Страж NT - система защиты информации от НСД. Средства защиты информации и где дёготь

Сертификат ФСТЭК России №3553 подтверждает, что СЗИ от НСД Страж NТ (версия 4.0) является программным средством защиты информации от несанкционированного доступа и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.

В СЗИ от НСД Страж NТ (версия 4.0) реализованы следующие функциональные возможности, отличающие её от предыдущих версий.

Поддержка новых ОС Microsoft до Windows 10 включительно
СЗИ от НСД Страж NТ (версия 4.0) функционирует под управлением следующих операционных систем:
- MS Windows 7 Home / Pro / Enterprise / Ultimate x86/x64;
- MS Windows 8.1 Core / Pro / Enterprise x86/x64;
- MS Windows 10 Home / Pro / Enterprise x86/x64;
- MS Windows 2008 Server R2 Standard / Essentials / Datacenter x64;
- MS Windows 2012 Server R2 Standard / Essentials / Datacenter x64.

Подсистема сетевого развертывания
Добавлена возможность установки системы защиты на удаленные компьютеры, находящиеся как в рабочей группе, так и в домене. Удаленная установка осуществляется с помощью специальной программы.

Поддержка терминальных сессий
Добавлена поддержка защитных механизмов при подключении пользователей к терминальному серверу. Если на терминальном сервере установлена система защиты, при подключении пользователей к нему выполняется терминальная идентификация пользователей, т.е. запрашивается идентификатор и пароль пользователя.

Поддержка компьютеров с UEFI
Реализована поддержка установки системы защиты на компьютеры с UEFI, в том числе и при разбиении системного жесткого диска в стиле GPT.

Поддержка новых типов идентификаторов
В качестве персональных идентификаторов в СЗИ «Страж NT» могут применяться устройства следующих типов:
- гибкие магнитные диски 3,5";
- устройства iButton: DS 1993, DS 1995, DS 1996;
- USB-токены eToken Pro 32K и eToken Pro Java 72K, а также смарт-карты eToken Pro SC и eToken Pro Java SC при использовании USB смарт-карт ридера ASEDrive от компании Athena Smartcard Solutions;
- USB-токены Guardant ID;
- USB-токены Rutoken S;
- USB-токены eSmart, а также смарт-карты eSmart при использовании USB смарт-карт ридеров ACR38, ACR39 компании Advanced Card Systems;
- USB-флэш-накопители.

Отключаемая подсистема замкнутой программной среды
Добавлена возможность отключения у пользователей подсистемы замкнутой программной среды. При отключении механизмов ЗПС пользователи могут беспрепятственно запускать на выполнение любые программы. При этом события запуска программ так же заносятся в журнал событий.

Улучшенная подсистема настройки СЗИ с любого рабочего места
Механизмы удаленной настройки и управления системой защиты были существенно оптимизированы и расширены. В новой версии СЗИ все настройки системы защиты могут быть выполнены с рабочего места администратора СЗИ.

Механизмы выборочного преобразования носителей информации
Включение режима преобразования носителей информации добавлена как опция при учете носителя информации. При использовании режима преобразовании информации носитель может быть прочитан только на компьютерах, система защиты которых устанавливалась с использованием одного и того же персонального идентификатора администратора системы защиты.

Расширенная система сценариев настроек
Система сценариев настроек (бывшие шаблоны настроек) была существенно расширена в целях повышения автоматизации настройки сложных программных комплексов.

Гибкие механизмы настройки подсистемы регистрации событий
Добавлена возможность максимально гибкого редактирования списка регистрируемых событий для администратора системы защиты.

Экспорт настроек СЗИ как по сети, так и через файл
Реализованы механизмы переноса настроек системы защиты на автономные или удаленные компьютеры не только по сети, но и посредством файлов настроек.

Доработанная подсистема мандатного разграничения доступа
Количество меток конфиденциальности увеличено до четырех. Дополнительно реализован механизм контроля именованных каналов. В состав утилит добавлена программа для просмотра текущего допуска процессов, не имеющих стандартного интерфейса.

Механизмы формирования отчетов о настройках СЗИ
Добавлены возможности создания отчетов о настройках системы защиты. Отчёты могут содержать информацию о пользователях, их идентификаторах, о зарегистрированных носителях, о подключенных устройствах, о настройках защищаемых ресурсов.

Механизмы восстановления компьютера
В Программу установки системы защиты добавлена функция сохранения специальной информации, необходимой при восстановлении компьютера в случае утери или поломки идентификатора администратора системы защиты. Восстановление осуществляется при помощи специально формируемого образа компакт-диска.

Основные инструменты

В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:

• Secret Net от компании «Код безопасности»
• Ранее упомянутый Dallas Lock

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма - Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock - вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто - фаворитом является Secret Net, за весьма удобную, простую и понятную настройку - полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT - настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится - не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net"а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Secret Net

Фаворит - он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ - все папки создаются в файловой системе всегда несекретными, а файлы - с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна - не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net - в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии - для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое - вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется - за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию - часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок - небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра - MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа - это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало - не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей - для Dallas Lock"а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом - а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Послесловие