25 января 2024
Статья 4. Обзор подключаемых функциональных компонентов Secret Net Studio (Часть 2)
Цикл «Знакомство с SNS и SN LSP»
Блок Secret Net Studio
Заключение по циклу «Знакомство с SNS и SN LSP»
- Обзор Secret Net Studio 8.10 и функциональные возможности продукта
- Механизмы базовой защиты Secret Net Studio
- Подключаемые функциональные компоненты Secret Net Studio (Часть1)
- Подключаемые функциональные компоненты Secret Net Studio (Часть2)
- Подключаемые функциональные компоненты Secret Net Studio (Часть3)
- Обзор Secret Net LSP 1.12 и функциональные возможности продукта
- Особенности управления, механизмы защиты и установка продукта
Заключение по циклу «Знакомство с SNS и SN LSP»
В четвертой статье цикла мы с вами рассмотрим такие функциональные компоненты решения, как:
- Защита информации на локальных дисках
- Полнодисковое шифрование
- Шифрование данных в криптоконтейнерах
- Затирание данных
- Паспорт ПО
Защита локальных дисков
Механизм защиты информации на локальных дисках позволяет блокировать к ним доступ при несанкционированной загрузке компьютера. Загрузка считается несанкционированной, если она выполнена не с операционной системы, на которой установлен клиент Secret Net Studio (например, загрузка ОС с внешнего носителя или загрузка другой операционной системы).
Действие механизма основано на модификации загрузочных секторов логических разделов на жестких дисках. Обеспечивается защита до 128 логических разделов при общем количестве физических дисков – 32.
Механизм поддерживает следующие типы дисков:
Настройка механизма защиты логических дисков выполняется следующим образом:
1. Включение механизма
В Центре управления необходимо выбрать защищаемый компьютер и загрузить его политики. Далее следует перейти к группе параметров «Хранение данных восстановления» (для централизованного режима) и установить отметку в поле «Хранить централизованно».
Действие механизма основано на модификации загрузочных секторов логических разделов на жестких дисках. Обеспечивается защита до 128 логических разделов при общем количестве физических дисков – 32.
Механизм поддерживает следующие типы дисков:
- Диски с таблицей разделов на идентификаторах GUID на компьютере с интерфейсом UEFI.
- Диски с основной загрузочной записью MBR.
Настройка механизма защиты логических дисков выполняется следующим образом:
1. Включение механизма
В Центре управления необходимо выбрать защищаемый компьютер и загрузить его политики. Далее следует перейти к группе параметров «Хранение данных восстановления» (для централизованного режима) и установить отметку в поле «Хранить централизованно».
При включении механизма генерируется файл восстановления, содержащий ключ, на основе которого будут модифицироваться загрузочные секторы логических разделов. Этот ключ может храниться централизованно, а также он может быть создан на локальном компьютере, сменном носителе или сетевом ресурсе.
Затем нужно перейти на вкладку «Состояние», выбрать плитку «Защита дисков и шифрование данных» и активировать механизм.
Затем нужно перейти на вкладку «Состояние», выбрать плитку «Защита дисков и шифрование данных» и активировать механизм.
2. Включение защиты логических разделов
После включения механизма защиты режим отключен для всех физических разделов. На плитке «Защита дисков и шифрование данных» отобразится список дисков, которые можно поставить на защиту.
После включения механизма защиты режим отключен для всех физических разделов. На плитке «Защита дисков и шифрование данных» отобразится список дисков, которые можно поставить на защиту.
Полнодисковое шифрование
Перед включением механизма нужно выполнить настройку его параметров.
1. Предоставить пользователям привилегию на шифрование.
Назначать привилегии пользователям можно как централизованно, так и локально. Для каждого защищаемого компьютера в разделе «Политики» требуется перейти к группе параметров «Полнодисковое шифрование» и в параметре «Учетные записи с привилегией на шифрование логических разделов жестких дисков» указать необходимых пользователей. По умолчанию привилегией обладают пользователи, входящие в группу локальных администраторов.
1. Предоставить пользователям привилегию на шифрование.
Назначать привилегии пользователям можно как централизованно, так и локально. Для каждого защищаемого компьютера в разделе «Политики» требуется перейти к группе параметров «Полнодисковое шифрование» и в параметре «Учетные записи с привилегией на шифрование логических разделов жестких дисков» указать необходимых пользователей. По умолчанию привилегией обладают пользователи, входящие в группу локальных администраторов.
2. Настроить параметры полнодискового шифрования.
Осуществляется настройка шифрования системных и несистемных разделов.
Для них можно устанавливать значения:
Далее следует включить механизм, перейдя на вкладку «Состояние» выбранного компьютера и выбрав элемент «Полнодисковое шифрование».
Осуществляется настройка шифрования системных и несистемных разделов.
Для них можно устанавливать значения:
- Определяется пользователем: пользователь может зашифровывать и расшифровывать разделы самостоятельно, используя мастер шифрования;
- Шифровать: разделы будут принудительно зашифрованы с предварительным уведомлением на компьютере. Локальное расшифрование запрещено;
- Не шифровать: разделы, зашифрованные ранее, будут принудительно расшифрованы с предварительным уведомлением на компьютере. Локальное шифрование запрещено
Далее следует включить механизм, перейдя на вкладку «Состояние» выбранного компьютера и выбрав элемент «Полнодисковое шифрование».
Операции шифрования и расшифрования могут проводиться:
Осуществим вход в систему от пользователя, обладающего привилегией на шифрование. В контекстном меню пиктограммы Secret Net Studio необходимо выбрать команду «Шифрование».
- Локально в программе "Шифрование и защита диска Secret Net Studio" при локальном хранении данных восстановления;
- Локально в программе "Шифрование и защита диска Secret Net Studio" при централизованном хранении данных восстановления;
- Через Центр управления.
Осуществим вход в систему от пользователя, обладающего привилегией на шифрование. В контекстном меню пиктограммы Secret Net Studio необходимо выбрать команду «Шифрование».
Появится окно программы «Шифрование и защита диска Secret Net Studio». Далее необходимо выбрать диск, нажать кнопку «Зашифровать» и установить пароль доступа к диску.
После применения заданных настроек начнется процесс шифрования диска, по его завершении в программе появится информация о том, что диск зашифрован.
При включении компьютера с зашифрованными дисками появляется окно загрузчика Secret Net Studio с запросом пароля доступа к этим дискам.
Сменить пароль доступа к зашифрованным дискам можно как при первом входе (отметив параметр «сменить пароль при первом доступе к зашифрованным дискам» при задании пароля), так и в самой программе в любой момент времени. Для компьютеров с локальным хранением данных восстановления доступна операция повторного сохранения данных восстановления для зашифрованных дисков.
Шифрование выполняется по алгоритму AES-256.
Ключевая информация хранится в зашифрованном виде на незашифрованном разделе ESP и включает:
Смена ключей шифрования может выполняться в Центре управления при локальном и централизованном хранении данных восстановления, в Локальном центре управления, а также в мастере шифрования только с локальным хранением данных восстановления.
Шифрование выполняется по алгоритму AES-256.
Ключевая информация хранится в зашифрованном виде на незашифрованном разделе ESP и включает:
- ключ шифрования — с помощью него шифруются данные на дисках;
- ключ домена безопасности — с помощью него шифруются данные для восстановления доступа к зашифрованным дискам.
Смена ключей шифрования может выполняться в Центре управления при локальном и централизованном хранении данных восстановления, в Локальном центре управления, а также в мастере шифрования только с локальным хранением данных восстановления.
Смена ключа домена безопасности выполняется администратором домена безопасности на сервере безопасности в Центре управления. Для этого в настройках Центра управления нужно выбрать команду «Инструменты восстановления».
Появится окно восстановления объектов домена безопасности. Кнопка смены ключа безопасности расположена рядом с информацией о нем.
В случае утери пароля доступа к дискам можно восстановить доступ. В программе необходимо выбрать объект и нажать кнопку «Экспортировать файл восстановления». Затем ввести пароль к ключу домена безопасности и сохранить файл в нужную папку.
Экспортированный файл выглядит следующим образом:
Экспортированный файл выглядит следующим образом:
Для восстановления доступа в окне загрузчика Secret Net Studio необходимо выбрать команду «Восстановление доступа», ввести код восстановления и пароль к нему.
После этого установить новый пароль доступа:
Шифрование данных в криптоконтейнерах
Перед началом выполнения операций с криптоконтейнерами администратору безопасности необходимо:
1. Предоставить соответствующие привилегии пользователям.
Для операций с криптоконтейнерами пользователи должны обладать привилегией "Создание криптоконтейнера". Назначить данную привилегию можно в Центре управления, загрузив политики выбранного компьютера. В разделе «Защита диска и шифрование данных» необходимо добавить пользователей с привилегией «Учетные записи с привилегией на создание криптоконтейнера». По умолчанию ей обладают группы локальных пользователей и администраторов.
1. Предоставить соответствующие привилегии пользователям.
Для операций с криптоконтейнерами пользователи должны обладать привилегией "Создание криптоконтейнера". Назначить данную привилегию можно в Центре управления, загрузив политики выбранного компьютера. В разделе «Защита диска и шифрование данных» необходимо добавить пользователей с привилегией «Учетные записи с привилегией на создание криптоконтейнера». По умолчанию ей обладают группы локальных пользователей и администраторов.
2. Настроить регистрацию событий
Чтобы отслеживать события, связанные с механизмом, необходимо перейти в раздел «Регистрация событий», открыть группу «Защита диска и шифрование данных» и включить регистрацию соответствующих событий.
3. Выдать пользователям криптографические ключи
Для работы с криптоконтейнерами пользователям нужно предъявить идентификатор, на котором хранятся криптографические ключи, а затем загрузить ключи командой контекстного меню пиктограммы Secret Net Studio.
Чтобы отслеживать события, связанные с механизмом, необходимо перейти в раздел «Регистрация событий», открыть группу «Защита диска и шифрование данных» и включить регистрацию соответствующих событий.
3. Выдать пользователям криптографические ключи
Для работы с криптоконтейнерами пользователям нужно предъявить идентификатор, на котором хранятся криптографические ключи, а затем загрузить ключи командой контекстного меню пиктограммы Secret Net Studio.
Криптографические ключи генерируются администратором безопасности. Генерация ключевой информации и запись закрытого ключа на ключевой носитель может выполняться при присвоении пользователю персонального идентификатора (Механизмы базовой защиты Secret Net Studio).
В программе управления пользователями необходимо перейти к диалогу «Параметры безопасности» и выбрать группу «Криптоключ».
В программе управления пользователями необходимо перейти к диалогу «Параметры безопасности» и выбрать группу «Криптоключ».
Программа позволяет сменить существующий криптоключ или выдать новый. В Центре управления администратор может настроить параметры смены ключей – задать максимальный, минимальный срок действия и время предупреждения об истечении срока действия ключа для каждого выбранного компьютера.
После выполнения этих действий можно приступать к операциям с криптоконтейнерами. Перед началом работы пользователю необходимо принудительно загрузить криптографические ключи.
Для операции создания криптоконтейнера в программе «Проводник» нужно выбрать каталог, где будет размещаться файл криптоконтенера. Затем следует вызвать контекстное меню и выбрать команду «Криптоконтейнер Secret Net Studio». Появится диалог мастера создания криптоконтейнера.
Для операции создания криптоконтейнера в программе «Проводник» нужно выбрать каталог, где будет размещаться файл криптоконтенера. Затем следует вызвать контекстное меню и выбрать команду «Криптоконтейнер Secret Net Studio». Появится диалог мастера создания криптоконтейнера.
Необходимо ввести имя, размер и выбрать тип файловой системы. При необходимости можно включить режим автоматического подключения криптоконтейнера при каждом входе пользователя в систему, а также для усиления защиты включить параметр «Использовать корпоративный ключ» (необходимы права на запись в реестр). В этом случае будет создан специальный ключ, обеспечивающий доступ к криптоконтейнеру только на выбранном компьютере (для работы с криптоконтейнером на других компьютерах потребуется скопировать ключ).
На следующем шаге необходимо сформировать список учетных записей, которым будет предоставлен доступ к криптоконтейнеру.
Пользователи могут иметь права на:
На следующем шаге необходимо сформировать список учетных записей, которым будет предоставлен доступ к криптоконтейнеру.
Пользователи могут иметь права на:
- Чтение данных в криптоконтейнере;
- Полный доступ к данным – чтение и запись файлов в криптоконтейнере;
- Управление криптоконтейнерами – управление списком пользователей, которые имеют доступ к криптоконейнеру, чтение и запись файлов в криптоконтейнере.
После добавления учетных записей, в выбранный каталог добавится файл криптоконтейнера, имеющий расширение. SnDisk.
Далее созданный контейнер необходимо подключить.
Для этого:
Для этого:
- Требуется загрузить криптографические ключи.
- Вызвать контекстное меню криптоконтейнера и выбрать команду «Подключить».
- Присвоить диску криптоконтейнера букву и при необходимости установить дополнительные параметры (защита от записи, подключение криптоконтейнера при каждом входе пользователя).
Таким образом, в программе «Проводник» появится подключенный диск криптоконтейнера. В папке «Криптоконтейнеры Secret Net Studio» он будет добавлен в раздел "Подключенные".
Для отключения криптоконтейнера необходимо закрыть все файлы, расположенные в нем, вызвать контекстное меню подключенного криптоконтейнера и выбрать команду «Отключить». Криптоконтейнер будет перемещен в раздел «Отключенные».
Управление криптоконтейнерами осуществляется в папке «Криптоконтейнеры Secret Net Studio». Помимо просмотра списка криптоконтейнеров и их параметров, с ними можно выполнять такие операции, как удаление и смена ключа шифрования.
Паспорт ПО
Перед настройкой паспорта ПО необходимо убедиться, что механизм активирован – добавлены лицензии для паспорта ПО и сам механизм включен на защищаемых компьютерах.
Настройка механизма производится в 4 этапа.
1. Генерация ключевой информации для утверждения паспортов ПО.
Ключевую информацию составляют открытый и закрытый ключи пользователя. В программе управления пользователями необходимо сгенерировать криптографические ключи. Они нужны для утверждения проекта паспорта и проверки подписи. После генерации для выполнения этих операций на компьютер требуется принудительно загрузить криптографические ключи.
2. Предоставление привилегий пользователям.
Предоставим необходимые права на управление механизмом. В центре управления необходимо загрузить настройки сервера безопасности и перейти к разделу «Параметры → Привилегии пользователей».
Настройка механизма производится в 4 этапа.
1. Генерация ключевой информации для утверждения паспортов ПО.
Ключевую информацию составляют открытый и закрытый ключи пользователя. В программе управления пользователями необходимо сгенерировать криптографические ключи. Они нужны для утверждения проекта паспорта и проверки подписи. После генерации для выполнения этих операций на компьютер требуется принудительно загрузить криптографические ключи.
2. Предоставление привилегий пользователям.
Предоставим необходимые права на управление механизмом. В центре управления необходимо загрузить настройки сервера безопасности и перейти к разделу «Параметры → Привилегии пользователей».
Для управления механизмом отводятся три роли:
3. Редактирование структуры оперативного управления.
Для обработки и анализа данных о состоянии программной среды защищаемых компьютеров эти компьютеры должны быть представлены в структуре оперативного управления. При установке клиента Secret Net Studio с подчинением серверу безопасности компьютер автоматически добавляется в данную структуру. Если клиент был установлен без подчинения серверу безопасности, необходимо выполнить операции добавления компьютера в структуру и подчинения соответствующему серверу безопасности.
4. Настройка параметров функционирования механизма.
Следует задать параметры механизма. Он может настраиваться для отдельных компьютеров, доменов, организационных подразделений и серверов безопасности.
- Администратор (пользователь, который является членом группы администраторов домена безопасности) – назначает права другим пользователям, настраивает параметры механизма, загружает журналы, запускает синхронизацию баз.
- Контролер – утверждает проекты паспортов, запускает сканирование и сбор СПС (состояния программной среды), импортирует СПС в базу данных сервера безопасности.
- Оператор – сравнивает содержимое паспортов, запускает сканирование и сбор СПС, сохраняет СПС в файлы.
3. Редактирование структуры оперативного управления.
Для обработки и анализа данных о состоянии программной среды защищаемых компьютеров эти компьютеры должны быть представлены в структуре оперативного управления. При установке клиента Secret Net Studio с подчинением серверу безопасности компьютер автоматически добавляется в данную структуру. Если клиент был установлен без подчинения серверу безопасности, необходимо выполнить операции добавления компьютера в структуру и подчинения соответствующему серверу безопасности.
4. Настройка параметров функционирования механизма.
Следует задать параметры механизма. Он может настраиваться для отдельных компьютеров, доменов, организационных подразделений и серверов безопасности.
Если сбор данных состояния программной среды должен осуществляться по расписанию – необходимо выбрать один из режимов:
- Периодическое. Сбор данных осуществляется через равные промежутки времени. Продолжительность промежутка может задаваться в днях, часах или минутах.
- Еженедельное. Сбор данных осуществляется по расписанию в виде таблицы. При выборе времени выделяются ячейки таблицы. Действие расписания повторяется еженедельно.
Далее необходимо настроить область сканирования при сборе данных. Сделать это можно в параметре «Каталоги и файлы». Сканирование может выполняться по всем локальным дискам компьютера, либо по выбранным каталогам.
При необходимости можно настроить исключения для каталогов, дисков и файлов. Затем следует указать расширение имен файлов для сканирования. Предусмотрено сканирование только выбранных расширений, указанных в списке.
При необходимости можно настроить исключения для каталогов, дисков и файлов. Затем следует указать расширение имен файлов для сканирования. Предусмотрено сканирование только выбранных расширений, указанных в списке.
После этого следует настроить регистрацию событий, связанных с работой механизма (Регистрация событий – Паспорт ПО) и применить заданные настройки.
Настройка механизма произведена. Далее идет процедура работы с паспортами в следующем порядке:
1. Сбор данных о СПС на защищаемом компьютере
Сбор данных на защищаемых компьютерах может осуществляться либо по заданному расписанию, либо принудительно по команде из центра управления. Для централизованного запуска сбора данных на панели «Паспорт ПО» необходимо выбрать нужный объект и, вызвав контекстное меню, выбрать команду «Собрать новое СПС».
2. Создание проекта паспорта
После сбора данных о СПС необходимо загрузить данные из файла или с защищаемого компьютера для создания проекта паспорта.
1. Сбор данных о СПС на защищаемом компьютере
Сбор данных на защищаемых компьютерах может осуществляться либо по заданному расписанию, либо принудительно по команде из центра управления. Для централизованного запуска сбора данных на панели «Паспорт ПО» необходимо выбрать нужный объект и, вызвав контекстное меню, выбрать команду «Собрать новое СПС».
2. Создание проекта паспорта
После сбора данных о СПС необходимо загрузить данные из файла или с защищаемого компьютера для создания проекта паспорта.
3. Сравнение проекта паспорта и имеющихся паспортов для компьютера
Если у защищаемого компьютера несколько паспортов, то между ними можно выполнять сравнение имеющихся данных. Оно выполняется в Центре управления.
Необходимо выбрать несколько паспортов и сравнить их с помощью команд:
Если у защищаемого компьютера несколько паспортов, то между ними можно выполнять сравнение имеющихся данных. Оно выполняется в Центре управления.
Необходимо выбрать несколько паспортов и сравнить их с помощью команд:
- Сравнить с предыдущим – сравнение с предыдущим паспортом по списку;
- Сравнить с произвольным – сравнение с другим выбранным паспортом.
4. Проверка действительности подписи для утвержденных паспортов
5. Утверждение проекта паспорта в качестве текущего паспорта
Для обслуживания базы паспортов предусмотрены следующие возможности:
- резервное копирование;
- удаление неактуальных паспортов;
- восстановление паспортов из резервного хранилища;
- экспорт паспортов в файл.
Затирание данных
Для централизованной и локальной настройки механизма затирания следует выбрать компьютер и загрузить его политики. Затем перейти к группе параметров «Затирание данных» и установить нужные значения.
Для снижения нагрузки на компьютер при удалении больших объемов данных с локальных дисков и сменных носителей реализован механизм отложенного затирания. Он выполняется с временными задержками в порядке очереди, завершается до выключения компьютера.
Сам процесс можно отследить на мониторе отложенной обработки остаточных данных, который доступен при включенной подсистеме затирания данных и количестве циклов затирания больше нуля.
Сам процесс можно отследить на мониторе отложенной обработки остаточных данных, который доступен при включенной подсистеме затирания данных и количестве циклов затирания больше нуля.
Так же можно безвозвратно осуществить затирание всей информации на локальных дисках выбранного компьютера (кроме системного диска) и сменных носителях информации. Осуществить эту операцию можно по команде «Удаление данных → Удаление данных на локальных носителях» в панели задач.
При автоматическом затирании данных можно настроить список исключений. Добавленные объекты при затирании будут пропускаться.
Для добавления нужно прописать полный путь к объекту, при необходимости используя переменные среды окружения.
Список исключений можно создавать как для локальной, так и для групповой политики.
Авторы статьи: Влада Нестеренко, Николай Быстров
Системные инженеры TS Solution
Список исключений можно создавать как для локальной, так и для групповой политики.
Авторы статьи: Влада Нестеренко, Николай Быстров
Системные инженеры TS Solution