17 Июня, 2014

СОИБ. Внедрение. Новые возможности СЗИ от НСД Secret Net 7.2 под прицелом

Сергей Борисов
Недавно Илья Борисов в своем блоге призвал отказаться от продвижения security-by-marketingв сторону realsecurity.

Чтобы поддержать эту инициативу хочу поделится некоторыми моментами из опыта внедрения  Secret Net 7.2 и анализу некоторых маркетинговых функций этого СЗИ от НСД

·        Собственные механизмы управления и система управления.
Напомню что во всех предыдущих версиях Secret Net, требовало внесения изменений в схему AD, управления системой осуществлялось через надстройки групповых политик AD, частично хранило настройки в ADи требовало для установки и работы учетную запись с максимальными привилегиями в AD.
Собственная система управления, не требующая внесения изменений в ADи больших привилегий в AD, я рассматриваю как технологический прорыв, выводящий SNна один уровень с другими современными СЗИ на Российском рынке.

·        Упрощение системы автоматической установки на множество АРМ

Посмотрим, какие неприятные моменты были обнаружены при реализации проекта (внедрение SecretNetдля защиты ИСПДн, которая составляет 10% от общего кол-ва узлов):
1.      Документация в версии 7.2 обновилась, но реально в ней документированы не все новые возможности.
Например, отсутствует описание варианта установки без модификации схемы AD.
2.      В целом техническая поддержка вендора Код Безопасности оказалась не готова к любым к вопросам по установке или настройке SecretNetверсии 7.2
На любой вопрос, даже по документации, спрашивали свой любимый набор данных



Далее пропадали со словами, что им необходимо смоделировать подобную ситуацию.
3.      В итоге от ТП вендора было получены следующие требования к правам учетной записи, необходимой для установки сервера безопасности и клиентов:

 Похоже, что производитель даже не задумывался об определении реально необходимых полномочий для установки своего ПО и сразу попросил максимально возможные.
Дальнейший опыт установки показал что чуть меньших прав тоже достаточно (локальный админ, доменный пользователь, администратор схемы SecretNet)
4.      Так-же перед установкой сервера безопасности SecretNetнеобходимо включить режим “Доверять компьютеру делегирование”. Но на вопрос к ТП указать для каких служб и объектов необходимо включить делегирование, получил ответ, что они пока не в курсе и просят установить делегирование для любых сервисов и объектов. Что в будущем, может привести к печальным последствиям, предполагая, что в домене есть узлы более ценных ИС, кроме ИСПДн и что в третьем пункте мы назначили права доменного админа.



5.      При автоматической установке клиентов обнаружился ещё пара моментов
a.      установка клиентов из системы управления невозможна, опять придется действовать через групповые политики
b.      нужно подготовить файл настройки, файл настройки и дистрибутивы выложить на папку в общем доступе, а в файле настройки  -  логин и пароль учетки от имени которой будет установка и подключение клиента к серверу (смотри пункт 3). Отличный подарок для внутреннего злоумышленника (от которых мы и планировали защищаться)


6.      Оказалось что централизованная система управления не до конца централизованная.  Управлять контролем целостности через неё не получится. Приходится устанавливать и запускать отдельную утилиту на АРМ администратора.  Неужели так трудно включить все функции управления в одну консоль?




7.      И последняя печаль – последняя версия клиента Secret Net блокирует удаленную установку клиента Kaspersky endpoint security 10. Даже если установка инициируется с правами из пункта 3, даже если отключены все подсистемы Secret Net. Помогает только остановка всех служб Secret Net на АРМ.
Явно недостаток тестирования со стороны вендора совместимости с другими СЗИ.


или введите имя

CAPTCHA
Иван Бойцов
20 Июня, 2014
Сергей, спасибо за отзыв. Наш комментарий по пунктам: 1. В документации описаны все новые возможности. В частности, вопрос установки без модификации схемы AD описан в документе "Руководство администратора. Установка, обновление и удаление" на 14 странице в разделе "Установка с размещением хранилища объектов ЦУ вне Active Directory". 2. Мы подняли всю историю общения с Вами в технической поддержке. На данный момент есть только одна открытая проблема, касающаяся совместной работы с Kaspersky Endpoint Security. По остальным запросам даны ответы и обращения закрыты. Если какой-то конкретный ответ технического специалиста показался вам некомпетентным – в письмах есть ссылка на оценку качества ответа. Вы можете пройти по ней и написать свои претензии, все жалобы оперативно отрабатываются руководством. Также Вы можете обратиться напрямую к руководителю службы технической поддержки - Владимир Корнейчук v.korneychuk@securitycode.ru 3. Информация по правам учетных записей есть документации (в том же разделе, см. п. 1), но информация дана в неявном виде, мы доработаем документацию в следующей версии. 4. Аналогично п. 2. 5.a. К сожалению, это так, пока развертывание из программы управления невозможно, но это не противоречит концепции централизованного управления – развертывание может быть настроено с того же компьютера, где установлена программа управления. В любом случае, мы запланировали реализацию этого функционала в следующих версиях. 5.b. Указывать данные учетной записи не нужно. В документации приведен пример файла и описание всех полей. Ситуация следующая - в соответствии с инструкцией рекомендуется данный файл создавать автоматически через механизмы формировании скрипта автоматической установки. При этом в созданный файл данные для доступа к домену не записываются, независимо от того, указывались они при формировании или нет. В предыдущей версии (7.0) данные записывались в файл, и поэтому в документации было предупреждение о необходимости их убрать при удаленной установке. В 7.2 это предупреждение убрали по описанной выше причине. 6. Централизованная система управления позволяет выполнять все действия с одного рабочего места. При этом разные действия делаются в разных интерфейсах/программа. Мы активно работаем над реализацией централизованного управления в одном интерфейсе. 7. Есть известные особенности в работе с Kaspersky Endpoint Security, но при проверке централизованной установки KES никаких проблем не было выявлено. Специалист технической поддержки запросил у Вас дополнительную информацию, просим ее предоставить, чтобы мы смогли более подробно изучить именно Ваш случай. На всякий случай, замечания по работе с KES: совместная работа с приложением "Kaspersky Endpoint Security для Windows" версии 10 возможна со следующими ограничениями: - приложение должно быть установлено без модулей шифрования дисков и файлов; - если на компьютере отсутствует компонент Microsoft .NET Framework версии 3.5 или выше, для совместной работы необходимо сначала удалить приложение, установить СЗИ Secret Net 7 и затем снова установить приложение (установка компонента Microsoft .NET Framework, необходимого для работы СЗИ, блокируется антивирусом); - при совместной работе проявляются задержки в процедуре входа пользователя в систему (на этапе загрузки профиля пользователя), а также при переходах по каталогам на сетевых дисках.
0 |
  • Поделиться
  • Ссылка
20 Июня, 2014
Сергей, спасибо за отзыв. Наш комментарий по пунктам: 1. В документации описаны все новые возможности. В частности, вопрос установки без модификации схемы AD описан в документе "Руководство администратора. Установка, обновление и удаление" на 14 странице в разделе "Установка с размещением хранилища объектов ЦУ вне Active Directory". 2. Мы подняли всю историю общения с Вами в технической поддержке. На данный момент есть только одна открытая проблема, касающаяся совместной работы с Kaspersky Endpoint Security. По остальным запросам даны ответы и обращения закрыты. Если какой-то конкретный ответ технического специалиста показался вам некомпетентным – в письмах есть ссылка на оценку качества ответа. Вы можете пройти по ней и написать свои претензии, все жалобы оперативно отрабатываются руководством. Также Вы можете обратиться напрямую к руководителю службы технической поддержки - Владимир Корнейчук v.korneychuk@securitycode.ru 3. Информация по правам учетных записей есть документации (в том же разделе, см. п. 1), но информация дана в неявном виде, мы доработаем документацию в следующей версии. 4. Аналогично п. 2. 5.a. К сожалению, это так, пока развертывание из программы управления невозможно, но это не противоречит концепции централизованного управления – развертывание может быть настроено с того же компьютера, где установлена программа управления. В любом случае, мы запланировали реализацию этого функционала в следующих версиях. 5.b. Указывать данные учетной записи не нужно. В документации приведен пример файла и описание всех полей. Ситуация следующая - в соответствии с инструкцией рекомендуется данный файл создавать автоматически через механизмы формировании скрипта автоматической установки. При этом в созданный файл данные для доступа к домену не записываются, независимо от того, указывались они при формировании или нет. В предыдущей версии (7.0) данные записывались в файл, и поэтому в документации было предупреждение о необходимости их убрать при удаленной установке. В 7.2 это предупреждение убрали по описанной выше причине. 6. Централизованная система управления позволяет выполнять все действия с одного рабочего места. При этом разные действия делаются в разных интерфейсах/программа. Мы активно работаем над реализацией централизованного управления в одном интерфейсе. 7. Есть известные особенности в работе с Kaspersky Endpoint Security, но при проверке централизованной установки KES никаких проблем не было выявлено. Специалист технической поддержки запросил у Вас дополнительную информацию, просим ее предоставить, чтобы мы смогли более подробно изучить именно Ваш случай.
0 |
  • Поделиться
  • Ссылка
Сергей Борисов
20 Июня, 2014
Этот комментарий был удален автором.
0 |
  • Поделиться
  • Ссылка