Jump to content

Recommended Posts

Здравствуйте.

На текущий момент у вас можно скачать версию клиента и координатора ViPNet Client 4 4.3_(2.46794)

http://bdu.fstec.ru/vul/2017-01422

Под данную уязвимость получается попали все версии, которые сейчас имеют сертификат и поставляются:

  • 4.х до версии 4.3 (2.37373) включительно
  • 3.х

Решение как обычно и часто в ЗПС:

Цитата

 

Обновление программного обеспечения на версию ViPNet Coordinator 4.3.2 (46794).
Пользователям предыдущих версий ViPNet Client рекомендуется создать замкнутую программную среду при помощи ПО ViPNet SysLocker


 

 

Вопрос - стоит ли ожидать новую версию в ближайшее время или как обычно ждать пока как мин сертификат не иссякнет?

Share this post


Link to post
Share on other sites

Версия собственно уже есть. 

Что касается сертификатов - подали документы на контроль изменений. Как сами понимаете, надо ждать.

 

Share this post


Link to post
Share on other sites

Спасибо.

Версию уже скачали, тестируем, бывает же знаете как - вроде новая, а что то исправили. что то сломалось. Будем ждать.

Share this post


Link to post
Share on other sites

Заметил (не думаю что это дефект, но всё же).

Если раньше при перезагрузке был доступ к RDP и службе уд. помощника (когда былаверсия 3.2.13, то сейчас доступ пропал. Соединение появляется, только когда на месте кто то в ручную войдёт в ОС.

Share this post


Link to post
Share on other sites

Опишите подробнее сценарий, проверим.

 

Share this post


Link to post
Share on other sites

У меня было раб.место. (обычное).

На нём ранее тестировал RDP и Амми. Т.е. до загрузки ОС можно было подключиться, т.к. служба работала и потом уже запускать (производить вход в ОС)

или по Амми (Радмин и т.п. службам) и уже потом или вводил (запускал випнет) или нет.  Сейчас после перезапуска (в новым випнет) - получается что блокируется всё, остаётся только ручной ввод. С одной стороны - это хорошо, но с другой стороны не очень, т.к. если ПК (типа сервер) перегрузился, то надо настраивать "автовход" пользователю (ну и тут же блокировку делаю) или просто ждать пока кто то в ручную подойдёт и введёт пароль.

Потом всё начинает работать и РДП и пинг и службы все.

Share this post


Link to post
Share on other sites

>Сейчас после перезапуска (в новым випнет) - получается что блокируется всё

Такое поведение отвечает последним требованиям регулятора и закреплено в эксплуатационной документации:

Одна из важнейших функций драйвера — эффективный контроль IP-трафика во время загрузки операционной системы. В ОС Windows для инициализации загрузки компьютера используется только одна служба. Инициализация ViPNet-драйвера и ключей шифрования ViPNet выполняется перед входом пользователя в Windows, то есть до инициализации остальных служб и драйверов операционной системы.

 В результате ViPNet-драйвер первым получает контроль над стеком протоколов TCP/IP. К моменту инициализации драйверов сетевых интерфейсов ViPNet-драйвер подготовлен к шифрованию и фильтрации трафика, тем самым обеспечивается защищенное соединение с контроллером домена, контроль сетевой активности запущенных на компьютере приложений и блокирование нежелательных пакетов извне. В момент загрузки операционной системы ПО ViPNet проверяет собственные контрольные суммы, гарантирующие целостность программного обеспечения, наборов ключей и списка приложений, которым разрешена сетевая активность.

>  если ПК (типа сервер) перегрузился, то надо настраивать "автовход" пользователю (ну и тут же блокировку делаю)

 Совершенно верно, именно такой сценарий и заложен в документации:

При администрировании удаленных компьютеров или компьютеров, физический доступ к которым по каким-либо причинам затруднен, возникает необходимость после перезагрузки выполнять автоматический вход в операционную систему и запуск программы ViPNet Монитор. Это представляет определенные трудности, так как перед загрузкой операционной системы и инициализацией драйвера ViPNet требуется ввести пароль пользователя сетевого узла.
Чтобы на сетевом узле вход в систему и запуск программы ViPNet Монитор осуществлялся автоматически, выполните на нем следующие действия:
1 Настройте параметры автоматического входа в ОС Windows

2 В программе ViPNet Монитор:
- Настройте параметры сохранения пароля при входе в программу. Для этого войдите в программу в режиме администратора.

-В меню Сервис выберите пункт Настройка параметров безопасности и в появившемся окне на вкладке Администратор установите флажок Разрешить сохранение пароля в реестре.

-Включите опцию автоматической блокировки компьютера при запуске программы. Это поможет предотвратить несанкционированный доступ к компьютеру.

В результате для загрузки операционной системы и инициализации драйвера ViPNet не требуется никаких действий пользователя.

 

 

Share this post


Link to post
Share on other sites
2 часа назад, zero сказал:

>Сейчас после перезапуска (в новым випнет) - получается что блокируется всё

Такое поведение отвечает последним требованиям регулятора и закреплено в эксплуатационной документации:

Это я и подозревал, ранее удивлялся почему не работает так, а тут теперь всё ясно, добрались.

Ед. автоблокировку я делаю в ручную через "автозагрузку" или самое удачное понял через реестр:

 

Блокировка в cmd

rundll32.exe user32.dll LockWorkStation

Блокировка в защищённом режиме (получилось только через..)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
у параметра SHELL дописать: rundll32.exe user32.dll LockWorkStation
должно быть =Explorer.exe, rundll32.exe user32.dll LockWorkStation

Дополнительно можно и в Випнет клиенту включить, но заметил что он "очень долго" это делает и порой я даже успевал понажимать всякие кнопочки,

прежде чем он выполнит блокировку.

 

А так теперь всё здорово получается, хотя немного логика работы всё равно "нарушена". Но может тут тоже изменения, т.к. ранее чем 4-я версия лучше от 3-я была, тем что если отказывается клиент запускать випнет, МЭ (тот же встроенный в ОС) уже не работал в версии 3 пока не включишь в ручную, а в 4-й если включил випнет - он работает, выключил, начинает внутрений работать. И тут ка краз "логика" - при загрузке вроде не работает (не должен работать) но работает получается, да так работает, что хорошо ещё если в домен будут пускать, я там не проверял работу.

Спасибо за уточнение.

Share this post


Link to post
Share on other sites

К стате я понял что и координатор, по понятным причинам точно так же теперь будет работать.

Спасибо ещё раз за уточнение, вот что значит сначала надо читать инструкции и что бывает когда этого не делается.  :wub:

Share this post


Link to post
Share on other sites

Перестал на автомате подписывать сторонним сертификатом.

Если в ручную жать кнопку - подписать, то появляется запрос от Криптопровайдера (не випнет), а если на автомате то выходит ошибка.

Ошибка отправки письма № nnn
Причина: Неизвестная ошибка (CTFFillMsgSignerInfo)

Данная ошибка может быть не в самой сборке, но до не давнего времени всё работало и подписывалось, сегодня вот так внезапно. Возможно снова в ОС обновления.

Share this post


Link to post
Share on other sites

Ошибку с подписью исправил, как и предполагал это ошибка в ОС с другим ПО. Ошибка произошла после того как принял обновление в ОС. Пришлось удалить и очистить следы от криптопро и тогда всё заработало.

Винет тут не при чём был.

Share this post


Link to post
Share on other sites

Ошибка "CTFFillMsgSignerInfo" всё же осталась и время от времени появляется :-(

Не как не могу понять где закралась.

Share this post


Link to post
Share on other sites

https://infotecs.ru/about/press-centr/news/produkty_i_resheniya/zavershen-kontrol-izmeneniy-sertifitsirovannykh-programmnykh-kompleksov-vipnet-client-4-fsb-rossii-v.html

 

Цитата

Компания извещает пользователей о необходимости обновить ПО ViPNet Client 4 и ViPNet Coordinator 4 с версии 4.3.2-37237 до версии 4.3.2-46794.

Т.е. теоретически то, что после 2018 уже должно иметь новую версию. остальные догоняются.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.