Dallas Lock 7.7 - Форум по вопросам информационной безопасности

Gosha, да был.
Yerdan, эх, знать бы заранее где упасть, травки б постелил. хотя пароль суперадмина неизвестен, как понял его не оставили. Когда по телефону обратились в тех. поддержку - хоть слово бы об этом сказали, ответ был - делайте с виндой что хотите, DL останется на своем разделе, а инфо по установке прочитаете на диске.

Кстати, по личному опыту, если есть необходимость в шифровании диска, то лучше все таки шифровать системную (или небольшую произвольную) область НЕ системного диска. Все же постабильней...

Проблемка - Недавно аттестовали АРМ с СЗИ НДС DL 7.7.
При проверке ее эфективности обнаружилась возможность загрузки с любого внешнего носителя. DL 7.7 не блокирует ее в BIOSe. Отключить загрузку с внешних носителей в этой версии BIOSа не получается.
Грузишся с загрузочной флешки или CD и имеешь полный доступ ко всей информации. СЗИ естественно эту внешнюю загрузку не засекает (если не изменять файлы) .
Выставил притензию аттестационному центру поставлявшему, настраивавшему СЗИ НДС и аттестовывавшему АРМ, а в ответ получил, что это все нормально, закрывайте дыру орг. мерами, РД это разрешает.
Спрашивается зачем нужна такая СЗИ НДС DL 7.7 Лучше было накупить, аттестовать по флешке на каждого пользователя, выдавать носитель перед работой и не ставить СЗИ НДС вообще.

Описку сделал в предыдущем сообщении - СЗИ НДС подразкмевает СЗИ НСД

Дак у вас неправильно настроен о СЗИ!!
Почитайте что написано в приложении к аттестату. Наличие преобразования жестких дисков. Тогда и загрузится с внешних носителей не получится без авторизации!

>Почитайте что написано в приложении к аттестату. Наличие преобразования жестких дисков. Тогда и загрузится с внешних носителей не получится без авторизации!

Да? Может я конечно что-то не так настроил, но... с преобразованием жесткого диска (полным, так как впервые вообще с этой СЗИ работал) с легкостью загрузился с LiveCD. Доступа, естественно, не получил, но вот беда - попытка доступа из-зпод LiveCD фактически уничтожила файлы - в нормальном режиме диск оказался "неформатированным", восстановлене информации не получилось - диск-то был преобразован. Вот такая неприятность. К тому же, как я уже писал, при наличии преобразования DL может вести себя очень неадекватно - а именно отказываться грузиться до снятия шифрования вообще. (тьфу-тьфу, вроде как отмечается при полном или выборочном шифровании...)

Про какой аттестат идет речь?
В приложении в сертификату №2209 на DL 7.7 про обязательное преобразование системного и информационного дисков ничего не написано, есть упоменание только про отчуждаемые, но это совсем не то.
Тем более при наличии такой дыры после преобразования (кодирования) дисков есть возможность грохнуть СЗИ и одновременно с этим потерять всю защищаемую информацию.

В инструкции по эксплуатации написано, что преобразованные (кодированные) диски можно прочитать вроде как на любом компе на котором стоит DL 7.7 с указанием пароля преобразования.
Сам не пробовал, но перед тем как эксперементировать над основными дисками надо создать копию защищаемой инфы на CD.
СЗИ настраивал аттестационный центр и вносить изменения в ее настройку запрещены аттестатом соответствия на ОИ.

Недавно наткнулся на еще одну дыру калибром поменьше. DL можно настроить таким образом, что она не будет воспринимать никакие флешки кроме тех, что ей были скормлены заранее, или, наоборот, заблокировать отдельные флешки. Однако определяются такие флешки вовсе не по серийному номеру или чему-то подобному уникальному. Среди 10-ти флешек, которые последний раз устанавливал, уникальный номер оказался лишь у 6-ти.

P.S. Если мы говорим о ГТ, то загрузка с внешенго накопителя может быть возможна в том случае, если компьютер на довольно продолжительное время оказался в руках злоумышленика. В этом случае DL, несмотря на вероятность утери информации, лучше своего коллеги SN - тому надо всего лишь вынуть блокирующую плату, и доступ ко всем данным обеспечен.

Любая программа СЗИ запоминает носитель по серийному номеру тома. Узнать его можно командой "dir буква диска:" Если зарегистрированный ранее в СЗИ носитель переформатировать, то серийник тоже меняется и система его воспринимает как новый - неизвестный диск.