Dallas lock шифрование диска
Dallas Lock 8.0-С – сертифицированная система защиты информации накладного типа для автономных и сетевых АРМ (применима для сложных сетевых инфраструктур) является флагманским решением в продуктовой линейке ЦЗИ ООО «Конфидент» и одним из самых популярных и востребованных решений на рынке систем защиты информации.
Системные требования и поддерживаемые технологии
Средство доверенной загрузки Dallas Lock предназначено для защиты от несанкционированного доступа компьютеров архитектуры Intel х86 и может быть реализовано на различных платах, предназначенных для работы с разными шинными интерфейсами вычислительной техники:
- PCI Express,
- Mini PCI Express,
- M.2.
Рисунок 2. Плата СДЗ Dallas Lock формата PCI Express
Рисунок 3. Плата СДЗ Dallas Lock формата Mini PCI Express (Half Size)
Рисунок 4. Плата СДЗ Dallas Lock формата M.2
Плату PCI Express можно применить как с полнопрофильной планкой, так и низкопрофильной, что дает возможность использования в разных корпусах. Допускается подключать плату PCI Express к разъему PCI через переходник.
СДЗ в форм-факторе M.2 имеет размер 22мм x 30мм, что позволяет обеспечивать доверенную загрузку современных ноутбуков и моноблоков. В разъем M.2 допускается вставлять различные по размеру устройства. Например, устройства Mini PCI Express можно подключать к разъему M.2 через переходник, но в подавляющем большинстве случаев именно совокупный размер (вместе с переходником) является ограничением для применения такого решения в современных ноутбуках и моноблоках. В плате M.2 это ограничение отсутствует.
Особенных требований СДЗ Dallas Lock не предъявляет — минимальная и оптимальная конфигурация компьютера в большей степени определяется требованиями операционной системы. Минимальные аппаратные требования к вычислительной технике для установки СДЗ Dallas Lock следующие:
- Процессор Pentium с частотой от 300 МГц.
- Не менее 128 МБ оперативной памяти.
- Свободный разъем PCI Express / Mini PCI Express на материнской плате для подключения СДЗ.
- Разъем Reset для подключения сторожевого таймера СДЗ.
- Наличие свободных портов USB для использования аппаратных идентификаторов.
- Клавиатура и компьютерная мышь.
- Видеоадаптер и монитор, поддерживающие режим Super VGA, с разрешением не менее чем 800x600 точек.
Компьютеры могут иметь в своем составе системные платы как с BIOS, так и UEFI.
В СДЗ Dallas Lock реализована поддержка наиболее распространенных файловых систем, включая: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS. При этом для СДЗ Dallas Lock не важно, какая операционная система установлена на компьютере. Значение имеет только файловая система.
Кроме того, СДЗ Dallas Lock поддерживает широкий перечень аппаратных идентификаторов:
- USB-ключи Aladdin eToken Pro/Java1;
- USB-ключи Рутокен;
- электронные ключи Touch Memory (iButton);
- USB-ключи JaCarta (JaCarta ГОСТ, JaCarta PKI);
- аппаратные идентификаторы ESMART (смарт-карты: ESMART Token ГОСТ, ESMART Token SC 64K; USB-токены: ESMART Token ГОСТ, ESMART Token USB 64K).
Также стоит отметить, что при использовании СДЗ Dallas Lock аппаратная идентификация не является обязательной — можно использовать для входа логин, вводимый с клавиатуры.
Возможности Dallas Lock 8.0-С
Сертифицированная система накладного типа для защиты конфиденциальной информации и информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно. Предназначена для автономных персональных компьютеров и компьютеров в составе локально-вычислительной сети, в том числе под управлением контроллера домена.
Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.
Содержит весь функционал Dallas Lock 8.0-К и дополнительные функции защиты:
- авторизация в загрузчике до загрузки ОС;
- прозрачное преобразование жестких дисков;
- мандатный принцип разграничения доступа к объектам файловой системы и устройствам; - расширенные параметры очистки остаточной информации.
Введение
Одна из важных составляющих работ по обеспечению безопасности информационных систем —защита рабочих станций и серверов от несанкционированного доступа. И первым рубежом защиты любой компьютерной системы является обеспечение доверенной загрузки вычислительной среды. Для этого существует специальный класс средств — модули доверенной загрузки.
Модули доверенной загрузки операционной системы применяются уже более 20 лет, и сегодня этот класс средств защиты не теряет свою актуальность. Продукты этого типа являются «первым эшелоном защиты» вычислительных систем, и именно на них возлагаются задачи контроля доступа пользователей, контроля целостности программной среды и аппаратных ресурсов компьютерной системы.
Необходимость применения средств доверенной загрузки также отражена и в нормативных документах ФСТЭК России — согласно Приказам № 17 и 21, в государственных информационных системах 1 и 2 классов и в информационных системах персональных данных, при необходимости обеспечения 2 и выше уровня защищенности персональных данных, данная мера является базовой.
В данном обзоре мы расскажем о новом продукте в линейке средств защиты информации компании ООО «Конфидент» — средстве доверенной загрузки (СДЗ) Dallas Lock (версия сборки: 91).
Рисунок 1. Средство доверенной загрузки Dallas Lock
Сертификаты соответствия Dallas Lock
СЗИ Dallas Lock сертифицирована ФСТЭК России на соответствие требованиям регулятора к системам защиты информации от несанкционированного доступа (СЗИ НСД), межсетевого экранирования (МЭ), системам обнаружения вторжений (СОВ), к средствам контроля съемных машинных носителей информации (СКН) и к отсутствию недекларированных возможностей (НДВ). Данные сертификаты дают Dallas Lock легальное право обеспечивать надежными решениями во всех вышеперечисленных категориях.
Использование Dallas Lock 8.0 — это гарант приведения АС, ГИС, АСУ ТП, КИИ и систем обработки ПДн в соответствие законодательству РФ по защите информации.
Системные требования СЗИ Dallas Lock 8.0-С
СЗИ Dallas Lock 8.0-С может быть установлена на персональные компьютеры, портативные и мобильные ПК (ноутбуки и планшетные ПК), серверы (файловые, контроллеры домена, терминального доступа) и виртуальные машины (например, VMware), работающие как в автономном режиме, так и в составе локально-вычислительной сети.
Многие организации для защиты персональных данных используют различные средства защиты информации. В большинстве реализаций защиты основным компонентом является средство защиты информации от несанкционированного доступа. Само понятие несанкционированный доступ (НСД) имеет две трактовки: узкую и широкую.
Согласно узкой трактовке НСД – это нелегит имный доступ к данным, результатом которого может стать их распространение, изменение ии уничтожение. Это трактовка используется в Приказе № 58, вводящее в действие Положение о ПДн. Меры и способы защиты приводятся в приложении к данному приказу.
Согласно широкой трактовке НСД охватывает не только программный уровень, но и физический уровень, сетевой уровень, уровень операционной системы, уровень инфраструктурного и прикладного ПО. НСД может быть осуществлен в результате вируса или методами социальной инженерии. Этот подход рассматривается в базовой модели ФСТЭК России.
В настоящее время на рынке средств защиты конфиденциальной информации и персональных данных есть ограниченное количество средств защиты, имеющих красивую формулировку в сертификате ФСТЭК: «… является средством защиты от несанкционированного доступа и может использоваться для защиты…». Если следовать логике, то использование таких продуктов совершенно не обязательно, если необходимый функционал «набирается» прочими продуктами: контроль доступа, протоколирование событий, контроль целостности, антивирус, VPN , контроль портов и интерфейсов, резервное копирование и др. Однако, следуя моде и традициям, компонент защиты от НСД часто является основой защиты. Один из таких продуктов, представленных на отечественном рынке, это средство защиты информации Dallas Lock версии 7.7 ( DL 77), разрабатываемый питерской компанией «Конфидент». Именно о нём и буду вести речь.
DL 77 имеет сертификат соответствия, позволяющий его использовать для защиты конфиденциальной информации, класса до 1Б и персональных данных, класса до К1. DL 77 пользуется спросом в банковской среде. Продукт РАБОТОСПОСОБНЫЙ, что само по себе является большой редкостью среди аналогичных средств защиты информации.
DL 77 очень просто устанавливается, имеет клиент-серверную архитектуру, поддерживает Active Directory от Microsoft . Что полезного в этом продукте? При описании я буду придерживаться последовательности приведенной в описании применения DL 77.
1. В DL77 присутствует собственная реализация дискреционной модели доступа к файлам. Файловая система может быть как FAT, так и NTFS. Первая это уже пережиток прошлого и она используется, скорее на каких-нибудь старых ПК, однако DL77 поддерживает версию Windows XP только с SP3, что несколько не вяжется с FAT. Замечено, собственная реализация дискреционки никаким образом не влияет на штатный функционал. В своё время компания Microsoft рекомендовала при использовании сетевого доступа настраивать разрешения только на уровне NTFS, открывая полный доступ на уровне Share. Тут прослеживается точно такой же подход: придется или синхронизировать настройки или указывать большие привилегии на уровне NTFS. К тому же при использовании сетевого доступа, наряду с технологией SSO от Microsoft, придется дважды настраивать уровни доступа в DL77. Недостатком является отсутствие механизма синхронизации собственной модели с моделью ОС.
2. DL 77 поддерживает аутентификацию с использованием iButton , eToken , RuToken . Вместо того, чтобы записывать в токен аутентификационные данные, проверка ограничивается только по серийному номеру устройства и поэтому не является строгой ( iButton так и так не имеет перезаписываемой памяти). С таким же успехом можно ввести проверку по флешке, диску или дискете.
3. В DL 77 реализован собственный загрузчик, который проводит идентификацию и аутентификацию до загрузки ОС. Полезными являются функции по автоматическому заходу в ОС, принудительная перезагрузка при смене пользователя.
4. В DL 77 присутствует собственная реализация парольной политики. Данная реализация имеет расширенные возможности по сравнению с политиками от Microsoft . Например, полезными настройками являются: наличие цифр, спецсимволов, регистра символов, а также разность паролей. Однако всё удобство также сводится на нет отсутствием собственной реализации SSO . Скорее всего, при операциях с пользователями происходит запуск штатных консольных команд ОС типа net user или dsadd user . Недостатком является то, что подсистема встраивается последовательно с штатной, а не вытесняет её. Концепция разности паролей является не безопасной, так как для её реализации нужно хранить пароли в открытом виде.
5. DL 77 имеет собственную реализацию ограничений времени доступа пользователей. Основное отличие от штатной в том, что при наступлении запрещенного времени принудительно осуществляется выход пользователя из системы, в то время как в ОС Windows такой функционал не предусмотрен.
6. В DL 77 имеется возможность блокировки клавиатуры при загрузке ОС. Это полезная функция препятствует нажатию F 8 и загрузке в безопасном или ином режимах.
7. Про дискреционный механизм я описал выше, про мандатный принцип контроля доступа скажу лишь то, что удивило наличие 50 уровней доступа, а также то, что для защиты персональных данных этот функционал не требуется. Однако организациям, которым нужна именно эта модель доступа, а также реализация контроля информационных потоков полезным будет наличие «мягкого режима» контроля доступа и «режима обучения».
8. Классически, при осуществлении защиты должен обеспечиваться контроль целостности аппаратной, программной среды, а также данных. Некоторые компании для такого вида защит продвигают аппаратные решения, которые могут проводить контроль целостности ДО загрузки ОС и периодически в процессе работы. Я считаю, что это часто излишние меры и в большинстве случаев достаточно только программного решения. В DL 77 есть механизм контроля целостности BIOS , CMOS , MBR , Boot record , а также любых определяемых файлов и/или папок. Контроль целостности может осуществляться либо сравнением контрольных сумм CRC 32, либо алгоритмами хеширования: MD 5 или ГОСТ 34.11-94. При правильных настройках последовательности загрузки в BIOS , использовании паролей на вход в BIOS и опечатывании системных блоков, использование аппаратных реализаций электронных замков выглядит явно избыточным.
9. Реализованная в DL 77 подсистема очистки остаточной информации в ОС является: во-первых, полезной, во-вторых, отсутствующей в ОС Windows , в-третьих, требуется с точки зрения compliance . Этот же функционал используется и для гарантированного уничтожения файлов и/или папок по требованию. Методы очистки затирание псевдослучайными последовательностями с указанием количества раз.
10. Подсистема аудита в DL 77 реализована в виде 6 журналов: входов, доступов, процессов, политик, учетных записей, печати. Сама по себе такая реализация мне видится весьма полезной, но она опять же не вытесняет, а дополняет штатный функционал. Удобным является возможность задания прав доступа непосредственно из окна журнала.
11. Принтерная подсистема позволяет вести аудит документов, отправляемых на печать, а также проставлять на них специальные метки. Имеется много разных полей, которые могут быть выведены вместе с документом при печати. Например, пройден тест печати графического файла.
12. Очень полезная функция шифрования разделов дисков найдет применение для защиты разделов, содержащих конфиденциальную информацию или же целиком мобильных ПК. Конечно «полезность» алгоритма XOR чистая бутафория, так как A = XOR ( XOR ( A )), но можно использовать ГОСТ 28147-89, в том числе используя внешний и сертифицированный криптопровайдер. Любителям ОС Microsoft рекомендуется посмотреть в сторону Bitlocker To Go , противникам – классический TrueCrypt .
13. Присутствует полезная возможность шифрования файлов. Для шифрования используется российский ГОСТ 28147-89, можно использовать внешний криптопровайдер. По функционалу это российский аналог EFS , а как недостаток можно шифровать файл неограниченное количество раз.
14. Присутствует полезная возможность настраивать права доступа на съемные носители: дискеты, cd -диски, usb -диски. Можно настраивать права на конкретные экземпляры носителей информации. Можно отметить, что реализация очень простая, но и совершенно не гибкая, если сравнивать функции, присутствующие в специализированных решениях.
15. Идея замкнутой среды весьма хороша, так как таким образом можно жестко ограничить возможности запуска приложений. Этого же эффекта можно добиться, используя GPO .
16. Установка СЗИ на ноутбуки выполняется точно также как и на обычные ПК. Стоило ли это указывать производителю как отдельную возможность?
17. Сама идея установки чего-либо дополнительного на контроллеры домена, пусть даже не модифицируя для этого схему AD , весьма опасна. Контролеры домена нужно и так максимально оберегать от вторичных ролей. Можно привести много причин почему, главной же причиной будет отсутствие тестирования на совместимость компанией Microsoft .
18. Установка на серверы терминального доступа весьма полезна, так как многие компании именно так организуют работу удаленных пользователей из филиалов. Стоит сказать, что в самой ОС Windows есть штатный функционал для настраивания такого доступа.
19. Присутствует возможность делать снимки экранов, на которых установлен DL 77. Это может быть полезно при параноидальном уровне безопасности в банках, однако реализация этого функционала сделана очень неудобно. Развивая эту мысль можно пожелать добавить функционал автоматического создания снимков для определенной группы пользователей/компьютеров с определением временного диапазона между ними или пределов рандомизации.
20. Администрирование удаленными агентами очень отличается от локального администрирования и не в лучшую сторону. Лучше воздержаться от критики.
21. В DL 77 присутствует подсистема централизованного управления, которая позволяет практически полностью управлять функциями клиента. Лучше также воздержаться от критики.
22. Самодиагностика это кот в мешке, так как совершенно не понятно, что происходит на самом деле, кроме отображение успеха или не успеха при эмуляции некоторых функций.
23. Функционал по запрещению работы с определенными расширениями файлов совершенно не новый для ОС Windows и конечно же он присутствует в GPO . Вот если бы он реализовывался по структуре для определенных типов файлов, было бы весьма интересно.
24. Создание отчетов по реальным уровням доступа для пользователя действительно полезная функция, так как можно самым простым способом сравнить права доступа, существовавшего в разные периоды времени.
25. Фраза о ведение двух копий программных средств это некий сферический конь в вакууме, назначение которого не ясно никому, кроме ФСТЭК России (приказ № 58). Эта «возможность» конечно же должна «присутствовать» в продукте раз он «заточен» под выполнение соответствий.
26. Добавление различных паролей для выполнения определенных действий чаще всего ведет к появлению стиккеров на рабочих местах администраторов, а вовсе не к повышению уровня защиты от НСД. К защищенности должны вести такие принципы как разделение обязанностей, ротация сотрудников, логирование их действий, ликвидация единственных точек отказа, а не простое наращивание количества паролей доступа.
27. Запись всех настроек в единственный файл весьма полезная возможность, которая позволяет администратору упростить процесс переноса продукта на новый ПК, например при модернизации техники.
28. «Мягкий режим» и «режим обучения» действительно полезные функции при настройке замкнутой программной среды. Это то, чего нет среди штатных возможностей ОС Windows .
· Одностороннее, часто полностью не продуманное взаимодействие подсистем DL 77 со штатными подсистемами ОС Windows .
· В процессе предоставления прав доступа были выявлены ошибки, которые исчезали при повторном назначении прав..
Продукт простой и понятный в эксплуатации, имеющий полезный, но не более того функционал, пока востребованный на рынке (пока закон о персональных данных до конца не превратился в миф), однако банкам я бы не стал рекомендовать данный продукт по следующим причинам:
· Подсистема централизованного управления вызывает большие нарекания. Лучше бегать от одного компьютера к другому, чем пользоваться такой.
· По этой причине при количестве ПК в организации более 30, мне видятся, большие трудности с ПОСТОЯННОЙ технической поддержкой.
Примерно такой рабочий стол можно настроить для сотрудников, работающих, например, в банке. Интересно как он скажется на лояльности этих же сотрудников?
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Продолжая тему видео курсов по настройке СЗИ от НСД сегодня вашему вниманию предлагаем обратить внимание на продукт DallasLock 8 отечественной компании разработка «Конфидент». Решение может применяться как для защиты защиты конфиденциальной информации (редакции «К» и «С»), в том числе содержащейся в информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «совершенно секретно» включительно.
Продукты компании «Конфидент» применяются для защиты конфиденциальной информации и информации, составляющей государственную тайну до уровня «совершенно секретно» включительно, в АС до класса защищенности 1Б включительно, в ГИС всех классов защищенности и для обеспечения всех уровней защищенности ПДн. Предназначены для разграничения, защиты и контроля доступа, межсетевого экранирования, защиты виртуализации.
- Dallas Lock 8.0-К (для защиты конфиденциальной информации);
- Dallas Lock 8.0-С (для защиты конфиденциальной информации и информации, составляющей государственную тайну).
СЗИ Dallas Lock 8 – система защиты конфиденциальной информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.
- Установка DallasLock 8.0 C
- Настройка Dallas Lock 8.0 C. Аппаратная идентификация пользователя.
- Настройка Dallas Lock 8.0 C. Управление учетными записями.
- Настройка DL 8.0 C. Полномочия на администрирование.
- Настройка Dallas Lock 8.0 C. Параметры входа в СЗИ.
- Dallas Lock 8.0 C. Настройка замкнутой программной среды с использованием режима обучения
- Dallas Lock 8.0 C. Мандатный доступ.
- Dallas Lock 8.0 C. Дискреционный доступ.
- Настройка Dallas Lock 8.0 C. Доверенная загрузка.
- Dallas Lock 8.0 C. Автоматическая настройка мандатного доступа с помощью шаблонов
- Dallas Lock 8.0 C. Настройка мандатного доступа с помощью механизма разделяемых папок.
- Dallas Lock 8.0 C. Режим обучения.
- Dallas Lock 8.0 C. Настройка замкнутой программной среды с использованием мягкого режима
- Dallas Lock 8.0 C. Мягкий режим
- Dallas Lock 8.0 C. Неактивный режим.
Операционная система — Windows XP (SP 3) (Professional, Home, Starter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Server 2003 (R2) (SP 2) (Web, Standard, Enterprise, Datacenter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Vista (SP 2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter); Windows 7 (SP 1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter); Windows Server 2008 (SP 2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008); Windows Server 2008 R2 (SP 1) (Foundation, Standard, Web, Enterprise, Datacenter); Windows 8 (Core, Pro, Enterprise); Windows Server 2012 (Foundation, Essentials, Standard, Datacenter); Windows 8.1 (Core, Pro, Enterprise); Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter); Windows 10 (Enterprise, Education, Pro, Home) и Windows 10 Creators Update; Windows Server 2016 (Multipoint Premium Server, Essentials, Standard, Datacenter, Storage Server, Hyper-V Server); Windows Server 2019 (Essentials, Standard, Datacenter).
Процессор — СЗИ НСД поддерживает как 32-битные версии ОС, архитектуры Intel x86, так и 64-битные, архитектуры AMD64 (архитектура IA64 (Itanium) не поддерживается).
Жесткий диск (свободное пространство) — Для размещения файлов системы и ее работы требуется не менее 200 Мбайт пространства на системном разделе жесткого диска
Соответствие — СЗИ НСД соответствует требованиям руководящих и методических документов (требования безопасности информации ФСТЭК России)
Операционная система — Windows XP (SP 3) (Professional, Home, Starter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Server 2003 (R2) (SP 2) (Web, Standard, Enterprise, Datacenter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Vista (SP 2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter); Windows 7 (SP 1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter); Windows Server 2008 (SP 2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008); Windows Server 2008 R2 (SP 1) (Foundation, Standard, Web, Enterprise, Datacenter); Windows 8 (Core, Pro, Enterprise); Windows Server 2012 (Foundation, Essentials, Standard, Datacenter); Windows 8.1 (Core, Pro, Enterprise); Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter); Windows 10 (Enterprise, Education, Pro, Home) и Windows 10 Creators Update; Windows Server 2016 (Multipoint Premium Server, Essentials, Standard, Datacenter, Storage Server, Hyper-V Server); Windows Server 2019 (Essentials, Standard, Datacenter).
Процессор — СЗИ НСД поддерживает как 32-битные версии ОС, архитектуры Intel x86, так и 64-битные, архитектуры AMD64 (архитектура IA64 (Itanium) не поддерживается).
Жесткий диск (свободное пространство) — Для размещения файлов СЗИ НСД требуется не менее 200 МБ пространства на системном разделе жесткого диска
Соответствие — СЗИ НСД соответствует требованиям руководящих и методических документов (требования безопасности информации ФСТЭК России)
Сервер безопасности Dallas Lock 8.0-С устанавливается на отдельный компьютер, защищенный СЗИ НСД Dallas Lock 8.0-С. Позволяет объединять защищаемые компьютеры в Домен безопасности для централизованного и оперативного управления.
Операционная система — Windows XP (SP 3) (Professional, Home, Starter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Server 2003 (R2) (SP 2) (Web, Standard, Enterprise, Datacenter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Vista (SP 2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter); Windows 7 (SP 1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter); Windows Server 2008 (SP 2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008); Windows Server 2008 R2 (SP 1) (Foundation, Standard, Web, Enterprise, Datacenter); Windows 8 (Core, Pro, Enterprise); Windows Server 2012 (Foundation, Essentials, Standard, Datacenter); Windows 8.1 (Core, Pro, Enterprise); Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter); Windows 10 (Enterprise, Education, Pro, Home) и Windows 10 Creators Update; Windows Server 2016 (Multipoint Premium Server, Essentials, Standard, Datacenter, Storage Server, Hyper-V Server); Windows Server 2019 (Essentials, Standard, Datacenter).
Процессор — СЗИ НСД поддерживает как 32-битные версии ОС, архитектуры Intel x86, так и 64-битные, архитектуры AMD64 (архитектура IA64 (Itanium) не поддерживается).
Жесткий диск (свободное пространство) — Для размещения файлов СЗИ НСД требуется не менее 200 МБ пространства на системном разделе жесткого диска
Соответствие — СЗИ НСД соответствует требованиям руководящих и методических документов (требования безопасности информации ФСТЭК России)
Операционная система — Windows XP (SP 3) (Professional, Home, Starter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Server 2003 (R2) (SP 2) (Web, Standard, Enterprise, Datacenter) – не поддерживается в версии Dallas Lock 8.0.689 и выше; Windows Vista (SP 2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter); Windows 7 (SP 1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter); Windows Server 2008 (SP 2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008); Windows Server 2008 R2 (SP 1) (Foundation, Standard, Web, Enterprise, Datacenter); Windows 8 (Core, Pro, Enterprise); Windows Server 2012 (Foundation, Essentials, Standard, Datacenter); Windows 8.1 (Core, Pro, Enterprise); Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter); Windows 10 (Enterprise, Education, Pro, Home) и Windows 10 Creators Update; Windows Server 2016 (Multipoint Premium Server, Essentials, Standard, Datacenter, Storage Server, Hyper-V Server); Windows Server 2019 (Essentials, Standard, Datacenter).
Процессор — СЗИ НСД поддерживает как 32-битные версии ОС, архитектуры Intel x86, так и 64-битные, архитектуры AMD64 (архитектура IA64 (Itanium) не поддерживается).
Жесткий диск (свободное пространство) — Для размещения файлов СЗИ НСД требуется не менее 200 МБ пространства на системном разделе жесткого диска
Соответствие — СЗИ НСД соответствует требованиям руководящих и методических документов (требования безопасности информации ФСТЭК России)
указана цена СЗИ Dallas Lock Linux. Бессрочная лицензия. Для уточнения цены других лицензий оставьте заявку.
Жесткий диск (свободное пространство) — требуется не менее 4,5 Гб пространства на системном разделе жесткого диска
Dallas Lock Linux комплект для установки, сертифицированный.
Операционная система — Альт Рабочая Станция 8.2, 9.0 x64; Astra Linux Сommon Edition (Орёл) 2.12 x64; Debian 8; Debian 9; CentOS 7 x64; Red Hat Enterprise Linux 7 x64; Fedora 30 x64; Ubuntu 16.04 х64; Ubuntu 18.04 х64; РЕД ОС 7.1, 7.2 Муром; ROSA Enterprise Linux Desktop/Server x64; ЛотОС 2.1 х64.
Жесткий диск (свободное пространство) — требуется не менее 4,5 Гб пространства на системном разделе жесткого диска
указана цена СЗИ Dallas Lock 8.0-К Базовый. Бессрочная лицензия. Для уточнения цены других лицензий оставьте заявку.
указана цена СЗИ Dallas Lock 8.0-С Базовый. Бессрочная лицензия. Для уточнения цены других лицензий оставьте заявку.
Dallas Lock — это система защиты информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в автоматизированных системах.
Продукты линейки Dallas Lock разрабатываются и создаются отечественной компанией ООО «Конфидент» с 1992 года, и с тех пор прошли эволюционный путь развития от простого замка на включение компьютера до распределенной системы, удовлетворяющей всем современным требованиям по защите информации.
Как купить Dallas Lock
Купить Dallas Lock актуальную версию для вашей организации можно просто оставив заявку на нашем сайте. Наши специалисты проведут консультацию по всем интересующим вопросам и помогут подобрать нужное и оптимальное решение специально для Вас.
Средство доверенной загрузки Dallas Lock — новый продукт в линейке средств защиты Центра защиты информации ООО «Конфидент». Решение обеспечивает блокирование попыток несанкционированной загрузки нештатной операционной системы, а также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы, осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности. В материале представлены функциональные возможности продукта, системные требования и поддерживаемые технологии, а также описание работы продукта.
Сертификат AM Test Lab
Номер сертификата: 183
Дата выдачи: 23.01.2017
Срок действия: 23.01.2022
Ключевые возможности Dallas Lock 8.0-С
- Защита информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС. Поддерживает виртуальные среды;
- Дискреционный и мандатный принципы разграничения доступа к информационным ресурсам и подключаемым устройствам;
- Аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий;
- Контроль целостности файловой системы, программно-аппаратной среды и реестра;
- Объединение защищенных ПК для централизованного управления механизмами безопасности;
- Приведение АС, ГИС, АСУ ТП, КИИ и систем обработки ПДн в соответствие законодательству РФ по защите информации;
- Собственные механизмы управления информационной безопасностью, подменяющие (дублирующие) механизмы операционной системы.
Функциональные возможности СДЗ Dallas Lock
К основным функциональным возможностям СДЗ Dallas Lock относятся:
- идентификация и аутентификация пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
- двухфакторная аутентификация пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
- контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
- блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
- блокировка пользователя при выявлении попыток обхода СДЗ;
- автоматическая регистрация событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защиты от несанкционированного уничтожения или модификации записей журнала аудита;
- реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
- недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
- контроль состава компонентов аппаратного обеспечения ПК на основе их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
- выполнение перезагрузки ПК при выявлении попыток обхода СДЗ;
- автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ.
Средство доверенной загрузки Dallas Lock позволяет осуществлять контроль целостности следующих типов объектов:
- Файловая система.
- Реестр ОС Windows.
- Области диска.
- BIOS/CMOS.
- Аппаратная конфигурация.
Основные возможности Dallas Lock
Главное назначение СЗИ Dallas Lock 8.0 — защита информации в автоматизированных системах, системах управления производственными и технологическими процессами на критически важных объектах и потенциально опасных объектах и в информационных системах, включая государственные.
Dallas Lock 8.0 обеспечивает защиту конфиденциальной информации от несанкционированного доступа как на персональных, портативных и мобильных компьютерах, так и на серверах, позволяет проводить аудит действий пользователей и контроль целостности файловой системы, программно-аппаратной среды и реестра, а также обладает собственными механизмами управления ИБ и «песочницей», в которой можно запустить любое ПО и протестировать его в изолированной, защищенной среде.
СЗИ Dallas Lock выходит в редакции “К” и “С” а также в виде версии для Linux. Подробней конфигурации и функционал данного продукта мы рассмотрим ниже:
- Dallas Lock 8.0-К — сертифицированная система защиты конфиденциальной информации накладного типа предназначена для автономных персональных компьютеров и компьютеров в составе локальной сети.
- Dallas Lock 8.0-К представляет собой программный комплекс средств защиты информации в ОС с возможностью подключения аппаратных идентификаторов. Легко интегрируется в сложные сетевые инфраструктуры благодаря собственному набору сертифицированных решений.
- Dallas Lock 8.0-С — сертифицированная система накладного типа для защиты конфиденциальной информации и информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно. Предназначена для автономных персональных компьютеров и компьютеров в составе локально-вычислительной сети, в том числе под управлением контроллера домена.
Dallas Lock 8.0-С содержит весь функционал Dallas Lock 8.0-К и дополнительные функции защиты, такие как:
- Авторизация в загрузчике до загрузки ОС;
- Прозрачное преобразование жестких дисков;
- Мандатный принцип разграничения доступа к объектам файловой системы и устройствам;
- Расширенные параметры очистки остаточной информации.
- Dallas Lock Linux — сертифицированная система защиты конфиденциальной информации аналогичная вышеперечисленным редакциям Dallas Lock и предназначенная для работы на базе ОС Linux.
В качестве ключевых особенностей данной версии можно выделить поддержку широкого набора современных дистрибутивов ОС семейства Linux, консоль удаленного управления СЗИ из ОС Windows и Linux, сервис-ориентированную архитектуру и современный графический интерфейс (GUI).
В стоимость права использования каждой редакции Dallas Lock входит бессрочная лицензия.
Соответствует требованиям ФСТЭК России и Минобороны России:
Сертификат соответствия ФСТЭК России № 2945 от 16 августа 2013 г.Сертификат соответствия Минобороны России № 3902 от 23 марта 2018 г.
Класс защищенности | Назначение |
по 3 классу защищенности СВТ от НСД | «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) |
по классу защиты МЭ ИТ.МЭ.В4.П3 | «Профиль защиты межсетевых экранов типа «В» четвертого класса защиты» ИТ.МЭ.В4.ПЗ (ФСТЭК России, 2016) |
по классу защиты СОВ ИТ.СОВ.У4.ПЗ | «Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты» ИТ.СОВ.У4.ПЗ (ФСТЭК России, 2012) |
по классу защиты СКН ИТ.СКН.П2.ПЗ | «Профиль защиты средств контроля подключения съемных машинных носителей информации второго класса защиты» ИТ.СКН.П2.ПЗ (ФСТЭК России, 2014) |
по 2 уровню контроля отсутствия НДВ | «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) |
Работа с продуктом
Инсталляция платы СДЗ Dallas Lock в системный блок осуществляется просто и быстро — плата вставляется в свободный слот PCI Express (Mini PCI Express, M.2), «сторожевой таймер» подключается к разъему Reset. Установка дополнительных программных модулей (агентов) в среду штатной ОС для СДЗ Dallas Lock не требуется. Возможно также использование датчика вскрытия корпуса системного блока. Для этого на плате формата PCIe (КТ-500) имеются входы S1 и S2.
При загрузке компьютера с установленной платой появляется экран приглашения войти в систему. Пользователю необходимо ввести логин и пароль и при необходимости предъявить аппаратный идентификатор, если администратор установил данную опцию.
Рисунок 5. Аутентификация пользователя в СДЗ Dallas Lock
В меню в нижней части экрана пользователю можно выбрать следующие действия с системой:
- «Загрузка» — переход к загрузке штатной операционной системы.
- «Смена пароля» — переход к смене пароля текущей учетной записи пользователя.
- «Администрирование» — запуск консоли администратора СДЗ Dallas Lock, которая доступна только пользователям с ролью «Администратор» и «Аудитор».
В главном окне консоли администратора расположены вкладки, обеспечивающие доступ к различным настройкам СДЗ Dallas Lock:
- «Пользователи» — управление учетными записями пользователей.
- «Контролируемые объекты» — контроль целостности компонентов СВТ.
- «Политики безопасности» — настройка авторизации в СДЗ Dallas Lock.
- «Журнал» — регистрация и аудит.
- «Параметры» — управление параметрами платы.
- «Сервис» — дополнительные функции СДЗ Dallas Lock.
Отметим, что разработчик при проектировании интерфейса всех своих продуктов использует унифицированный дизайн. Это позволяет пользователям других продуктов линейки Dallas Lock легко осваивать новые продукты, не тратя время на дополнительное обучение.
Рисунок 7. Меню «Пользователи» в консоли администратора СДЗ Dallas Lock
Рисунок 8. Редактирование параметров пользователя в СДЗ Dallas Lock
В параметрах каждого пользователя можно изменить роль, текстовое описание учетной записи, установить разрешенное время для входа в систему и различные атрибуты.
Рисунок 9. Установка разрешенного времени входа в систему в СДЗ Dallas Lock
Как мы уже ранее указывали, СДЗ Dallas Lock позволяет осуществлять контроль целостности следующих типов объектов:
- Файловая система.
- Реестр ОС Windows.
- Области диска.
- BIOS/CMOS.
- Аппаратная конфигурация.
Для контроля целостности объектов файловой системы, реестра и областей диска используется метод сравнения расчетной контрольной суммы (КС), полученной в момент проверки целостности, с эталонной контрольной суммой, рассчитанной в момент назначения целостности. Для подсчета контрольных сумм используются алгоритмы CRC32, хэш MD5, хэш ГОСТ Р 34.11-94. Контроль целостности остальных объектов осуществляется методом полной сверки.
Просмотр контролируемых объектов конкретной категории осуществляется через соответствующие кнопки в панели «Категория», а добавление и редактирование в панели «Действия».
Рисунок 11. Просмотр контролируемых объектов в СДЗ Dallas Lock
Для контроля целостности объектов файловой системы необходимо задать путь к файлу или каталогу (директории) контролируемого объекта, выбрать алгоритм расчета и установить дополнительные необходимые атрибуты. Для объектов реестра Windows выбирается путь к файлу реестра и путь к контролируемому объекту в указанном выше файле реестра, а также алгоритм расчета контрольных сумм и дополнительные атрибуты контроля. Для контроля целостности областей жесткого диска задаются начальный сектор и количество секторов, подлежащих контролю.
Для категории BIOS/CMOS форма просмотра разделена на два блока — BIOS и CMOS, представляющие две таблицы значений, где цветом можно выделять ячейки, для которых нужно назначить контроль, установив соответствующие чекбоксы.
Рисунок 12. Параметры контроля BIOS/CMOS в СДЗ Dallas Lock
В списке объектов аппаратной конфигурации автоматически отображаются все аппаратные устройства, установленные на компьютере. Для настройки контроля аппаратной конфигурации в основной области доступны чекбоксы, соответствующие группам, — «Контролировать группу» и «Включить/исключить из контроля целостности» (напротив конкретного идентификатора в группе).
Особенность реализации контроля целостности аппаратной конфигурации заключается в алгоритме исключения устройства из-под контроля. В этом случае фактическое наличие или отсутствие такого устройства не будет нарушать целостность конфигурации. Такая реализация позволяет пользователю комфортно работать с различного рода USB-устройствами.
Рисунок 13. Параметры аппаратной конфигурации в СДЗ Dallas Lock
Для категории «Аппаратная конфигурация» выводятся следующие списки групп:
- Система — отображается информация о материнской плате, BIOS и ЦП.
- Оперативная память — отображаются установленные модули оперативной памяти.
- PCI-устройства — отображаются подключенные PCI-устройства.
- Накопители — отображаются установленные накопители.
- USB-устройства — отображаются различные устройства, подключенные через USB-порт.
Во вкладке «Политики безопасности» в виде таблицы отображаются параметры и значения политик безопасности. Выделяются следующие категории политик — «Политики авторизации» и «Политики паролей».
Рисунок 14. Политики паролей в СДЗ Dallas Lock
Просмотр параметров и значений конкретной категории политик осуществляется через соответствующие кнопки в панели «Политики».
Рисунок 15. Политики авторизации в СДЗ Dallas Lock
Все события, связанные с администрированием СДЗ Dallas Lock, а также события входов пользователей, события проверки целостности и редактирования учетных записей пользователей фиксируются в журнале безопасности. Отображаются все события во вкладке «Журнал» в виде таблицы. Предусмотрена фильтрация записей журнала и их сортировка по порядковому номеру, времени события, пользователям, в течение работы которых произошло событие, наименованию события, результату и описанию (по возрастанию/убыванию). Кроме того, возможен экспорт записей журналов в файл.
Рисунок 16. Вкладка «Журнал» в СДЗ Dallas Lock
Во вкладке «Параметры» отображается версия СДЗ Dallas Lock и информация о плате, а также настраиваются параметры «Часы», «Загрузочное устройство» (с которого будет загружаться штатная операционная система) и «Датчики вскрытия корпуса». Также в панели «Версия» доступно обновление прошивки.
Меню «Сервис» позволяет получить доступ к дополнительным функциям СДЗ Dallas Lock: сохранить параметры конфигурации комплекса (в формате .xml) на различные носители, сохранить отчет о конфигурации СДЗ Dallas Lock в формате .rtf или .html, восстановить конфигурации СДЗ Dallas Lock по умолчанию и выполнить обновление прошивки.
Соответствие требованиям регуляторов
Средство доверенной загрузки Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к средствам доверенной загрузки по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и по 2 уровню контроля отсутствия недекларированных возможностей (НДВ) (Сертификат ФСТЭК России № 3666 от 25 ноября 2016 года).
Таким образом, программно-аппаратный комплекс может использоваться для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).
Назначение Dallas Lock 8.0-С
Защита информации в автоматизированных системах до класса защищенности 1Б* включительно
«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992)
Защита информации в информационных системах 1 уровня защищенности персональных данных
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Защита информации в государственных информационных системах 1 класса защищенности
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Защита информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, 1 класса защищенности
Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
Защита информации в значимых объектах критической информационной инфраструктуры до 1 категории включительно
Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
* МЭ для СЗИ Dallas Lock 8.0-C - до 1B включительно, СОВ для СЗИ Dallas Lock 8.0-C - до 1Г включительно.
Выводы
В данном обзоре мы познакомились новым продуктом компании ООО «Конфидент» — средством доверенной загрузки Dallas Lock, которое осуществляет блокирование попыток несанкционированной загрузки нештатной операционной системы, предоставляет доступ пользователям к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы, а также осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.
Появление средства доверенной загрузки является логичным развитием линейки продуктов Dallas Lock класса Endpoint Security. Таким образом, теперь можно обеспечить комплексную защиту от несанкционированного доступа рабочей станции или сервера продуктами одного вендора.
Наличие сертификата ФСТЭК России на соответствие требованиям к средствам доверенной загрузки уровня платы расширения второго класса возможностей позволяет использовать продукт для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).
Еще одним немаловажным преимуществом является полная поддержка Unified Extensible Firmware Interface (UEFI). Кроме того, в модельном ряду СДЗ Dallas Lock есть плата в форм-факторе M.2, что позволяет обеспечивать доверенную загрузку современных ноутбуков и моноблоков, в которых данный разъем присутствует.
Из недостатков в настоящее время можно выделить только отсутствие централизованного управления модулями (при этом вендор обещает в следующем релизе поддержку централизованного управления модулями), а также отсутствие в модельном ряду решения для обеспечения доверенной загрузки компьютерных систем, в которых нет разъемов для подключения плат расширения (например, некоторые blade-сервера).
Читайте также: