Отдел ИБ Опубликовано 4 Ноября 2014 Жалоба Поделиться Опубликовано 4 Ноября 2014 Добрый день.Искал подобную тему, не нашел.Настроил вход в VN Client по устройству (eToken). Но при загрузке системы можно не подключая устройство нажать кнопку "Отмена" и перейти на экран ввода пароля пользователя ОС.Подскажите, пожалуйста, возможно ли в VipNet Client заблокировать кнопку "Отмена" при входе в систему, чтобы пока мы не подключили токен, не могли авторизоваться в системе? Хотим использовать данную технологию как способ примитивной защиты от несанкционированного доступа.Орган по аттестации заверяет, что это все ерунда и для защиты от НСД нужно приобретать Secret Net. Мы же хотим обойтись малой кровью (4 уровень защищенности персданных).Вопрос в догонку. В случае, если такой сценарий возможен, какова вероятность, что я по какой-либо причине не смогу авторизоваться с помощью токена (токен вышел из строя/потеряли/истек срок действия сертификата и т.п.)? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 4 Ноября 2014 Жалоба Поделиться Опубликовано 4 Ноября 2014 Полагаю, в VipNet Client нет такой возможности. При помощи токена мы авторизуемся именно в сеть ViPNet, а не получаем доступ к самому рабочему месту. Полагаю, что без средств защиты от НСД всё таки не обойтись. Если нужно только защитить доступ к машине - можно использовать что-то вроде eToken Network Logon (следующее поколение ПО - SafeNet Network Logon). Это решение дешевле SecretNet, так как осуществляет только защиту авторизации. SecretNet в свою очередь обеспечивает защиту ещё и самой информации на диске. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 4 Ноября 2014 Автор Жалоба Поделиться Опубликовано 4 Ноября 2014 Полагаю, в VipNet Client нет такой возможности. При помощи токена мы авторизуемся именно в сеть ViPNet, а не получаем доступ к самому работчему месту. Полагаю, что без средств защиты от НСД всё таки не обойтись. Если нужно только защитить доступ к машине - можно использовать что-то вроде eToken Network Logon (следующее поколение ПО - SafeNet Network Logon). Это решение дешевле SecretNet, так как осуществляет только защиту авторизации. SecretNet в свою очередь обеспечивает защиту ещё и самой информации на диске.Хорошо, а во время запуска системы кнопочку "Отмена" можно заблокировать? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 5 Ноября 2014 Жалоба Поделиться Опубликовано 5 Ноября 2014 Хорошо, а во время запуска системы кнопочку "Отмена" можно заблокировать?Можно. Есть 2 варианта.В ЦУСе поставьте для этого АП минимальные полномочия прикладной задачи "Защита трафика".Или если не хотите понижать полномочия до минимальных, войдите в Клиент с паролем администратора и во вкладке "Администратор" поставьте галочку на опции "Обязательный ввод пароля при входе в операционную систему". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 5 Ноября 2014 Жалоба Поделиться Опубликовано 5 Ноября 2014 .....Вопрос в догонку. В случае, если такой сценарий возможен, какова вероятность, что я по какой-либо причине не смогу авторизоваться с помощью токена (токен вышел из строя/потеряли/истек срок действия сертификата и т.п.)?В случае утери/поломки токена всегда есть возможность провести первичную инициализацию Клиента.Срок действия сертификата не влияет на аутентификацию в Клиенте, т.к. вход осуществляется не по сертификату, а по персональному ключу пользователя (ключевой контейнер cur_pers). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 5 Ноября 2014 Жалоба Поделиться Опубликовано 5 Ноября 2014 В случае утери/поломки токена всегда есть возможность провести первичную инициализацию Клиента.Да, сертификат не влияет на аутентификацию в ViPNet Client'e. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 6 Ноября 2014 Автор Жалоба Поделиться Опубликовано 6 Ноября 2014 Спасибо за ответы.Можно. Есть 2 варианта.В ЦУСе поставьте для этого АП минимальные полномочия прикладной задачи "Защита трафика".Или если не хотите понижать полномочия до минимальных, войдите в Клиент с паролем администратора и во вкладке "Администратор" поставьте галочку на опции "Обязательный ввод пароля при входе в операционную систему".У меня клиент 3.2 (11.18212). Данной опции нету. Не подскажете, в какой версии (сертифицированной) эта опция доступна? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vanish1990 Опубликовано 6 Ноября 2014 Жалоба Поделиться Опубликовано 6 Ноября 2014 Эта опция находится в ЦУСе (Центр управления сетью): Службы- Групповая регистрация узлов в задачах-Защита трафика-(Там нужный узел)-Полномочия. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 6 Ноября 2014 Жалоба Поделиться Опубликовано 6 Ноября 2014 ВсУ меня клиент 3.2 (11.18212). Данной опции нету. Не подскажете, в какой версии (сертифицированной) эта опция доступна?Все правильно - входите под Администратором, а затем выходите в основное меню ViPNet Client'a.Там слева, сразу после "журнала IP-пакетов" и "конфигурации" появится меню "Администратор", в котором надо поставить галочку:"обязательный ввод пароля при входе в операционную систему"!Ну или как написано выше, полномочиями из ЦУСа - можно так, можно так. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Oktavius Опубликовано 7 Ноября 2014 Жалоба Поделиться Опубликовано 7 Ноября 2014 Вот. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Ноября 2014 Автор Жалоба Поделиться Опубликовано 7 Ноября 2014 Эта опция находится в ЦУСе (Центр управления сетью): Службы- Групповая регистрация узлов в задачах-Защита трафика-(Там нужный узел)-Полномочия.Да, про эту опцию я знаю, но мне при этом для пользователя нужны максимальные полномочияВсВсе правильно - входите под Администратором, а затем выходите в основное меню ViPNet Client'a.Там слева, сразу после "журнала IP-пакетов" и "конфигурации" появится меню "Администратор", в котором надо поставить галочку:"обязательный ввод пароля при входе в операционную систему"!Ну или как написано выше, полномочиями из ЦУСа - можно так, можно так.Вот.Всем спасибо! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 7 Ноября 2014 Жалоба Поделиться Опубликовано 7 Ноября 2014 ViPNet Client - не является сертифицированным средством от НСД (список сертифицированных средств ФСТЭК - http://fstec.ru/tekh...-ru-0001-01bi00). Орган по аттестации правильно заявляет - недостаточно использовать такой способ.Кстати, согласно списку ФСТЭК - Secret Net это средство от недокументированных возможностей (НДВ), и как средство от НСД может использоваться достаточно условно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Ноября 2014 Автор Жалоба Поделиться Опубликовано 7 Ноября 2014 ViPNet Client - не является сертифицированным средством от НСД (список сертифицированных средств ФСТЭК - http://fstec.ru/tekh...-ru-0001-01bi00). Орган по аттестации правильно заявляет - недостаточно использовать такой способ.Кстати, согласно списку ФСТЭК - Secret Net это средство от недокументированных возможностей (НДВ), и как средство от НСД может использоваться достаточно условно.Не спорю, но никто не отменял компенсирующие меры. К НСД ФСТЭК все-таки относится несколько формально, насколько я осведомлен. Их больше НДВ интересует.----------Возникла другая проблема. После того, как я заблокировал кнопку "Отмена", вход в систему у меня может осуществляться только по устройству.Я подключаю устройство,ввожу пароль на токен, нажимаю ОК. Випнет принимает пароль и пытается перейти на следующий этап - авторизация в Windows, НО вместо этого появляется черный экран и на нем белый курсор мыши. И такая картина бесконечно долго. "Вылечил" только откатом системы (монитор в безопасном режиме не запускается). Кто-нибудь сталкивался с данной проблемой? С чем это может быть связано? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 7 Ноября 2014 Жалоба Поделиться Опубликовано 7 Ноября 2014 ...Возникла другая проблема. После того, как я заблокировал кнопку "Отмена", вход в систему у меня может осуществляться только по устройству.Я подключаю устройство,ввожу пароль на токен, нажимаю ОК. Випнет принимает пароль и пытается перейти на следующий этап - авторизация в Windows, НО вместо этого появляется черный экран и на нем белый курсор мыши. И такая картина бесконечно долго. "Вылечил" только откатом системы (монитор в безопасном режиме не запускается).Кто-нибудь сталкивался с данной проблемой? С чем это может быть связано?Не понимаю как блокирование кнопки "Отмена" может влиять на окно винлогона.У себя такого ни разу не замечал. И на XP, и на Win 7 сценарий входа с токенами всегда работал успешно, при любых полномочиях сетевого узла.Какая версия ОС? Клиента? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Ноября 2014 Автор Жалоба Поделиться Опубликовано 7 Ноября 2014 Не понимаю как блокирование кнопки "Отмена" может влиять на окно винлогона.У себя такого ни разу не замечал. И на XP, и на Win 7 сценарий входа с токенами всегда работал успешно, при любых полномочиях сетевого узла.Какая версия ОС? Клиента?Win 7 Professional SP1 x64.VipNet Client 3.2 (11.18212) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 22 Апреля 2015 Жалоба Поделиться Опубликовано 22 Апреля 2015 Да, я напутал про НДВ. Фактически ФСТЭК выдает сертификаты на то, что "НДВ в проверяемом софте не обнаружены" (отя в самом сертификате написано, что "НДВ отсутствуют"). Но тем не менее, ViPNet не предназначен для защиты от несанкционированного доступа - НСД. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.