Меню

Отключение Dallas lock 8 через командную строку 2020

Отключение Dallas lock 8 через командную строку 2020

Описание ситуации:

В процессе аттестации приличного количества АРМ по требованиям ФСТЭК приняли решение «ускорить» процесс залива компов через клонирование системы. Использовали Acronis, клонировали Windows 10 Pro в составе со всем входящим в состав аттестации ПО. Ошибка пришла откуда не ждали, и даже сотрудники аттестующей организации, помогающие в подготовке АРМ к аттестации ни о чем не предупредили. Как итог

60% компов в течении трех месяцев вернулись в админскую со слетевшим загрузчиком без возможности восстановления работоспособности стандартными способами. Виной всему стал установленный на момент создания клона системы Dallas Lock 8-K.

p, blockquote 1,0,0,0,0 —>

Диск восстановления Dallas lock не всегда под рукой. Кроме того в ситуации с клонами оказалось что он ещё и не всегда помогает. К слову по данной инструкции процент успеха тоже не идеальный. Около 5 компов из

40 вернувшихся в админскую удаление Dallas Lock не спасло и пришлось заливать всю систему и ПО с нуля.

p, blockquote 2,0,0,0,0 —>

Стартовые условия: Windows 10 Pro при загрузке падает сразу в диагностику, восстановления загрузчика не работают, восстановление системы не прокатывает, в безопасный режим загрузиться не можем и всё что нам остаётся — режим командной строки.

p, blockquote 3,0,0,0,0 —>

Собственно предвещая подобные проблемы с остальной частью компов, чтобы не искать данную инструкцию в будущем, я и публикую её у себя на сайте. Инструкция актуальна для версий Dallas Lock-K и C вплоть до 8.0.565.2

p, blockquote 4,0,0,0,0 —>

UPD 08.04.2021 — данная инструкция так же подойдёт и для отключения Далласа при ошибке «Разблокировать компьютер может только вошедший пользователь». Ошибка возникает после установки Dallas Lock-K и C на обновлённую до релиза 20H2 десятку. К сожалению, в данный момент единственный способ ставить старый даллас в таком случае — использование LTSC дистрибутива. Можно попробовать попросить у разрабов более свежую версию далласа, если у вас ещё действует код технической поддержки, но лично в нашей организации он уже истёк, а контролирующие органы утверждают что версия без этой ошибки пока не прошла сертификацию…Но всё равно попробуйте запросить свежий дистрибутив.

p, blockquote 5,0,1,0,0 —>

Отключение Dallas Lock 8

Проверено лично, сработает на системах под управлением Windows Vista/7/8/8.1/10/2008/2008R2/2012/2012R2.

p, blockquote 6,0,0,0,0 —>

В Windows 10 довольно просто попасть в командную строку через среду восстановления и диагностики, в Windows 7 и ниже потребуется тыкать F8 до загрузки системы и прожать пункт «Устранение неполадок компьютера». Если есть Hirens boot — отлично, советую вообще всем держать подобную флешку на всякий пожарный.

p, blockquote 7,0,0,0,0 —>

Отключение Dallas lock 8

Попытку системы восстановиться автоматически можно смело прервать и вызвать меню дополнительных вариантов восстановления, там мы и найдем командную строку на старых версиях Windows.

p, blockquote 8,0,0,0,0 —>

Отключение Dallas lock 8

С помощью утилиты Diskpart заранее определите диск, на котором у вас установлен Dallas Lock. Буква диска с установленной системой может не совпадать с той что вы ранее видели в ОС. Порядок команд:

p, blockquote 9,0,0,0,0 —>

  • Diskpart
  • List vol
  • Для выхода из утилиты пишем Exit

Отключение Dallas lock 8

После получения доступа к файловой системе необходимо подменить
системные файлы. После получения доступа к файловой системе необходимо зайти в папку System32, например с помощью команды «cd %windir%\system32» и ввести следующие команды:

p, blockquote 10,0,0,0,0 —>

  • «ren dlautp.dll dlautp_.dll»;
  • «copy msv1_0.dll dlautp.dll»;
  • «ren dlkerber.dll dlkerber_.dll»;
  • «copy kerberos.dll dlkerber.dll»;
  • «ren dllives.dll dllives_.dll» (Этот файл часто отсутствует, не страшно если его нет);
  • «copy livessp.dll dllives.dll»10 (Может отсутствовать);
  • «ren dlcloud.dll dlcloud_.dll (только для Windows 10)»;
  • «copy cloudAP.dll dlcloud.dll (только для Windows 10)».

Для отключения драйвера МЭ (при установленной версии с МЭ или МЭ и СОВ) необходимо выполнить команду «cd %windir%\system32\drivers» и ввести следующую команду «ren
dlfirewall.sys dlfirewall.off».

p, blockquote 11,1,0,0,0 —>

Теперь можно залезть в реестр с помощью команды regedit. Руководство Dallas Lock утверждает что после операций с подменой системных файлов ОС уже должна загружаться в безопасном режиме, однако на моей практике такое иногда случалось лишь на Windows 7. В редакторе реестра следует проделать следующие операции:

p, blockquote 12,0,0,0,0 —>

Для Windows Vista/2008/7/2008R2:
Изменить значение на «0» параметра «Disabled» по пути: «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers<6f45dc1e-5384-457a-bc13-2cd81b0d28ed>»
Для Windows 8/8.1/2012/2012R2/10 «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\ <60b78e88-ead8-445c-9cfd-0b87f74ea6cd>».

p, blockquote 13,0,0,0,0 —>

Удалить ветку реестра «<9123E0C2-FF5E-4b38-BAB9-E2FA800D2548>» по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Authentication\Credential Providers».

p, blockquote 14,0,0,0,0 —>

Полностью удалить из реестра следующие разделы:

p, blockquote 15,0,0,0,0 —>

  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlCrypt»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlDisk»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlFlt»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlHwCtrl»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dlfirewall»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlLwf»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DllPSService»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLCRYPT»;
  • «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLFlt»;
  • «HKEY_CLASSES_ROOT\DaLoDisk»;
  • «HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DaLoDisk».

Для удаления разделов из ветки «Root» необходимо изменить права доступа для текущего пользователя (удобно сделать это не для каждого ключа, а для ветки «Root»).

p, blockquote 16,0,0,0,0 —>

Изменить значение ключа «UpperFilters» в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4D36E967-E325-11CE-BFC1-08002BE10318>» вместо «DlDisk PartMgr» следует оставить «PartMgr».

p, blockquote 17,0,0,1,0 —>

Необходимо удалить значение «dlhwctrl» для ключей в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class…» в тех разделах, в которых он имеется. Для этого можно воспользоваться поиском по ветке реестра (функция «Найти…» в контекстном меню и кнопка F3 для перехода к следующей записи).

p, blockquote 18,0,0,0,0 —>

Необходимо удалить значение «DlDisk» для ключа UpperFilters в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4D36E965-E325-11CE-BFC1-08002BE10318>».

p, blockquote 19,0,0,0,0 —>

Необходимо удалить значение «DlDisk» для ключа UpperFilters в ветке «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4D36E980-E325-11CE-BFC1-08002BE10318>».

p, blockquote 20,0,0,0,0 —>

Необходимо изменить значение ключа UpperFilters в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4D36E96B-E325-11CE-BFC1-08002BE10318>» вместо «kbdclass DlFlt» следует оставить «kbdclass».

p, blockquote 21,0,0,0,0 —>

Да, жутко много и муторно, но это всё. Перезагружаемся и проверяем, Dallas Lock должен быть отключен и функции восстановления системы теперь работают в штатном режиме хотя чаще всего система грузится и без них.

p, blockquote 22,0,0,0,0 —>

Заключение

В случае успешной загрузки операционной системы идем в программы и компоненты и удаляем вредителя окончательно. Затем долго думаем о том ставить ли его обратно. Шучу конечно же, не поставите так к вам тут же нагрянет с проверкой ФСТЭК. Сама СЗИ конечно дрянь полная, свою роль выполняет, но кому это нужно? Бессмысленная трата государственных и частных денег имхо.

Читайте также:  Дизельный компрессор Атлас Копко U175 в Москве

Источник



Быстрая установка и настройка прав пользователей Dallas Lock 8.0К

В данной статье расскажу про средство защиты информации DallasLock. Расскажу настройку прав пользователей.

DL — система защиты информации (или СЗИ) от несанкционированного доступа. В процессе хранения и обработки информации.
DL — это программный комплекс, который используется для автоматизированных систем.
Данное средство защиты может быть установлено на любые компьютеры, которые работают на базе Windows, Linux.
Версия СЗИ 8.0 32-битные операционные системы, после этого версия 8.0 (сборка 195) — 32 и 64-битные версии.

DL — это сертифицированное ФСТЭК, лицензионное СЗИ.

Использование:
DL — Используют для защиты компьютеров без централизованного управления, то есть несколько отдельных компьютеров. Администрирование возможно как удаленно, так и локально.
DL — защита компьютеров с централизованным управлением в сетях.

Установка DallasLock

Для установки данного СЗИ необходимо запустить приложение DalladLock8.0K.msi

Установка не должна вызывать особых вопросов. В ходе установки необходимо следовать подсказкам, также имеет возможность отмены действия.
В процессе установки необходимо ввести лицензионный ключ и код технической поддержки.
После установки программы необходимо перезагрузка ПК.

Далее вход может осуществить локальный пользователь, но уже с установленным на ПК средством защиты. После входа на рабочем столе появится ярлык оболочки администратора.

Регистрация пользователей DallasLock

Dallas Lock позволяет комплексно настроить права пользователей, время работы, пароли, то есть комплексно защитить рабочее место сотрудника.

Просмотр и редактирование учетных записей пользователей происходит на вкладке «Учетные записи».

  1. Пользователь, созданный средствами ОС Windows;
  2. Пользователь, созданный средствами DL8.0;
  3. Пользователь, созданных средствами службы Active Directory (если компьютер находится в ЛВС под управлением Контроллера домена);
  4. Пользователь домена;
  5. Пользователь гипервизора.

Перед созданием нового пользователя необходимо убедиться, что данная запись не дублируется.

Для создания пользователя OC Windows необходимо:

  1. Выбрать «Сервер безопасности» в дереве объектов.
  2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Учетные записи Windows».
  3. Нажать кнопку «Создать».
  4. В появившемся окне выбрать значение «Локальный» и ввести имя учетной записи.

После создания пользователя появится окно редактирования параметров учетной записи.

Вся информация о пользователи указывается во вкладке общие. Тут же ее можно редактировать. Далее, при создании нового пользователя, администратор имеет возможность создать группы пользователей.
Очень важной функцией является задание пароля пользователя.

Настройка прав пользователей DallasLock согласно требованиям о защите информации

Самая изюминка данного СЗИ заключается в том, что его можно настроить как для Автоматизированных систем (АС), Государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) по требованиям ФСТЭК.

Для редактирования прав пользователей необходимо перейти во вкладку «Параметры безопасности», далее «Права пользователей».

Автоматизированные системы

СЗИ Dallas Lock, при определенных настройках, сохраняет соответствие для классов защищенности автоматизированных систем согласно РД «Автоматизированные системы. Защита он несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»:

Государственные информационные системы

Dallas Lock может быть использовано в государственных информационных системах 1 класса защищенности. При определенных настройках СЗИ обеспечивает соответствие требованиям для государственных информационных систем, представленных в следующих методических документах:

  1. требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (Приказ ФСТЭК России от 11 февраля 2013 г. №17);
  2. меры защиты информации в государственных информационных системах (утверждены ФСТЭК России 11 февраля 2014 г.).

Согласно Приказу ФСТЭК России №17 определяются 3 класса защищенности:

К1, К2 и К3. Для классов защищенности устанавливаются базовые наборы мер защиты информации.

Информационные системы персональных данных

Dallas Lock может быть использовано в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн.
DallasLock соблюдает требования Приказа ФСТЭК России от 18 февраля 2013 г. №21. Согласно Приказу ФСТЭК России № 21 определяются 4 уровня защищенности персональных данных.

Рекомендации по настройке

Наиболее полные рекомендации по настройке Dallas Lock для соответствия требованиям о защите информации по классам находятся в официальном документе.

Размещаемая в данном документе информация предназначена для свободного ознакомления. Вся информация предоставляется «как есть», без гарантий полноты, актуальности, точности, а также без иных гарантий, которые могут подразумеваться. Вы используете получаемую информацию на свой страх и риск. Центр защиты информации ООО «Конфидент» оставляет за собой право вносить без уведомления любые изменения в данный документ, а также в программное обеспечение, которое описано в документе. Используя информацию, изложенную в данном документе, Вы выражаете своё согласие с «Отказом от ответственности» и принимаете всю ответственность, которая может быть на Вас возложена.

Источник

Обзор СЗИ НСД Dallas Lock Linux

Аватар пользователя Павел Городецкий

Обзор СЗИ НСД Dallas Lock Linux

Система защиты информации от несанкционированного доступа Dallas Lock Linux обеспечивает защиту рабочих станций и серверов под управлением Linux и сертифицирована на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ. Среди преимуществ Dallas Lock Linux — механизмы удаленного и централизованного управления, проверки подлинности клиентских частей СЗИ, централизованное управление, собственный механизм дискреционного доступа и аудита доступа и многое другое.

Сертификат AM Test Lab

Номер сертификата: 222

Дата выдачи: 25.04.2018

Срок действия: 25.04.2023

Введение

Одна из важных составляющих работ по обеспечению безопасности информационных систем — защита рабочих станций и серверов от несанкционированного доступа (НСД). Она заключается в контроле входа пользователя в систему, разграничении доступа, контроле целостности и т. д. На нашем рынке не так много сертифицированных продуктов, которые позволяют решать эти задачи.

Одно из таких решений — это система защиты информации от НСД Dallas Lock Linux. Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент» с 1992 года. СЗИ Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS, до распределенной системы, удовлетворяющей современным требованиям безопасности.

Продукты Центра защиты информации ООО «Конфидент» регулярно проходят сертификацию в системе сертификации ФСТЭК России, а также в отраслевых системах сертификации, а сама компания имеет соответствующие лицензии ФСБ России, ФСТЭК России, Роскомнадзора и Министерства обороны России.

Читайте также:  Hercules Strong 3D принтер или головная боль Отзыв владельца

СЗИ НСД Dallas Lock прошла сертификационные испытания на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ (сертификат соответствия ФСТЭК России № 3594 от 4 июля 2016).

СЗИ НСД Dallas Lock Linux — система защиты информации от несанкционированного доступа накладного типа, предназначенная для защиты конфиденциальной информации, в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно.

СЗИ НСД Dallas Lock Linux обеспечивает защиту рабочих станций и серверов под управлением ОС семейства Linux. При использовании совместно с СЗИ Dallas Lock 8.0 предназначенной для защиты Windows-платформ СЗИ Dallas Lock 8.0, возможно построение комплексной системы защиты информации в гетерогенной среде с централизованным управлением СЗИ Dallas Lock 8.0 и Dallas Lock Linux через Сервер безопасности Dallas Lock.

Архитектура и системные требования СЗИ НСД Dallas Lock Linux

Архитектура Dallas Lock Linux состоит из следующих подсистем:

  • Подсистема идентификации и аутентификации
  • Подсистема управления доступом
  • Подсистема гарантированной зачистки информации
  • Подсистема контроля устройств (аппаратной среды)
  • Подсистема контроля целостности
  • Подсистема регистрации и учета

Рисунок 1. Архитектура СЗИ НСД Dallas Lock Linux

Архитектура СЗИ НСД Dallas Lock Linux

СЗИ НСД Dallas Lock Linux работает на компьютерах под управлением следующих операционных систем семейства Linux:

  • Debian 7.11 х64 (systemd, версия ядра 3.18).
  • CentOS 7 x64 (версия ядра 3.18, 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
  • Red Hat Enterprise Linux Server 7 x64 (версия ядра 3.18, 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
  • Fedora 24 х64 (версия ядра 4.4, 3.18).
  • OpenSUSE 42 x64 (версия ядра 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
  • Ubuntu 16.04 x64 (версия ядра 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
  • ЛотОС2 2.1 x64 (версия ядра 3.18).
  • Alt Linux 8 (будет доступно в рамках планового обновления).

Изделие предназначено для использования на технических средствах (ТС), таких как: персональные компьютеры, портативные компьютеры (ноутбуки), сервера и ТС с поддержкой виртуальных сред (например, KVM).

Изделие поставляется в виде установочных пакетов для каждой из заявленных поддерживаемых операционных систем. В состав пакетов входит локальный клиент СЗИ НСД. Настройка и управление СЗИ НСД Dallas Lock Linux осуществляется через графическую (реализовано для Linux и Windows) или консольную оболочки администрирования.

Работа с СЗИ НСД Dallas Lock Linux

Установка продукта

Установка продукта осуществляется из стандартного для Linux пакета. При установке СЗИ НСД требуется скачивание дополнительных пакетов из глобальной сети. Если производится установка на автономный компьютер, необходимо, чтобы в локальной сети был расположен официальный репозиторий соответствующего дистрибутива операционной системы и были выполнены соответствующие настройки инфраструктуры.

Следует обратить внимание, что все сервисы, которые требуют создания пользователей в системе, рекомендуется устанавливать до установки СЗИ НСД. В противном случае, если после установки СЗИ НСД возникла необходимость установить какой-либо сервис, который требует создания в системе специального пользователя, можно создать его средствами СЗИ НСД (с флагом «системный») до установки сервиса. Необходимо учитывать, что этот способ может не привести к тому, что сервис установится корректно.

После установки системы защиты необходимо следить за сроком действия корневого и пользовательского сертификатов и при необходимости вовремя их обновлять. Данный сертификат используется для взаимодействия между системой защиты и консолью управления. Для проверки срока действия сертификата необходимо выполнить команду openssl x509 -noout -text -in . В результате выполнения команды будут предоставлены данные по сертификату, в том числе и срок действия.

Кроме установки самого СЗИ необходимо определить, каким образом будет осуществляться управление. Существует три возможных варианта управления:

  • локально установить оболочку администрирования (консольную и/или графическую);
  • установить графическую оболочку администрирования на АРМ под управлением Windows;
  • централизованным управлением через сервер безопасности Dallas Lock 8.0.

В нашем обзоре мы будем использовать локальную консольную и графическую оболочку администрирования.

Подсистема контроля целостности

Подсистема реализует контроль целостности аппаратной среды, целостность объектов файловой системы и целостность программных компонентов СЗИ, а также восстановление целостности для программных компонентов средства защиты информации.

Основу механизмов контроля целостности представляет проверка соответствия контролируемого объекта эталонному образцу. Для этого используются контрольные суммы.

Рисунок 2. Контроль целостности устройств СЗИ НСД Dallas Lock Linux

Контроль целостности устройств СЗИ НСД Dallas Lock Linux

В консольной оболочке администрирования ishl аналогичная настройка будет выглядеть следующим образом:

При использовании консольной оболочки администрирования необходимые команды можно записать в файл и вызвать их, выполнив следующую команду: ishl –f

Подсистема идентификации и аутентификации

Подсистема идентификации и аутентификации реализует механизмы проверки пользователей при каждом входе в операционную систему и в консольное приложение управления СЗИ НСД. Проверяется имя пользователя и пароль.

Подсистема содержит механизмы проверки качества (надежности) задаваемого пароля при его изменении пользователем.

Рисунок 3. Настройка пароля в СЗИ НСД Dallas Lock Linux

Настройка пароля в СЗИ НСД Dallas Lock Linux

В СЗИ НСД для усиления процедур идентификации и аутентификации возможно применение аппаратных идентификаторов. В идентификаторе может храниться ключ (сертификат) для усиленной аутентификации пользователя.

Подсистема управления доступом

Подсистема управления доступом реализует механизмы, направленные на разграничение доступа пользователей к защищаемым объектам — к объектам файловой системы и к накопителям информации.

СЗИ НСД Dallas Lock Linux позволяет гибко задавать пользователям права на доступ к защищаемым объектам. После задания прав пользователи могут работать только с теми объектами, доступ к которым им разрешен, и совершать над ними только санкционированные операции.

При настройке доступа к файлам и каталогам предусмотрено управление как классическими правами UNIX, так и списками расширенного контроля доступа через POSIX ACL.

Рисунок 4. Настройка прав доступа на файл в СЗИ НСД Dallas Lock Linux

Читайте также:  Инструкция по применению АСД 2 раствор для орального и наружного применения 100 мл Ветаптека

Настройка прав доступа на файл в СЗИ НСД Dallas Lock Linux

Подсистема гарантированной зачистки информации

Подсистема контроля гарантированной зачистки информации реализует очистку освобождаемых областей оперативной памяти, гарантированную зачистку объектов ФС и внешних подключаемых накопителей.

Гарантированная очистка памяти функционирует с момента установки СЗИ НСД и не требует ввода дополнительных команд в консольном приложении управления средством защиты информации.

Для очистки остаточной информации на съемных накопителях и объектов ФС необходимо использовать дополнительную утилиту, поставляемую совместно с СЗИ НСД.

Рисунок 5. Гарантированное удаление объекта файловой системы в СЗИ НСД Dallas Lock Linux

Гарантированное удаление объекта файловой системы в СЗИ НСД Dallas Lock Linux

Подсистема контроля устройств

Подсистема контроля устройств реализует разграничение доступа пользователей и групп пользователей к блочным устройствам (сменным накопителям информации), ограничения доступа к беспроводным устройствам передачи информации, устройствам вывода на печать в целях предотвращения несанкционированной утечки информации.

Подсистема регистрации и учета

Подсистема регистрации и учета (подсистема анализа) реализует возможность аудита событий, производимых пользователями над защищаемыми объектами, аудита событий входов (выходов) в информационную систему, в т. ч. сетевых, аудита системных событий, отчуждения информации на накопители или твердую копию, а также фиксацию таких событий в журналах информационной безопасности.

Рисунок 6. Настройка аудита файлов в СЗИ НСД Dallas Lock Linux

Настройка аудита файлов в СЗИ НСД Dallas Lock Linux

Выводы

На сегодняшний день для обработки информации в государственных информационных системах, информационных системах персональных данных или в автоматизированных системах управления производственными и технологическими процессами организациям требуется выполнять требования регулятора — Приказы №17, №21 и №31 ФСТЭК России. Так и СЗИ НСД Dallas Lock Linux предназначена для использования в информационных системах персональных данных 1 уровня защищенности, в государственных информационных системах 1 класса защищенности и автоматизированных систем управления производственными и технологическими процессами до 1 класса защищенности включительно, создания защищенных многопользовательских автоматизированных систем до класса защищенности 1Г включительно.

Процесс установки прост и интуитивно понятен. Администратору безопасности предоставляется возможность управления паролями, доступом к объектам файловой системы, подсистемой контроля целостности.

Достоинства

  • Наличие механизмов удаленного и централизованного управления (в т. ч. оболочка администрирования для Windows).
  • Наличие механизмов проверки подлинности клиентских частей СЗИ, сервера безопасности (OpenSSL).
  • Поддержка работы на большом наборе наиболее популярных дистрибутивов Linux.
  • Механизмы централизованного управления для клиентских частей СЗИ НСД Dallas Lock Linux и сервера безопасности СЗИ Dallas Lock 8.0.
  • Защита от подмены ядра и процедур инициализации.
  • Собственный механизм дискреционного доступа и аудита доступа.
  • Для консольной оболочки администрирования есть возможность выполнять команды из файла.

Недостатки

  • До развертывания системы защиты рекомендуется установить все сервисы, которые создают учетные записи.
  • Необходимо следить за сроком действия корневого и пользовательского сертификатов и при необходимости вовремя их обновлять.
  • На несколько объектов файловой системы нельзя установить права доступа и политику аудита.

Источник

Обход правил разграничения доступа в средствах защиты от НСД

На российском рынке информационной безопасности существует целый класс продуктов, разработанных для выполнения требований регуляторов (ФСТЭК, ФСБ, Роскомнадзор и прочие). Эти продукты называются «СЗИ от НСД», что означает — средства защиты информации от несанкционированного доступа. Основные функции таких продуктов — реализация независимо от операционной системы аутентификации пользователей, правил разграничения доступа к файлам и директориям (дискреционно — как в операционных системах, и мандатно — для гостайны, где есть разные уровни информации), контроль целостности, управление подключением устройств и всякие другие функции. Про подобные продукты на Хабре есть короткая статья, правда ей уже больше пяти лет, но в целом мало что изменилось. Все эти продукты, по большей части, нужны для комплаинса в чистом виде, но, тем не менее, с помощью этих средств реализуется большинство политик безопасности в госорганах, госкомпаниях, оборонке и т.д.

Логично предположить, что эти продукты безопасны и правильно выполняют свои функции, но я выяснил, что это совсем не так. В данной статье будем рассматривать исключительно СЗИ от НСД под операционную систему Windows, так как не смотря на тренд импортозамещения, большинство госкомпьтеров всё равно работает под ней. В Windows есть множество особенностей и тонкостей, которые могут сыграть злую шутку с разработчиками средств защиты. Не будем сейчас говорить обо всех нюансах, разберем только один, который позволяет обойти политики разграничения доступа к файлам.

Не секрет, что основная файловая система, используемая в Windows, это NTFS. В NTFS есть такая штука, как атрибуты, доступ к которым можно получить путем добавления двойного двоеточия после имени файла. Атрибутов у файлов много, но нас интересует один — $DATA, он содержит содержимое файла. Обращение к file.txt и file.txt::$DATA тождественно, но механизм работы внутри операционной системы разный. Я решил посмотреть, знают ли об этой особенности разработчики СЗИ. Практическая часть проста — создавался файл test.txt с содержанием «Hello, world!», в интерфейсе СЗИ выставлялись права доступа, запрещающие чтение файла для всех пользователей, затем проверялось чтение файла по имени и по атрибуту $DATA, под непривилегированным пользователем.

Я хотел посмотреть на максимально возможном числе СЗИ, но оказалось, что свободно получить демо-версию можно только для двух продуктов — Dallas Lock и Secret Net. В открытом доступе есть еще Aura, но она не обновлялась с 2011 года и вряд ли ей кто-то еще пользуется. Все остальные (Страж, Блокхост, Diamond) получить в демо не удалось — в открытом доступе их нет, на запросы производитель либо не отвечает, либо требует гарантийные письма, либо вместо демо-версии предлагают прослушать вебинар.

Dallas Lock

И вот оно — любой пользователь может прочитать содержимое любого файла, полностью игнорируя все настроенные правила разграничения доступа.

Secret Net

В Secret Net данный фокус не работает, похоже, их разработчики разбираются в NTFS (хотя и не очень понимают в безопасности драйверов).

Проверял на этой версии, возможно, более ранние всё-таки уязвимы:

Я буду рад если вы протестируете доступные вам СЗИ и опубликуете результат в комментариях. И будьте осторожны с «сертифицированными средствами защиты», не стоит слепо доверять сертификатам и лицензиям.

Источник