Средства защиты информации и где дёготь

Предисловие


Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.

Основные инструменты



В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:

Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock'а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение



Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net'а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы



Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Начнем.

Secret Net


Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:
image

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:


В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:
image

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:


И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT


Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock


Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock'а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Послесловие


Надеюсь данный пост окажется полезным для сообщества или просто познавательным. Спасибо за внимание!
Поделиться публикацией
Комментарии 10
    +3
    Вообще лучше не применять. Единственный вариант использования — аттестация пары АРМ, тем кому это нужно. В корпоративной среде неприменимо и вызывает страшный геморрой у админов.
      +3
      Dallas — это как «ксерокс» вместо копира, иносказательное понятие.
      Обычно обозначает таблетку от домофона.
        0
        Если честно единственный 100% надежный способ это комп не включать. Все остальное можно обойти вопрос лишь во времени и желание.
          +1
          Эти средства больше нацелены на минимизацию риска несоответствия требованиям нашего законодательства.
            +1
            Как говорит статистика, более 70% утечек информации происходит за счет инсайдеров. Так что да, в каком-то смысле все эти СЗИ нацелены на создание проблем пользователю.

            А насчет стопроцентной надежности — опять-таки, «что создано человеком можно человеком и сломать».
            0
            Выглядит как пачка проблем.

            Кстати, лёгким движением руки эта хрень отключается покладанием соответствующего PCI-E линка (достаточно внести PID/VID устройства в забаненные и не давать биосу запускать чужой биос, у многих интеловских мамок это прямо в биос вынесено, а ещё есть EFI, где левые биосы не устанавливаются). Про обход защиты и говорить нечего — пара строчек в реестре и посторонний файл «перестаёт работать» (из-за повешенного на на него explorer.exe в качестве отладчика).
              0
              Что-то я вас не понимаю.

              Самому приходится работать не с Dallas, но с очень похожей железкой (тоже ставится в PCI; грузится до ОС; контролирует все, что можно).

              Если речь идет о том, что пользователь может обойти эту защиту изменив настройки биоса, то… зачем это пользователю? Если он имеет право работать за этим компьютером, то он и так сможет зайти, прислонив идентификатор к считывателю. Если наш сотрудник хочет включить компьютер, к которому не имеет доступа (например к компьютеру начальника), то:
              1. Пароля от биоса у него нет.
              2. Вытащить плату из PCI-слота можно только сорвав защитную пломбу, а это уже будет заметно.

              Обход программной защиты путем внесения изменений в реестр? А кто обычного пользователя в реестр пустит? Он же не админ. Речь ведь идет о настроенных и относительно защищенных рабочих станциях. Пользователю (читай — сотруднику компании) будет затруднительно обойти все эти ограничения. Проще найти брешь в бюрократической составляющей и доказать начальству необходимость доступа к USB-портам или каким-то программам.

              Ну а если речь идет о злоумышленнике со стороны, то, собственно, что он вообще делает на производстве? Будет ли у него достаточно времени, чтобы зайти в биос или совершать еще какие-либо манипуляции с компьютером?

              У нас в организации и аппаратная, и программная защиты установлены на всех компьютерах. Проблемы возникают крайне редко и исключительно, если персональный идентификатор физически вышел из строя.
                0
                Судя по слову «реестр» вы имеете в виду windows и уютный мирок простых пользователей. Я говорил же про другое, что в общем случае от суперпользователя эта защита не спасёт.

                Заметим, что описанную схему «windows и обычные пользователи» спокойно можно реализовать без аппаратной защиты — можно запретить вход локальным пользователям (включая администратора) и поставить ограничения по списку компьютеров для логина в профилях AD. И ровно так же пароль на биос защитит от загрузки с посторонних железок.
                  0
                  Суть этих железок не просто разграничение прав доступа, а:
                  1. реализация двухфакторной авторизации (Пользователь сначала прикладывает идентификатор, который пускает его только на этот компьютер. А потом вводит пароль от доменной учетной записи)
                  2. железка контролирует подключенное к компьютеру железо, вычисляет контрольную сумму биоса. Иными словами следит за тем, что компьютер каждый раз находится именно в том состоянии, в котором его отдали пользователю. Даже если пользователь воткнет другую мышь, комп перестанет грузится и потребует присутствия администратора. Это защищает от подключения аппаратных кей-логеров, от попыток загрузиться с флешки, от подключения личных телефонов/смартфонов/планшетов/фотиков

                  Железке неважно какая ОС установлена на компе. Железка грузится раньше. И она не заменяет собой авторизацию, реализованную в вашей ОС. Она ее дополняет.
              0
              У нас на предприятии стоит Dallas Lock с сервером безопасности, мне он нравится больше по SecretNet — у него достаточно понятное централизованное управление и возможность настройки гибких политик. Так же нравится тех поддержка — многие проблемы решают в тот же день, а если сложная проблема, то могут и приехать.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое