоритму использу-ется встроенная цифровая подпись файлов (формат подписи Microsoft Authenticode).

98. После установки клиентского ПО автоматически включается контроль целостности по умолча-нию. Данный механизм обеспечивает контроль файлов и ключей реестра, относящихся к СЗИ, а также критичных файлов и ключей реестра ОС. Причем для файлов СЗИ используются контроль-ные суммы из специального списка, а файлы ОС устанавливаются на контроль по новому алгорит-


11

му "встроенная ЭЦП", который допускает обновление файлов, подписанных производителем. При таком контроле обеспечивается минимально необходимый уровень безопасной эксплуатации.

99. Оптимизирован процесс расчета эталонов при синхронизации локальной БД с центральной. В текущей версии реализован алгоритм определения ресурсов заданий в ЛБД, требующих перерас-чета эталонов. За счет этого сокращается время синхронизации на компьютерах при незначитель-

ных изменениях в ЦБД.


100. Реализована возможность управления параметрами синхронизации КЦ не только для отдель-ных субъектов-компьютеров, но и для групп компьютеров.

101. Реализована возможность удаленной проверки задания контроля целостности для отдельных объектов по команде администратора.


102. Реализован контроль изменения категории конфиденциальности для сетевого ресурса на сервере, на котором размещается ресурс.

103. Доработан интерфейс средств настройки количества и названий уровней конфиденциальности.

104. В программе дополнительной настройки подсистемы полномочного управления доступом ре-ализована возможность выбора локальных дисков для проверки при настройке параметров пере-направления вывода файлов. При автоматической настройке системы создание каталогов перенаправления выполняется только для системного диска.


105. Для режима маркировки документов реализованы варианты стандартной и расширенной об-работки документов при печати. Новый режим стандартной обработки действует по умолчанию и может использоваться во всех приложениях. В этом режиме ускоряется печать отдельных частей

документов, поскольку распечатанный фрагмент обрабатывается как отдельный документ. Режим

расширенной обработки может использоваться при печати из определенных приложений, с кото-рыми реализована совместимость. В расширенном режиме при отправке на печать всегда идет об-работка всего документа, независимо от объема распечатанного фрагмента. Поэтому при печати

даже части документа подсчет и нумерация страниц осуществляются исходя из общего количества страниц документа (в отличие от стандартного режима).

106. Реализована поддержка печати из приложений Adobe Reader версии 10 и выше.


107. Обеспечивается контроль устройств, подключаемых к виртуальной машине VDI-инфраструктуры. Поддерживаются конфигурации VMware View и RemoteFX.

108. Реализована возможность запрета использования (перенаправления) локальных устройств и ресурсов клиентского компьютера при удаленном подключении к терминальному серверу по про-токолу RDP.

109. Реализованы возможности контроля и управления доступом для программно-реализованных (виртуальных) дисков.

110. Реализованы возможности корректного разграничения доступа и теневого копирования для устройств на платформе Windows Portable Devices.

111. Обеспечивается контроль устройств, подключаемых с использованием механизмов удаленно-го подключения Citrix XenApp.

112. Реализовано отображение идентификационных кодов Vendor ID и Product ID для устройств с от-сутствующими серийными номерами (в списке устройств групповой политики и в записях журнала).


113. Реализована поддержка идентификаторов Rutoken ЭЦП, Rutoken Lite.

114. Обеспечивается вход по идентификатору в VDI-инфраструктуре (VMware View) и при удален-ном подключении к терминальному серверу по протоколу RDP (в случае отсутствия на клиенте установленного ПО СЗИ Secret Net 7).

115. Реализована возможность присвоения идентификатора другого пользователя с сохранением ключевой информации, присутствующей на идентификаторе. Данная возможность позволяет, например, обеспечить использование одного идентификатора для различных локальных пользова-


12

телей на нескольких компьютерах (в автономном режиме функционирования — также и для домен-ных пользователей). Необходимые условия для присвоения идентификатора с сохранением ключе-вой информации:

в системе отсутствуют сведения о пользователе, которому ранее был присвоен идентифика-

тор — например, если идентификатор был присвоен локальному пользователю другого ком-пьютера;

пользователь, которому присваивается идентификатор, не имеет выданных ключей.

116. Переработана функция кэширования PIN-кодов идентификаторов. Нестандартный PIN-код, введенный при работе с приложением, хранится в кэше только до окончания сеанса работы при-ложения.


117. Реализована поддержка платы ПАК "Соболь" 3.0 Mini PCI Express Half.

118. Добавлены дополнительные предупреждения пользователя о последствиях удаления ключей централизованного управления ПАК "Соболь".


119. Реализована регистрация в журнале Secret Net событий запуска и завершения процессов. Функция регистрации не зависит от работы механизма замкнутой программной среды.

120. Для механизма защиты дисков реализована возможность использования занятого простран-ства нулевой дорожки на физическом диске. Если при включении механизма обнаружена нехватка

свободного пространства в этой области диска, выводится запрос на запись служебных данных Se-cret Net поверх занятых участков. При продолжении процедуры обязательно создайте диск ава-рийного восстановления или сохраните ключ на отдельном носителе, чтобы иметь возможность

вернуть исходное состояние основной загрузочной записи и нулевой дорожки в случае возникно-вения конфликтов с другим ПО (которое использует эти занятые участки).


121. Реализована возможность использования не только СУБД Oracle, но и MS SQL Server 2008 R2 (и выше), включая свободно распространяемые варианты Express.

122. Реализована проверка заполнения базы данных сервера безопасности на сервере СУБД. Функция позволяет администратору контролировать объем БД при использовании свободно рас-

пространяемого варианта СУБД (например, Oracle Database 10g Express Edition или MS SQL Server 2012 Express). При достижении определенного объема (по умолчанию от 80%) программа опера-тивного управления сигнализирует об этом.

123. Выполнены доработки для повышения производительности сервера при значительных нагрузках от большого количества подключенных и активных агентов.

2.6.14. Отчеты

124. Реализована возможность создания отчета "Электронные идентификаторы" со сведениями об идентификаторах, присвоенных пользователям.

125. Для отчета "Допуск пользователей к ПАК "Соболь"" реализованы возможности добавления учетной информации о компьютерах и выбора варианта группировки сведений: по компьютерам

или по пользователям.

126. В отчете "Ресурсы АРМ" фиксируется время расчета контрольных сумм в списках ресурсов заданий КЦ и ЗПС.


127. Переработано отображение структуры объектов в диаграмме управления. Программа предо-ставляет возможности одновременного вывода на экран структуры доменов, организационных под-разделений, управляемых серверов и рабочих станций. Пользователю программы не требуется

выполнять дополнительную настройку отображения объектов в диаграмме.

128. Выполнены доработки для более удобного использования функций мониторинга и оператив-ного управления при большом количестве рабочих станций. Признаки состояния компьютеров,

серверов и групп объектов наглядно отображаются с учетом критичности произошедших событий.

129. Реализованы возможности добавления, удаления и изменения подчиненности серверов без-опасности и агентов не только на диаграмме управления, но и при работе с иерархическим спис-ком объектов управления в панели свойств объектов.


13

130. В процедурах добавления и подчинения агентов реализована возможность выбора серийного номера клиента из числа зарегистрированных СНК со свободными лицензиями на выбранном сер-вере безопасности.

131. Реализован режим "Тревоги", предназначенный для анализа содержимого журналов на нали-чие критических событий и вывода сведений в виде списка сигналов тревоги. Предусмотрена воз-можность настройки режима для получения наиболее важной информации.

132. Средства управления фильтрацией событий НСД включены в состав средств управления пара-метрами Secret Net для групповых политик, представленных в программе оперативного управления.

133. Реализована возможность изменения каталогов для размещения архивов и временных фай-лов сервера безопасности.

134. Реализована возможность централизованного включения трассировки работы СЗИ. Функция используется при необходимости взаимодействия со службой технической поддержки.

2.7. Версия 7.0.460.16




135. Реализована возможность увеличить количество уровней конфиденциальности в системе (до 16 уровней). Также поддерживается задание произвольных имен для используемых уровней кон-фиденциальности. При этом в полном объеме обеспечивается работа всех механизмов защиты с

новыми уровнями конфиденциальности. Названия и количество уровней конфиденциальности определяются в групповой политике (в сетевом режиме функционирования настройку необходимо выполнить в одной политике в рамках домена безопасности).

136. Для режима контроля потоков реализован дополнительный параметр автоматического выбо-ра максимального уровня конфиденциальности сессии пользователя. Параметр обеспечивает при-

нудительное назначение максимально возможного уровня конфиденциальности сессии в

соответствии с уровнем допуска пользователя, осуществляющего вход в систему.

2.8. Версия 7.0.460.0



137. Реализована возможность работы в сетевом режиме функционирования СЗИ без модифика-ции схемы Active Directory. В этом варианте на базе организационного подразделения AD или до-мена AD создается домен безопасности Secret Net, для которого назначается собственная группа администраторов (группа может отличаться от группы администраторов домена AD).

138. Не поддерживается работа СЗИ Secret Net текущей версии в ОС Windows 2000.

139. Реализован новый механизм защиты дисков. При включении защиты для логического дис-ка — диск становится недоступным для штатных средств ОС при альтернативных загрузках компь-ютера. Механизм реализован на базе СЗИ Security Studio – Trusted Boot Loader. Для использования данного механизма требуется отдельная лицензия СЗИ Secret Net 7 или ранее приобретенная ли-

цензия на СЗИ Security Studio – Trusted Boot Loader.

140. Реализовано взаимодействие с СЗИ TrustAccess версии 1.3 или старше. При включенном ре-жиме интеграции с TrustAccess обеспечивается синхронизация в БД TrustAccess учетных данных пользователей, выбранных администратором. При входе пользователя с включенной интеграцией

система автоматически передает параметры входа в TrustAccess, тем самым освобождая пользова-теля от необходимости вводить учетные данные еще раз.

141. Реализована возможность отключения регистрации ошибок в журнале приложений, реги-стрируемых компонентами системы Secret Net. Для этого необходимо в системном реестре компью-

тера в ключе HKLM\SYSTEM\CurrentControlSet\Services\SnCC0 создать параметр NoReportError типа REG_DWORD с ненулевым значением.

142. Реализована регистрация событий включения и отключения защитных подсистем.


143. Модификация схемы Active Directory не является обязательной, если хранилище объектов централизованного управления Secret Net будет размещаться в отдельной базе данных вне AD. В


14

этом случае достаточно расширить конфигурацию каталога AD путем импорта (регистрации) нуж-ных конфигурационных данных для поддержки управляющих модулей системы Secret Net. Выбор варианта размещения хранилища осуществляется при установке сервера безопасности. Регистра-

ция конфигурационных данных выполняется при установке сервера безопасности или путем запус-ка командного файла с установочного компакт-диска системы Secret Net.

144. Реализована возможность заранее указать нужные состояния защитных механизмов при

установке с использованием скрипта (в том числе при автоматической установке).

145. Реализована возможность автоматической установки или обновления драйвера средства ап-паратной поддержки Secret Net Card во время выполнения автоматической установки/обновления ПО клиента на компьютерах.

146. Программа установки клиента текущей версии не изменяет значения стандартных парамет-ров системного реестра, регулирующих использование протокола TCP/IP в соответствии с рекомен-дациями компании Microsoft "Securing Windows 2000 Server". Изменение данных параметров

выполнялось при установке клиентов предыдущих версий системы Secret Net: 5.Х и 6.Х. Если тре-буется вернуть значения по умолчанию для этих параметров (измененных при установке клиента Secret Net указанных версий), можно воспользоваться специальным reg-файлом, который содер-

жится на установочном компакт-диске в каталоге \Tools\Infosec\DefNetReg\.

147. Компания "Код Безопасности" выпустила новую версию программы пакетной установки СУБД Oracle Database 10g Express Edition. В программе реализованы алгоритмы, устраняющие ряд выяв-

ленных проблем, которые могли возникать при установке и эксплуатации компонентов СУБД в определенных условиях.


148. Реализован механизм парольной аутентификации пользователей средствами Secret Net. Та-ким образом, использование электронных идентификаторов для усиленной аутентификации не яв-

ляется обязательным.

149. Реализована функция блокировки компьютера при изъятии идентификатора из считывателя. Действие функции может распространяться только на средства идентификации и аутентификации

на базе USB-ключей или смарт-карт (например, eToken), либо на идентификаторы любого типа из числа поддерживаемых системой Secret Net 7 для идентификации пользователей (iButton, eToken и

др.). Настройка реакции на изъятие идентификатора осуществляется в групповых политиках.

150. Реализована возможность использования дополнительного параметра "Строгий контроль терминальных подключений" для режима контроля потоков механизма полномочного управления

доступом. Если включен указанный параметр, обеспечивается равенство уровней для сессий кон-фиденциальности на терминальном клиенте и на терминальном сервере.

151. Расширен набор параметров, сохраняемых при регистрации событий входа пользователя в систему. В частности регистрируется информация о предъявленном электронном идентификаторе.

152. Реализована регистрация запрета входа локального пользователя (при включенном режиме разрешения интерактивного входа только доменным пользователям).

153. Введена новая лицензия на терминальные подключения. Данная лицензия необходима в случае, если к терминальному серверу с установленным СЗИ текущей версии подключаются клиен-ты без клиентского ПО Secret Net или с клиентами версии до 5.0.

154. Отменено ограничение на обязательное совпадение уровней конфиденциальности для всех сессий на компьютере. В текущей версии на терминальном сервере можно открывать сессии поль-зователей с разными уровнями конфиденциальности.

155. Реализована возможность считывания системой данных из идентификатора, подключенного к считывателю на момент первого локального входа пользователя или при терминальных входах.


156. Реализована регистрация изменений при обнаружении нарушения целостности ресурса в случае сравнения содержимого (каталоги, ключи реестра, значения реестра, атрибуты).

157. Реализована возможность экспорта модели данных с помощью команды запуска программы управления с определенными параметрами. Пример команды запуска:

SnICheckAdm.exe /hide /mode central /load /export "D:\Dir1\dir2\Data.xml" /exit force.

2.8.5. Подсистема замкнутой программной среды

158. В подсистеме ЗПС реализован механизм исключений контроля скриптов, а также возмож-ность управления исключениями как для скриптов, так и для приложений.


15


159. Реализована возможность настройки момента запуска синхронизации ЦБД и ЛБД КЦ-ЗПС на клиенте. Настройка выполняется в программе "Контроль программ и данных".

160. Оптимизирован процесс синхронизации локальной БД с центральной. Реализована синхрони-зация по изменениям для сокращения объема информации, передаваемой по сети между централи-

зованным хранилищем и рабочей станцией.

161. Реализована возможность оперативного запуска процесса перерасчета контрольных сумм на рабочих станциях по команде администратора.

162. Реализована возможность оперативной перезагрузки списка разрешенных программ для пользователя и режима заботы ЗПС. Перезагрузка выполняется по команде администратора.


163. Добавлена программа дополнительной настройки подсистемы, реализующая функции как ав-томатической настройки, так и настройки вручную.

164. Реализована возможность задать для каталога признак наследования категории конфиден-циальности вложенными каталогами. Если в каталоге с включенным признаком наследования со-здается подкаталог, для него автоматически будут заданы параметры родительского каталога (категория конфиденциальности и признаки наследования).

165. Реализован механизм исключений в подсистеме полномочного управления доступом, позво-ляющий использовать некоторые специфические приложения в режиме контроля потоков. Приме-нение механизма исключений регистрируется системой.

166. С целью повышения информативности внесены изменения в формат и содержание сведений, регистрируемых подсистемой полномочного управления доступом. Дополнительно реализована ре-

гистрация событий перемещения и удаления конфиденциальных ресурсов.


167. Переработана подсистема контроля печати. Новые возможности подсистемы:

Контроль дискреционных прав доступа к принтерам (для принтера можно задать список разрешений).

Контроль категорий конфиденциальности принтеров (для принтера можно задать список ка-тегорий конфиденциальности информации, разрешенной к выводу на печать).

Маркировка документов (добавление грифов) при печати из произвольного приложения.

Гибкое управление видом маркировки документа с возможностью предварительного про-смотра маркеров в процессе редактирования.

Сохранение файлов с копиями документов, выводимых пользователем на печать (теневое

копирование).


168. Переработано управление контролем устройств. Основные изменения:

Для устройств задаются режимы контроля (вместо настройки отдельных флагов контроля).

В списке устройств вместо отметок, обозначающих явно заданные параметры контроля или права доступа, используются пиктограммы режимов контроля или наследования параметров от вышестоящего элемента иерархии.

Переработан состав классов для шин USB, PCMCIA, IEEE1394, SD.

Не используются "жесткий" и "мягкий" режимы работы подсистем разграничения доступа к

устройствам и контроля аппаратной конфигурации. Теперь блокировка компьютера при из-менении устройства происходит в случае, если задан соответствующий режим для контро-лируемого устройства.

Реализована работа с моделями устройств. Модель объединяет устройства с одинаковыми идентификационными кодами, присвоенными производителем: Vendor ID и Product ID. До-

бавить модель в список можно на основе параметров имеющегося устройства, если для него были указаны идентификационные коды производителем.

Электронные идентификаторы выделены в отдельный класс, в котором присутствуют моде-ли идентификаторов, поддерживаемых СЗИ Secret Net.

Для идентичных устройств реализован подсчет количества одновременно подключенных.


16

Реализована возможность применения заданных параметров для группы или класса на все устройства, входящие в эту группу или класс (принудительное включение наследования).

Утверждение аппаратной конфигурации выполняется при работе с локальными политиками.

Если к компьютеру подключено запрещенное устройство, функционирование этого устрой-ства будет заблокировано, но информация о нем появится в политиках (для обеспечения

возможности изменения параметров).

169. Реализована возможность задать категорию конфиденциальности для устройства. В этом случае система будет контролировать соответствие категории устройства и уровня допуска пользо-вателя или уровня сессии (в зависимости от состояния режима контроля потоков конфиденциаль-ной информации).

170. Реализована возможность сохранения в системе данных, копируемых на внешние носители (теневое копирование).

171. Реализован контроль записи информации на оптические диски (CD/DVD/BD). Контролируется запись, осуществляемая стандартными средствами ОС.

172. Из групповых политик исключен параметр "Запрет использования сетевых интерфейсов". В текущей версии действия по управлению сетевыми интерфейсами и настройка по типам интерфей-сов выполняются в списке устройств.

173. Реализована возможность разрешения и запрета использования сетевых интерфейсов в за-висимости от уровня сессии пользователя (для сетевого интерфейса указывается список доступных уровней сессий). Функция действует только при включенном режиме контроля потоков конфиден-

циальной информации.

174. Если использование сетевого интерфейса было запрещено средствами Secret Net, — запрет будет снят при удалении СЗИ или при изменении параметров интерфейса на разрешающие. Не требуется включение интерфейса вручную.

175. Реализован контроль подключения и отключения физических дисков компьютера (устройств хранения информации). Добавлены возможности настройки разрешений для физических дисков. Управление на уровне логических дисков не осуществляется.

176. Добавлена возможность ввода текстовых описаний устройств, содержащих необходимые до-полнительные сведения. Текст с описанием отображается в параметрах политик и сохраняется в журнале Secret Net — в записях о событиях, относящихся к устройствам.

177. В регистрируемых событиях подсистемы контроля устройств сохраняется полная информация об устройстве. За счет этого могут использоваться следующие дополнительные возможности для добавления устройств в список групповой политики:

импорт устройств из сохраненного файла журнала Secret Net;

копирование сведений об устройстве с помощью буфера обмена (из другой политики или из

записи журнала Secret Net).


178. Реализована возможность работы с идентификаторами при терминальном подключении с ис-пользованием метода виртуальных каналов. Для этого не тре6уется специальной настройки систе-мы. Виртуальные каналы используются, если на терминальном клиенте и на терминальном сервере

установлено ПО СЗИ Secret Net 7.

179. Реализована возможность обработки USB-идентификаторов и смарт-карт, подключенных на терминальном клиенте (с включенным режимом "Смарт-карты" в параметрах удаленного подклю-чения). Метод доступен при условии функционирования терминального сервера под управлением ОС Windows Vista и выше.

180. В терминальных сессиях поддерживается возможность первичной инициализации и присвоения

съемных дисков для использования в качестве электронных идентификаторов в системе Secret Net 7.


181. Реализована возможность управления параметрами ПАК "Соболь", которые относятся к авто-матическому входу в систему: интервал времени до автоматического входа, подача звукового сиг-

нала до автоматического входа.

182. Расширен объем сведений о событиях ПАК "Соболь", регистрируемых в журнале Secret Net при передаче содержимого журнала ПАК "Соболь".

183. Реализована возможность добавления в задания КЦ для ПАК "Соболь" файлов, которые распо-ложены на дисках, размеченных как GUID Partition Table (GPT). Функция поддерживается при исполь-зовании ПАК "Соболь" версии не ниже 3.0 с версией кода расширения BIOS платы не ниже 1.0.141.


17


184. Сервер безопасности принципиально переработан для обеспечения новых возможностей управления (см. раздел "Программа оперативного управления") и работы системы без модифика-

ции схемы Active Directory.


185. В состав СЗИ Secret Net 7 включена программа оперативного управления, заменяющая сред-ства оперативного управления предыдущих версий СЗИ. Основные новые возможности, реализуе-мые с помощью программы:

Управление объектами, представленными как в виде иерархической структуры, так и в виде

диаграммы.

Выборка записей журналов из БД сервера безопасности по запросам с произвольными кри-териями отбора.

Возможность "квитирования" событий НСД. Процедура квитирования выполняется как под-тверждение администратором обработки информации о зарегистрированных событиях НСД.

Управление параметрами Secret Net в локальных политиках безопасности защищаемых ком-пьютеров.

Управление функционированием механизмов защиты (включение и отключение) на защи-

щаемых компьютерах.

186. Ошибки, регистрируемые в журнале Secret Net, рассматриваются как события НСД с соответ-ствующим оперативным оповещением.

187. Реализована возможность включения фильтра событий НСД для защищаемого компьютера. Если используется фильтр, определенные события НСД игнорируются, и на сервер безопасности в

журнал НСД будут поступать уведомления только о важных для администратора событиях (при этом фильтр НСД не влияет на регистрацию событий в локальных журналах компьютера). Опове-щение о событиях НСД в программе оперативного управления осуществляется только для уведом-

лений, поступивших в журнал НСД.

3. Особенности работы и ограничения

3.1. Общесистемные

188. Система Secret Net 7 несовместима с редакциями ОС Windows, в которых отсутствует воз-можность подключения к домену и управление средствами групповых политик (например, Win-dows XP Home Edition, Windows Vista Ноme Basic, Windows 7 Home Premium и др.).

189. Если доступ к ресурсу запрещен какой-либо защитной подсистемой Secret Net 7, некоторые программы могут работать некорректно (например, встроенный редактор WordPad). В таких прило-жениях не осуществляется обработка запрета доступа к ресурсам.

190. Если компьютер не подключен к Internet (и никогда не был подключен), после установки СЗИ Secret Net 7 в журнале приложений регистрируется значительное количество событий типа

"Ошибки", источником которых является модуль crypt32.

Рекомендации: Если компьютер никогда не был и не будет подключен к Internet, перед установкой СЗИ Secret Net 7 от-ключите компонент Update Root Certificates (более подробные сведения см. http://support.microsoft.com/default.aspx?scid=kb;en-us;317541).

191. При использовании утилиты Userdump компании Microsoft (применяется для создания дампов процессов) возможны сбои при выполнении системой криптографических операций. Для нормаль-

ной работы системы защиты необходимо удалить утилиту Userdump после выполнения всех необ-ходимых операций.

192. При регистрации событий защитных подсистем в журнале Secret Net полное имя процесса или файла на локальном диске может быть указано в виде DOS-имени "C:\..." или со сведениями о

логическом диске (томе) в формате имени устройства: "\Device\HarddiskVolume<N>\...".

193. Если в сетевом режиме функционирования СЗИ включен режим усиленной защиты доступа к хранилищу объектов централизованного управления (поле "шифровать управляющий сетевой тра-фик" в списке защитных механизмов окна "Управление СЗИ Secret Net 7") и при этом в системе не настроена инфраструктура открытых ключей, то средства Secret Net 7 при подключении к хранилищу будут выдавать ошибки "Сервер неработоспособен" или "Клиент затребовал соединение SSL, но сер-

вер не поддерживает таких соединений". В этом случае нужно либо отключить режим усиленной за-щиты доступа к хранилищу, либо организовать и настроить инфраструктуру открытых ключей.


18

194. В системах с медленными каналами связи при обращениях компонентов СЗИ Secret Net к службе каталогов (например, при запуске синхронизации с ЦБД КЦ-ЗПС) может возникать ошибка "Служба не ответила на запрос своевременно". В этом случае для устранения ошибок необходимо увеличить время ожидания ответов на отправленные запросы. Для настройки времени ожидания в

системном реестре компьютера в ключе HKLM\Software\Infosec\Secret Net 5 создайте раздел LdapHelper и в нем параметр SearchTimeout типа DWORD. Задайте значение времени в секундах (по умолчанию при отсутствии параметра время ожидания составляет 60 секунд). Значение 0 отменяет

ожидание.

3.2. Установка

195. Для установки компонентов СЗИ из папки на локальном или сетевом диске необходимо скопи-ровать с установочного компакт-диска содержимое следующих каталогов (с сохранением их струк-турной вложенности):

файлы из корневого каталога компакт-диска;

каталог \Setup;

каталог \Tools.

3.2.2. Модификация схемы Active Directory*

196. В некоторых случаях после модификации схемы Active Directory атрибуты пользователя Se-cret Net 7 невозможно получить из AD. При попытке получения возникает ошибка 0x8000500C

("The AD datatype cannot be converted to/from a native DS datatype"). Данная ошибка может воз-никнуть, если параметры времени в домене (между контроллером и рабочими станциями или дру-гими контроллерами) не синхронизированы или время не установлено.

Рекомендации: Перед выполнением модификации схемы убедитесь в том, что время установлено корректно и син-хронизировано между контроллерами домена. При возникновении указанной ошибки удалите файлы *.sch из каталога %SystemRoot%\SchCache (на ОС Windows Vista — каталог %localappdata%\microsoft\windows\schcache) и при помощи оснастки mmc Active Directory Schema обновите кэш схемы (более подробные сведения см. http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B297132).

197. При наличии в домене нескольких контроллеров домена, на момент модификации схемы Ac-tive Directory все они должны быть включены.

3.2.3. Установка клиента

198. При первой перезагрузке после установки или обновления выполняется автоматическое утверждение аппаратной конфигурации компьютера. В связи с этим администратор безопасности должен контролировать первую загрузку компьютера после установки, чтобы не допустить реги-страцию нежелательных устройств (которые могут быть подключены к компьютеру до загрузки).

199. Установка должна осуществляться только локально или с использованием процедуры автома-тической установки клиента на компьютерах домена. Возможность установки из терминальных сес-сий не поддерживается.

200. Установка клиента в сетевом режиме функционирования невозможна при недоступности в сети контроллера домена.

201. При обновлении клиента возможна регистрация ряда ошибок в журнале приложений. Как пра-вило, такие ошибки не являются критическими и никак не влияют на дальнейшую работу системы.

202. Перед обновлением на компьютере с ОС Windows XP/2003, если в СЗИ Secret Net версии 5.Х включен режим усиленной аутентификации и используются идентификаторы eToken, следует от-ключить режим усиленной аутентификации по ключу. Для работы с идентификаторами

eToken после обновления, необходимо (на компьютере с ОС Windows XP/2003) удалить ПО eToken

Run Time Environment и установить eToken PKI Client.

203. Если произошел сбой на стадии установки драйвера виртуального принтера, это может быть связано с повреждением или отсутствием на компьютере системного файла ntprint.inf.

Рекомендации: При возникновении сбоя завершите работу программы установки и проверьте наличие файла ntprint.inf в каталоге \windows\inf. Если файл поврежден или отсутствует, добавьте новый файл, подходящий для данной ОС. Например, скопируйте с компьютера, на котором установлена та же версия ОС соответствующей разрядности.

204. При установке на компьютер, работающий под управлением ОС Windows XP/2003, может возникнуть ошибка добавления драйвера виртуального принтера.

Рекомендации: Установите обновление KB971276, распространяемое компанией Microsoft (подробные сведения см. http://support.microsoft.com/kb/971276).


19

205. При установке на компьютер, работающий под управлением ОС Windows XP, по умолчанию включен режим расстановки (замены) прав доступа пользователей к основным ресурсам компью-тера в соответствии с рекомендациями Microsoft. Если установка выполнена с расстановкой прав доступа, после этого может блокироваться запуск оснастки "Журналы и оповещения производи-

тельности" (в том случае, если оснастка ни разу не запускалась на данном компьютере). Для за-пуска оснастки в этих условиях необходимо предоставить учетной записи Network Service права на запись для системного диска.

206. Если при установке клиента в сетевом режиме функционирования обнаружено нарушение лицензионной политики на сервере безопасности, необходимо прервать установку, исправить нарушения с помощью программы оперативного управления и запустить установку заново.

207. При обновлении необходимо ввести серийный номер, предоставляющий лицензию на исполь-зование системы Secret Net 7 текущей версии.

208. Драйвер средства аппаратной поддержки Secret Net Card (Secret Net Touch Memory Card) по-ставляется в виде отдельного установочного пакета. Если по каким-либо причинам он не был уста-

новлен при установке клиента, его можно установить позднее.

209. После обновления сетевых клиентов с предыдущих версий (Secret Net 5, Secret Net 6) на версию Secret Net 7 для подключения клиентов к серверу безопасности необходимо в программе

оперативного управления удалить их из структуры ОУ и затем заново подчинить серверу.

210. После обновления сетевых клиентов с предыдущих версий возможна ситуация, когда список ресурсов централизованной задачи "Контроль ресурсов Secret Net" обновляется не на всех компь-ютерах. В результате списки ресурсов для КЦ и ЗПС могут формироваться некорректно.

Рекомендации: После завершения обновления на всех компьютерах, запустите на рабочем месте администратора программу управления КЦ-ЗПС в централизованном режиме и выполните процедуру отложенного расчета эталонов для любого из заданий, содержащих задачу "Контроль ресурсов Secret Net" (с помощью команды "Отложенный расчет эталонов" в контекстном меню задания).

211. После обновления клиента в автономном режиме функционирования происходит отключение режима ЗПС. При этом ранее сформированные задания сохраняются в модели данных. Для про-

должения использования механизма замкнутой программной среды включите режим ЗПС для ком-пьютера в программе "Контроль программ и данных".

3.2.4. Установка сервера безопасности*

212. Установка сервера с созданием хранилища объектов централизованного управления вне Ac-tive Directory невозможна, если в операционной системе включен механизм управления учетными

записями (User Account Control — UAC).

Рекомендации: Перед установкой ПО сервера безопасности в указанной конфигурации отключите на компьютере меха-низм UAC (включен по умолчанию в ОС Windows 2008 и старше). После установки ПО механизм можно снова включить.

213. Если установка сервера безопасности с размещением хранилища объектов централизованно-го управления вне AD выполняется на контроллере домена, программа установки создает доменно-го пользователя SecretNetLDS$ с ограниченными правами. Данная учетная запись является служебной и используется для запуска служб AD LDS или ADAM (в зависимости от версии ОС кон-

троллера домена) при функционировании сервера безопасности.

214. При наличии установленных компонентов IIS для корректной установки сервера безопасно-сти в IIS должен присутствовать сайт по умолчанию с именем "Default Web Site". После установки нельзя удалять сайт или изменять его имя во избежание потери работоспособности сервера без-опасности.

215. При установке сервера безопасности изменяются некоторые параметры IIS (перечень см. в документе "Система защиты информации Secret Net 7. Руководство администратора. Установка, об-

новление и удаление"). Восстановление исходных значений данных параметров запрещается.

216. Для работы сервера безопасности может использоваться СУБД Oracle Database 10g Express Edition. Установку компонентов этой СУБД рекомендуется выполнять с помощью программы пакет-

ной установки, разработанной компанией "Код Безопасности". В случае самостоятельной штатной установки совместимость поддерживается для варианта Oracle Database 10g Express Edition (Uni-versal). При этом для обеспечения достаточного количества соединений с БД рекомендуется увели-чить параметр СУБД processes с помощью команды ‘alter system set processes = 100 scope = spfile’

(включает поддержку 20 соединений). Запуск команды выполняется от имени пользователя с пра-вами администратора БД. После исполнения команды необходимо перезапустить экземпляр БД.

217. Совместная работа сервера безопасности и СУБД Oracle Database 10g Express Edition (West-ern European) возможна, только если СУБД была установлена с помощью программы пакетной установки, разработанной компанией "Код Безопасности".


20

218. Экземпляр базы данных Oracle, используемый сервером безопасности, должен обеспечивать поддержку русского языка. В СУБД Oracle Database 10g Express Edition автоматически создается экземпляр с именем XE, для которого по умолчанию включена поддержка русского языка в вариан-те СУБД (Universal), а также и в варианте (Western European), если СУБД установлена с помощью

программы пакетной установки, разработанной компанией "Код Безопасности".

219. Установка ПО сервера безопасности для работы с СУБД Oracle Database 10g Express Edition

выполняется со следующими особенностями:

При установке сервера безопасности в диалоге "Настройки СУБД" в поле "Имя БД" необхо-димо указать следующее значение: "<имя_или_IP-адрес_сервера_Oracle>:<порт>/XE". По умолчанию номер порта 1521.

При попытке соединения с СУБД Oracle Database 10g Express Edition (при установке сер-вера безопасности или в процессе эксплуатации) может возникнуть ошибка ORA-12514

"Не удалось установить соединение с СУБД". В этом случае необходимо запустить базу данных вручную с помощью команды "Пуск | Все программы | Oracle Database | Start da-tabase". Если при дальнейшей эксплуатации ошибка повторяется, можно зарегистрировать

в системе службу принудительного запуска сервера Oracle с помощью специальной утили-ты (поставляется вместе с программой пакетной установки СУБД Oracle Database 10g Ex-press Edition).

220. Если установка ПО выполнялась с сетевого диска, то при запуске процедуры восстановления штатным способом (в окне "Установка и удаление программ" или "Программы и компоненты") про-грамме установки потребуется доступ к ресурсу. При недоступности сетевого ресурса на экране

появится запрос пути к каталогу с файлами дистрибутива.

221. При установке сервера безопасности с использованием существующей базы данных (остав-шейся от ранее удаленного сервера) необходимо корректно указать учетные данные для подклю-чения сервера к БД. Если пользователь указан неправильно (учетной записи с указанным именем в СУБД не существует), после установки подключение сервера к базе данных будет невозможно. В этом случае необходимо сохранить корректные учетные данные в конфигурационном файле серве-

ра с помощью программы OmsDBPasswordChange.exe. Описание процедуры изменения учетных данных для подключения СБ к серверу СУБД см. в документе "Система защиты информации Se-

cret Net 7. Руководство администратора. Установка, обновление и удаление".

3.3. Локальное и централизованное управление

222. При запрете использования сетевого интерфейса средствами Secret Net, в списке устройств локальной политики безопасности интерфейс отображается с зачеркнутым названием. Если при этом устройство, соответствующее интерфейсу, остается физически подключенным, нельзя удалять его из списка устройств — иначе будет невозможно дальнейшее использование этого интерфейса в

текущей конфигурации. Для восстановления работы сетевого интерфейса потребуется удалить и заново установить драйвер устройства.

Рекомендации: Если в списке устройств сетевой интерфейс отображается с зачеркнутым названием, перед удалением его из списка убедитесь, что устройство отключено.

223. Некоторые параметры пользователя после изменения вступают в силу только при следующем входе пользователя в систему. К таким параметрам относятся:

привилегии;

параметры полномочного управления доступом;

список программ, разрешенных для запуска.

224. Если для журнала Secret Net установлен режим очистки вручную и активирована системная настройка "Прекращать работу при переполнении журнала безопасности" — в случае переполнения журнала записями на компьютере будет инициирован системный сбой (BSOD). Для возобновления нормальной работы необходимо войти в систему с правами администратора, очистить журнал и пе-

реустановить настройку "Прекращать работу при переполнении журнала безопасности".

Рекомендации: Для журнала Secret Net используйте режим "Затирать события по мере необходимости" (установлен по умолчанию).

225. Если размер журнала Secret Net изменен в сторону уменьшения, изменения вступят в силу только после очистки журнала.

226. Управление параметрами Secret Net для локальных пользователей поддерживается только в оснастке "Управление компьютером" (раздел "Служебные программы / Локальные пользователи и

группы / Пользователи").


21

227. При загрузке записей журнала Secret Net из файла *.evt в оснастку "Просмотр событий" ("Event Viewer") ОС Windows корректное отображение записей возможно при следующих условиях:

в качестве типа загружаемого журнала указан журнал безопасности ОС Windows (при воз-можности выбора типа);

пользователь входит в локальную группу администраторов.

228. В сетевом режиме функционирования СЗИ локальный администратор (локальный пользова-тель, входящий в группу локальных администраторов компьютера) может присвоить локальному пользователю идентификатор, присвоенный до этого доменному пользователю. Это приведет к не-возможности использования идентификатора доменным пользователем на данном компьютере.

Примечание: Присвоение локальному пользователю идентификатора доменного пользователя допускается из-за не-возможности проверки принадлежности идентификатора в домене под локальной учетной записью.

Рекомендации: Управление параметрами пользователей необходимо осуществлять с правами администратора домена.

229. В сетевом режиме функционирования СЗИ при недоступности контроллера домена невозможна корректная проверка принадлежности идентификатора пользователю.

Рекомендации: Операции управления идентификаторами необходимо выполнять только при доступном контроллере домена.

230. В сетевом режиме функционирования СЗИ не поддерживаются доверительные отношения между доменами, если эти домены не входят в один лес (т. е. у доменов нет общего глобального

каталога).

231. В сетевом режиме функционирования СЗИ после удаления идентификатора доменного поль-зователя выполнять процедуру присвоения этого идентификатора другому пользователю рекомен-дуется через некоторое время. Пауза необходима для проведения репликации, которая, как правило, занимает (в рамках локальной сети) около 30 секунд.

232. В автономном режиме функционирования СЗИ локальный администратор компьютера не име-ет возможности работать со списком доменных пользователей в папке "Доменные пользователи".

Рекомендации: Для управления доменными пользователями выполните вход в систему доменным пользователем, входящим в группу локальных администраторов компьютера.

233. В автономном режиме функционирования СЗИ при попытке добавить пользователя в папку "Доменные пользователи" может возникнуть ошибка "Object picker cannot open because no locations

from which to choose objects could be found" ("Невозможно открыть Object Picker, поскольку отсут-ствует то место, где его можно было бы найти"). В большинстве случаев такая ошибка возникает из-за недоступности контроллера домена или некорректной настройки параметров. Например:

неверно настроен DNS-сервер;

на компьютере отсутствуют административные общие ресурсы;

на контроллере домена не запущена служба "Remote Registry".

234. После создания новой групповой политики, при последующем применении политик на рабо-чих станциях в журнале приложений будет зарегистрировано предупреждение о том, что объект групповой политики не найден. При этом параметры новой политики успешно применяются.

235. Для корректной работы с параметрами пользователей в группе "Pre-Windows 2000 Compatible Access" должна быть либо группа "Everyone" ("Все") либо группа "Authenticated Users" ("Прошед-шие проверку").

Рекомендации: Если указанные группы не включены в группу "Pre-Windows 2000 Compatible Access", добавьте в нее группу "Authenticated Users" ("Прошедшие проверку").

236. На компьютере под управлением ОС Windows Vista и выше, если в ОС включен механизм

управления учетными записями (User Account Control — UAC), система при определенных действи-

ях администратора выдает запросы о предоставлении административных полномочий. В этом ре-жиме возможно проявление следующих особенностей работы с журналами:

если при запуске программы просмотра журналов административные полномочия не предо-ставлены, запуск программы выполняется, но журнал безопасности будет недоступен для

загрузки;

если привилегия "Журнал: Просмотр журнала системы защиты" предоставлена только ло-кальной группе администраторов (состояние по умолчанию), в программе просмотра журна-лов могут блокироваться возможности доступа к файлам в хранилище теневого копирования для всех пользователей. В этом случае для обеспечения доступа к хранилищу можно или

отключить механизм UAC, или добавить нужных пользователей в список учетных записей привилегии "Журнал: Просмотр журнала системы защиты".


22

237. При работе с папкой хранилища теневого копирования, открытой из программы просмотра локальных журналов, пользователю может быть отказано в открытии XPS-файлов (копии, получен-ные при печати документов). В этом случае для просмотра содержимого файлов можно копировать их и открывать из другой папки или явно добавить нужных пользователей в список учетных запи-

сей привилегии "Журнал: Просмотр журнала системы защиты".

238. Если в журнале Secret Net зарегистрировано несколько событий теневого копирования для

файла с одним и тем же именем (пользователь многократно записывал файл на носитель), то в программе просмотра локального журнала после создания первой временной копии файла может возникнуть ошибка при создании копий этого же файла по другим записям. В этом случае для по-лучения нового файла c исходным именем требуется перезапустить программу просмотра журна-

лов, чтобы очистить папку с временными файлами в хранилище теневого копирования.

239. Программа просмотра локальных журналов при запуске проверяет работоспособность си-стемной службы Windows Search. При недоступности службы выводится соответствующее сообще-ние. На компьютере под управлением ОС Windows Vista и выше программа дополнительно предоставляет возможность запуска процедуры переустановки службы Windows Search (при этом

пользователь должен обладать правами локального администратора).

240. На компьютере под управлением ОС Windows Server 2008 R2 и выше управление параметра-ми безопасности Secret Net в оснастке "Центр администрирования Active Directory" осуществляется

с ограниченными возможностями. В частности: не выполняется загрузка ключей централизованно-го управления ПАК "Соболь", не выводится запрос на предъявление идентификатора при смене па-роля пользователя и др.

Рекомендации: Для управления параметрами доменных пользователей используйте программу управления пользова-телями, которая входит в состав ПО клиента.

241. Если в пользовательской переменной окружения TEMP задан путь, содержащий длинные имена с пробелами, то при запуске программы редактирования маркеров будет возникать ошибка

загрузки XML-файла. Для устранения ошибки задайте в переменной окружения TEMP путь с именем каталога без пробелов.

Примечание: По умолчанию путь в переменной окружения задан в формате 8.3 (короткие имена без пробелов).

3.4. Вход в систему

242. Если при входе в систему в режиме усиленной аутентификации по ключу имя пользователя было введено неверно, сообщение об ошибке выдается после запроса на предъявление электронного идентификатора.

243. При закрытии сессии на терминальном сервере в журнале приложений может регистриро-ваться ошибка WinLogon "Неверная функция".

244. В режиме усиленной аутентификации по паролю в журнале приложений могут регистриро-ваться группы ошибок для следующих случаев запрета входа в систему:

если введено неправильное имя пользователя (пользователь с указанным именем не заре-

гистрирован в системе) — регистрируются ошибки "Именам пользователей не сопоставлены коды защиты данных";

если в автономном режиме функционирования СЗИ введено имя доменного пользователя, не добавленного в локальную базу данных Secret Net (пользователь отсутствует в списке

"Доменные пользователи" оснастки "Управление компьютером") — регистрируются ошибки "Доменный пользователь не зарегистрирован на компьютере в базе данных Secret Net".

245. В режиме усиленной аутентификации по паролю если пароль пользователя для входа в ОС Windows не синхронизирован с паролем в базе данных Secret Net, при смене пароля самим пользователем новый пароль не будет сохранен в БД Secret Net. Для сохранения нового пароля необходимо выполнить синхронизацию по запросу системы при следующем входе пользователя.

246. После установки СЗИ Secret Net 7 на компьютер с ОС Windows Vista и выше в параметрах безопасности локальной политики принудительно включается действие стандартного параметра

"Интерактивный вход в систему: не требовать нажатия Ctrl+Alt+Del".

247. После установки СЗИ Secret Net 7 на компьютер с ОС Windows 8 блокируется возможность использования графических паролей.

248. В СЗИ Secret Net 7 текущей версии не поддерживается вход в систему для учетных записей Майкрософт (Microsoft Live ID account). После установки клиента на компьютер с ОС

Windows 8/2012 в параметрах безопасности локальной политики принудительно включается дей-ствие стандартной политики "Учетные записи: блокировать учетные записи Майкрософт" (Accounts: Block Microsoft accounts) в режиме "Пользователи не могут добавлять учетные записи

Майкрософт и использовать их для входа" (Users can’t add or log on with Microsoft accounts). Если


23

вручную отключить действие указанной политики, необходимо учитывать, что возможность выбора учетной записи Майкрософт для входа в систему будет заблокирована из-за особенностей реали-зации системы защиты. Если на компьютере, не входящем в домен, все учетные записи пользова-

телей преобразованы в учетные записи Майкрософт, вход в систему на этом компьютере будет невозможен.

249. Предусмотрена возможность считывания системой данных из идентификатора, подключенно-

го к считывателю на момент первого локального входа пользователя или при терминальных вхо-дах. Функция не действует, если к компьютеру подключены два или более идентификатора. Для

активирования функции необходимо в системном реестре компьютера (терминального сервера) со-здать ключ HKLM\SOFTWARE\Infosec\Secret Net 5\SnLogon (если он отсутствует), в который доба-вить параметр AutoID типа REG_DWORD с ненулевым значением.

250. На компьютере под управлением ОС Windows 8 экран блокировки не отключается автомати-чески при входе пользователя по идентификатору, в котором отсутствует пароль. Из-за этого при-глашение для ввода пароля закрыто экраном. Чтобы ввести пароль пользователя, нужно вручную

выполнить действия для отключения экрана блокировки — например, нажать кнопку мыши.

Рекомендации: Режим использования экрана блокировки можно отключить в операционной системе. Для этого в си-стемном реестре создайте ключ HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization (если он отсутствует) и до-бавьте параметр NoLockScreen типа REG_DWORD со значением 1.

251. Терминальный вход на компьютер с ОС Windows XP рекомендуется выполнять только посред-ством ввода учетных данных пользователя (запрос для ввода имени и пароля может выводиться однократно или дважды). При использовании идентификаторов и смарт-карт возможна нестабиль-

ная работа системы, обусловленная особенностями реализации модуля входа на этой ОС.

3.5. Подсистема контроля целостности

252. Ограничен набор используемых переменных окружения при описании ресурсов. Не поддер-живаются произвольные переменные окружения.

253. При запуске программы "Контроль программ и данных" в момент выполнения задания на

контроль целостности или в момент выполнения синхронизации система выдает сообщение: "В ре-зультате загрузки модели данных произошла ошибка. Идет обработка базы данных контроля це-лостности". В этом случае дождитесь завершения выполнения процесса, после чего повторите

попытку запуска программы или нажмите клавишу <F5>.

254. Чрезмерно большое количество объектов базы данных контроля целостности (от нескольких десятков тысяч) приводит к длительной обработке базы данных при каждой загрузке системы. В

этих условиях запуск программы "Контроль программ и данных" следует выполнять через несколь-ко минут после загрузки системы.

255. Если база данных контроля целостности имеет значительный объем, проверка БД во время загрузки компьютера и входа пользователя в систему может занимать длительное время.

Рекомендации: Для ускорения загрузки и входа в систему можно уменьшить объем БД КЦ (например, сократить коли-чество ресурсов, проверяемых методом контроля содержимого по алгоритму "полное совпадение") или изменить для компьютера моменты запуска синхронизации ЦБД и ЛБД КЦ-ЗПС (отключить установленные по умолчанию параметры синхронизации "При загрузке ОС", "При входе" и включить параметр "После входа").

256. При контроле целостности с восстановлением не поддерживается восстановление атрибута ОС "Шифровать атрибут для защиты данных", а также атрибутов доступа (включая атрибут "Время

последнего доступа") и категорий конфиденциальности.

257. Не поддерживается расчет эталонных значений для файлов на сетевом диске с длиной имени более 255 символов.

3.6. Подсистема замкнутой программной среды

258. Для запуска DOS-программы с помощью ярлыка вызова, пользователю необходимо предо-ставить разрешение на запуск, как самой программы, так и ярлыка.

259. При вводе сетевого пути с использованием IP-адреса программа "Контроль программ и дан-ных" автоматически преобразует введенный IP-адрес в сетевое имя компьютера. Ввод IP-адресов не поддерживается, поэтому для пользователей отсутствует возможность запуска программ с сете-вых ресурсов с указанием IP-адреса сервера.

Рекомендации: В системе следует корректно настроить механизм разрешения имен компьютеров в IP-адреса.


24

260. По умолчанию подсистема замкнутой программной среды обрабатывает доступ ко всем фай-лам — независимо от того, являются они исполняемыми файлами или нет.

Рекомендации: Чтобы подсистема отличала исполняемые файлы от других (например, *.txt, *.xml и пр.), необходимо включить режим контроля заголовков исполняемых файлов.

261. В сетевом режиме функционирования СЗИ при необходимости включения замкнутой про-

граммной среды на компьютере с установленным сервером безопасности, следует отключить дей-ствие механизма ЗПС для учетной записи IWAM_ComputerName. Для этого средствами управления групповых политик предоставьте учетной записи привилегию "Замкнутая программная среда: не

действует".

262. На компьютере под управлением ОС Windows Vista и выше при построении списка ресурсов по зависимым модулям в список могут быть включены не все модули. Рекомендуется после постро-ения списка включить "мягкий" режим и скорректировать список разрешенных программ по журна-лу Secret Net.

263. При использовании сетевого ресурса в сценариях для построения задачи ЗПС необходимо предоставить доступ к данному ресурсу не только пользователям, но и учетной записи Network. В противном случае сценарий для такого сетевого ресурса не будет преобразован в список исполня-

емых файлов в процессе синхронизации.

264. Механизм контроля скриптов контролирует выполнение сценариев, созданных по технологии Active Scripts. Если приложение использует другую технологию обработки сценариев (например, браузер Mozilla Firefox), в этом приложении перехват сценариев не осуществляется.

265. Из-за особенностей формирования и загрузки сценариев на многих популярных интернет-ресурсах происходит автоматическая модификация одних и тех же сценариев при обращениях к ранее загруженным страницам. Это приводит к невозможности полноценного контроля исполнения сценариев (скриптов) в браузере — поскольку обновляемые сценарии при загрузке страниц вос-

принимаются как неизвестные, и система регистрирует соответствующие события в журнале.

Рекомендации: Если браузер (например, Internet Explorer) используется для загрузки и просмотра страниц из интерне-та, включите для исполняемого файла этого процесса функцию исключения контроля скриптов. Для этого отметьте до-полнительный параметр "Разрешено выполнять любые скрипты" в диалоге настройки параметров ресурса.

266. Не рекомендуется вручную добавлять в модель данных исполняемый сценарий (скрипт) из wsf-файла. В файле могут быть представлены дополнительные сведения (другие скрипты, ссылки и пр.), которые не задействуются при исполнении сценария. Поэтому исполнение сценария из wsf-

файла может все равно блокироваться системой защиты по причине несоответствия хранящимся сведениям в базе данных. Для таких сценариев следует использовать процедуру добавления ре-сурсов из журнала (с предварительной настройкой системы для накопления сведений).

267. Из-за особенности реализации стандартного Проводника, запуск файлов *.lnk не регистри-руется на компьютере под управлением ОС Windows Vista и выше. При необходимости регистрации запуска lnk-файлов отредактируйте в ключе системного реестра

HKLM\System\CurrentControlSet\Services\SnExeQuota\Parameters значение параметра Extensions (по умолчанию установлено значение ".com;.bat;.cmd;.pif").

268. На компьютере под управлением ОС Windows Vista и выше запуск приложения со сменного носителя выполняется с особенностями: исполняемый файл со сменного диска копируется во вре-менную папку %USERPROFILE%\....\AppData\Local\Temp\... и запускается непосредственно из этой директории.

269. На компьютере под управлением ОС Windows Vista и выше при запуске приложения с сетево-го ресурса в журнале Secret Net могут регистрироваться два идентичных события, относящиеся к

запуску приложения.

270. В программе Проводник при наведении курсора на файл программы в журнале будет реги-стрироваться событие запуска или запрета запуска приложения (в зависимости от того, указано

или нет данное приложение в списке разрешенных для запуска).

3.7. Централизованное управление КЦ-ЗПС*

271. Централизованное управление осуществляется в рамках одного домена безопасности Se-cret Net.

272. Централизованное управление режимами ЗПС осуществляется на уровне компьютеров и групп компьютеров. Поэтому при необходимости по-разному настроить ЗПС для нескольких поль-зователей одного компьютера, следует настраивать ЗПС локально.

273. Ресурсы, явно описанные в ЦБД, при установке на контроль остаются в ЛБД и контролируют-ся даже в том случае, если на компьютере не обнаружены соответствующие ресурсы — при кон-троле будет регистрироваться ошибка отсутствия ресурса. Напротив, ресурсы, описанные через


25

сценарии, не устанавливаются на контроль, если при выполнении сценария они на компьютере не обнаружены (соответственно, эти ресурсы не сохраняются в ЛБД).

274. Если в задаче со сценарием были внесены изменения, после синхронизации регистрируются события удаления задачи и добавления задачи в журнале Secret Net.

275. Если средствами ОС Windows изменен состав доменной группы компьютеров или удалена вся группа, то имеющиеся на компьютерах задания КЦ-ЗПС после этого не изменяются: задания,

назначенные для группы, не добавляются для новых компьютеров и не удаляются с компьютеров,

исключенных из группы. При размещении хранилища объектов централизованного управления в Active Directory, для запуска синхронизации заданий достаточно внести любое изменение в ЦБД КЦ-ЗПС. Если хранилище размещается вне AD, то группы компьютеров, представленные в про-грамме "Контроль программ и данных", являются самостоятельными объектами и не связаны с

группами в Active Directory. Поэтому выполненные средствами ОС Windows изменения в группах компьютеров не учитываются при синхронизации и не отображаются в программе управления. Чтобы обеспечить наличие на компьютерах нужных заданий, управление группами необходимо

осуществлять в программе "Контроль программ и данных".

276. Если для тиражируемого задания в ЦБД изменить метод контроля и перерасчитать эталоны, то на рабочих станциях новые эталонные значения синхронизируются корректно, но при этом старые значения (рассчитанные по предыдущему методу контроля) не будут удалены из локальной БД.

Рекомендации: При необходимости удаления старых эталонов выполните следующие действия:

1. Удалите связь задания с субъектом и дождитесь завершения синхронизации.

2. Восстановите связь задания с субъектом.

277. Чтобы использовать DNS-псевдоним (alias) вместо настоящего имени компьютера в сценари-ях для формирования заданий ЗПС, необходимо выполнить регистрацию псевдонима в Ac-

tive Directory. Регистрация выполняется однократно пользователем с правами администратора домена. Для регистрации введите команду сопоставления имени участника службы (Service Princi-pal Name) в формате: setspn -A HOST/<псевдоним>.<имя_домена>.ru <имя_компьютера>. Напри-

мер, при использовании в домене testdomain псевдонима th10 для компьютера с именем testws

следует ввести команду: setspn -A HOST/th10.testdomain.ru testws. Обработка псевдонима на ком-пьютерах будет выполняться после обновления групповых политик.

278. Если модель данных содержит более 250000 объектов, при ее сохранении в программе управления выдается предупреждающее сообщение. Не рекомендуется хранить в модели количе-ство объектов, превышающее указанное ограничение.

Рекомендации: Для централизованного управления целесообразно использовать сценарии — это уменьшает общее количество объектов модели данных и повышает удобство управления системой.

279. Если в тиражируемом задании контроля целостности используется метод контроля "Содержи-мое" с алгоритмом "полное совпадение", не рекомендуется включать в задание файлы большого размера. Иначе во время синхронизации возможны задержки из-за необходимости передачи на

компьютеры копий этих файлов в качестве эталонов.

3.8. Дискреционное управление доступом

280. При установке прав доступа на каталог, к которому предоставлен общий доступ (непосред-ственно к этому каталогу), необходимо обеспечить возможность просмотра содержимого для си-стемной учетной записи. Для этого разрешение на выполнение должно быть установлено для

учетной записи "Система" или для групп, в которую включена данная учетная запись (например, группа "Все"). Иначе механизм дискреционного управления доступом будет блокировать сетевой доступ к этому каталогу для всех пользователей.

3.9. Полномочное управление доступом

3.9.1. Общее

281. Регистрация предупреждений, выдаваемых пользователю при доступе к конфиденциальным файлам, повышении категории конфиденциальности файлов и при выводе информации на внеш-ние носители, осуществляется в системном журнале (штатный журнал ОС Windows).

282. При работе подсистемы полномочного разграничения доступа на дисках с файловой системой FAT может создаваться файл EA.DATA.SF, доступ к которому запрещен. Этот файл является след-ствием эмуляции ОС работы с расширенными атрибутами файлов (Extended Attributes) для дисков,

которые не поддерживают расширенные атрибуты. Например, данный файл может создаваться по-сле попытки копирования конфиденциального файла на диск с файловой системой FAT через про-грамму Проводник.


26

283. На компьютере под управлением ОС Windows Vista и выше, если в ОС включен механизм управления учетными записями (UAC), система при определенных действиях пользователя может выдавать запросы на ввод учетных данных пользователя, обладающего необходимыми правами. При выполнении в программе Проводник файловой операции с конфиденциальным ресурсом пользовате-

лем, у которого недостаточно прав на выполнение данной операции (по правилам работы с конфиден-циальными ресурсами), может появиться запрос системы на ввод учетных данных другого пользователя, обладающего необходимыми правами. В этом случае при вводе соответствующих учет-

ных данных операция выполняется, но от имени пользователя, чьи учетные данные были введены.

284. Если в системе используется более трех категорий конфиденциальности, рекомендуется на всех компьютерах домена безопасности установить клиентское ПО Secret Net текущей версии —

для корректной работы подсистем. При наличии компьютеров с клиентским ПО версии до 7.0.460.16 (где не поддерживаются дополнительные категории), на этих компьютерах проявляются следующие особенности:

при входе пользователя с уровнем допуска выше, чем "Строго конфиденциально", — собы-

тие "Вход пользователя в систему" не регистрируется совсем или содержит некорректные данные в описании (указывается уровень допуска пользователя "Неконфиденциально");

работать с программой настройки подсистемы полномочного управления доступом разреша-ется только пользователям с уровнем допуска "Строго конфиденциально".

3.9.2. Режим работы без контроля потоков

285. При отключенном режиме контроля потоков, если в приложении был открыт конфиденциаль-ный документ, печать всех последующих документов в текущем сеансе работы приложения рас-сматривается как печать конфиденциальной информации (даже если потом были открыты неконфиденциальные документы).

Рекомендации: Для печати неконфиденциального документа закройте приложение и откройте заново, не загружая конфиденциальных документов.

286. В некоторых случаях при открытии конфиденциального файла может быть выдан запрос на

повышение уровня конфиденциальности приложения, и при этом в запросе будет указано имя дру-

гого файла. Это связано с особенностями работы приложений - могут запрашиваться файлы из списка последних открывавшихся файлов. При согласии на повышение уровня конфиденциально-сти в журнале будет зафиксировано соответствующее обращение.

3.9.3. Режим работы с контролем потоков

287. Для работы при включенном режиме контроля потоков требуется дополнительная настройка параметров, которая осуществляется локально с помощью программы настройки подсистемы пол-номочного управления доступом. Дополнительную настройку рекомендуется выполнить перед включением режима контроля потоков. Далее в процессе эксплуатации системы программу настройки следует использовать в следующих случаях:

при увеличении количества используемых категорий конфиденциальности;

при добавлении нового пользователя или переименовании существующего;

при установке программ, требующих дополнительной настройки для совместимости с режи-

мом контроля потоков;

при установке нового принтера;

при необходимости отключения вывода предупреждающих сообщений системы или реги-страции событий обращения к файлам.

288. При включенном режиме контроля потоков для обеспечения необходимого уровня защиты блокируется запуск команд и сетевых подсоединений с вводом учетных данных пользователя, ко-торый не выполнил интерактивный вход в систему. Функция блокировки действует независимо от

состояния параметра групповой политики "Вход в систему: Запрет вторичного входа в систему".

289. При работе приложений в конфиденциальных сессиях в журнале Secret Net могут регистриро-ваться события "Запрет изменения параметров конфиденциальности ресурса" с причиной "Категория

файла превышает категорию каталога". Это вызвано особенностями поведения некоторых приложе-ний, которые пытаются записывать информацию в неконфиденциальные каталоги.

290. При включенном режиме контроля потоков не рекомендуется в конфиденциальной сессии вы-полнять любые административные действия по настройке, управлению, конфигурированию системы (не связанные напрямую с обработкой конфиденциальной информации), даже если система позволя-ет это сделать. Следующие действия следует выполнять только в неконфиденциальной сессии:

вход в систему администратора для управления и настройки системы (кроме установки

уровней конфиденциальности ресурсов). При настройках системы в конфиденциальной сес-сии настройки могут либо не сохраниться, либо не выполниться вовсе;


27

первый вход в систему нового пользователя или пользователя после переименования учетной записи (данное ограничение отслеживается системой автоматически). При первом входе вы-полняется инициализация профиля пользователя и конфигурирование его параметров;

конфигурирование и настройка любых приложений пользователем. При конфигурировании

приложений в конфиденциальной сессии многие операции могут быть запрещены по полно-мочным правилам;

первый запуск нового приложения, с которым пользователь до этого не работал на теку-щей рабочей станции после его установки. Обуславливается тем, что как правило, при

первом запуске приложения происходит его первоначальная настройка под конкретного пользователя;

первоначальное подключение сетевого диска пользователем. Необходимо для автоматиче-ского подключения этого диска при каждом последующем входе пользователя в систему. Если пользователь выполнит процедуру подключения сетевого диска в конфиденциальной

сессии, то в следующих сессиях этот диск не будет подключен автоматически.

291. В режиме работы с контролем потоков первый вход пользователя в систему принудительно выполняется в неконфиденциальной сессии. При этом выводится сообщение вида "Текущий вход является конфигурационным, возможность смены уровня конфиденциальности будет предостав-лена при следующем входе". Аналогичное поведение системы может проявиться и позже —

например, в случае смены пользователем своего пароля во время входа в систему. В некоторых случаях для входа в конфиденциальной сессии после получения такого сообщения может потре-боваться перезагрузка.

292. Если для устройства записи оптических дисков включен режим теневого копирования, в конфиденциальных сессиях блокируется возможность записи дисков с использованием интерфейса Image Mastering API (IMAPI) — возникает ошибка при записи образа диска в хранилище.

Рекомендации: Для записи оптического диска войдите в систему в неконфиденциальной сессии или осуществляйте запись в формате файловой системы Universal Disk Format (UDF).

293. При работе пользователя в конфиденциальной сессии запрещено удаление любой информа-ции с помещением в Корзину (в том числе неконфиденциальных ресурсов и пустых каталогов).

294. Создание каталогов перенаправления вывода файлов невозможно для каталогов, в которых присутствуют файловые объекты с данными особого формата reparse point (базовые сведения о

применении таких данных приведены на сайте компании Microsoft — см. https://msdn.microsoft.com/en-us/library/aa365503(VS.85).aspx). Если в процессе создания катало-гов перенаправления обнаружены указанные файловые объекты, возникает ошибка "в директории есть reparse point". Например, если задать расположение по умолчанию для системной папки доку-

ментов пользователя C:\Users\<имя_пользователя>\Documents.

Рекомендации: При необходимости создать каталоги перенаправления для системных папок документов, изображений и т. п. укажите другой каталог размещения файлов системной папки вместо расположения по умолчанию. Процедура смены каталога размещения файлов выполняется в диалоговом окне настройки свойств папки на вкладке "Расположение".

3.9.4. Особенности работы с некоторыми приложениями

295. На компьютере под управлением ОС Windows Vista/7 по умолчанию действует функция пере-направления вывода общих служебных файлов при создании записок на Рабочем столе (в програм-мах StikyNot или SideBar). Вследствие этого имеются следующие особенности работы с записками:

записки создаются и сохраняются отдельно для каждого уровня сессии пользователя. Например, записки, созданные в строго конфиденциальной сессии, не будут доступны при входе этого же пользователя в конфиденциальной сессии, и наоборот;

если при завершении сеанса работает приложение "Записки" (отображается хотя бы одна

записка), приложение будет работать и в следующем сеансе этого пользователя незави-

симо от уровня конфиденциальности сессии. При этом будут загружены те записки, кото-рые были созданы в сессии с уровнем конфиденциальности, совпадающим с выбранным

уровнем.

296. Если на компьютере под управлением ОС Windows 8/2012 будут использоваться приложе-ния Магазина Windows, требующие ввода данных учетной записи Майкрософт, перед включением

режима контроля потоков необходимо выполнить запуск этих приложений для сохранения учет-ных данных.

297. Для режима контроля потоков предусмотрен механизм исключений, позволяющий обеспечить нормальное функционирование приложений, которым требуется доступ к служебным файлам без изменения их категорий конфиденциальности (например, ПО MapInfo). Список исключений хранит-

ся в системном реестре компьютера в виде списка значений параметра ProcNotUpFile (тип REG_MULTI_SZ) в ключе HKLM\System\CurrentControlSet\Services\SNMC5xx\Params. Каждое исклю-чение задается отдельной строкой формата <путь_к_процессу>::<путь_к_файлу>, где путь к про-


28

цессу указывается в виде "\Device\Harddisk...\<имя_процесса>" (например: \Device\HarddiskVolume1\Program Files\MapInfo\Professional\MapInfow.exe), а путь к файлу содер-жит полный путь в файловой системе (например: C:\WINDOWS\system32\config\software.LOG) или

относительный путь с указанием имени файла (например: \system32\config\software.LOG).

Примечание: События категории "Полномочное управление доступом", регистрируемые в журнале Secret Net при по-пытках доступа к объектам, содержат сведения о путях к процессам и файлам. При формировании списка исключений можно копировать нужные пути из записей журнала.

Рекомендации: Механизм исключений следует использовать только в крайнем случае, когда установлено, что другими способами невозможно обеспечить работоспособность программы в различных сессиях конфиденциальности. Если программа должна использоваться только в сессиях одного уровня конфиденциальности, указывать исключения не требуется. В этом случае выполните настройку программы в сессии с нужным уровнем и не запускайте программу во время работы в сессиях других уровней.

3.10. Контроль печати

298. Список виртуальных принтеров автоматически формируется при включении режима марки-ровки (стандартная или расширенная обработка) или режима теневого копирования документов.

Виртуальные принтеры используются для контроля печати и соответствуют реальным установлен-ным принтерам. Удаление виртуальных принтеров происходит при отключении режимов, при от-ключении механизма контроля печати или при удалении клиентского ПО СЗИ Secret Net 7. Если на момент удаления виртуальных принтеров имеются незавершенные задания в очереди печати вир-

туального принтера, этот виртуальный принтер не будет удален из системы. До следующего фор-мирования списка виртуальных принтеров печать на такой принтер будет невозможна. Чтобы печатать документы на принтере, для которого остался драйвер виртуального принтера, следует

вручную удалить этот драйвер, выполнив процедуру удаления виртуального принтера.

Рекомендации: Дождитесь удаления всех заданий в очередях печати виртуальных принтеров перед выполнением лю-бого из следующих действий:

отключение режимов маркировки и теневого копирования документов;

отключение механизма контроля печати;

удаление клиентского ПО СЗИ Secret Net 7.

299. Если включен режим маркировки (стандартная или расширенная обработка) или режим тене-вого копирования документов, печать осуществляется только на виртуальные принтеры (реальные

принтеры в списке отсутствуют). При печати документа регистрируются 4 события: начало печати документа, начало печати экземпляра документа, успешное завершение печати экземпляра доку-мента, успешное завершение печати документа. Если режимы маркировки и теневого копирования

документов отключены, печать осуществляется на реальный принтер (виртуальных принтеров при этом нет) с регистрацией одного события (разрешения или запрета).

300. Маркировка (добавление грифов) при печати документов выполняется без учета форматиро-вания самих документов. Поэтому при формировании документа для печати с грифом необходимо учитывать области страниц, где будут размещаться фрагменты грифа. Если содержимое документа (например, колонтитул) занимает область вставки грифа, при печати произойдет наложение грифа

на эту часть документа.

301. Печать документа с грифом, предусматривающим добавление сведений на оборотной стороне последнего листа, выполняется со следующими особенностями:

при включенном режиме двусторонней печати (для принтеров с такой возможностью) все страницы документа печатаются на одной стороне листа, а страница грифа со сведениями для оборотной стороны — на обороте последнего листа с использованием автоматической или ручной подачи;

если включен режим печати двух или более страниц на листе, страница грифа со сведения-

ми для оборотной стороны масштабируется и печатается вместе с остальными страницами

документа (не на обороте последнего листа).

302. При включенном режиме маркировки с расширенной обработкой категория конфиденциаль-ности распечатываемого документа определяется следующим образом:

если документ загружен из файла в приложение MS Word или Excel и не был модифициро-ван перед печатью — категория конфиденциальности при печати определяется по катего-

рии файла;

во всех остальных случаях категория конфиденциальности документа при печати определя-

ется по уровню процесса, из которого осуществляется печать (при отключенном режиме контроля потоков — процессу присваивается уровень конфиденциальности, равный наивысшей категории конфиденциальности открывавшихся файлов, при включенном режи-

ме контроля потоков — процессу присваивается уровень конфиденциальности сессии).


29

303. Если включен режим маркировки с расширенной обработкой, не поддерживаются возможно-сти частичной печати документов (печать выделенного фрагмента, области печати, текущей стра-ницы и пр.) за исключением печати указанного списка страниц документа. В стандартных средствах настройки параметров печати неподдерживаемые параметры блокируются. В некоторых

приложениях неподдерживаемые параметры печати могут быть доступны для настройки, однако при печати документа такие параметры игнорируются.

304. В некоторых приложениях (например, Microsoft PowerPoint 2010) при включенном режиме маркировки (стандартная или расширенная обработка) или режиме теневого копирования доку-ментов при печати может не учитываться количество копий, заданное в диалоге настройки печати в приложении. В таких случаях выполняется печать одного экземпляра документа.

305. При печати грифа заданные значения полей выводятся в объеме, не превышающем отведен-ное пространство для каждого поля. Перенос строк в длинных значениях полей не осуществляется.

Если для поля указано слишком длинное значение (которое не умещается полностью в отведенном пространстве), его правая часть обрезается.

306. Корректное функционирование механизма контроля печати обеспечивается при условии наличия необходимых прав доступа на каталог временных файлов пользователя, заданный пере-менными окружения %temp% и %tmp%, и на принтер. Если параметры безопасности объектов от-личаются от заданных по умолчанию, для печати документов минимально должны быть

предоставлены следующие права:

на каталог %temp% (%tmp%) — для системной учетной записи и текущего пользователя (или группы, в которую он включен): "Полный доступ". Чтобы проверить предоставленные права, вызовите диалоговое окно настройки свойств каталога и откройте вкладку "Безопас-

ность". Для перехода к каталогу в программе Проводник введите в адресной строке пере-менную %temp%. После проверки прав аналогичным образом проверьте права на каталог, заданный переменной %tmp% (если он отличается от предыдущего каталога);

на принтер — для текущего пользователя (или группы, в которую он включен): "Печать". Чтобы проверить предоставленные права, в окне "Устройства и принтеры" ("Принтеры и

факсы") вызовите диалоговое окно настройки свойств принтера и откройте вкладку "Без-опасность".

307. На компьютере под управлением ОС Windows 8/2012 при включенном механизме контроля печати блокируется печать из приложений Магазина Windows.

308. Механизм контроля печати несовместим с принтерами Xerox семейства Phaser 4510. Несовме-стимость связана с внутренними особенностями функционирования драйверов принтеров указан-ной серии.

309. На компьютере под управлением ОС Windows XP/2003 после подключения сетевого принтера с сервера печати под управлением ОС Windows 8/2012 печать на XPS-принтере может завершаться с ошибкой. Данная особенность связана с некорректной регистрацией в операционной системе

компонента Windows, который обеспечивает совместимость в старых версиях ОС.

Рекомендации: Чтобы устранить ошибки печати, выполните следующие действия:

1. Вызовите диалоговое окно настройки параметров сервера печати. Для этого в окне "Принтеры и факсы" выберите команду "Свойства сервера" в меню "Файл".

2. Перейдите на вкладку "Драйверы" и удалите элемент "Microsoft enhanced Point and Print compatibility driver".

3. В программе Проводник перейдите к каталогу %systemroot%\system32\spool\drivers\<разрядность_ОС>\3\ и найди-те файл mxdwdrv.dll.

4. Убедитесь, что для файла указана версия продукта 6.3.* (выводится в диалоговом окне настройки свойств файла), после чего задайте для файла другое имя (например, mxdwdrv._dll).

5. Перейдите к каталогу %systemroot%\system32\spool\XPSEP, найдите в этом размещении файл mxdwdrv.dll и убе-дитесь, что для него указана версия продукта 6.0.*.

6. Скопируйте файл mxdwdrv.dll из каталога %systemroot%\system32\spool\XPSEP в каталог %systemroot%\system32\spool\drivers\<разрядность_ОС>\3\.

3.11. Контроль устройств

310. Если компьютер был заблокирован из-за подключения неразрешенного устройства, после отклю-чения устройства компьютер останется заблокированным до административного снятия блокировки.

311. Дисковод гибких магнитных дисков определяется по настройке в BIOS компьютера — незави-симо от физического наличия дисковода.

312. Не отслеживаются устройства, подключенные к последовательным и параллельным портам компьютера. Контролируются обращения пользователей к самим портам. В частности, при подклю-


30

чении к параллельному порту ZIP-дисковода, после установки драйверов все дальнейшие обраще-ния через порт выполняются из контекста системы.

Рекомендации: Для исключения возможности использования таких устройств установите запрет работы с портом для всех учетных записей и системы.

313. Для определения параметров сетевых карт используются их драйверы. Поэтому при выклю-

чении сетевого подключения будет фиксироваться удаление сетевой карты и наоборот.

314. Если для сетевого интерфейса в политике контроля устройств СЗИ Secret Net включен режим "Подключение устройства разрешено", такой интерфейс будет автоматически подключаться (активи-зироваться) при поступлении запросов со стороны системы (например, при изменении параметров

другого сетевого интерфейса, при загрузке компьютера и др.). Подключение будет происходить даже в том случае, если администратор отключил сетевой интерфейс стандартными средствами ОС.

Рекомендации: Для разграничения доступа к сетевым интерфейсам используйте средства управления СЗИ Secret Net. Если необходимо отключить сетевой интерфейс — включите для него режим контроля "Подключение устройства за-прещено" в политике контроля устройств СЗИ Secret Net.

315. В списке устройств политики контроля устройств некоторые сетевые карты могут быть вклю-чены в класс, не соответствующий типу сетевого интерфейса. Например, если для адаптера CNET

Pro200 PCI Fast Ethernet установлен стандартный драйвер Microsoft, этот сетевой интерфейс будет включен в класс "Беспроводное соединение (WiFi)" (правильный класс — "Соединение Ethernet"). Для исправления ситуации следует установить актуальный драйвер адаптера от производителя.

316. При регистрации доступа к дискам компьютера в записях о таких событиях могут фиксиро-ваться пути вида: K:\SnCP.log\:Docf_ Epgykx0vJecku24w1vbvh5k2Nh:$DATA. Это связано с тем, что программа Проводник делает попытки открывать в файлах альтернативные потоки данных, что ре-

гистрирует подсистема разграничения доступа к устройствам.

317. Если для устройства действует режим "Подключение устройства разрешено", при подключе-нии/отключении устройства кроме соответствующих событий может регистрироваться событие "Из-менены параметры действующей политики: политика доступа к устройствам".

318. При подключении нового устройства выполняется поиск первых установленных параметров вверх по иерархии списка устройств. Заданные параметры для класса или группы копируются для нового устройства (при этом явно заданные параметры имеют приоритет перед наследуемыми па-раметрами старших элементов иерархии). Это позволяет на этапе настройки сначала выполнить

подключение всех необходимых устройств и разрешить их использование, после чего для соответ-ствующих элементов иерархии можно установить запрет на добавление новых устройств.

319. Для некоторых устройств PCMCIA не отображается информация об устройстве. Как правило это происходит, когда само устройство не содержит необходимой информации.

320. Чтобы обеспечить контроль устройств для шины PCMCIA в Windows 2003 и выше, в систем-ном реестре должен быть добавлен дополнительный параметр: HKLM\SYSTEM\CurrentControlSet\Services\Pcmcia\Parameters\IoctlInterface : REG_DWORD : 1. Дан-ный параметр автоматически создается при установке СЗИ Secret Net 7.

321. При изменении конфигурации компьютера (а также программной среды - например, при установке, обновлении ПО Secret Net или при обновлении драйверов) при первой загрузке компь-

ютера может возникнуть ошибка функционального контроля на этапе контроля аппаратной конфи-гурации. Такая ошибка возникает однократно и при следующих загрузках проявляться не будет.

322. Подключаемое устройство может быть представлено в политике безопасности и в списке ап-паратной конфигурации как несколько устройств. Как правило, это происходит при подключении "составных" (composite) устройств (например, устройство My Book фирмы Western Digital). При за-прете подключения одного из компонентов такого устройства, блокируется подключение всего

устройства в целом или устройство становится неработоспособным для ОС. Если компоненты устройства не могут быть корректно отличены друг от друга подсистемой контроля устройств, то

работоспособность такого устройства может быть нарушена.

323. При импорте в групповую политику домена или организационного подразделения параметров политик, содержащих список устройств, для всех импортированных групп, классов, моделей и устройств принудительно включается режим "задать настройки контроля" (даже если он был от-

ключен для элементов списка устройств в экспортируемой политике).

324. Если в групповую политику домена или организационного подразделения импортируется мо-дель устройств и при этом в списке уже есть устройства, относящиеся к такой модели, то эти устройства останутся принадлежащими классу, а не модели. При этом после применения групповой политики на рабочей станции, в локальной политике такие устройства будут включены в модель.

Рекомендации: Если требуется импортировать параметры модели в групповую политику, которая уже содержит устройства этой модели, перед импортом добавьте модель для устройства с помощью команды контекстного меню.


31

325. Некоторые виды устройств (например, смартфон HTC S710) предоставляют возможность хра-нить и переносить данные, но в ОС не выступают в качестве диска или переносного носителя — т. е. устройство или его компонент не включается в класс "Хранение данных". При этом в программе Проводник есть возможность записать файлы на такое устройство. Текущая реализация подсистемы

разграничения доступа позволяет только разрешить/запретить подключение таких устройств.

Рекомендации: При необходимости исключить подключение внешних устройств, позволяющих несанкционированно сохранять и переносить данные, запретите подключение устройств (кроме разрешенных) для класса "USB | Прочие".

326. На компьютере под управлением ОС Windows Vista и выше для работы с группой устройств IEEE1394 необходимо установить обновление Windows6.0-KB953403-x86.msu. Файл с обновлением

содержится на дистрибутивном диске Secret Net 7.

327. На компьютере под управлением ОС Windows Vista и выше при подключении устройства со сменным носителем (CD/DVD) к IEEE 1394 при полном запрете по правам подсистемы разграниче-ния доступа для всех, но разрешенном подключении, в программе Проводник может появиться буква диска. Доступ к носителю при этом получить нельзя.

328. На компьютере под управлением ОС Windows Vista и выше возможна некорректная ассоциа-ция устройств на шине SD с локальными дисками. Это связано с различиями в версиях драйверов для контроллера SD. Администратор имеет возможность либо запретить, либо разрешить использо-

вание шины SD целиком.

329. На некоторых моделях компьютеров (например, модель ноутбука Fujitsu s761) подключаемые карты памяти ММС/SD определяются как сменные диски и добавляются в класс "Сменные диски" группы "Локальные устройства", а не в группу "Устройства Secure Digital". Это связано с особенно-стями реализации контроллеров на таких компьютерах. При этом подсистемы контроля аппаратной конфигурации и разграничения доступа к устройствам корректно обрабатывают эти устройства.

330. На компьютере под управлением ОС Windows Vista и выше игнорируется появле-ние/исчезновение устройства RAS Async adapter. Это устройство является программным и не несет

угрозу безопасности.

331. На компьютере под управлением ОС Windows Vista и выше при запуске программы со смен-

ного носителя ОС копирует файл во временный каталог пользователя и оттуда производит запуск файла. Подсистема разграничения доступа в этом случае не регистрирует доступ на исполнение к файлу со сменного носителя.

332. На компьютере под управлением ОС Windows Vista и выше при установленном запрете досту-па на исполнение для подключаемых дисков (подсистемой разграничения доступа) действие "Open(O)" в программе Проводник будет вызывать ошибку "Нет доступа". Причина заключается в

том, что при выполнении данного действия программа Проводник осуществляет попытку открыть на исполнение файл autorun.inf. Действия "Open" и "Explore" выполняются корректно.

333. Подсистема контроля устройств не обнаруживает встроенный PCI-модем.

334. Диски, подключаемые по технологии iSCSI, отключаются при выключении компьютера и под-ключаются снова при его включении. Подсистема контроля устройств отслеживает данные собы-

тия. Если такое устройство установлено на контроль, при перезагрузке фиксируется изменение аппаратной конфигурации, что может привести к блокировке компьютера (в жестком режиме рабо-ты механизма контроля аппаратной конфигурации).

Рекомендации: Не устанавливайте на контроль диски, взаимодействие с которыми осуществляется по технологии iSCSI.

335. При использовании RAID-массива дисков подсистема контроля устройств контролирует мас-сив как один физический диск. Вследствие этого некоторые внутренние операции с дисками в мас-сиве (например, замена одного из дисков) могут не контролироваться подсистемой.

Примечание: Для большинства RAID-контроллеров предоставляется возможность настройки с помощью собственных программных средств управления. В частности, такими программными средствами можно отключить автоматическое вос-становление массива при смене диска (для защиты от подмены). Кроме того, для обеспечения защиты данных следует реализовать соответствующие меры контроля физического доступа к компьютеру с RAID-массивом.

336. Из-за особенностей работы драйверов аппаратного обеспечения в ОС Windows возможны си-туации, когда разрешенные для использования подключенные устройства могут не появляться в

системе после перезагрузки. Такое поведение характерно для устройств, подключенных к шине или на некоторых контроллерах шины SecureDigital (например, Texas Instruments). Чтобы устрой-ство появилось в системе после перезагрузки, как правило, достаточно его отключить и подклю-чить заново.

337. После подключения жесткого диска возможно срабатывание контроля аппаратной конфигу-рации на изменение памяти компьютера. Такое может произойти при использовании некоторых

контроллеров (например, IDE Controller Marvell), которые резервируют для своей работы незначи-тельное количество памяти (8 КБ).


32

338. В некоторых случаях в журнале может зарегистрироваться большее количество событий под-ключения одинаковых устройств, чем количество устройств, отображенных в диалоге утверждения аппаратной конфигурации.

339. Для устройств, подключаемых к шине IEEE1394 во время работы компьютера (динамический контроль), фактом подключения устройства считается команда операционной системы на старт устройству. Поэтому, если драйвер не установлен для конкретного устройства, то команды на старт

устройства не последует и подсистема контроля устройств не зафиксирует подключение. Кроме то-го, при запрете подключения в диспетчере устройств будет отображаться подключенное устрой-ство с ошибкой – т. к. устройство неработоспособно.

340. Для сетевых плат и устройств аппаратной поддержки Secret Net во время спящего режима не фиксируется изменение аппаратной конфигурации. Во время работы допускается отключение и подключение ранее утвержденного адаптера без регистрации событий отключения и подключения.

341. Если для сетевого адаптера включен режим контроля "Устройство постоянно подключено к компьютеру" с параметром "Блокировать компьютер при изменении устройства", то при выходе из

спящего режима компьютер может быть заблокирован. Это связано с изменением конфигурации сетевых интерфейсов непосредственно при выходе из спящего режима, так как операционная си-стема в некоторых случаях продолжает процесс отключения интерфейсов, после чего снова их подключает. Отследить включение и отключение спящего режима можно по регистрируемым собы-

тиям в журнале Secret Net.

Рекомендации: Чтобы отключение сетевого адаптера, связанное с выходом компьютера из спящего режима, не вос-принималось системой как изменение аппаратной конфигурации, включите для этого адаптера режим контроля "Под-ключение устройства разрешено".

342. Из-за особенностей применения параметров контроля для сетевых адаптеров (асинхронность включения и отключения при применении политики) возможны ситуации, когда после перевода се-тевого интерфейса из режима контроля "Подключение устройства запрещено" в режим "Устройство

постоянно подключено к компьютеру" с параметром "Блокировать компьютер при изменении устройства" — произойдёт блокировка компьютера.

Рекомендации: Чтобы не произошла блокировка в такой ситуации, при переключении режимов сначала отключите па-раметр "Блокировать компьютер при изменении устройства", примените политику и затем включите действие параметра.

343. На компьютере под управлением ОС Windows Vista и выше, если в ОС включен механизм управления учетными записями (User Account Control — UAC), не действуют права доступа к устройствам, заданные для группы локальных администраторов. Если доступ к устройству разре-

шен только для группы локальных администраторов — доступ будет блокироваться для всех поль-зователей, включая и администраторов. Такое поведение является следствием работы механизма управления учетными записями UAC.

Рекомендации: Для предоставления прав доступа к устройствам используйте любые другие учетные записи.

3.12. Подсистема аппаратной поддержки

344. В Secret Net 7 отсутствуют специальные функции для смены PIN-кода (пароля) в USB-ключе.

Рекомендации: Чтобы сменить PIN-код (пароль) в USB-ключе, используйте соответствующее ПО.

345. Если в памяти электронного идентификатора содержался пароль, превышающий 16 символов, при его замене паролем меньшей длины, в памяти идентификатора останется структура, необходимая для хранения пароля прежней длины. Это может привести к дефициту памяти идентификатора.

Рекомендации: В случае дефицита памяти идентификатора по указанной выше причине, необходимо выполнить ини-циализацию идентификатора или заново выполнить процедуру присвоения идентификатора пользователю.

346. Если на компьютер с ОС Windows XP был выполнен терминальный вход, то следующий ло-кальный вход можно выполнить только с вводом имени и пароля пользователя.

347. Если для сменного носителя ни разу не выполнялась процедура присвоения, в диалоге предъявления идентификатора этот носитель будет отображаться без номера.

348. Из-за особенностей реализации ПО для идентификаторов JaCarta ГОСТ (например, в версии 1.5.3.444) для обеспечения совместной работы с этим типом устройств необходимо установить ПО для идентификаторов JaCarta PKI.

349. Если идентификатор Rutoken подключен до загрузки системы, он может отсутствовать в списке вставленных идентификаторов при усиленной аутентификации по ключу. В этом случае следует отключить и снова подключить идентификатор.


33

350. Работу с USB-ключами (iKey, Rutoken, JaCarta или eToken) обеспечивает системная служба "Смарт-карты" (ScardSvr.exe). Если эта служба не запущена, использование USB-ключей невоз-можно.

Примечание: После удаления ПО Rutoken для службы "Смарт-карты" принудительно устанавливается тип запуска "Вручную". Это приводит к невозможности входа с использованием других USB-ключей (iKey, JaCarta или eToken) на данном компьютере. Чтобы обеспечить нормальную работу системы с USB-ключами, установите для службы "Смарт-карты" тип запуска "Авто".

351. Если инициализация идентификатора eToken выполняется средствами СЗИ Secret Net 7, из идентификатора удаляются только данные Secret Net и ПАК "Соболь". Полная очистка памяти идентификатора не осуществляется. Для форматирования с очисткой памяти идентификатора необходимо выполнить процедуру его инициализации с помощью ПО eToken PKI Client.

352. На компьютере под управлением ОС Windows XP/2003 при использовании идентификаторов Rutoken ЭЦП или Rutoken Lite система может не реагировать на предъявленный идентификатор по-сле его первого использования в текущем сеансе. Например, при входе пользователя в систему с

использованием идентификатора, последующая работа с идентификатором в программах управле-ния или попытки разблокировки пользовательского сеанса будут неуспешны. Данная особенность связана с ошибками функционирования драйверов производителя идентификаторов.

353. При нестабильном функционировании идентификаторов Rutoken рекомендуется обновить их драйверы на версии, размещенные на компакт-диске комплекта поставки в каталоге \Tools\RuToken\.

354. На компьютерах с установленным ПО СЗИ Secret Net 7 для использования USB-ключей или смарт-карт при удаленном подключении рекомендуется отключать режим "Смарт-карты" в пара-

метрах подключения (в разделе выбора локальных устройств и ресурсов). Иначе в терминальных сессиях возможны сбои выполнения операций разблокировки компьютера или управления иденти-фикаторами.

355. При использовании для терминального входа идентификатора ESMART возможна длительная задержка обработки идентификатора, приводящая к сбою процесса входа.

Рекомендации: Чтобы обеспечить корректный вход в систему, можно увеличить время ожидания завершения опера-ций при терминальном входе. Для этого в ключе системного реестра HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp создайте параметр LogonTimeout типа REG_DWORD со значением 120 (соответствует двум минутам). Данный параметр может не действовать в некоторых конфигурациях — например, в ОС Win-dows Server 2008 R2 при определенных условиях требуется специальное исправление от компании Microsoft (см. http://support.microsoft.com/kb/2617878/en-us).

3.13. Затирание данных

356. На компьютере под управлением ОС Windows Vista и выше, если включен механизм затира-ния данных, могут возникать задержки при определении впервые подключаемых USB-устройств (например, USB Flash-накопитель). Определение устройства может завершиться через несколько минут после его подключения. При этом все следующие подключения того же устройства будут вы-полняться без лишних затрат времени. Причина задержек — особенности протоколирования уста-

новки устройств Plug and Play в операционной системе. При установке драйвера устройства ОС многократно выполняет кеширование и перезапись системного файла логирования (до тысячи цик-лов и более), что увеличивает суммарное время обработки операций механизмом затирания.

Рекомендации: Для сокращения времени можно изменить уровень логирования операций ОС, включив режим записи только ошибок и предупреждений. Для этого в системном реестре создайте параметр LogLevel типа REG_DWORD (ес-ли он отсутствует) в ключе HKLM\Software\Microsoft\Windows\CurrentVersion\Setup и задайте этому параметру шестна-дцатиричное значение 0x00002020. Подробные сведения о назначении и использовании параметра см. http://msdn.microsoft.com/en-us/library/windows/hardware/ff550845(v=vs.85).aspx.

357. Механизм затирания данных по умолчанию не действует для файлов на диске с файловой систе-мой ReFS (доступна с версии Windows Server 2012), если для диска, папки или самого файла включен дополнительный параметр проверки целостности (Integrity streams). Это связано с особенностями ме-

тодики записи таких файлов — данные всегда записываются на новое место дискового пространства. Чтобы включить действие механизма затирания независимо от параметра проверки целостности, в ключе системного реестра HKLM\SYSTEM\CurrentControlSet\services\SnEraser\Parameters создайте па-

раметр DisableReFsIntegrityStream типа REG_DWORD с любым значением и перезагрузите компьютер. После этого драйвер механизма затирания при обращении к файлам будет сбрасывать их атрибуты проверки целостности, чтобы обеспечить затирание и предотвратить появление остаточных данных.


34

3.14. Клиент

358. В сетевом режиме функционирования СЗИ в некоторых случаях при перезагрузке или вы-ключении компьютера оповещение сервера безопасности об этом не выполняется. Это приводит к невозможности подключения компьютера к серверу безопасности в течение 2–3 минут после

предыдущего прекращения работы.

359. Размер журнала системы защиты меняется с шагом 64 Кб. Поэтому в случае, если макси-мальный размер журнала установлен в 64 или 128 Кб, система будет неверно определять его за-полнение на 80%.

Рекомендации: Устанавливайте значение максимального размера журнала не менее 512 Кб (для всех журналов).

360. На компьютере под управлением ОС Windows XP при обработке сведений о сессиях пользова-телей используется системная служба "Службы терминалов" (Terminal Services). По умолчанию данная служба функционирует (не отключена). В случае принудительного отключения службы в программу оперативного управления не передаются сведения об открытых пользовательских сес-

сиях на данном компьютере.

361. На компьютерах под управлением ОС Windows XP/2003 при усиленной аутентификации по ключу в стандартном режиме входа не контролируется принадлежность предъявленного ключевого носителя пользователю, а проверяется правильность считанного ключа.

362. Для создания дисков аварийного восстановления для механизма защиты дисков поддержи-ваются USB Flash-накопители объемом до 4 Гб.

363. На компьютере под управлением ОС Windows XP некоторые модели приводов могут не под-держиваться мастером создания диска аварийного восстановления (например, внешние приводы для записи дисков CD-R, подключаемые через USB-порт). Для таких устройств в мастере блокиру-ется возможность записи непосредственно на носитель.

Рекомендации: Установите обновление KB932716, распространяемое компанией Microsoft (подробные сведения см. http://support.microsoft.com/?kbid=932716).

364. Программа снятия защиты жестких дисков, запускаемая при загрузке компьютера с диска аварийного восстановления, не поддерживает работу с GPT-дисками (размеченными как GUID Par-

tition Table — GPT). Отключение защиты GPT-дисков необходимо выполнять после загрузки ОС с помощью штатных средств, а при невозможности их использования — с помощью программы-мастера аварийного восстановления TblRescue.exe в каталоге установки клиента.

365. При использовании механизма защиты дисков для виртуальной машины рекомендуется созда-вать загрузочный диск аварийного восстановления на компакт-диске или в виде образа компакт-диска. Возможность загрузки с USB-Flash-накопителя может не поддерживаться виртуальной машиной.

366. Система Secret Net контролирует запись информации на оптические диски при условии ис-пользования штатных средств операционной системы. Некоторые программы, имеющие функцию

записи оптических дисков, используют собственные драйверы управления устройствами. Напри-мер: Daemon Tools, Power Archiver Pro, Alcohol 120%. С помощью таких программ пользователи мо-гут осуществлять запись оптических дисков в обход механизма теневого копирования. Для обеспечения гарантированного контроля не устанавливайте на компьютеры ПО сторонних произ-

водителей, позволяющее записывать оптические диски (установка ПО разрешается только пользо-вателям, обладающим правами администратора).

367. Если для сменного диска включен режим теневого копирования, реакция подсистемы на по-пытку записи файла большего размера, чем свободное пространство на диске, зависит от версии ОС и используемой программы. Для такого события в журнале Secret Net может не регистрировать-

ся ошибка записи. Дубликат непоместившегося файла будет либо отсутствовать в хранилище тене-вого копирования, либо представлен в виде файла урезанного объема (сколько было записано программой на диск до момента переполнения).

368. На компьютере под управлением ОС Windows Vista если для сменного диска включен режим теневого копирования, в хранилище могут создаваться копии файлов не только при записи на сменный диск, но и при копировании файлов с этого диска в программе Проводник. Это связано с

особенностями обработки файлов в данной версии ОС - программа Проводник при копировании от-крывает исходный файл с правом на запись.

369. В некоторых случаях при включенном режиме теневого копирования для устройства записи оптических дисков может блокироваться операция форматирования чистого компакт-диска в фор-мате файловой системы LFS (Live File System, реализация формата Universal Disk Format на ОС Windows Vista и старше). Если форматирование блокируется при отключенном режиме теневого

копирования, проверьте наличие предоставленных прав (разрешений) записи для устройства.


35

370. В режиме "аудит пользовательских приложений" (включен по умолчанию) механизма "Кон-троль приложений" для некоторых процессов в журнале могут регистрироваться только события "Завершение процесса" без предварительной регистрации событий запуска. Например, событие запуска может не регистрироваться для системного процесса rundll32.exe, хотя завершение этого

процесса фиксируется в журнале. Данная особенность связана с тем, что запуск таких процессов выполняется от имени системы, а завершение происходит в контексте пользователя. При необхо-димости регистрации запуска подобных процессов включите режим "аудит пользовательских и си-

стемных приложений". При этом нужно учитывать, что указанный режим увеличивает нагрузку на ядро Secret Net и может приводить к переполнению журнала записями о таких событиях.

3.15. Сервер безопасности*

371. Сетевое соединение с сервером безопасности осуществляется через порт 443 (стандартный порт SSL). На стороне клиента порт выбирается динамически. На стороне сервера возможны сле-дующие конфликты использования портов:

если функционируют службы обновлений сервера SQL, ПО Apache, Skype, использующие тот

же порт. Сведения о привязке портов можно получить с помощью команды "netstat –aon";

если сервер безопасности функционирует на компьютере под управлением ОС Win-dows Server 2012 R2 с включенным компонентом Work Folders для роли File and Storage Ser-vices. В этом случае для обеспечения соединения с сервером или остановите работу службы

SyncShareSvc или смените порт, используемый по умолчанию компонентом Work Folders (см. https://blogs.technet.com/b/filecab/archive/2013/10/15/windows-server-2012-r2-resolving-port-conflict-with-iis-websites-and-work-folders.aspx).

372. Сертификат сервера безопасности в хранилище объектов централизованного управления должен совпадать с сертификатом, установленным в IIS. При замене сертификата в IIS, его необ-ходимо синхронизировать и в хранилище объектов ЦУ (AD/LDS — в зависимости от выбранного ва-

рианта установки сервера). Процедура выполняется в программе генерации сертификатов, входящей в состав ПО сервера безопасности.

373. Процедура архивирования журналов зависит от объема данных и может продолжаться до не-

скольких часов. При интенсивном наполнении журналов рекомендуется достаточно часто выпол-нять запуск процедуры архивирования (один раз в неделю и чаще).

374. При выполнении запросов к серверу безопасности возможно возникновение следующих ошибок: 1) 0x80070490 "Элемент не найден" ("Element not found"). 2) 0x00003E3 "Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения" ("The I/O operation

has been aborted because of either a thread exit or an application request"). Указанные ошибки могут происходить из-за потери сетевого соединения (физический разрыв, низкая пропускная способ-ность) или по причине высокой загруженности компьютеров, на которых установлены и одновре-

менно используются различные компоненты системы Secret Net 7.

Рекомендации: Для налаживания бесперебойной работы рекомендуется:

1. Не использовать контроллер домена в качестве сервера безопасности.

2. Распределить IIS и сервер СУБД по различным компьютерам.

3. Не запускать на компьютере с сервером безопасности программу оперативного управления.

4. В программе оперативного управления увеличить значения следующих параметров для сервера безопасности, аген-тов и самой программы: "Время ожидания разрешения имен DNS", "Время ожидания соединения с сервером", "Время ожидания отправки запроса на сервер", "Время ожидания начала передачи следующего блока", "Время ожидания собы-тия для рабочей станции" и "Время ожидания сервером ответа на контрольный запрос".

375. При возникновении ошибок типа "класс не зарегистрирован" ("class not registered") во время получения журнала или отчета, либо ошибок применения групповых политик "AsyncCallbackApplyPoliciesCommand() Ошибка:Unknown error 0xE06D7363..." это может быть связа-

но с отсутствием установленного компонента MS XML Parser нужной версии. Для устранения ошибок

установите указанный компонент версии 4.0 или выше. Установку компонента можно выполнить с установочного компакт-диска системы Secret Net из каталога \Tools\Microsoft\MsXml 4.0 SP4\.

376. Если при запуске сервера безопасности возникает ошибка ORA-12516 "Нет соединения с БД", это может быть связано с нехваткой обрабатывающих потоков в СУБД Oracle. В этом случае требу-ется увеличить количество обрабатывающих потоков на сервере СУБД. Для этого выполните вход в сеанс командной строки Oracle с ролью SYSDBA и запустите команду "alter system set processes =

100 scope=spfile". После успешного выполнения команды перезагрузите сервер.

377. Для работы сервера безопасности на сервере IIS нельзя использовать несколько рабочих процессов для пула приложений (определяется в оснастке управления IIS) — иначе при соедине-нии с сервером безопасности будет возникать ошибка 0x000005B4. При возникновении данной


36

ошибки проверьте значение параметра "Maximum number of worker processes" в диалоговом окне настройки DefaultAppPool, вкладка Performance, и при необходимости укажите значение 1.

378. При значительной нагрузке на сервер безопасности (порядка 3000 подключенных агентов и более) возможны отказы в обслуживании со стороны сервера IIS, если задано недостаточное зна-чение для параметра appConcurrentRequestLimit. Данный параметр определяет максимальное коли-

чество одновременных запросов к IIS.

Рекомендации: Если при попытках соединения с сервером безопасности на клиентах возникает ошибка HTTP 503.2 "Concurrent request limit exceeded", увеличьте значение параметра appConcurrentRequestLimit на сервере IIS. Напри-мер, укажите значение 100 000 (по умолчанию 5 000). Для этого в режиме командной строки введите команду: %WINDOWS%\System32\inetsrv\appcmd.exe set config /section:serverRuntime /appConcurrentRequestLimit:100000

379. Сервер безопасности текущей версии не может иметь в подчинении серверы предыдущих версий или подчиняться им. Возможно подчинение агентов версий 5.Х и 6.Х при условии установ-ленного на сервере безопасности ПО средств поддержки клиентов предыдущих версий.

380. После подчинения компьютера с установленным клиентским ПО Secret Net версии 6.5 серве-ру безопасности текущей версии требуется перезагрузка сервера из-за изменения конфигурации

зарегистрированных лицензий.

381. Запрещается удалять права на запись в каталог для хранения временных файлов сервера безопасности (каталог указывается при установке сервера), предоставленные учетной записи "Network Service".

382. Для подключения к серверу безопасности компонентов оперативного управления (программ управления, агентов, дочерних серверов) требуется доступный DNS-сервер.

Рекомендации: Следите, чтобы в сети всегда был доступен сервер DNS.

383. Информация о НСД отправляется получателю почтовой рассылки блоками. В блок попадают события НСД, произошедшие примерно в одно и тоже время на рабочей станции. Если хотя бы од-но из событий подходит под условие отправки почтового уведомления, то получателю отправляет-ся весь блок НСД.

384. После удаления сервера безопасности все подчиненные ему агенты становятся "свободными".

Рекомендации: В программе оперативного управления выполните процедуру подчинения агентов другим серверам безопасности.

3.16. Отчеты

385. На компьютере под управлением ОС Windows Vista и выше при построении отчета по конфи-денциальным ресурсам в журнале приложений могут появляться ошибки Secret Net с сообщением об отказе в доступе. Это связано с тем, что в операционной системе закрыт доступ к некоторым си-

стемным каталогам (не только для рядовых пользователей, но и для администратора).

386. В отчете "Паспорт ПО" сохраняются сведения о установленных программных продуктах. Наиболее полные сведения сохраняются о продуктах, установленных по технологии MSI.

387. Отчеты сохраняются в файлы формата RTF. Для загрузки содержимого rtf-файлов рекомендуется использовать редактор Microsoft Word. Не рекомендуется загружать файл отчета во встроенный редак-тор ОС Windows WordPad, т. к. в этом редакторе возможны искажения оформления. При отсутствии ре-дактора Microsoft Word, для просмотра и печати rtf-файлов можно использовать средство просмотра Word Viewer. Данное приложение распространяется бесплатно и доступно для загрузки на

веб-узле компании Microsoft: http://www.microsoft.com/downloads/details.aspx?familyid=3657CE88-7CFA-457A-9AEC-F4F827F20CAC&displaylang=ru

388. Для локального построения отчета "Ресурсы рабочей станции" и включения в отчет инфор-мации о конфиденциальных ресурсах, пользователь, который запрашивает отчет, должен обладать

максимальным уровнем допуска.

389. В автономном режиме функционирования СЗИ для построения отчета "Ресурсы рабочей стан-ции" с информацией о зарегистрированных доменных пользователях, формирование отчета необ-ходимо выполнить доменным пользователем.

390. В отчете "Паспорт ПО" фиксируются ошибки доступа к файлам, возникшие при формирова-нии отчета в процессе расчета контрольных сумм.

3.17. Программа оперативного управления*

391. В записях журналов имена компьютеров могут отображаться со знаком "$". Наличие или от-сутствие знака обуславливается типом учетной записи компьютера: доменная или локальная учет-ная запись.


37

392. Если программа оперативного управления подключена к серверу безопасности, который ис-пользует Active Directory для хранения объектов централизованного управления (домен безопасно-сти соответствует домену AD), в текущем сеансе работы автоматическое обновление данных об объектах будет выполняться только в пределах этого домена. Для получения актуальных данных

об объектах других доменов (например, после добавления или удаления новых агентов, серверов) следует запустить процесс обновления вручную.

393. В программе оперативного управления если в параметрах правила рассылки не отмечено ни одной категории событий, система считает, что правилу удовлетворяют все категории.

394. В некоторых случаях система не может установить тип пользовательской сессии на защи-щаемом компьютере, и из-за этого в программе оперативного управления отображается значение "не определен".

395. Описания событий в записях журналов могут быть представлены как на русском, так и на ан-глийском языке — в зависимости от локализации операционной системы компьютера, на котором произошло событие.

396. При восстановлении в базе данных записей одного и того же архива происходит дублирова-ние записей (столько раз, сколько выполнялось восстановление).

397. При настройке параметров рассылки почтовых уведомлений действуют следующие условия для указания адреса электронной почты в поле "От кого":

строка может содержать только латинские символы и знаки пунктуации;

для добавления спецсимвола (в том числе пробела), перед символом указывается знак "\". Например: This\ is\ a\ server\ mail.

398. Если при загрузке записей журнала сервера безопасности настраивается фильтрация по времени, заданный временной интервал относится не к записям, а к времени регистрации сессий.

399. Если изменилось имя агента (в частности, из-за переименования компьютера), то при за-просе журналов для этого агента, не будут доступны записи, зарегистрированные до переимено-вания. Чтобы отобразить все записи, можно в поле "Компьютер" ввести старое и новое имя агента

через запятую. Кроме того, можно получить все записи, отключив применение фильтра по имени

компьютера.

400. Для загрузки журналов из больших архивов программе управления может потребоваться значительный объем оперативной памяти. При недостатке оперативной памяти для получения за-писей из архивов рекомендуется воспользоваться функцией поиска по архивам. Фильтр поиска позволяет указать имя компьютера, типы журналов и событий, время и другие параметры, с помо-

щью которых можно получить относительно небольшую выборку записей для просмотра на компь-ютерах с ограниченным объемом оперативной памяти.

401. Если в параметрах программы каталог для временных файлов указан с использованием пе-ременной окружения (например, %Temp%), имя переменной должно начинаться с символа в верх-нем регистре. Иначе возможно возникновение ошибки при запуске программы.

402. Если сервер безопасности установлен на компьютере под управлением ОС Windows Server 2008 и выше, подключение к нему программы оперативного управления на этом же компьютере может блокироваться с ошибкой из-за недостаточных привилегий пользователя.

Ошибка возникает при следующих условиях:

в операционной системе включен механизм управления учетными записями (User Account Control — UAC);

группой администраторов домена безопасности является группа администраторов домена Windows;

запустивший программу пользователь был добавлен в группу администраторов (не является

первичной учетной записью администратора домена Windows).

Примечание: Ограничение административных прав пользователя является следствием работы механизма UAC.

Рекомендации: Для подключения к СБ используйте другой компьютер с установленной программой оперативного управления или выполняйте запуск с правами пользователя, который является первичной учетной записью админи-стратора домена Windows.

403. Заданные параметры фильтра событий НСД и трассировки не применяются на компьютерах с установленным клиентским ПО системы Secret Net версии 7.0 и ниже.

404. Для подчиненных агентов версии 7.2 в групповых политиках серверов безопасности, орга-низационных подразделений и доменов можно задать в явном виде только параметры, которые применялись в указанной версии системы Secret Net. Параметры политик, которые были реали-зованы начиная с версии 7.3, необходимо оставить незаданными. В текущей версии "новыми" параметрами для версии 7.2 являются, в частности, параметры дискреционного управления до-

ступом, отдельные параметры контроля приложений, перенаправления принтеров в RDP-


38

подключениях, а также параметры группы "Фильтр НСД". Если в программе оперативного управ-ления в групповой политике задан хотя бы один из таких параметров, на агенте версии 7.2 не будут действовать и все остальные параметры этой политики.

Примечание: На агенте версии 7.2 сбой применения групповой политики из-за наличия "новых" параметров характери-зуется следующими проявлениями:.

в журнале Secret Net не регистрируется событие "Групповые политики успешно применены";

если включена трассировка, в логе агента фиксируется ошибка "Неизвестный параметр политики".

Рекомендации: Для корректного применения параметров обновите ПО клиента на текущую версию. В качестве вре-менного решения для применения групповых политик на агентах версии 7.2 можно использовать следующие варианты:

настраивать "новые" параметры только в стандартных оснастках ОС Windows для управления групповыми полити-ками доменов и организационных подразделений;

установить на агентах версии 7.2 обновленные программные модули, которые обеспечивают в этой версии кор-ректную обработку параметров групповых политик, заданных в программе ОУ текущей версии. Дополнительные сведения и файлы предоставляются службой технической поддержки компании "Код Безопасности" по запросу.

3.18. Запрет вторичного входа в систему

405. Имеются следующие особенности применения параметра групповых политик "Вход в систе-му: Запрет вторичного входа в систему":

если применение политики происходит при работе компьютера — новое значение параметра

начнет действовать со следующей загрузки компьютера;

в сетевом режиме функционирования СЗИ если в групповой политике параметр был изме-нен при выключенном компьютере — новое значение параметра начнет действовать со вто-рой (после изменения настройки) загрузки компьютера.

406. На компьютере под управлением ОС Windows Vista и выше для блокирования возможности запуска приложений от имени администратора принудительно изменяется значение стандартного параметра безопасности ОС Windows "Контроль учетных записей: поведение запроса на повыше-

ние прав для обычных пользователей". Данному параметру присваивается значение "Автоматиче-ски отклонять запросы на повышение прав".

Рекомендации: Не изменяйте значение указанного параметра (и не задавайте данный параметр в групповых полити-ках), чтобы исключить возможность выполнения действий с вводом учетных данных пользователя, который не выпол-нил интерактивный вход в систему.

407. При включенном режиме запрета вторичного входа в журнале Secret Net регистрируются со-бытия "Запрет сетевого подключения под другим именем", которые являются результатом попыток

открытия сетевых ресурсов от имени пользователя, не выполнившего интерактивный вход в систе-му. События отказа запуска ПО от имени другого пользователя не регистрируются в журнале Se-cret Net.

408. Для компьютеров под управлением ОС Windows XP/2003. После включения действия пара-метра "Вход в систему: Запрет вторичного входа в систему" дополнительно рекомендуется исклю-чить возможность использования ранее сохраненных учетных данных. Для этого раскройте узел

"Параметры безопасности | Локальные политики | Параметры безопасности" и включите действие стандартного параметра безопасности ОС Windows "Сетевой доступ: не разрешать сохранение учетных данных или цифровых паспортов .NET для сетевой проверки подлинности пользователя".

В противном случае у пользователя останется доступ к тем сетевым ресурсам, к которым был со-хранен пароль.

ООО "КОД БЕЗОПАСНОСТИ"

Почтовый адрес: 115127, Москва, а/я 66

Телефон: (495) 982-30-20

E-mail: [email protected]

Web: http://www.securitycode.ru