Установка СЗИ Блок-Хост 2.0
Автономная установка СЗИ
Согласно документации, СЗИ имеет два варианта установки – автономный и с удаленным управлением. Причем под автономным вариантом понимается не автономный компьютер, а именно автономное функционирование СЗИ на рабочей станции. То есть рабочая станция вполне себе может находится в домене, но Блокхост на ней будет функционировать в автономном режиме и не взаимодействовать с сервером администрирования. Соответственно, установка, настройка, управление, аудит будут выполняется также с этой рабочей станции.
Пример. Имеется домен, на части рабочих станций принято решение установить
СЗИ «Блокхост-сеть 2.0. Производится автономная установка СЗИ на эти
рабочие станции, их пользователям выдаются персональные идентификаторы
(токены или флэшки).
Итог: реализована двухфакторная идентификация пользователей на критически
важных рабочих станциях.
Автономный вариант СЗИ «Блокхост-сеть 2.0» поставляется в виде файлов BlockHost-Net-2.0-Client x32.msi и BlockHost-Net-2.0-Client x64.msi для 32 и 64-битных ОС Windows соответственно.
При использовании автономного варианта СЗИ «Блокхост-сеть 2.0» клиентскую часть СЗИ устанавливают на защищаемую локальную рабочую станцию.
Как уже говорилось, установка «СЗИ Блокхост-сеть 2.0» ведется только под ВСТРОЕННОЙ УЧЕТНОЙ ЗАПИСЬЮ ЛОКАЛЬНОГО АДМИНИСТРАТОРА. Учетная запись – Администратор (Administrator) должна быть включена, для нее должен быть задан пароль и вы должны знать этот пароль.
Для инсталляции клиентской части СЗИ необходимо войти в операционную систему под учетной записью встроенного администратора ОС Windows (контроллера домена).
Собственно установка производится путем запуска соответствующего MSI-пакета: BlockHost-Net-2.0-Client x32.msi или BlockHost-Net-2.0-Client x64.msi. В ходе установки потребуется ввести код лицензии и код активации клиентской части, которые прописаны в выданной лицензии. Галочку «Сетевая лицензия» не устанавливаем:
Далее будет предложено создать ключевой носитель администратора безопасности:
Прямого указания в формуляре на обязательность этого действия нет. В нашем случае был создан единственный ключевой носитель и для всех автономных установок блокхоста и для сервера администрирования блокхост. Использовали для этих целей e-Token PRO 72k (Java). Чтобы задать PIN-код носителя, использовался E-Token PKI Client 5.1.82.0
В целом допускается использование следующих типов носителей - eToken, SafeNet eToken, ruToken, eSmart Token, Avest Token, USB - носитель, дискета или персональный идентификатор в реестре Windows.
Для задания PIN-кода для всех носителей, кроме USB – носителей и дискет, необходимо использовать соответствующее программное обеспечение.
В ходе установки в список пользователей рабочей станции будут добавлены все учетные записи локальных пользователей ОС Windows, а также учетные записи пользователей домена, профили которых существуют на рабочей станции. Всем пользователям рабочей станции устанавливаются права локального и сетевого входа в ОС и мандатная метка со значением 1:
Для рабочей станции после установки СЗИ назначается так называемый «мягкий режим», при котором защитные средства СЗИ работают, но позволяют выполнять запрещенные операции с фиксацией их средствами аудита:
Мягкий режим позволяет произвести настройку СЗИ рабочей станции. В первую очередь необходимо откорректировать список пользователей СЗИ и назначить всем пользователям аппаратные персональные идентификаторы:
После этого мягкий режим нужно снять, иначе теряется смысл использования СЗИ. К числу первоначальных настроек СЗИ также относится назначение учетных записей, которые имеют права на запуск и настройку клиентской части СЗИ. Дабы не повторяться, этот момент рассмотрен в материале Установка Блокхост-сеть 2.0. в варианте с удаленным управлением
Обновление или удаление клиентской части СЗИ «Блокхост-сеть 2.0» также может произвести только пользователь, вошедший в систему под встроенной учетной записью локального администратора.
Обновление версий СЗИ до сертифицированной версии СЗИ Блокхост-сеть 2.0» производится установкой новой версии СЗИ «Блокхост-сеть 2.0» поверх уже установленной.
В следующей части рассмотрим установку СЗИ «Блокхост-сеть 2.0» с удаленным управлением.
