ViPNet Client 4 4.3_(2.46794) - без выявленной уязвимости

[Vintik]

Здравствуйте.

На текущий момент у вас можно скачать версию клиента и координатора ViPNet Client 4 4.3_(2.46794)

http://bdu.fstec.ru/vul/2017-01422

Под данную уязвимость получается попали все версии, которые сейчас имеют сертификат и поставляются:

• 4.х до версии 4.3 (2.37373) включительно
• 3.х

Решение как обычно и часто в ЗПС:

Цитата

 

Обновление программного обеспечения на версию ViPNet Coordinator 4.3.2 (46794).
Пользователям предыдущих версий ViPNet Client рекомендуется создать замкнутую программную среду при помощи ПО ViPNet SysLocker

 

 

Вопрос - стоит ли ожидать новую версию в ближайшее время или как обычно ждать пока как мин сертификат не иссякнет?

[Stratos]

Версия собственно уже есть. 

Что касается сертификатов - подали документы на контроль изменений. Как сами понимаете, надо ждать.

 

[Vintik]

Спасибо.

Версию уже скачали, тестируем, бывает же знаете как - вроде новая, а что то исправили. что то сломалось. Будем ждать.

[Vintik]

Заметил (не думаю что это дефект, но всё же).

Если раньше при перезагрузке был доступ к RDP и службе уд. помощника (когда былаверсия 3.2.13, то сейчас доступ пропал. Соединение появляется, только когда на месте кто то в ручную войдёт в ОС.

[Stratos]

Опишите подробнее сценарий, проверим.

 

[Vintik]

У меня было раб.место. (обычное).

На нём ранее тестировал RDP и Амми. Т.е. до загрузки ОС можно было подключиться, т.к. служба работала и потом уже запускать (производить вход в ОС)

или по Амми (Радмин и т.п. службам) и уже потом или вводил (запускал випнет) или нет.  Сейчас после перезапуска (в новым випнет) - получается что блокируется всё, остаётся только ручной ввод. С одной стороны - это хорошо, но с другой стороны не очень, т.к. если ПК (типа сервер) перегрузился, то надо настраивать "автовход" пользователю (ну и тут же блокировку делаю) или просто ждать пока кто то в ручную подойдёт и введёт пароль.

Потом всё начинает работать и РДП и пинг и службы все.

[zero]

>Сейчас после перезапуска (в новым випнет) - получается что блокируется всё

Такое поведение отвечает последним требованиям регулятора и закреплено в эксплуатационной документации:

Одна из важнейших функций драйвера — эффективный контроль IP-трафика во время загрузки операционной системы. В ОС Windows для инициализации загрузки компьютера используется только одна служба. Инициализация ViPNet-драйвера и ключей шифрования ViPNet выполняется перед входом пользователя в Windows, то есть до инициализации остальных служб и драйверов операционной системы.

 В результате ViPNet-драйвер первым получает контроль над стеком протоколов TCP/IP. К моменту инициализации драйверов сетевых интерфейсов ViPNet-драйвер подготовлен к шифрованию и фильтрации трафика, тем самым обеспечивается защищенное соединение с контроллером домена, контроль сетевой активности запущенных на компьютере приложений и блокирование нежелательных пакетов извне. В момент загрузки операционной системы ПО ViPNet проверяет собственные контрольные суммы, гарантирующие целостность программного обеспечения, наборов ключей и списка приложений, которым разрешена сетевая активность.

>  если ПК (типа сервер) перегрузился, то надо настраивать "автовход" пользователю (ну и тут же блокировку делаю)

 Совершенно верно, именно такой сценарий и заложен в документации:

При администрировании удаленных компьютеров или компьютеров, физический доступ к которым по каким-либо причинам затруднен, возникает необходимость после перезагрузки выполнять автоматический вход в операционную систему и запуск программы ViPNet Монитор. Это представляет определенные трудности, так как перед загрузкой операционной системы и инициализацией драйвера ViPNet требуется ввести пароль пользователя сетевого узла.
Чтобы на сетевом узле вход в систему и запуск программы ViPNet Монитор осуществлялся автоматически, выполните на нем следующие действия:
1 Настройте параметры автоматического входа в ОС Windows

2 В программе ViPNet Монитор:
- Настройте параметры сохранения пароля при входе в программу. Для этого войдите в программу в режиме администратора.

-В меню Сервис выберите пункт Настройка параметров безопасности и в появившемся окне на вкладке Администратор установите флажок Разрешить сохранение пароля в реестре.

-Включите опцию автоматической блокировки компьютера при запуске программы. Это поможет предотвратить несанкционированный доступ к компьютеру.

В результате для загрузки операционной системы и инициализации драйвера ViPNet не требуется никаких действий пользователя.

 

 

[Vintik]

2 часа назад, zero сказал:

>Сейчас после перезапуска (в новым випнет) - получается что блокируется всё

Такое поведение отвечает последним требованиям регулятора и закреплено в эксплуатационной документации:

Это я и подозревал, ранее удивлялся почему не работает так, а тут теперь всё ясно, добрались.

Ед. автоблокировку я делаю в ручную через "автозагрузку" или самое удачное понял через реестр:

 

Блокировка в cmd

rundll32.exe user32.dll LockWorkStation

Блокировка в защищённом режиме (получилось только через..)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
у параметра SHELL дописать: rundll32.exe user32.dll LockWorkStation
должно быть =Explorer.exe, rundll32.exe user32.dll LockWorkStation

Дополнительно можно и в Випнет клиенту включить, но заметил что он "очень долго" это делает и порой я даже успевал понажимать всякие кнопочки,

прежде чем он выполнит блокировку.

 

А так теперь всё здорово получается, хотя немного логика работы всё равно "нарушена". Но может тут тоже изменения, т.к. ранее чем 4-я версия лучше от 3-я была, тем что если отказывается клиент запускать випнет, МЭ (тот же встроенный в ОС) уже не работал в версии 3 пока не включишь в ручную, а в 4-й если включил випнет - он работает, выключил, начинает внутрений работать. И тут ка краз "логика" - при загрузке вроде не работает (не должен работать) но работает получается, да так работает, что хорошо ещё если в домен будут пускать, я там не проверял работу.

Спасибо за уточнение.

[Vintik]

К стате я понял что и координатор, по понятным причинам точно так же теперь будет работать.

Спасибо ещё раз за уточнение, вот что значит сначала надо читать инструкции и что бывает когда этого не делается.  

[Vintik]

Перестал на автомате подписывать сторонним сертификатом.

Если в ручную жать кнопку - подписать, то появляется запрос от Криптопровайдера (не випнет), а если на автомате то выходит ошибка.

Ошибка отправки письма № nnn
Причина: Неизвестная ошибка (CTFFillMsgSignerInfo)

Данная ошибка может быть не в самой сборке, но до не давнего времени всё работало и подписывалось, сегодня вот так внезапно. Возможно снова в ОС обновления.

[Vintik]

Ошибку с подписью исправил, как и предполагал это ошибка в ОС с другим ПО. Ошибка произошла после того как принял обновление в ОС. Пришлось удалить и очистить следы от криптопро и тогда всё заработало.

Винет тут не при чём был.

[Vintik]

Ошибка "CTFFillMsgSignerInfo" всё же осталась и время от времени появляется :-(

Не как не могу понять где закралась.

[Vintik]

https://infotecs.ru/about/press-centr/news/produkty_i_resheniya/zavershen-kontrol-izmeneniy-sertifitsirovannykh-programmnykh-kompleksov-vipnet-client-4-fsb-rossii-v.html

 

Цитата

Компания извещает пользователей о необходимости обновить ПО ViPNet Client 4 и ViPNet Coordinator 4 с версии 4.3.2-37237 до версии 4.3.2-46794.

Т.е. теоретически то, что после 2018 уже должно иметь новую версию. остальные догоняются.