Средство защиты информации «Блокхост-Сеть 4» комплексно и многофункционально обеспечивает безопасность информационных ресурсов рабочих станций и серверов, контролирует съёмные машинные носители информации, противодействует несанкционированному доступу.
- Введение
- Архитектура и системные требования «Блокхост-Сеть 4»
- Соответствие требованиям регуляторов
- Функциональные возможности «Блокхост-Сеть 4»
- Управление политиками механизмов безопасности на примере контроля USB
- Управление жизненным циклом токенов (смарт-карт) и сертификатов
- 6.1. Жизненный цикл управления токенами и сертификатами
- 6.1.1. Приостановка и возобновление использования токена
- 6.1.2. Вывод токена из использования
- 6.1.3. Изъятие токена
- 6.1.4. Выпуск носителя для аутентификации по сертификату
- 6.1.5. Удалённое управление токеном пользователя
- 6.1.6. Двухфакторная аутентификация с сохранённым паролем
- 6.1.7. Формирование актов выдачи / изъятия токенов
- 6.1.8. Отображение информации о сертификатах
- 6.1.9. Оповещение по почте
- 6.1.10. Инициализация токенов
- 6.1. Жизненный цикл управления токенами и сертификатами
- Сбор аудита по иерархии управления
- Новое в «Блокхост-Сеть 4»
- Выводы
Введение
Сегодня вопросы обеспечения информационной безопасности становятся предметом особого внимания. На территории Российской Федерации операторы информационных систем давно обязаны блокировать попытки несанкционированного доступа к данным, а также на постоянной основе осуществлять мониторинг защищённости ИТ-инфраструктуры. При этом борьба с угрозами не может исчерпываться принятием только организационных мер. Для реализации технических мер характерно использование различных программных и программно-аппаратных средств.
Средство защиты информации «Блокхост-Сеть 4» предназначено для защиты информационных ресурсов рабочих станций и серверов в соответствии с требованиями ФСТЭК России.
Архитектура и системные требования «Блокхост-Сеть 4»
Компоненты «Блокхост-Сеть 4» устанавливаются на компьютеры с процессорами архитектур x86 и AMD64 под управлением ОС Microsoft Windows 2008R2 / 7 / 8.1 / 2012 / 2012R2 / 10 / 2016 / 2019, Astra Linux SE («Смоленск»), «Альт 8 СП».
В состав продукта входят консоль и сервер управления, клиент СЗИ, а также клиент аутентификации и управления.
Сервер управления «Блокхост-Сеть 4» устанавливается на серверы безопасности под управлением ОС Windows. С сервера осуществляются централизованное развёртывание клиентов, управление настройками клиентов СЗИ и клиентов управления, выпуск средств двухфакторной аутентификации пользователей, в том числе с записью цифровых сертификатов, а также сбор сведений для аудита безопасности и их передача во внешние системы корреляции событий.
Консоль устанавливается на рабочее место администратора (ОС Windows или Linux) и позволяет управлять всеми возможностями серверов безопасности.
Клиент «Блокхост-Сеть 4» устанавливается на рабочие станции под управлением ОС Windows и реализует весь спектр функций безопасности продукта.
Клиент аутентификации и управления устанавливается на рабочие станции с сертифицированными ОС Linux и обеспечивает двухфакторную аутентификацию и централизованное управление средством доверенной загрузки.
Для двухфакторной идентификации и аутентификации пользователей поддерживаются персональные электронные идентификаторы eToken, ruToken, JaCarta, eSmart, Avest Token.
Соответствие требованиям регуляторов
СЗИ от НСД «Блокхост-Сеть 4» имеет сертификат № 4374 ФСТЭК России:
- 5-й класс защищённости для средств вычислительной техники (СВТ) в соответствии с руководящим документом «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» (Гостехкомиссия России, 1992);
- 4-й уровень доверия в соответствии с документом «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утверждён приказом ФСТЭК России от 02 июня 2020 г. № 76);
- 4-й класс защиты в соответствии с методическим документом «Профиль защиты средств контроля подключения съёмных машинных носителей информации четвёртого класса защиты ИТ.СКН.П4.ПЗ» (ФСТЭК России, 2014).
Продукт обеспечивает возможность защиты от несанкционированного доступа к информации для автоматизированных систем (АС) класса защищённости до 1Г включительно и позволяет выполнять требования приказов ФСТЭК России:
- № 17 по защите государственных информационных систем (ГИС), для объектов до 1-го класса защищённости включительно;
- № 21 по защите информационных систем персональных данных (ИСПДн), для объектов до 1-го уровня защищённости включительно;
- № 31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП), для объектов до 1-го класса защищённости включительно;
- № 239 по защите значимых объектов критической информационной инфраструктуры (КИИ), для объектов до 1-й категории включительно.
Функциональные возможности «Блокхост-Сеть 4»
Ключевыми возможностями «Блокхост-Сеть 4» являются:
- Идентификация и аутентификация пользователей информационной системы при попытках входа на защищаемые станции под управлением служб каталогов Microsoft Active Directory, FreeIPA, Samba, ALD Pro.
- Контроль прав доступа пользователей к защищаемой информации на компьютерах.
- Контроль подключения и использования съёмных носителей на защищаемых компьютерах.
- Двухфакторная аутентификация пользователей информационной системы при входе на защищаемые станции с помощью USB-токенов и смарт-карт.
- Управление жизненным циклом двухфакторной аутентификации для поддерживаемых Windows- и Linux-систем, в том числе с использованием цифровых сертификатов.
- Централизованный выпуск цифровых сертификатов удостоверяющих центров Microsoft CA и Dogtag для двухфакторной аутентификации.
- Централизованное управление средством доверенной загрузки SafeNode System Loader.
Централизованное развёртывание клиентов и внешних пакетов
В «Блокхост-Сеть 4» предусмотрена возможность централизованного развёртывания клиентов с сервера безопасности, для чего необходимо выполнить задачу на установку агентов развёртывания на защищаемые рабочие станции, а затем — на установку клиентов средства защиты.
Рисунок 1. Создание задачи на изменение программы в «Блокхост-Сеть 4»
Список рабочих станций для установки агентов развёртывания может быть сформирован поиском по IP-адресам, запросом из службы каталогов или по списку клиентов «Блокхост-Сеть», зарегистрированных на сервере СЗИ.
Рисунок 2. Редактирование задач в «Блокхост-Сеть 4»
Для установки агентов развёртывания требуется указать учётные записи пользователей с административными правами, от имени которых будет производиться установка.
Для выбора удобного времени установки предусмотрена возможность задать параметры запуска с помощью планировщика.
Рисунок 3. Выполнение задач в «Блокхост-Сеть 4»
Задачи установки пакетов могут быть связаны и запускаться последовательно.
Рисунок 4. Редактирование задач в «Блокхост-Сеть 4»
Установка клиента «Блокхост-Сеть»
Для инсталляции клиента «Блокхост-Сеть» уже создана одноимённая предустановленная задача.
Рисунок 5. Установка клиента в «Блокхост-Сеть 4»
Модули безопасности «Блокхост-Сеть 4» могут устанавливаться по отдельности, так что в задаче установки доступен выбор тех из них, которые нужны для защиты рабочих станций.
Рисунок 6. Выбор модулей для установки на рабочие станции в «Блокхост-Сеть 4»
Инсталляция клиента «Блокхост-Сеть» происходит на станции с установленным агентом.
Рисунок 7. Добавление рабочих станций в список установки клиента в «Блокхост-Сеть 4»
При формировании списка рабочих станций доступен экспорт / импорт, в т. ч. их перечня из другой задачи.
В планировщике предусмотрена возможность управлять временем перезагрузки операционной системы после установки клиента.
Рисунок 8. Вкладка «Перезагрузка системы» окна редактирования параметров задачи в «Блокхост-Сеть 4»
Результаты выполнения задач установки отображаются на круговой диаграмме.
Рисунок 9. Результат выполнения задачи в «Блокхост-Сеть 4»
На случай неуспешной установки предусмотрена возможность просмотреть историю операций и автоматически получить системные журналы аудита с рабочих станций.
Рисунок 10. Просмотр результатов выполнения задачи в «Блокхост-Сеть 4»
Установка сторонних программ
Помимо инсталляции клиентов СЗИ доступна возможность создания задач по установке стороннего программного обеспечения на клиентские рабочие станции. Это могут быть, например, обновления и драйверы устройств. Также можно централизованно устанавливать средство доверенной загрузки SafeNode System Loader и выполнять скрипты на подконтрольных станциях.
Построение иерархии серверов управления
Общий принцип построения иерархии, содержащей головной и подчинённые серверы, а также клиентские рабочие станции, изображён на рисунке.
Рисунок 11. Иерархия серверов в «Блокхост-Сеть 4»
Вся иерархия серверов управления отображается в левой части «Менеджера иерархий». Доступны операции по созданию групп в иерархии, поиску клиентских рабочих станций.
Рисунок 12. Отображение иерархии в «Блокхост-Сеть 4»
Серверы «Блокхост-Сеть 4» могут быть включены в иерархию в качестве головного или родительского сервера.
Рисунок 13. Построение иерархии серверов в «Блокхост-Сеть 4»
Подключение подчинённого сервера позволяет применить политики как к его рабочим станциям, так и к серверу в целом.
Подчинённые серверы в общем дереве менеджера иерархий отображаются наравне с рабочими станциями.
Рисунок 14. Подчинённые серверы в «Блокхост-Сеть 4»
Общее описание политик
Централизованное управление осуществляется посредством политик.
В СЗИ существует три типа политик: серверная (определяет параметры работы серверов), клиентская (определяет параметры работы клиентских машин) и политика SafeNode System Loader (позволяет централизованно управлять средством доверенной загрузки ОС, где установлен клиент «Блокхост-Сеть 4»).
Рисунок 15. Отображение политик в интерфейсе «Блокхост-Сеть 4»
Настройки и параметры политик корневой группы «Все компьютеры» оказывают влияние на все группы в иерархии, если установлено принудительное наследование или если в этих группах нет собственных политик.
Любая политика, кроме корневой группы «Все компьютеры», может быть неактивной и не влиять на работу серверов или клиентских рабочих станций.
Наследование политик в иерархии групп и серверов
На сервере управления реализована возможность принудительного наследования отдельных параметров или разделов политик родительских групп политиками нижестоящих групп.
Рисунок 16. Принудительное наследование параметров типа «флаг» в «Блокхост-Сеть 4»
На иллюстрации выше символ открытого замка означает, что администраторам нижестоящих уровней иерархии можно изменять параметры или разделы. Закрытый замок на каком-либо параметре или разделе политики обозначает невозможность перезаписи параметра или раздела на всех нижестоящих уровнях иерархии.
В случае принудительного наследования параметров политик типа «флаг» значение параметра политики станет идентичным тому значению, которое задано в политике верхнего уровня.
Рисунок 17. Пример иерархии в «Блокхост-Сеть 4»
Как видно, в «Клиентской политике 1» включён контроль установки или удаления программ, полученный из политики верхнего уровня.
При наследовании списков «замок» может быть установлен как на весь список, так и на отдельные его элементы.
Рисунок 18. Принудительное наследование после удаления элемента списка для текущей политики в «Блокхост-Сеть 4»
Управление политиками механизмов безопасности на примере контроля USB
В «Блокхост-Сеть 4», как и во многих средствах защиты подобного класса, реализован механизм контроля устройств, предназначенный для разграничения доступа пользователей к отчуждаемым носителям информации, формирования списков разрешённых устройств на чтение / запись для пользователей или их групп, наследование списков которых также доступно в иерархии управления.
Разграничение доступа к USB-устройствам
В политике контроля доступны для управления различные классы USB-устройств: съёмные USB-носители, WPD-устройства (телефоны, фотокамеры, музыкальные проигрыватели), адаптеры Wi-Fi и Bluetooth, смарт-карты и считыватели, клавиатуры, мыши и планшеты, а также прочие (не входящие ни в один из перечисленных классов).
Рисунок 19. Разграничение доступа выбранного пользователя в «Блокхост-Сеть 4»
Для накопителей и переносных устройств доступно разграничение по чтению и записи на уровне пользователей и их групп.
Также возможно установить общий запрет или разрешение на доступ к выбранному классу устройств для всего сформированного списка пользователей (флаг «Доступ разрешён»).
Для аудита предусмотрена возможность задать перечень фиксируемых событий.
Рисунок 20. Настройка разграничения доступа к USB-устройствам в «Блокхост-Сеть 4»
Можно организовать принудительное наследование параметров (установка «замка») всеми политиками, являющимися дочерними по отношению к текущей: для всего раздела USB-устройств, для общего запрета / разрешения на доступ к выбранному классу устройств, для пользователя в сформированном списке, а также для регистрируемых событий аудита.
Формирование доверенного списка устройств
Накопители и переносные устройства могут настраиваться индивидуально, путём формирования доверенного списка для выбранного пользователя или группы. Доступ к устройству из этого списка не зависит от ограничений, которые заданы для классов USB-устройств.
Рисунок 21. Контроль устройств в «Блокхост-Сеть 4»
Добавление в список разрешённых доступно для тех устройств, которые подключены к рабочей станции в настоящий момент (индикация зелёным цветом) или подключались к ней ранее.
Рисунок 22. Добавление в список разрешённых устройств в «Блокхост-Сеть 4»
Для разрешённых устройств доступно разграничение по типам доступа: чтение и запись.
Рисунок 23. Разграничение доступа пользователей к выбранному устройству в «Блокхост-Сеть 4»
Принудительное наследование параметров (установка «замка») всеми политиками, являющимися дочерними по отношению к текущей, также доступно для всего списка доверенных устройств или для каждого отдельно.
Для простого формирования доверенного списка устройств предусмотрена возможность импорта из файла и экспорта в файл.
Управление жизненным циклом токенов (смарт-карт) и сертификатов
Использование двухфакторной аутентификации позволяет существенно усилить защищённость информационной системы, но при большом количестве идентификационных устройств управление этой информационной системой начинает требовать всё больше ресурсов для их учёта и сопровождения.
В «Блокхост-Сеть 4» есть опция управления жизненным циклом смарт-карт, USB-токенов и цифровых сертификатов инфраструктуры открытых ключей.
Доступны следующие операции:
- Добавление токена (с возможностью инициализации).
- Назначение токена пользователю для учёта, а также для входа по паролю, сохранённому на токене, по управляемому сертификату, выпущенному на сервере СЗИ, или по стороннему сертификату.
- Приостановка / возобновление использования токена.
- Выведение токена из использования с отзывом записанных сертификатов.
- Изъятие токена и удаление связи с пользователем.
Жизненный цикл управления токенами и сертификатами
При подключении сервера управления к службе каталогов с развёрнутым центром сертификации (Microsoft AD и CA либо FreeIPA и Dogtag) можно централизованно выпускать управляемые сертификаты на USB-токены и смарт-карты пользователей.
Токен с управляемым сертификатом может быть в следующих состояниях: «не зарегистрирован», «зарегистрирован», «используется», «выключен», «отозван». Перечень возможных действий с токеном определяется его состоянием.
Рисунок 24. Жизненный цикл токена с выпуском управляемого сертификата
Приостановка и возобновление использования токена
Назначенный пользователю токен можно временно отключить, например на время отпуска.
Рисунок 25. Выключение токена в «Блокхост-Сеть 4»
Приостановка и возобновление использования токена не требует его подключения к компьютеру.
Вывод токена из использования
Назначенный пользователю токен выводится из использования в случае утери или неисправности. При этом все сертификаты, записанные на него, отзываются без возможности восстановления.
Изъятие токена
При изъятии токена его привязка к пользователю удаляется и он становится доступен для назначения другому сотруднику.
Рисунок 26. Поиск устройств в «Блокхост-Сеть 4»
Предусмотрена возможность аварийного изъятия токена, если по какой-либо причине не удаётся установить соединение с центром сертификации. При этом токен изымается без выполнения операции отзыва / временного отзыва сертификата для входа.
Выпуск носителя для аутентификации по сертификату
Назначение токена пользователю для аутентификации на рабочих станциях заключается в привязке устройства к конкретному сотруднику, например, из окна токенов.
Рисунок 27. Выпуск токена в «Блокхост-Сеть 4»
Пользователю может принадлежать несколько токенов, но токен не может принадлежать нескольким пользователям.
Рисунок 28. Шаги выпуска токена в «Блокхост-Сеть 4»
Удалённое управление токеном пользователя
Для USB-токенов и смарт-карт, которые подключены к рабочим местам пользователей, реализована возможность удалённого управления. Операция доступна при выборе рабочей станции через «Менеджер иерархий».
Рисунок 29. Менеджер иерархий в «Блокхост-Сеть 4»
Рисунок 30. Управление токенами в «Блокхост-Сеть 4»
При удалённом управлении токенами администратору доступны следующие операции: назначение пользователю, приостановка и возобновление использования, вывод из использования, изъятие.
При удалённом управлении токеном от пользователя потребуется ввести ПИН-код на своей рабочей станции.
Рисунок 31. Запрос ПИН-кода пользователя администратором
Операция будет завершена только после корректного ввода ПИН-кода токена.
Двухфакторная аутентификация с сохранённым паролем
Помимо аутентификации пользователя по смарт-карте и USB-токену с цифровым сертификатом в развёрнутой инфраструктуре открытых ключей «Блокхост-Сеть 4» позволяет обеспечить двухфакторную аутентификацию пользователей даже в том случае, если инфраструктура открытых ключей в локальной сети не развёрнута. Это делается за счёт использования сложного сгенерированного пароля, хранимого на токене.
При первом входе с использованием токена с сохранённым паролем пользователю необходимо ввести ПИН-код к ключевому носителю и пароль. Последний будет заменён на сгенерированный средством защиты информации и сохранён на токен. Тогда вход пользователя в ОС будет доступен на клиентской рабочей станции только с предъявлением назначенного сотруднику токена и со вводом ПИН-кода. При этом доменные политики по смене пароля будут отрабатываться клиентом «Блокхост-Сеть 4» без участия пользователя.
Рисунок 32. Назначение токена для безопасного входа по паролю в «Блокхост-Сеть 4»
После успешного назначения токена для безопасного входа по паролю в карточке пользователя отобразится назначенное устройство.
Рисунок 33. Отображение токена для учёта в карточке пользователя в «Блокхост-Сеть 4»
Формирование актов выдачи / изъятия токенов
Для документального сопровождения процессов передачи и изъятия USB-токенов в системе предусмотрена возможность автоматически формировать акты приёма-передачи токена, синхронизации, изъятия и удаления из системы, возврата, записи сертификата, удаления сертификата, уничтожения токена.
Рисунок 34. Настройка шаблонов печати в «Блокхост-Сеть 4»
Предусмотрен широкий перечень переменных для автоматизированного заполнения актов. При необходимости администратор может отредактировать предустановленные шаблоны актов, добавить или удалить автоматически заполняемые переменные.
Рисунок 35. Отображение переменных-закладок в актах
Отображение информации о сертификатах
Посмотреть информацию о выданных токенах и сертификатах на них можно в карточке пользователя. Доступны управляемые сертификаты, выданные на сервере «Блокхост-Сеть 4» и используемые для входа пользователя в систему, а также наблюдаемые сертификаты, выданные сторонними средствами и применяемые для проставления электронной подписи в юридически значимом документообороте или для аутентификации при входе пользователя.
Рисунок 36. Отображение сертификатов на токене в «Блокхост-Сеть 4»
Предусмотрена индикация, указывающая администратору на появление нового сертификата на выбранном токене или удаление уже зарегистрированного в системе сертификата с токена.
Рисунок 37. Информация о сертификатах на токене в «Блокхост-Сеть 4»
По каждому сертификату можно получить информацию о назначении, владельце, удостоверяющем центре, выдавшем сертификат, состоянии, сроке действия.
Оповещение по почте
Для контроля истекающих сертификатов пользователей предусмотрено оповещение администраторов и владельцев сертификатов о приближении срока окончания их действия.
Рисунок 38. Настройки оповещений в «Блокхост-Сеть 4»
Инициализация токенов
При добавлении токена можно выполнить инициализацию подключённого устройства, при которой все данные на нём удаляются. Это делается с использованием созданного заранее профиля инициализации или без него.
При инициализации токена без использования профиля необходимо указать политики, которые будут действовать на устройстве.
Рисунок 39. Инициализация токена в «Блокхост-Сеть 4»
В случае использования готового профиля инициализации политики будут загружены из него.
Рисунок 40. Добавление токена в «Блокхост-Сеть 4»
Профили дают возможность настроить параметры инициализации для каждого типа устройств, поддерживаемого подсистемой жизненного цикла токенов.
Рисунок 41. Профиль инициализации в «Блокхост-Сеть 4»
Параметры профиля позволяют задать типовые ПИН-коды, параметры их ввода и политику их смены.
Рисунок 42. Создание профиля в «Блокхост-Сеть 4»
Рисунок 43. Политика ПИН-кода в «Блокхост-Сеть 4»
Сбор аудита по иерархии управления
Политика аудита позволяет сформировать список событий, которые нужно собирать по всей иерархии подчинённых серверов, и расписание их сбора.
В подсистеме сбора событий администратору доступны:
- формирование сводного отчёта с информацией о состоянии клиентов, подключённых к серверам иерархии;
- сбор событий аудита с клиентов на сервер СЗИ;
- просмотр и фильтрация событий аудита, собранных с клиентских компьютеров на сервер;
- просмотр и фильтрация событий аудита напрямую из журнала клиентского компьютера;
- передача событий аудита вверх по иерархии серверов вплоть до головного сервера с последующей отправкой в SIEM-систему.
В серверной политике администратор может выбрать события, которые будут собираться с подчинённых серверов или клиентских рабочих станций под управлением ОС Windows / Linux, включая произошедшие до запуска операционной системы на станциях с установленным средством доверенной загрузки, а также определить расписание сбора событий с клиентов и подчинённых серверов.
Рисунок 44. Сбор событий в «Блокхост-Сеть 4»
Архивирование событий аудита
Для долгосрочного хранения событий предусмотрена автоархивация. Система позволяет настроить время первого её запуска и интервал в днях, а также выбрать события для помещения в архив и действия над ними.
Рисунок 45. Менеджер иерархий в «Блокхост-Сеть 4»
Сбор событий в SIEM головного сервера
«Блокхост-Сеть 4» позволяет передавать события аудита вверх по всей иерархии серверов управления и экспортировать их в SIEM-систему по протоколу CEF.
Рисунок 46. Передача событий в «Блокхост-Сеть 4»
Предусмотрена возможность выбора событий аудита для передачи в SIEM.
Рисунок 47. Выбор типов событий для передачи в SIEM в «Блокхост-Сеть 4»
Новое в «Блокхост-Сеть 4»
Централизованная установка клиентов управления в Linux-системах
Централизованная установка агента развёртывания и клиента «Блокхост-Сеть» с помощью подсистемы развёртывания СЗИ от НСД «Блокхост-Сеть 4» теперь доступна для ОС Astra Linux SE и «Альт 8 СП».
Установка агента развёртывания на станции под управлением ОС Linux требует учётной записи и включённого SSH.
Рисунок 48. Установка агентов развёртывания в «Блокхост-Сеть 4»
В результате выполнения задачи на всех указанных в списке рабочих станциях под управлением ОС Linux будет установлен агент развёртывания. После этого на них уже можно будет установить клиенты «Блокхост-Сеть», для чего формируются пакет установки клиента и задача на установку программы.
Рисунок 49. Установка программы в «Блокхост-Сеть 4»
Клиент «Блокхост-Сеть» тоже будет установлен на всех указанных в списке рабочих станциях под управлением ОС Linux в результате выполнения соответствующей задачи.
Аутентификация по паролю на токене (смарт-карте) в Linux-системах
В «Блокхост-Сеть 4» реализована возможность использования двухфакторной аутентификации с сохранением пароля пользователя на токене, доступная в доменах Microsoft AD, FreeIPA, ALD Pro и Samba DC AD, для Linux-систем по аналогии с Windows-клиентами.
При первом входе пользователя с использованием аутентификации по паролю на токене «Блокхост-Сеть 4» потребует ввода пароля учётной записи и ПИН-кода к токену, в результате чего будет сгенерирован и записан на токен новый пароль. При последующих входах сотрудник предъявляет токен и вводит PIN-код, а пароль пользователя в операционной системе автоматически загружается с токена.
Аутентификация по сертификату на смарт-карте в Linux-системах
Linux-клиенты «Блокхост-Сеть 4» теперь могут проводить двухфакторную аутентификацию пользователей с использованием цифровых сертификатов.
На сервере безопасности можно настроить централизованный выпуск сертификатов удостоверяющего центра Microsoft Certificate Authority для пользователей Microsoft Active Directory и сертификатов удостоверяющего центра Dogtag для пользователей FreeIPA. В обоих случаях потребуется служебная учётная запись, обладающая правами на выпуск сертификатов пользователей.
Рисунок 50. Настройка центрального выпуска сертификатов в «Блокхост-Сеть 4»
После подключения удостоверяющего центра появится возможность выпускать токен для входа по управляемому сертификату с помощью консоли управления.
При аутентификации по сертификату на Linux-станциях пользователь подключает токен, содержащий выпущенный сертификат, и вводит ПИН-код токена. Остальные данные будут автоматически считаны с токена.
Как и для Windows-станций, для Linux-клиентов доступен удалённый выпуск сертификатов на подключённые к рабочим станциям пользователей токены.
Централизованное управление доверенной загрузкой
С помощью подсистемы развёртывания СЗИ от НСД «Блокхост-Сеть 4» на клиентские рабочие станции можно централизованно установить средства доверенной загрузки SafeNode System Loader.
Для установки SafeNode System Loader мастером создания пакетов формируются инсталляционные пакеты для ОС Windows (*.msi), Astra Linux SE (*.deb) и «Альт 8 СП» (*.rpm).
Для подключения централизованного администрирования уже установленных экземпляров SafeNode System Loader предусмотрена задача взятия выбранных рабочих станций под управление.
Управление политиками механизмов безопасности
Политики SafeNode System Loader позволяют управлять параметрами механизмов безопасности средства доверенной загрузки, выполняемыми до запуска операционной системы. Можно устанавливать дополнительный этап аутентификации пользователей, управлять политиками пароля пользователя и администратора при прохождении аутентификации в SafeNode System Loader, а также параметрами контроля целостности аппаратной и программной конфигурации рабочей станции: объектов файловой системы, реестра ОС, аппаратных устройств ЭВМ, загрузочных секторов устройств хранения данных, переменных и драйверов UEFI.
Рисунок 51. Изменение политик модуля SafeNodeSL в «Блокхост-Сеть 4»
Рисунок 52. Контроль целостности в «Блокхост-Сеть 4»
Рисунок 53. Изменение аппаратной среды в «Блокхост-Сеть 4»
Прямое управление до загрузки ОС
Есть возможность удалённого управления разблокировкой пользователей на клиентских рабочих станциях.
После удалённой разблокировки администратором пользователю будет доступен ввод данных в соответствии с назначенной политикой аутентификации.
Централизованный сбор аудита
В серверной политике предусмотрен раздел с параметрами сбора событий аудита, произошедших до загрузки операционной системы, со станций, которые защищены средством доверенной загрузки SafeNode System Loader.
Рисунок 54. Сбор событий СДЗ в «Блокхост-Сеть 4»
Выводы
«Блокхост-Сеть 4» начиная с обновления 4.2 позволяет решать широкий класс задач на разных стадиях функционирования рабочих станций, начиная с централизованного управления доверенной загрузкой и контролем целостности загружаемой программной и аппаратной среды, обеспечения защиты при функционировании операционной системы, заканчивая управлением жизненным циклом двухфакторной аутентификации, в том числе в отсутствие инфраструктуры открытых ключей, как на платформе Windows, так и на сертифицированных отечественных операционных системах с ядром Linux, функционирующих в доменных структурах на основе Microsoft Active Directory, FreeIPA, ALD Pro, Samba AD DC.
Достоинства:
- Сертифицировано ФСТЭК России, что позволяет использовать его для выполнения требований приказов ФСТЭК России № 17, № 21, № 31, № 239.
- Благодаря встроенной подсистеме развёртывания позволяет быстро внедрить как само СЗИ на ландшафте любой сложности с неограниченным числом серверов и рабочих станций, так и дополнительные программные компоненты сторонних разработчиков на рабочие станции.
- Обеспечивает для Linux- и Windows-клиентов единообразное управление двухфакторной аутентификацией и доверенной загрузкой.
- Осуществляет сбор событий аудита в крупных распределённых сетях по всей иерархии серверов безопасности и подчинённых рабочих станций, передаёт события аудита в системы корреляции для выявления инцидентов в безопасности.
- Позволяет управлять всей иерархией серверов безопасности подчинённых станций из единой консоли администрирования головного сервера.
Недостатки:
- Нет возможности централизованно выпускать средства осуществления двухфакторной аутентификации с использованием криптоалгоритмов ГОСТ.