Jump to content

Recommended Posts

Добрый день.

Искал подобную тему, не нашел.

Настроил вход в VN Client по устройству (eToken). Но при загрузке системы можно не подключая устройство нажать кнопку "Отмена" и перейти на экран ввода пароля пользователя ОС.

Подскажите, пожалуйста, возможно ли в VipNet Client заблокировать кнопку "Отмена" при входе в систему, чтобы пока мы не подключили токен, не могли авторизоваться в системе? Хотим использовать данную технологию как способ примитивной защиты от несанкционированного доступа.

Орган по аттестации заверяет, что это все ерунда и для защиты от НСД нужно приобретать Secret Net. Мы же хотим обойтись малой кровью (4 уровень защищенности персданных).

Вопрос в догонку. В случае, если такой сценарий возможен, какова вероятность, что я по какой-либо причине не смогу авторизоваться с помощью токена (токен вышел из строя/потеряли/истек срок действия сертификата и т.п.)?

Share this post


Link to post
Share on other sites

Полагаю, в VipNet Client нет такой возможности. При помощи токена мы авторизуемся именно в сеть ViPNet, а не получаем доступ к самому рабочему месту. Полагаю, что без средств защиты от НСД всё таки не обойтись. Если нужно только защитить доступ к машине - можно использовать что-то вроде eToken Network Logon (следующее поколение ПО - SafeNet Network Logon). Это решение дешевле SecretNet, так как осуществляет только защиту авторизации. SecretNet в свою очередь обеспечивает защиту ещё и самой информации на диске.

Share this post


Link to post
Share on other sites

Полагаю, в VipNet Client нет такой возможности. При помощи токена мы авторизуемся именно в сеть ViPNet, а не получаем доступ к самому работчему месту. Полагаю, что без средств защиты от НСД всё таки не обойтись. Если нужно только защитить доступ к машине - можно использовать что-то вроде eToken Network Logon (следующее поколение ПО - SafeNet Network Logon). Это решение дешевле SecretNet, так как осуществляет только защиту авторизации. SecretNet в свою очередь обеспечивает защиту ещё и самой информации на диске.

Хорошо, а во время запуска системы кнопочку "Отмена" можно заблокировать?

Share this post


Link to post
Share on other sites

Хорошо, а во время запуска системы кнопочку "Отмена" можно заблокировать?

Можно. Есть 2 варианта.

В ЦУСе поставьте для этого АП минимальные полномочия прикладной задачи "Защита трафика".

Или если не хотите понижать полномочия до минимальных, войдите в Клиент с паролем администратора и во вкладке "Администратор" поставьте галочку на опции "Обязательный ввод пароля при входе в операционную систему".

Share this post


Link to post
Share on other sites

.....

Вопрос в догонку. В случае, если такой сценарий возможен, какова вероятность, что я по какой-либо причине не смогу авторизоваться с помощью токена (токен вышел из строя/потеряли/истек срок действия сертификата и т.п.)?

В случае утери/поломки токена всегда есть возможность провести первичную инициализацию Клиента.

Срок действия сертификата не влияет на аутентификацию в Клиенте, т.к. вход осуществляется не по сертификату, а по персональному ключу пользователя (ключевой контейнер cur_pers).

Share this post


Link to post
Share on other sites

В случае утери/поломки токена всегда есть возможность провести первичную инициализацию Клиента.

Да, сертификат не влияет на аутентификацию в ViPNet Client'e.

Share this post


Link to post
Share on other sites

Спасибо за ответы.

Можно. Есть 2 варианта.

В ЦУСе поставьте для этого АП минимальные полномочия прикладной задачи "Защита трафика".

Или если не хотите понижать полномочия до минимальных, войдите в Клиент с паролем администратора и во вкладке "Администратор" поставьте галочку на опции "Обязательный ввод пароля при входе в операционную систему".

У меня клиент 3.2 (11.18212). Данной опции нету. Не подскажете, в какой версии (сертифицированной) эта опция доступна?

4d92f5772f7e.jpg

Share this post


Link to post
Share on other sites

Эта опция находится в ЦУСе (Центр управления сетью): Службы- Групповая регистрация узлов в задачах-Защита трафика-(Там нужный узел)-Полномочия.

Share this post


Link to post
Share on other sites

Вс

У меня клиент 3.2 (11.18212). Данной опции нету. Не подскажете, в какой версии (сертифицированной) эта опция доступна?

Все правильно - входите под Администратором, а затем выходите в основное меню ViPNet Client'a.

Там слева, сразу после "журнала IP-пакетов" и "конфигурации" появится меню "Администратор", в котором надо поставить галочку:

"обязательный ввод пароля при входе в операционную систему"!

Ну или как написано выше, полномочиями из ЦУСа - можно так, можно так.

Share this post


Link to post
Share on other sites

Эта опция находится в ЦУСе (Центр управления сетью): Службы- Групповая регистрация узлов в задачах-Защита трафика-(Там нужный узел)-Полномочия.

Да, про эту опцию я знаю, но мне при этом для пользователя нужны максимальные полномочия

Вс

Все правильно - входите под Администратором, а затем выходите в основное меню ViPNet Client'a.

Там слева, сразу после "журнала IP-пакетов" и "конфигурации" появится меню "Администратор", в котором надо поставить галочку:

"обязательный ввод пароля при входе в операционную систему"!

Ну или как написано выше, полномочиями из ЦУСа - можно так, можно так.

Вот.

Всем спасибо!

Share this post


Link to post
Share on other sites

ViPNet Client - не является сертифицированным средством от НСД (список сертифицированных средств ФСТЭК - http://fstec.ru/tekh...-ru-0001-01bi00). Орган по аттестации правильно заявляет - недостаточно использовать такой способ.

Кстати, согласно списку ФСТЭК - Secret Net это средство от недокументированных возможностей (НДВ), и как средство от НСД может использоваться достаточно условно.

Share this post


Link to post
Share on other sites

ViPNet Client - не является сертифицированным средством от НСД (список сертифицированных средств ФСТЭК - http://fstec.ru/tekh...-ru-0001-01bi00). Орган по аттестации правильно заявляет - недостаточно использовать такой способ.

Кстати, согласно списку ФСТЭК - Secret Net это средство от недокументированных возможностей (НДВ), и как средство от НСД может использоваться достаточно условно.

Не спорю, но никто не отменял компенсирующие меры. К НСД ФСТЭК все-таки относится несколько формально, насколько я осведомлен. Их больше НДВ интересует.

----------

Возникла другая проблема. После того, как я заблокировал кнопку "Отмена", вход в систему у меня может осуществляться только по устройству.

Я подключаю устройство,ввожу пароль на токен, нажимаю ОК. Випнет принимает пароль и пытается перейти на следующий этап - авторизация в Windows, НО вместо этого появляется черный экран и на нем белый курсор мыши. И такая картина бесконечно долго. "Вылечил" только откатом системы (монитор в безопасном режиме не запускается).

Кто-нибудь сталкивался с данной проблемой? С чем это может быть связано?

Share this post


Link to post
Share on other sites

...

Возникла другая проблема. После того, как я заблокировал кнопку "Отмена", вход в систему у меня может осуществляться только по устройству.

Я подключаю устройство,ввожу пароль на токен, нажимаю ОК. Випнет принимает пароль и пытается перейти на следующий этап - авторизация в Windows, НО вместо этого появляется черный экран и на нем белый курсор мыши. И такая картина бесконечно долго. "Вылечил" только откатом системы (монитор в безопасном режиме не запускается).

Кто-нибудь сталкивался с данной проблемой? С чем это может быть связано?

Не понимаю как блокирование кнопки "Отмена" может влиять на окно винлогона.

У себя такого ни разу не замечал. И на XP, и на Win 7 сценарий входа с токенами всегда работал успешно, при любых полномочиях сетевого узла.

Какая версия ОС? Клиента?

Share this post


Link to post
Share on other sites

Не понимаю как блокирование кнопки "Отмена" может влиять на окно винлогона.

У себя такого ни разу не замечал. И на XP, и на Win 7 сценарий входа с токенами всегда работал успешно, при любых полномочиях сетевого узла.

Какая версия ОС? Клиента?

Win 7 Professional SP1 x64.

VipNet Client 3.2 (11.18212)

Share this post


Link to post
Share on other sites

Да, я напутал про НДВ. Фактически ФСТЭК выдает сертификаты на то, что "НДВ в проверяемом софте не обнаружены" (отя в самом сертификате написано, что "НДВ отсутствуют"). Но тем не менее, ViPNet не предназначен для защиты от несанкционированного доступа - НСД.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.