Программное обеспечение системы защиты информации Secret Net Studio поставляются на установочном компакт диске. В корневом каталоге данного диска размещается исполняемый файл программы для работы с диском. Запустить установку Secret Net Studio можно как с помощью программы автозапуска, так и непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Client\Setup\Client\x64\SnSetup.ru-RU.exe.
Установку компонентов Secret Net Studio можно выполнять при работе на компьютере как в локальной сессии, так и в терминальной. Установка любого компонента должна выполняться пользователем, входящим в локальную группу администраторов компьютера.
Для установки клиента:
- Вставьте в привод установочный диск системы Secret Net Studio. Дождитесь появления окна программы автозапуска (см. стр.10) и запустите установку с помощью команды «Защитные компоненты». На экране появится диалог принятия лицензионного соглашения.
- Ознакомьтесь с содержанием лицензионного соглашения и нажмите кнопку «Принимаю». На экране появится диалог для выбора режима работы компонента.
- В поле «Режим работы» укажите режим функционирования клиента — автономный («Автономный режим»).
- Нажмите кнопку «Далее >». На экране появится диалог для выбора лицензий и формирования списка устанавливаемых защитных подсистем.
- В диалоге укажите метод получения лицензий:
- чтобы загрузить лицензии из файла (в частности, при установке клиента в автономном режиме функционирования) — установите отметку в поле «ввести новую лицензию».
Если строите систему защиты в ЦОД, рассмотрите вариант размещения сервера в стойке в компании «Микс Телеком». Требуйте скидку при переезде из другого ЦОД!
- Нажмите кнопку «Выбрать». Если указан метод получения лицензий из файла, выберите нужный файл в появившемся диалоге. После загрузки данных в диалоге появятся сведения о лицензиях.
- Отметьте в списке устанавливаемые подсистемы, для которых имеются свободные лицензии (установку компонента «Базовая защита» отключить нельзя). При наличии нескольких групп лицензий для компонента, можно выбрать нужную группу в раскрывающемся списке.
- Нажмите кнопку «Далее >». На экране появится диалог для выбора папки установки клиента и настройки параметров подключений.
- В поле «Установить в папку» оставьте заданную по умолчанию папку установки клиента или укажите другую папку назначения.
- Используйте ссылки в разделе «Дополнительно» для выполнения следующих действий:
- чтобы сохранить заданные параметров установки в файле — выберите ссылку «Сохранить сценарий установки». Файл сценария установки можно использовать для автоматизации процесса установки клиентского ПО на других компьютерах;
- чтобы ввести сведения о компьютере для учета — выберите ссылку «Учетная информация компьютера».
- По окончании настройки параметров нажмите кнопку «Готово».
Начнется процесс установки защитных подсистем в соответствии с заданными параметрами.
- После завершения всех операций установки нажмите кнопку «Далее».
На экране появится завершающий диалог со сведениями о выполненных операциях и предложением перезагрузить компьютер.
- Проверьте состав подключенных к компьютеру устройств. Если подключены устройства, которые в дальнейшем должны быть запрещены к использованию, — отключите их.
Внимание!
При первой загрузке компьютера после установки клиентского ПО текущая аппаратная конфигурация автоматически принимается в качестве эталонной. Поэтому до перезагрузки необходимо отключить те устройства, которые должны быть запрещены к использованию на данном компьютере.
- Перезагрузите компьютер и дождитесь загрузки системы.
Настройка программного обеспечение системы Secret Net Studio будет организованна согласно требованиям, к настройкам политик безопасности, приведенной в таблице 1.
Таблица 1.
| Настройки подсистем | |
| Политика | Параметр безопасности |
| Вход в систему: Запрет вторичного входа в систему | отключен |
| Вход в систему: Количество неудачных попыток аутентификации | 5 попыток |
| Вход в систему: Максимальный период неактивности до блокировки экрана | 10 минут |
| Вход в систему: Реакция на изъятие идентификатора | блокировать станцию при изъятии любого идентификатора |
| Вход в систему: Режим аутентификации пользователя | стандартная аутентификация |
| Вход в систему: Режим идентификации пользователя | смешанный |
| Журнал: Максимальный размер журнала системы защиты | 4096 кБ |
| Журнал: Политика перезаписи событий | затирать по необходимости |
| Затирание данных: Количество циклов затирания конфиденциальной информации | 3 |
| Затирание данных: Количество циклов затирания на локальных дисках | 3 |
| Затирание данных: Количество циклов затирания на сменных носителях | 3 |
| Контроль печати: Маркировка документов | стандартная обработка |
| Контроль печати: Теневое копирование | определяется настройками устройства |
| Контроль устройств: Теневое копирование | определяется настройками устройства |
| Полномочное управление доступом: Названия уровней конфиденциальности | Неконфиденциально, Конфиденциально, Строго конфиденциально |
| Полномочное управление доступом: Режим работы | контроль потоков отключен |
| Теневое копирование: Размер хранилища | размер: 20%, автоматическая перезапись отключена |
| Политика паролей | |
| Политик | Параметр безопасности |
| Макс. срок действия пароля | 90 дней |
| Мин. длина пароля | 8 символов |
| Мин. срок действия пароля | 0 дней |
| Пароль должен отвечать требованиям сложности | Включен |
К группе локальной защиты относятся подсистемы, реализующие применение
- следующих механизмов защиты:
- контроль устройств;
- контроль печати;
- замкнутая программная среда;
- полномочное управление доступом;
- дискреционное управление доступом к ресурсам файловой системы;
- затирание данных;
- защита информации на локальных дисках;
- шифрование данных в криптоконтейнерах.
Все настройки Secret Net Studio производятся в локальном центре управления (Пуск -> Код Безопасности -> Локальный центр управления). Локальный центр управления – это плиточная панель настроек.
Для настроек базовых параметров нажмите на плитку: Вход в систему (помечен оранжевой единицей) -> Перейдите по ссылке: Перейти к настройкам подсистемы. В открывшемся окне, установите значения общих политик и парольной политике согласно таблице 1.
Настройки параметров парольной политики:
Параметры журналирования:
Параметры блокировок и реакции на извлечение идентификатора:
После внесения изменений нажмите кнопку применить:
На данном этапе базовая настройка программного обеспечения системы защиты информации Secret Net Studio закончена. В следующем материале будет рассмотрена сетевая установка Secret Net Studio, средствами сервера безопасности и расширенная настройка политик безопасности.
- Введение
- Архитектура Secret Net Studio
- Функциональные возможности Secret Net Studio
- 3.1. Обновления и улучшения в Secret Net Studio 8.10
- Системные требования Secret Net Studio
- Лицензирование Secret Net Studio
- Сертификация Secret Net Studio и соответствие требованиям законодательства
- Применение Secret Net Studio
- Выводы
Введение
Защита рабочих станций и серверов от несанкционированного доступа является одной из основных задач при обеспечении безопасности информационных систем. Если организация при этом работает с информацией ограниченного доступа, например с персональными данными, является владельцем государственной информационной системы либо объекта критической информационной инфраструктуры, то она неизбежно сталкивается и со многочисленными требованиями по защите информации со стороны ФСТЭК и ФСБ России.
Для защиты серверов и рабочих станций по требованию регуляторов используются специализированные накладные средства защиты информации. Одним из них является продукт Secret Net Studio, разработанный компанией «Код Безопасности». В нынешнем обзоре мы детально рассмотрим новую версию 8.10 и реализованные в ней нововведения.
Архитектура Secret Net Studio
Secret Net Studio имеет классическую клиент-серверную архитектуру. Подробно о ней мы писали в обзоре версии 8.8. С тех пор изменений в части компонентов комплекса не произошло.
Функциональные возможности Secret Net Studio
Secret Net Studio — это комплексный продукт класса «защита конечных точек» (Endpoint Security) для обеспечения безопасности рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Он решает следующие задачи:
- Защита конечных точек от вирусов и вредоносных программ.
- Защита от сетевых атак.
- Защита от подделки и перехвата сетевого трафика внутри локальной сети.
- Защита информации от несанкционированного доступа.
- Контроль утечек и каналов распространения защищаемой информации.
- Защита от действий инсайдеров.
- Разграничение доступа к конфиденциальной информации и ресурсам.
- Защита от кражи информации при утере носителей.
Продукт объединяет в себе возможности классических СЗИ от НСД, персонального межсетевого экрана, средства антивирусной защиты, хостовой системы обнаружения вторжений, а также имеет различные дополнительные защитные механизмы.
Дискреционное и мандатное управление доступом к файлам
Secret Net Studio может работать с любой файловой системой, поддерживаемой Windows, включая FAT. Имеется возможность назначать метки конфиденциальности через свойства папок и директорий. Это обеспечивает контроль потоков и терминальных подключений. При этом пользователю доступны выбор уровня конфиденциальности сессии при входе в систему или автоматическое назначение максимального уровня конфиденциальности.
Усиленный вход в систему
Secret Net Studio поддерживает двухфакторную аутентификацию и электронные идентификаторы eToken, «Рутокен», ESMART, JaCarta, iButton, Guardant ID 2.0 и другие, а также аппаратные ключи JaCarta PKI/BIO, «Форос». Поддерживаются возможность сквозной аутентификации пользователя при использовании ПАК «Соболь» и работа с идентификаторами iButton, подключёнными к этому ПАК. В продукте также есть собственная усиленная парольная аутентификация и парольные политики, политики блокировки сеанса при неактивности или изъятии идентификатора.
При этом комплекс поддерживает работу с локальными и доменными пользователями. Secret Net Studio также обеспечивает защиту терминальных серверов и VDI.
Схемы аутентификации
Secret Net Studio поддерживает следующие инструменты аутентификации пользователя:
- Пароль.
- Токен.
- Windows Live ID.
- Графический пароль.
- Indeed AM.
- Indeed SSO.
Замкнутая программная среда и контроль целостности данных
В Secret Net Studio можно создать список программ, которые разрешено запускать пользователю. Если включён «жёсткий режим», то в запуске программы не из списка будет отказано. Также продукт обеспечивает контроль целостности файлов, директорий и реестра. Есть возможность настроить время контроля и выбрать вариант реакции на ИБ-события. Поддерживается управление контролем целостности файлов с помощью ПАК «Соболь».
Контроль печати
Secret Net Studio обеспечивает дискреционное и полномочное управление доступом к принтерам. Возможны маркировка документов и ограничение их печати в зависимости от уровня конфиденциальности. Комплекс поддерживает виртуальные принтеры.
При этом в Secret Net Studio можно задать уровень конфиденциальности отдельно взятого принтера — например, настроить таким образом, что на одном принтере будет распечатываться только неконфиденциальная информация, а на другом — только конфиденциальные документы.
Теневое копирование
Secret Net Studio позволяет создавать теневые копии при сохранении документов на съёмные носители и выводе на печать. Копии находятся в защищённом хранилище. Есть прикладной программный интерфейс (API) для автоматизированного доступа в хранилище теневых копий. Можно поставить метку, чтобы сохранять теневые копии и контролировать утечки информации. Таким образом, администратор всегда может проверить, что было отправлено на печать.
Затирание данных
Secret Net Studio обеспечивает гарантированное удаление данных. Можно настроить количество циклов затирания. Поддерживаются файловые системы FAT, NTFS и REFS. Затирание данных осуществляется как на локальных носителях, так и на подключаемых.
Контроль устройств
Secret Net Studio обеспечивает дискреционное и полномочное управление доступом к устройствам. Контроль осуществляется по группам, классам, моделям и отдельным экземплярам. Поддерживается иерархическое наследование настроек. Обеспечивается контроль подключения и отключения устройств. Продукт поддерживает управление перенаправлением устройств в терминальных сессиях.
Secret Net Studio может контролировать содержимое компьютера (какие локальные устройства к нему подключены), и если произойдёт изменение аппаратной конфигурации, администратор получит оповещение.
Антивирусная защита и обнаружение вторжений
Secret Net Studio поддерживает сигнатурные и эвристические методы поиска вредоносных программ, обеспечивая постоянную защиту, сканирование из контекстного меню и по расписанию. Поддерживаются белые списки директорий и файлов.
Почтовый антивирус обеспечивает безопасность вложенных объектов в письмах. Песочница в составе антивирусного модуля позволяет выявлять неизвестные вредоносные программы эвристическим методом.
Также в Secret Net Studio есть различные детекторы сетевых атак, которые выполняют эвристический и сигнатурный анализ входящего сетевого трафика. Обеспечиваются автоматическая временная блокировка атакующих хостов и оперативное её снятие. Сигнатурные анализаторы используются в том числе для блокировки фишинговых URL-адресов.
Защита сетевого взаимодействия
Межсетевой экран обеспечивает фильтрацию трафика на уровнях L3, L4 и L7 модели OSI. Поддерживается возможность настройки реакции на срабатывание правил. Кроме того, можно задать действие правил по дням недели и времени суток. Предусмотрены шаблоны для различных сетевых служб. Также есть возможность экспорта / импорта правил МСЭ. Через программу управления поддерживается настройка интерфейса SPI.
Авторизация сетевых соединений обеспечивает разграничение доступа для терминальных серверов, программную сегментацию сети без изменения сетевой топологии, а также сокрытие сетевого трафика. Это позволяет защититься от атак с посредником (Man-in-the-Middle).
Персональный межсетевой экран и авторизация межсетевых соединений работают в связке. В настройках правила можно указать, что оно должно действовать не просто на отдельно взятом компьютере, но и для определённых пользователей (в т. ч. группы).
Шифрование данных
Secret Net Studio поддерживает шифрование контейнеров произвольного размера.
Централизованное управление и мониторинг
Secret Net Studio обеспечивает централизованное управление подконтрольными хостами, включая клиенты Secret Net LSP, и их отслеживание. Централизованы также развёртывание комплекса, установка исправлений и обновлений.
Обновления и улучшения в Secret Net Studio 8.10
Одним из новых механизмов защиты в составе Secret Net Studio 8.10 является «Безопасная среда». Эта подсистема позволяет предотвратить ущерб ресурсам защищаемого хоста, запуская неизвестное программное обеспечение в изолированной среде (песочнице).
Кроме того, в новой версии появилась возможность присвоения токенов офлайн, а также реализован опциональный модуль входа, который имеет три режима: «жёсткий», «мягкий», «выключен». Жёсткий режим предполагает, что при входе пользователя аутентификацию выполняет модуль входа Secret Net Studio, а модули входа других провайдеров недоступны, если для них не реализована специальная поддержка. При включении мягкого режима можно использовать модуль входа Secret Net Studio или один из модулей входа других провайдеров. При этом блокировка компьютера средствами Secret Net Studio не применяется. Политики из групп параметров «Вход в систему», «Персональный межсетевой экран», «Авторизация сетевых соединений», вход в систему по электронным идентификаторам и выбор уровня конфиденциальности пользовательской сессии, сквозная аутентификация с ПАК «Соболь» работают только при использовании модуля входа Secret Net Studio.
Добавлена новая политика для механизма защиты входа в систему — «Запрет смены пользователя без перезагрузки», а в парольной политике Secret Net Studio появился новый параметр — «Минимальное число изменённых символов нового пароля».
Также реализована возможность записи нулевого пароля в идентификатор в совместном режиме работы с ПАК «Соболь». Теперь при присвоении пользователю идентификатора необязательно вводить такой пароль, который совпадал бы с паролем для входа в операционную систему Windows.
В части контроля устройств в новой версии реализована защита от подмены VID и PID подключаемого устройства.
В версии 8.10 антивирусная защита и система обнаружения вторжений реализованы на базе технологий Kaspersky. Добавлена база опасных веб-ресурсов от компании «Код Безопасности». Она может использоваться отдельно или вместе с базой от «Лаборатории Касперского». Также в Secret Net Studio версии 8.10 обеспечены совместимость со внешними песочницами и поддержка работы в среде контейнеризации Docker.
В обновлённой версии продукта для фильтрации сетевого трафика больше не используется NDIS-фильтр (LWF). Вся фильтрация осуществляется средствами современной платформы Windows Filtering Platform (WFP). В результате повышена совместимость со сторонним ПО, расширены возможности обработки сетевого трафика.
В части функций шифрования добавилась возможность полнодискового шифрования. Регистрируется изменение статусов защиты диска сторонними средствами. Ключевая информация хранится на электронных ключах или съёмных дисках. Реализовано резервное копирование ключей.
В части централизованного управления и мониторинга в новой версии появился легковесный автономный пакет развёртывания, существенно уменьшающий размер дистрибутива. Появилась возможность развёртывать продукт и применять патчи через сервер обновлений.
Добавлены детализированный аудит применения политик безопасности, идентификация действий администратора в системе, передача парольных политик в ПАК «Соболь», поддержка экспорта / импорта списка рабочих станций.
Появились также централизованное управление сессиями пользователей и питанием компьютера, получение журналов из ПАК «Соболь» и передача парольных политик в него, оповещение о событиях в панели управления и по электронной почте, иерархические политики для управления настройками защитных компонентов.
В версии 8.10 предусмотрена возможность централизованного управления безопасностью в несвязанных доменах Active Directory, реализована отправка журналов на сервер Syslog. Кроме того, в Secret Net Studio теперь есть шаблоны настроек для приведения системы в соответствие требованиям законодательства РФ.
Системные требования Secret Net Studio
Структурно система Secret Net Studio является модульной. Подробные требования к аппаратному и программному обеспечению приведены ниже.
Таблица 1. Минимальные характеристики аппаратного и программного обеспечения для развёртывания
|
Характеристика |
Компонент |
||
|
Клиент |
Сервер безопасности |
Центр управления |
|
|
Операционная система |
Windows 11 / 10 / 10 21H2 / 8.1 Rollup Update / 7 SP1 KB3033929 (при наличии купленной поддержки производителя) Windows Server 2022 / 2019 / 2016 / 2012 R2 Rollup Update / 2008 R2 SP1 KB3033929 (при наличии купленной поддержки производителя) |
Windows Server 2022 / 2019 / 2016 / 2012 R2 Rollup Update / 2008 x64 R2 SP1 KB3033929 (при наличии купленной поддержки производителя) |
Windows 11 / 10 / 8.1 Rollup Update / 7 SP1 KB3033929 (при наличии купленной поддержки производителя) Windows Server 2022 / 2019 / 2016 / 2012 R2 Rollup Update / 2008 R2 SP1 KB3033929 (при наличии купленной поддержки производителя) Поддерживаются 32- и 64-разрядные версии ОС с установленными пакетами обновлений не ниже указанных |
|
Процессор |
В соответствии с требованиями ОС компьютера |
Рекомендуется Intel Core i5 / Intel Xeon E3 и выше |
— |
|
Оперативная память |
Минимально — 2 ГБ Рекомендуется — 4 ГБ |
Минимально — 8 ГБ Рекомендуется — 16 ГБ |
Минимально — 2 ГБ Рекомендуется — 4 ГБ |
|
Жёсткий диск (свободное пространство) |
4 ГБ |
150 ГБ (рекомендуется использовать высокоскоростной жёсткий диск) |
Минимально — 4 ГБ Рекомендуется — 10 ГБ |
|
Дополнительное программное обеспечение |
Internet Explorer 8 или выше |
IIS (из состава соответствующей ОС) СУБД Microsoft SQL Server 2019 / 2017 / 2016 / 2014 / 2012 с пакетом обновления 1 (SP1) и выше / 2008 R2 с пакетом обновления 1 (SP1) и выше (включая Express-редакции) Компонент «Клиент» — для сервера безопасности |
Internet Explorer версии 8 или выше .NET Framework 4.5 (устанавливается автоматически) |
|
Поддерживаемое прикладное программное обеспечение |
ПАК «Соболь» (версии 3.0.6, 3.0.7, 3.0.8, 3.0.9, 3.1/3.2, 4.0.1, 4.2, 4.3, 4.4) Kaspersky Endpoint Security (версии 10.2, 10.3, 11.6, 11.11) Microsoft Office (версии 2010 — 2021) |
— |
— |
Лицензирование Secret Net Studio
Secret Net Studio лицензируется по количеству хостов и требуемых модулей защиты, а также по сроку технической поддержки. Это позволяет клиентам внедрять только те наборы модулей, в которых есть потребность.
Для ознакомления с конфигурациями Secret Net Studio на сайте вендора предусмотрен продуктовый калькулятор.
Рисунок 1. Продуктовый калькулятор на сайте компании «Код Безопасности»
Сертификация Secret Net Studio и соответствие требованиям законодательства
Secret Net Studio соответствует следующим требованиям по безопасности ФСТЭК России:
- 4-й уровень доверия;
- 5-й класс защищённости СВТ;
- 4-й класс защиты СКН;
- 4-й класс защиты САВЗ;
- 4-й класс защиты СОВ уровня хоста;
- 4-й класс защиты МЭ типа «В».
Наличие действующего сертификата по требованиям безопасности ФСТЭК России даёт возможность использовать Secret Net Studio в составе комплексов защиты информационных систем, где применение сертифицированных продуктов обязательно или обусловлено внутренними стандартами организаций:
- в государственных информационных системах до класса защищённости К1 включительно;
- в информационных системах персональных данных до уровня защищённости УЗ1 включительно;
- на значимых объектах критической инфраструктуры до первой категории значимости включительно;
- в автоматизированных системах до класса 1Г включительно;
- в АСУ ТП до 1-го класса защищённости включительно.
Кроме того, в линейке Secret Net Studio есть продукт Secret Net Studio-C, предназначенный для применения в автоматизированных системах по классификации руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» до класса 1Б.
Версия 8.6 сертифицирована ФСБ России по классу АК5.
Secret Net Studio включён в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России в 2017 году (запись № 3855).
Далее в обзоре будет подробно рассмотрена работа с продуктом.
Применение Secret Net Studio
Управление защищаемыми компьютерами осуществляется из консоли центра управления Secret Net Studio.
Рисунок 2. Основное окно консоли центра управления Secret Net Studio
Здесь задаются параметры защиты, осуществляется мониторинг состояния системы, конфигурируется сетевая структура Secret Net Studio и ведётся работа с централизованными журналами событий по безопасности. Отметим, что в составе клиента Secret Net Studio устанавливается вариант центра управления для работы в локальном режиме.
Сведения о состоянии компьютеров можно посмотреть в панели «Компьютеры» на вкладке «Состояние». Видно, какие модули защиты включены и каков их статус.
Рисунок 3. Вкладка «Состояние» консоли центра управления Secret Net Studio
Управление параметрами безопасности осуществляется в панели «Компьютеры» на вкладке «Настройки».
Рисунок 4. Вкладка «Настройки» в консоли центра управления Secret Net Studio
В разделе «Информация» можно ознакомиться с основными сведениями о защищаемом узле.
Рисунок 5. Вкладка «Информация» в консоли центра управления Secret Net Studio
Для каждого узла настраиваются политики защиты.
Рисунок 6. Настройка политик в консоли центра управления Secret Net Studio
Централизованная установка агентов защиты Secret Net Studio осуществляется из раздела «Развёртывание». Создаётся задание на установку агентов Secret Net Studio, в котором указываются различные параметры (например, какие подсистемы требуется установить).
Рисунок 7. Раздел «Развёртывание» в консоли центра управления Secret Net Studio
Механизм «Паспорт ПО» предназначен для контроля состава и целостности программного обеспечения, установленного на защищаемых компьютерах. Контроль ПО осуществляется посредством сканирования исполняемых файлов и расчёта их контрольных сумм. Совокупность контролируемых файлов на дисках компьютера представляет собой программную среду для сбора данных и анализа изменений.
Можно охватить паспортизацией весь диск целиком, определённые каталоги, например Program Files, либо какое-то конкретное установленное ПО. После формирования паспорта ПО он подписывается и сохраняется. Каждый последующий сформированный паспорт будет сравниваться с предыдущим утверждённым; если были изменения, администратор узнает об этом.
Рисунок 8. Раздел «Паспорт ПО» в консоли центра управления Secret Net Studio
Одним из новых механизмов защиты в составе Secret Net Studio является «Безопасная среда». Эта подсистема позволяет предотвратить ущерб ресурсам защищаемого хоста, запуская неизвестное программное обеспечение в изолированной среде.
Рисунок 9. Попытка запуска неизвестного программного обеспечения
Модуль «Безопасная среда» осуществляет мониторинг и анализ активности потенциально опасных приложений. В песочницу автоматически попадают те файлы, которые не имеют электронной подписи и не добавлены в белый список. Если поведение ПО не является подозрительным и достигает указанного уровня доверия, «Безопасная среда» вносит его в перечень доверенных программ. Если же приложение не соответствует правилам, то файл помещается в чёрный список и будет в дальнейшем запускаться только в песочнице.
Рисунок 10. Интерфейс приложения «Безопасная среда» в составе Secret Net Studio
Механизм полнодискового шифрования Secret Net Studio позволяет защищаться от несанкционированного доступа к конфиденциальным сведениям, хранимым на носителях информации.
Рисунок 11. Полнодисковое шифрование в Secret Net Studio
Для получения доступа к защищённым дискам понадобитс8я пароль, установленный при шифровании данных. Шифрование нескольких дисков осуществляется с одним паролем доступа.
Предусмотрена возможность сохранять ключи шифрования и информацию по восстановлению централизованно или локально. При этом само шифрование и расшифрование всегда происходит на отдельно взятой машине.
Рисунок 12. Установка пароля для доступа к зашифрованному диску в Secret Net Studio
Сведения об общем состоянии защищённости инфраструктуры содержатся в разделе «Статистика». Раздел состоит из виджетов, наглядно характеризующих системные параметры.
Рисунок 13. Раздел «Статистика» центра управления Secret Net Studio
Выводы
В новой версии Secret Net Studio 8.10 для защиты данных, серверов и рабочих станций от несанкционированного доступа были обновлены и доработаны функциональные возможности. Среди основных нововведений отметим добавление полнодискового шифрования, возможность развёртывания продукта и применения патчей через сервер обновлений, отправку журналов на сервер Syslog.
Значительно доработаны были и другие функции: например, в обновлённой версии продукта антивирусная защита и система обнаружения вторжений реализованы на базе технологий Kaspersky. Кроме того, обеспечены совместимость со внешними песочницами и поддержка работы в среде контейнеризации Docker.
Межсетевой экран больше не использует для фильтрации сетевого трафика NDIS-фильтр (LWF). Вся фильтрация осуществляется средствами современной платформы Windows Filtering Platform (WFP). В результате повышена совместимость со сторонним ПО, расширены возможности обработки сетевого трафика.
В новой версии реализовано создание и распространение легковесного автономного пакета развёртывания, что существенно уменьшает размер дистрибутива продукта.
Достоинства:
- Российский продукт, обеспечивающий соответствие требованиям закона 187-ФЗ о безопасности КИИ РФ, приказов ФСТЭК России № 239, № 235, № 31, № 17, № 21, указа Президента РФ от 01.05.2022 № 250.
- Шаблоны настроек для приведения информационной системы в соответствие требованиям законодательства РФ.
- Гибкая система лицензирования.
- Поддержка централизованного управления клиентами для ОС Windows и Linux.
Недостатки:
- Для централизованного управления Windows-узлами требуется, чтобы машины были включены в домен Active Directory.
- Отсутствие сертифицированного VPN-клиента в составе продукта.
Пакет установки Secret Net Studio включает в себя три варианта установки:
— Клиент;
— Сервер безопасности;
— Центр управления.
Системные требования «Клиент»:
Операционная система: Windows 10;
Windows 8.1 Rollup Update KB2919355;
Windows 7 SP1;
Windows Server 2019;
Windows Server 2016;
Windows Server 2012/Server 2012 R2 Rollup Update KB2919355;
Windows Server 2008 R2 SP1;
Поддерживаются 32- и 64-разрядные версии ОС с установленными пакетами обновлений не ниже указанных.
Процессор: В соответствии с требованиями ОС, установленной на компьютер.
Оперативная память: Рекомендуется – 4 Гб.
Жесткий диск
(свободное пространство): 4 ГБ.
Дополнительное ПО: Internet Explorer 8 или выше.
Системные требования «Сервер безопасности»:
Операционная система: Windows Server 2019;
Windows Server 2016;
Windows Server 2012/Server 2012 R2 Rollup Update KB2919355;
Windows Server 2008 R2 SP1
Процессор: Рекомендуется – Intel Core i5/Intel Xeon E3 и выше.
Оперативная память: Рекомендуется – 16 Гб.
Жесткий диск
(свободное пространство): 150 ГБ (Рекомендуется SSD)
Дополнительное ПО: IIS (из состава соответствующей ОС)
СУБД MS SQL 2008 R2 SP1/2012 SP1/2014 (включая Express-редакции)
Компонент «Клиент» – для сервера безопасности
Системные требования «Центр управления»:
Операционная система: Windows 10;
Windows 8.1 Rollup Update KB2919355;
Windows 7 SP1;
Windows Server 2019;
Windows Server 2016;
Windows Server 2012/Server 2012 R2 Rollup Update KB2919355;
Windows Server 2008 R2 SP1;
Поддерживаются 32- и 64-разрядные версии ОС с установленными пакетами обновлений не ниже указанных.
Процессор: В соответствии с требованиями ОС, установленной на компьютер.
Оперативная память: Рекомендуется – 4 Гб.
Жесткий диск
(свободное пространство): 10 ГБ.
Дополнительное ПО: Internet Explorer 8 или выше.
.NET Framework 4.5 (устанавливается автоматически)
Установка Secret Net Studio 8.5 в автономном варианте
Рассмотрим установку и функционал SNS на Демо-версии (полно-функциональная, органично время эксплуатации) Secret Net Studio
8.5 можно скачать по ссылке https://www.securitycode.ru/products/demo-versions/ зарегистрировавшись на сайте производителя.
Рекомендую устанавливать пакет на заранее созданную виртуальную машину для тестирования.
Пакет установки купленный компанией не отличается от Демо-версии.
1. После скачивания и распаковки архива Secret Net Studio 8.5 необходимо запустить
файл «SnAutoRun.exe»
В папке «Documentation» находится документация по установке и настройке комплекса от
разрабочика, в папке «Setup» можно найти различные компоненты по отдельности.
2. Дождитесь появления окна программы автозапуска и запустите установку с помощью
команды «Защитные компоненты»
3. Программа установки начнет выполнение подготовительных действий и затем на экран
будет выведен диалог выбора режима работы.
4. Для продолжения установки выберите «Автономный режим» и нажмите кнопку
«Далее». На экране появится окно «Компоненты системы защиты»
5. Далее нажмите кнопку «Загрузить» и выберите файл лицензии (файл с расширением .lic). Обычно данный файл не расположен в архиве и скачивается отдельно на той же ссылке, где мы скачали архив. После загрузки лицензии можно удить какие компоненты доступны.
6. После окончания установки перезагружаем компьютер. В меню пуск мы сможем найти средства управления SNS
Настройка политик безопасности для Secret Net Studio 8.5
Настройки политик безопасности осуществляются из под учетной записи администратора. Настройки «по-умолчанию» практически все выключены и ссылаются на политику безопасности Windows. В связи с этим необходимо ввести необходимые нам параметры, что бы управление политикой безопасности взял на себя SNS.
1. Запускаем «Локальный центр управления» («Пуск → Все программы → Код Безопасности → Secret Net Studio → Локальный центр управления»)
2. Выбираем вкладку «Настройки». Она содержит следующие позиции:
— базовая защита («Вход в систему», «Журнал», «Теневое копирование», «Ключи пользователя», «Оповещение о тревогах», «Контроль RDP подключений», «Администрирование системы защиты») — объединяет параметры функционирования механизмов базовой защиты клиента;
— локальная защита («Дискреционное управление доступом», «Затирание данных», «Полномочное управление доступом», «Замкнутая программная среда», «Защита диска и шифрование данных») — объединяет параметры функционирования механизмов локальной
защиты клиента;
— сетевая защита («Персональный межсетевой экран») — объединяет параметры функционирования механизмов сетевой защиты клиента;
— контроль устройств — содержит параметры функционирования механизмов контроля подключения и изменения устройств и разграничения доступа к устройствам;
— контроль печати — содержит параметры для настройки маркировки документов, теневого копирования, списка используемых принтеров и политик прямой печати;
— антивирус — содержит параметры для настройки постоянной защиты, режимов сканирования, списка исключений и сканирования по расписанию;
— обнаружение вторжения — содержит параметры для настройки детекторов сетевых атак и сигнатурных анализаторов;
— обновление — содержит параметры автоматической проверки обновлений антивирусных баз и базы правил;
— паспорт ПО — содержит параметры настройки сбора данных о состоянии программной среды (СПС) по расписанию, выбранных каталогов и расширения файлов.
Обращу внимание, что мануал SNS предусматривает наличие подсказок размещенных справа от параметра и обозначен значком «i».
2. Настройка уровня доступа пользователей.
2.1. Выставим для Администратора самый высокий уровень доступа.
Открываем окно «Управление параметрами безопасности пользователей», для этого в меню «Пуск»>«Код Безопасности»>«Secret Net Studio» следует выбрать «Управление пользователями»
В окне «Управление параметрами безопасности пользователей» следует нажать правой копкой мыши на имя пользователя являющегося администратором системы, и выбрать пункт «Свойства». В открывшемся окне следует выбрать вкладку «Параметры безопасности»>«Доступ» и установить «Уровень доступа» в максимальное значение (в примере «Строго конфиденциально»), а также установить галочку напротив пункта «Управлять категориями конфиденциальности». Далее следует нажать кнопку «OK».
Аналогично назначаем права остальным пользователям. В моем случае на ПК созданы три пользователя: Администратор, КАА и Неконфиденциал. КАА имеет уровень доступа «Конфиденциально», Неконфиденциал — «Неконфиденциально». КАА и Неконфиденциал состоят в группе «Пользователи». Администратор — в группе Администраторы.
3. Создадим на диске «С» папку «SNПУД» в ней папки «Строго конфиденциально», «Конфиденциально» и «Неконфиденциально».
Выставим для каждой папки категории конфиденциальности, которые определены в локальной политике безопасности. Для папки «Строго конфиденциально» – категория «Строго конфиденциально» и т.д. Для этого нажмите правой кнопкой мыши на папку,
выберите пункт «Свойства». В открывшемся окне перейдите во вкладку «Secret Net Studio», выберите соответствующею категорию из выпадающего списка и установите «галочки» напротив пунктов: «Автоматически присваивать новым каталогам» и «Автоматически
присваивать новым файлам». После завершения настройки нажмите кнопку «OK».
Примечание: Всем папкам и файлам присваивается минимальная категория (в нашем случае «Неконфиденциально») если не указано иное. Для минимальной категории установка дополнительных параметров, «Автоматически присваивать новым каталогам» и
«Автоматически присваивать новым файлам», не требуется и соответствующие пункты неактивны.
4.Создадим документы тест.rtf; тест.dot; тест.pdf сохраним их в папку «C:\SNПУД\Строго конфиденциально» . В папке «C:\SNПУД\Конфиденциально» создадим и сохраним документы тест1.rtf; тест1.dot; тест1.pdf. В папке «C:\SNПУД\ Неконфиденциально» создадим и сохраним документы тест.rtf; тест.dot; тест.pdf. Внесем в них произвольную информацию.
5. Для настройки подсистемы полномочного управления доступом, в меню «Пуск»>«Код Безопасности»>«Secret Net Studio» следует выбрать «Программа настройки подсистемы полномочного управления доступом»
4.Создадим документы тест.rtf; тест.dot; тест.pdf сохраним их в папку «C:\SNПУД\Строго конфиденциально» . В папке «C:\SNПУД\Конфиденциально» создадим и сохраним документы тест1.rtf; тест1.dot; тест1.pdf. В папке «C:\SNПУД\ Неконфиденциально» создадим и сохраним документы тест.rtf; тест.dot; тест.pdf. Внесем в них произвольную информацию.
5. Для настройки подсистемы полномочного управления доступом, в меню «Пуск»>«Код Безопасности»>«Secret Net Studio» следует выбрать «Программа настройки подсистемы полномочного управления доступом»
В нашем случае необходимо выбрать Microsoft Office и Adobe Reader, т.к. наши папки содержат файлы открытие и редактирование которых возможно в этих ресурсах.
6. Закройте окно «Настройка подсистемы полномочного управления доступом».
7. Включите контроль потоков, обратное действие согласно пункту 1.
8. Перезагружаем ПК.
Теперь при входе в систему необходимо будет указать режим конфиденциальности под любым пользователем. Пользователь зашедший в систему под определенным, разрешенным ему, уровнем режима конфиденциальности сможет открывать, создавать и редактировать только документы соответствующие режиму конфиденциальности. При этом SNS не разрешит пользователю сохранить или переместить файл в папку или внешний носитель, если это не предусмотрено Администратором.
Примечание: Если при включении «Полномочного управления документами» и перезагрузке ПК, произошло так, что ни один пользователь, кроме Администратора, не получает доступ к документу в соответствии с созданными правилами, то выключите «Полномочное управление документами», перезагрузите ПК и снова включите «Полномочное управление доступом» и, так же, перезагрузите ПК. Иногда случается «баг», который устраняется описанными выше действиями.
Настройка аудита операционной системы и событий Secret Net Studio 8.5
Аудит безопасности ОС (мы будем рассматривать ОС Windows 7) — это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность.
1. Первое что нам необходимо сделать — это увеличить размер журнала аудита. Для этого откроем «Локальный центр управления»
(«Пуск → Все программы → Код Безопасности → Secret Net Studio → Локальный центр управления» → Настройки → Политики → Базовая защита → Журнал).
Здесь же можно выбрать режим затирания зарегистрированных событий:
— по мере необходимости;
— старше n-ого дня;
— очистка журнала вручную;
Так же выбрать пользователей имеющих права просмотра и управления журналами событий.
2. Далее переходим в подменю вкладки «Настройки» — «Регистрация событий»
В версии SNS 8.5 практически все подпункты этого подменю включены. Но лучше пробежаться по всему подменю и где необходим аудит, необходимо его включить.
3. Закрываем SNS и перезагружаем ПК.
Работа с журналом событий Secret Net Studio 8.5
Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий. Для автоматизации
задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности (DLP-системы).
В графическом интерфейсе SNS журналы можно найти в левом столбце Локального центра управления.
В SNS присутствует четыре типа журналов:
— Secret Net Studio — события генерируемые самим комплексом;
— Безопасности — события связанные с безопасностью системы;
— Системный — общесистемные события;
— Приложений — события возникающие во время эксплуатации различного ПО.
Для загрузки журнала «по-умолчанию» нажимаем дважды ЛКМ по интересующему нас журналу. После загрузки журнала мы сможем увидеть все события аудита записанные в журнал. Где в нижнем поле указывается полная информация о событии. События, отмеченные знаком «ключ» отмечаются как разрешенные. События, отмеченные знаком «замок» отмечаются как запрещенные.
Если перейти на вкладку «Угрозы» можно увидеть потенциальные угроза системы.
Для того чтобы отфильтровать события, например, за определенный период или определенное событие, необходимо создать новый запрос. Запустим механизм фильтрации журнала. Для этого перейдите в раздел «ЗАПРОСЫ». Мы можете использовать готовые запросы из раздела, взаимодействие с ними такое же как с журналами. Создадим новый запрос, для этого выберем «Новый» —> «Запрос журнала станции» или «Запрос к теневому хранилищу».
В правой части окна появится панель с параметрами запроса.
Настройка полномочного управления доступом
Механизм полномочного управления доступом и контроля печати выполняет проверку соответствия уровня допуска пользователя и категории конфиденциальности объекта доступа (каталог, файл).
1. Для первоначальной настройки механизма полномочного управления доступом рекомендуется отключить режим контроля потоков, если он включен. (раздел: «Политики»> «Локальная защита»>«Полномочное управление доступом»)
Установка и настройка СЗИ Secret Net Studio в автономном режиме
Установка и настройка СЗИ Secret Net Studio в автономном режиме
Программное обеспечение системы защиты информации Secret Net Studio поставляются на установочном компакт диске. В корневом каталоге данного диска размещается исполняемый файл программы для работы с диском. Запустить установку Secret Net Studio можно как с помощью программы автозапуска, так и непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Client\Setup\Client\x64\SnSetup.ru-RU.exe.
Установку компонентов Secret Net Studio можно выполнять при работе на компьютере как в локальной сессии, так и в терминальной. Установка любого компонента должна выполняться пользователем, входящим в локальную группу администраторов компьютера.
Для установки клиента:
- Вставьте в привод установочный диск системы Secret Net Studio. Дождитесь появления окна программы автозапуска (см. стр.10) и запустите установку с помощью команды «Защитные компоненты». На экране появится диалог принятия лицензионного соглашения.
- Ознакомьтесь с содержанием лицензионного соглашения и нажмите кнопку «Принимаю». На экране появится диалог для выбора режима работы компонента.
- В поле «Режим работы» укажите режим функционирования клиента — автономный («Автономный режим»).
- Нажмите кнопку «Далее >». На экране появится диалог для выбора лицензий и формирования списка устанавливаемых защитных подсистем.
- В диалоге укажите метод получения лицензий:
- чтобы загрузить лицензии из файла (в частности, при установке клиента в автономном режиме функционирования) — установите отметку в поле «ввести новую лицензию».
Если строите систему защиты в ЦОД, рассмотрите вариант размещения сервера в стойке в компании «Микс Телеком». Требуйте скидку при переезде из другого ЦОД!
- Нажмите кнопку «Выбрать». Если указан метод получения лицензий из файла, выберите нужный файл в появившемся диалоге. После загрузки данных в диалоге появятся сведения о лицензиях.
- Отметьте в списке устанавливаемые подсистемы, для которых имеются свободные лицензии (установку компонента «Базовая защита» отключить нельзя). При наличии нескольких групп лицензий для компонента, можно выбрать нужную группу в раскрывающемся списке.
- Нажмите кнопку «Далее >». На экране появится диалог для выбора папки установки клиента и настройки параметров подключений.
- В поле «Установить в папку» оставьте заданную по умолчанию папку установки клиента или укажите другую папку назначения.
- Используйте ссылки в разделе «Дополнительно» для выполнения следующих действий:
- чтобы сохранить заданные параметров установки в файле — выберите ссылку «Сохранить сценарий установки». Файл сценария установки можно использовать для автоматизации процесса установки клиентского ПО на других компьютерах;
- чтобы ввести сведения о компьютере для учета — выберите ссылку «Учетная информация компьютера».
- По окончании настройки параметров нажмите кнопку «Готово».
Начнется процесс установки защитных подсистем в соответствии с заданными параметрами.
- После завершения всех операций установки нажмите кнопку «Далее».
На экране появится завершающий диалог со сведениями о выполненных операциях и предложением перезагрузить компьютер.
- Проверьте состав подключенных к компьютеру устройств. Если подключены устройства, которые в дальнейшем должны быть запрещены к использованию, — отключите их.
Внимание!
При первой загрузке компьютера после установки клиентского ПО текущая аппаратная конфигурация автоматически принимается в качестве эталонной. Поэтому до перезагрузки необходимо отключить те устройства, которые должны быть запрещены к использованию на данном компьютере.
- Перезагрузите компьютер и дождитесь загрузки системы.
Настройка программного обеспечение системы Secret Net Studio будет организованна согласно требованиям, к настройкам политик безопасности, приведенной в таблице 1.
| Настройки подсистем | |
| Политика | Параметр безопасности |
| Вход в систему: Запрет вторичного входа в систему | отключен |
| Вход в систему: Количество неудачных попыток аутентификации | 5 попыток |
| Вход в систему: Максимальный период неактивности до блокировки экрана | 10 минут |
| Вход в систему: Реакция на изъятие идентификатора | блокировать станцию при изъятии любого идентификатора |
| Вход в систему: Режим аутентификации пользователя | стандартная аутентификация |
| Вход в систему: Режим идентификации пользователя | смешанный |
| Журнал: Максимальный размер журнала системы защиты | 4096 кБ |
| Журнал: Политика перезаписи событий | затирать по необходимости |
| Затирание данных: Количество циклов затирания конфиденциальной информации | 3 |
| Затирание данных: Количество циклов затирания на локальных дисках | 3 |
| Затирание данных: Количество циклов затирания на сменных носителях | 3 |
| Контроль печати: Маркировка документов | стандартная обработка |
| Контроль печати: Теневое копирование | определяется настройками устройства |
| Контроль устройств: Теневое копирование | определяется настройками устройства |
| Полномочное управление доступом: Названия уровней конфиденциальности | Неконфиденциально, Конфиденциально, Строго конфиденциально |
| Полномочное управление доступом: Режим работы | контроль потоков отключен |
| Теневое копирование: Размер хранилища | размер: 20%, автоматическая перезапись отключена |
| Политика паролей | |
| Политик | Параметр безопасности |
| Макс. срок действия пароля | 90 дней |
| Мин. длина пароля | 8 символов |
| Мин. срок действия пароля | 0 дней |
| Пароль должен отвечать требованиям сложности | Включен |
К группе локальной защиты относятся подсистемы, реализующие применение
- следующих механизмов защиты:
- контроль устройств;
- контроль печати;
- замкнутая программная среда;
- полномочное управление доступом;
- дискреционное управление доступом к ресурсам файловой системы;
- затирание данных;
- защита информации на локальных дисках;
- шифрование данных в криптоконтейнерах.
Все настройки Secret Net Studio производятся в локальном центре управления (Пуск -> Код Безопасности -> Локальный центр управления). Локальный центр управления – это плиточная панель настроек.
Для настроек базовых параметров нажмите на плитку: Вход в систему (помечен оранжевой единицей) -> Перейдите по ссылке: Перейти к настройкам подсистемы. В открывшемся окне, установите значения общих политик и парольной политике согласно таблице 1.
Настройки параметров парольной политики:
Параметры блокировок и реакции на извлечение идентификатора:
После внесения изменений нажмите кнопку применить:
На данном этапе базовая настройка программного обеспечения системы защиты информации Secret Net Studio закончена. В следующем материале будет рассмотрена сетевая установка Secret Net Studio, средствами сервера безопасности и расширенная настройка политик безопасности.
источник
Secret Net Studio 8.5.5329
- Обеспечена совместимость Secret Net Studio с ОС Microsoft Windows Server 2019.
- Обеспечена совместимость Secret Net Studio с ОС Microsoft Windows 10 October 2018 Update (версия 1809).
- Обеспечена совместимость Secret Net Studio с ОС Microsoft Windows 10 April 2018 Update (версия 1803).
- Реализована полная поддержка режима Secure Boot и защиты LSA в ОС Windows 10.
- состав Secret Net Studio добавлен компонент «Доверенная среда», обеспечивающий внешний по отношению к ОС контроль работы ОС и системы защиты, установленных на компьютере.
- В состав дистрибутивов Secret Net Studio включены все обновления, выпускавшиеся для Secret Net Studio версий 8.2, 8.3 и 8.4.
- Добавлена возможность централизованной установки и централизованного обновления клиента Secret Net Studio средствами групповых политик домена Windows.
- В программу автозапуска c установочного диска добавлен пункт для установки сервера обновлений.
Базовая и локальная защита
- Реализован механизм самозащиты, обеспечивающий защиту от остановки критических служб и процессов Secret Net Studio, выгрузки драйверов Secret Net Studio, а также защиту модулей и ключей системного реестра от несанкционированной модификации или удаления.
- Реализована функция контроля административных привилегий, обеспечивающая контроль доступа пользователей с правами локального администратора компьютера к программе «Локальный центр управления».
- Реализована интеграция с ПАК «Соболь» версии 4.
- Реализовано оповещение пользователя о последнем успешном входе в систему.
- Реализовано предупреждение пользователя в виде сообщения при входе в систему (до аутентификации) о том, что в информационной системе реализованы меры защиты информации, а также о том, что при работе в системе пользователем должны быть соблюдены установленные оператором правила и ограничения на работу с информацией.
- В парольной политике реализована возможность установки минимальной длины пароля, равной 16 символам.
- Реализована поддержка идентификаторов JaCarta PRO, JaCarta-2 PRO/ГОСТ, JaCarta-2 SE, JaCarta U2F, JaCarta WebPass и смарт-карт JaCarta PRO, JaCarta-2 PRO/ГОСТ.
- Реализован механизм исключений в подсистеме затирания данных, позволяющий исключать выбранные объекты (файлы и папки) из обработки при автоматическом затирании данных на локальных дисках и сменных носителях.
- Реализован монитор отложенного затирания остаточных данных, отображающий прогресс выполнения затирания и пространство локальных дисков и сменных носителей.
- Обеспечено полное завершение процесса затирания данных до выключения компьютера.
- Доработаны механизмы затирания данных по требованию и контроля потоков в части их совместимости. Теперь при включенном контроле потоков и при наличии у пользователя прав на удаление файла и отсутствии прав (в соответствии с мандатным принципом) на запись в файл обеспечивается безвозвратное удаление такого файла.
- Реализовано автоматическое обновление серийных номеров устройств в политике «Контроль устройств» при обновлении соответствующих серийных номеров в системе.
- Реализован механизм исключений, позволяющий заданным приложениям осуществлять прямой вывод на печать через заданные устройства (например, COM-порты), минуя запрет на это действие при включенном контроле печати.
- Повышена скорость установки клиента Secret Net Studio.
- Реализовано отображение этапов обновления клиента Secret Net Studio на локальном компьютере в момент его перезагрузки.
Межсетевой экран и авторизация сетевых соединений
- Реализована возможность настройки исходящих правил МЭ для локальных пользователей в автономном режиме.
- Реализована маркировка (в режиме маркировки «ГОСТ») сетевого трафика от удаленных компьютеров с установленным или не установленным клиентом Secret Net Studio.
- Добавлена поддержка настройки правил МЭ с условиями для фильтрации сетевого трафика в виде сигнатур СОВ. Данные правила применяются только с учетом состояния компонента СОВ, независимо от состояния МЭ (включен, выключен).
- Реализована корректная обработка сервером аутентификации имен учетных записей компьютеров, содержащих только цифры и спецсимволы.
Антивирус и средство обнаружения и предотвращения вторжений
- Реализовано подключение антивирусных модулей (движков) как плагинов. Теперь для смены варианта антивируса достаточно сменить лицензию компонента «Антивирус» в программе управления Secret Net Studio.
- Добавлен вариант антивируса на базе SDK АО «Лаборатория Касперского».
- Добавлена поддержка переменных (HOME_NET, EXTRNAL_NET …), параметров, определяющих уникальность правила (id, msg) в программе управления, а также номера ревизии сигнатуры, без изменения id сигнатуры.
- Добавлен контроль веб-ресурсов с использованием базы опасных веб-ресурсов от АО «Лаборатория Касперского».
- При истекшем сроке действия лицензии теперь антивирус и средство обнаружения и предотвращения вторжений прекращают выполнять обновление антивирусных баз и баз решающих правил, а вариант антивируса «Антивирус (технология ESET)» полностью прекращает работу.
- Детализирован аудит событий безопасности СОВ. Теперь в журнале событий безопасности регистрируются идентификатор правила и сообщение.
- Добавлена возможность формировать отчеты «Ресурсы АРМ», «Программы и компоненты», «Допуск пользователей в ПАК «Соболь» и «Электронные идентификаторы».
- Реализована возможность добавления устройств в политику «Контроль устройств» по их VID и PID (без предъявления самого устройства).
- Реализовано сохранение группировки паспорта ПО при перезапуске программы управления.
- Доработана процедура развертывания Secret Net Studio. Теперь загрузка дистрибутива на целевой компьютер выполняется до запуска перезагрузки.
- Реализована возможность задавать тайм-ауты для всех типов операций централизованной модификации клиентской части Secret Net Studio.
- Доработан механизм автоматической установки пакетов обновлений в процессе установки или обновления клиента Secret Net Studio.
- Оптимизирован поиск серверов безопасности при установке Secret Net Studio. Теперь время составления списка доступных серверов безопасности составляет не более 1 минуты.
- Сокращен управляющий трафик между серверами безопасности. При изменении конфигурации в LDS в рамках одного домена безопасности серверы не посылают уведомления родительскому серверу.
- Реализован приоритет операций на сервере безопасности. Команды от программы управления имеют наивысший приоритет.
- Добавлена функция создания прокси-пользователя для обеспечения возможности централизованного управления ПАК «Соболь» версии 3.0 на компьютерах, защищенных Secret Net LSP.
- Реализована возможность обновления правил МЭ в виде сигнатур СОВ в составе остальных сигнатур через сервер обновлений.
- Реализована автоматическая установка компонентов, необходимых для работы сервера обновлений, при выполнении установки компонента «Сервер обновлений» из программы автозапуска c установочного диска.
- Обеспечена совместимость Secret Net Studio с ОС Microsoft Windows Server 2016.
- Обеспечена совместимость Secret Net Studio с ОС Microsoft Windows 10 April 2018 Update (версия 1803) при условии установки обновлений 8.4.2863.2, 8.4.2863.3, 8.4.2863.4, включенных в установочный комплект Secret Net Studio. Эти обновления устанавливаются автоматически при централизованной и локальной установке клиента Secret Net Studio. После обновления при работе с Secret Net Studio нужно учитывать особенности, описанные в документе под номерами 96 и 316.
- Обеспечена совместимость Secret Net Studio с ОС Microsoft Windows 10 Fall Creators Update (версия 1709).
- Реализована поддержка для ОС Windows 10 загрузки при включенной в UEFI функции SecureBoot.
- Из состава Secret Net Studio исключен компонент «Шифрование трафика (VPN клиент)».
- В состав дистрибутивов Secret Net Studio включены все обновления, выпускавшиеся для Secret Net Studio версий 8.2 и 8.3.
Базовая и локальная защита
- Изменен механизм обновления клиента Secret Net Studio. Теперь процесс обновления выполняется подобно установке обновлений ОС Windows во время перезагрузки компьютера. Также обновления клиента, размещенные на установочном диске Secret Net Studio, теперь устанавливаются автоматически во время установки клиента, выполняемой как локально, так и с помощью средств централизованного развертывания.
- Добавлена функция полного затирания внешних носителей и локальных дисков.
- Выполнена доработка и оптимизация механизма затирания данных. Повышена скорость затирания данных.
- Реализована поддержка идентификаторов и смарт-карт JaCarta LT, JaCarta 2-ГОСТ, JaСarta 2 PKI/ГОСТ, ESMART GOST D.
- Реализован механизм синхронизация паролей в RDP-сессиях для случаев, когда пароли в ОС Windows и в Secret Net Studio не совпадают.
- В состав средств локальной защиты добавлен механизм «Паспорт ПО».
- Оптимизирована работа клиента Secret Net Studio при загрузке ОС, что позволило повысить скорость загрузки компьютера.
- Оптимизирована и повышена скорость работы (выполнения операций) механизма контроля целостности.
- Дополнен и расширен список объектов реестра, устанавливаемых на контроль целостности по умолчанию.
- Оптимизированы и ускорены проверки перенаправления при входе пользователя в конфиденциальной сессии.
- Ускорена работа приложений Microsoft Office 2013 и Adobe Acrobat Reader DC в среде с действующими механизмами защиты.
- Реализована совместимость с технологией персональных виртуальных дисков Personal vDisk Citrix XenDesktop.
Антивирус и средство обнаружения и предотвращения вторжений
- Разработан новый общий сервер обновлений, позволяющий выполнять обновление и антивирусных баз, и базы решающих правил СОВ.
- В состав сервера обновлений входит программа управления с графическим интерфейсом, позволяющая управлять обновлениями.
Центр управления
- Разработана новая панель управления «Дашборд». Панель содержит сведения об общем состоянии защищенности системы и позволяет оперативно отслеживать ряд важных параметров ее работы.
- Разработан механизм настройки политик безопасности с помощью шаблонов параметров безопасности, позволяющий быстро настроить механизмы защиты за счет тиражирования эталонных наборов параметров.
- Добавлен функционал, позволяющий централизовано управлять компьютерами под управлением ОС Linux с установленным СЗИ Secret Net LSP версий 1.7 и 1.8.
- В локальном режиме работы программы управления реализован поиск по данным хранилища теневого копирования с использованием Windows Search.
- Реализовано наглядное оповещение пользователя при разрыве соединения центра управления с сервером безопасности.
- Реализовано наглядное оповещение пользователя при длительном отсутствии обновлений антивируса.
- В панели «Развертывание» добавлена функция централизованного запуска процесса исправления клиентского ПО на защищаемых компьютерах.
- В панели «Развертывание» добавлено детальное отслеживание состояния процессов установки, обновления, исправления и удаления клиента Secret Net Studio.
- В панели «Компьютеры» в режиме «Таблица» добавлены функции фильтрации объектов.
- В фильтре получения тревог (при централизованном управлении) добавлена возможность отображения выборок событий.
- Повышено удобство работы фильтра отображения событий аудита.
- В панели «Компьютеры» добавлена возможность выполнять с компьютерами групповые операции, такие как включение и выключение механизмов защиты, отправка команд оперативного управления, принудительное выполнение функционального контроля.
- Повышено удобство управления карантином антивируса.
- Повышена скорость запуска программы управления в локальном режиме работы.
- Параметры политики перенаправления и защиты RDP-сеансов объединены в отдельном разделе политик «Контроль RDP подключений».
- Добавлена проверка допустимости вводимых значений при настройке параметров антивируса и средства обнаружения и предотвращения вторжений.
- Повышена устойчивость к переименованию объектов защиты.
Утилиты
- Реализована возможность создания нескольких доменов безопасности в одном контейнере Active Directory (AD). Теперь на базе одного контейнера AD (домена AD или организационного подразделения) можно установить несколько серверов безопасности в режиме создания нового домена безопасности.
- Обеспечена частичная совместимость Secret Net Studio и Microsoft Windows 10 Fall Creators Update (версия 1709). Перед проведением обновления Windows 10 до версии 1709 необходимо в Secret Net Studio отключить функцию защиты диска. Эта функция в Windows 10 версии 1709 не поддерживается.
- Secret Net Studio выпускается теперь на русском и английском языках.
Базовая и локальная защита
- Добавлена возможность принудительной перезагрузки компьютеров при централизованной установке клиента Secret Net Studio. Теперь в параметрах задания развертывания можно указать интервал времени, по истечении которого будет выполнена автоматическая перезагрузка компьютеров после установки на них заданного ПО.
- Реализована интеграция с системой Avanpost SSO.
- Добавлен функционал, позволяющий использовать защищенные носители информации на базе USB-носителей JaCarta SF/ГОСТ.
Антивирус
- Оптимизирована работа антивируса при загрузке операционной системы компьютера. Теперь загрузка выполняется быстрее.
Сервер безопасности
- Реализована совместимость СЗИ Secret Net Studio и Microsoft Windows 10 Creators Update (версия 1703).
Базовая и локальная защита
- При попытке пользователя выключить или перезагрузить компьютер во время централизованной установки клиента (а также при централизованном обновлении или удалении) в операционной системе выводится предупреждающее сообщение.
- Доработана процедура начальной настройки механизма замкнутой программной среды при установке и обновлении клиента.
- Реализована возможность установки клиента при наличии установленного СКЗИ «Континент-АП».
- Реализована возможность удаления отдельных защитных подсистем клиента, включая программу управления в локальном режиме («Локальный центр управления»).
- Реализована поддержка идентификаторов и смарт-карт eToken PRO.
- Реализовано затирание данных для выбранных файловых объектов по команде «Удалить безвозвратно» в программе Проводник.
- Реализовано затирание имен удаляемых файлов и каталогов.
- Реализована поддержка контроля печати для приложений Магазина Windows.
- В параметрах перенаправления локальных устройств и ресурсов в RDP-подключениях (соответствующие политики групп «Контроль приложений», «Контроль устройств» и «Контроль печати») добавлены дополнительные значения «Определяется политиками Windows» для возможности применения штатных параметров групповых политик Windows.
- В программе управления пользователями выполнены доработки для более удобного представления данных: реализованы функции сортировки, поиска объектов и сохранения параметров отображения в следующих сеансах.
- Реализована возможность доступа к диалоговому окну «Управление Secret Net Studio» в Панели управления из сеанса пользователя.
- В программе настройки подсистемы полномочного управления доступом отредактирован и дополнен список приложений, подлежащих настройке (раздел «Вручную / Программы»).
- В утилите экспорта журнала Secret Net Studio (GetEventLog.exe) добавлена возможность экспорта файлов из хранилища теневого копирования.
- В утилите экспорта и импорта параметров эффективной политики компьютера (SnetPol.exe) реализованы возможности работы с параметрами дополнительных механизмов защиты Secret Net Studio.
Межсетевой экран и авторизация сетевых соединений
- Добавлен новый тип правил для обеспечения возможности фильтрации сетевого трафика в рамках TCP-соединений (сессий). Данный тип правил позволяет осуществлять фильтрацию команд, параметров и последовательностей команд, а также обеспечивать блокировку мобильного кода.
Центр управления
Реализована поддержка работы компонентов «Клиент» и «Центр управления» в операционной системе Windows 10.
Функции по поиску угроз путем анализа журналов Secret Net Studio и Windows в Центре управления
Реализованы функции по анализу и корреляции событий из журналов Secret Net Studio и журналов Windows.
- Анализ производится непосредственно в Центре управления по настраиваемым правилам.
- Поддерживается только интерактивный режим – применение правил анализа к загруженным событиям.
- В состав продукта входят предустановленные правила поиска различных угроз безопасности – подборы паролей, подозрительная активность, требующие внимания ошибки и другие – для событий Secret Net Studio, операционной системы и прикладного программного обеспечения.
- Реализован удобный редактор правил для анализа с возможностью импорта и экспорта.
Управление парольными политиками через Центр управления
Управление парольными политиками SNS реализовано независимо от парольных политик Active Directory. Управление реализовано в общих политиках в Центре управления. Настройке подлежат следующие параметры:
источник