СДЗ Dallas Lock - решение, осуществляющее блокировку несанкционированной загрузки ОС, контроль целостности программно-аппаратной среды и фиксирование событий безопасности.
Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, и иной информации с ограниченным доступом. СДЗ Dallas Lock выполняет свои функции (включая администрирование параметров изделия и просмотр журнала) до начала загрузки штатной операционной системы (ШОС).
СДЗ Dallas Lock – программно-аппаратное средство, блокирующее попытки несанкционированной загрузки нештатной операционной системы. Также предоставляет доступ к информационным ресурсам в случае успешной проверки подлинности загружаемой операционной системы. Осуществляет проверку целостности программно-аппаратной среды и регистрацию событий безопасности.
Ключевые возможности СДЗ DALLAS LOCK
Независимость от штатной ОС.
Полное администрирование СДЗ проводится без использования ресурсов загружаемой штатной ОC (согласно новым требования ФСТЭК России об изолировании СДЗ), включая разграничение доступа к управлению СДЗ и централизованное управление файлами конфигурации и отчетами. Поддерживается авторизация с использованием доменных учетных записей;
Современное технологичное решение.
Полноценная поддержка UEFI и безопасного режима загрузки UEFI («Secureboot»). Возможность подключения платы в разъем M.2. Собственные часы с независимым источником питания и возможность подключения датчика вскрытия корпуса (для варианта исполнения – PCIe «KT-500»). «Сторожевой таймер», необходимый в случае невозможности подключить провод аппаратного «сторожевого таймера» к разъему «Reset» или «Power» ЭВМ. Хранение ключевой, служебной и другой необходимой информации в энергонезависимой памяти платы СДЗ. Возможность сохранения (восстановления) параметров конфигурации СДЗ на различные носители информации;
Поддерживается широкий спектр аппаратных идентификаторов.
Обеспечена совместимость со следующими аппаратными идентификаторами: USB-ключи и смарт-карты Aladdin eToken Pro/Java, Рутокен, JaCarta (JaCarta ГОСТ, JaCarta PKI), электронные ключи Touch Memory (iButton), ESMART. Поддержка считывателя КТ-ТМ, предназначенного для работы с ключами Touch Memory;
Сценарии применения СДЗ DALLAS LOCK
Идентификация и аутентификация пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
Контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
Контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов АРМ.
Функции СДЗ Dallas Lock
СДЗ Dallas Lock реализует следующие функции безопасности:
разграничение доступа к управлению СДЗ Dallas Lock;
управление работой СДЗ Dallas Lock;
управление параметрами СДЗ Dallas Lock;
аудит безопасности СДЗ Dallas Lock;
идентификация и аутентификация пользователей;
тестирование СДЗ Dallas Lock, контроль целостности ПО и параметров СДЗ Dallas Lock;
обеспечение безопасности при возникновении сбоев и ошибок в процессе работы;
обеспечение безопасности после завершения работы СДЗ Dallas Lock.
Типовая инфраструктурная схема работы
Эксплуатационные ограничения и технические требования
СДЗ Dallas Lock исправно работает на ТС (персональные и портативные компьютеры, серверы) архитектуры Intel х64.
Минимальные аппаратные требования к ТС для установки СДЗ Dallas Lock:
процессор Pentium с частотой 300 МГц;
не менее 512 МБ оперативной памяти;
разъем на материнской плате для подключения СДЗ Dallas Lock: PCI-express/mini PCIexpress/M.2;
наличие свободных портов USB, если изделие используется совместно с АИ (за исключением случаев, когда в качестве АИ используются электронные ключи Touch Memory, а считыватель Touch Memory подключен непосредственно к платам формата PCIe «КТ-500» и «КТ-500 r3», либо формата Mini PCI-express «КТ-521 r3», либо формата M.2 «КТ-550 r3»);
клавиатура, мышь или совместимое указывающее устройство;
видеоадаптер и монитор, поддерживающие режим Super VGA с разрешением не менее чем 800x600 точек.
Примечание. Работа изделия совместно с некоторыми отдельными видеоадаптерами, материнскими платами или контроллерами накопителей может выполняться некорректно.
Реализована поддержка наиболее распространенных файловых систем, включая FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5, XFS на LVM.
Вопрос-ответ
Поддерживается ли централизованное управление с помощью СБ?
В СДЗ Dallas Lock реализована возможность централизованного управления настройками из консоли Сервера безопасности Dallas Lock. Для этого необходим Сервер безопасности Dallas Lock с соответствующим количеством квот на клиентские подключения. Квота клиентских подключений СДЗ Dallas Lock к Серверу безопасности Dallas Lock равна суммарному количеству квот на Dallas Lock 8.0 и Dallas Lock Linux. Клиентские подключения СДЗ Dallas Lock не уменьшают квоты на Сервере безопасности Dallas Lock.
Подходит ли СДЗ Dallas Lock для моноблоков и ноутбуков?
СДЗ Dallas Lock подходит для всех компьютеров (включая моноблоки и ноутбуки) с разъёмами PCI Express, mini PCI Express и M.2 (ключ A/E).
Какие действия предпринять, если плата СДЗ, установленная в АРМ, не работает?
В некоторых случаях необходимо выполнить дополнительные настройки СДЗ и/или BIOS АРМ, приведенные ниже.
Режим загрузки Legacy/UEFI/CSM
Плата СДЗ может работать в одном из двух режимов: Legacy или UEFI. Изменить режим вы можете при помощи сервисной утилиты ktservice, находящейся на компакт-диске из комплекта поставки, записав на любой flash-накопитель. После выбора режима работы платы СДЗ необходимо выбрать такой же режим работы BIOS. То есть, если вы установили плату СДЗ в режим UEFI, то нужно и BIOS переключить в UEFI. Выбирать режим лучше отталкиваясь от того, в каком режиме была установлена и работает ОС, так как в случае его смены ОС необходимо будет переустанавливать.
Обратите внимание — АРМ должен быть настроен на корректную загрузку без платы СДЗ, так как в противном случае после установки платы, даже при верных настройках режима, загрузка интерфейса СДЗ может не происходить.
Для UEFI
Рекомендуется отключить опции BIOS:
быстрая загрузка (fast boot);
безопасная загрузка (secure boot);
режим совместимости (CSM).
Для UEFI на АРМ должен быть подключена ОС, загружаемая в UEFI. Если Ваша ОС в UEFI не загружается, для проверки можно воспользоваться liveCD. Если диска с поддержкой UEFI не будет, то ни система, ни плата СДЗ не смогут загрузиться.
Для Legacy
Нужно перевести плату СДЗ и BIOS в режим Legacy.
Отключить CSM и UEFI в BIOS. Установить на АРМ загрузочный диск с ОС в режиме Legacy.
CSM
Этот режим не подходит для тонкой настройки в целях проверки совместимости. Можно попробовать проверить совместимость и в CSM, но ручная настройка в Legacy или в UEFI, как правило, дает лучшие результаты.
Возможно ли централизованное управление СДЗ Dallas Lock с помощью Единого центра управления (ЕЦУ)?
СДЗ можно ввести под управление ЕЦУ, для этого необходимо:
Перейти на вкладку «Параметры».
Далее выбрать вкладку «Параметры сети».
Выбрать чекбокс «Единый центр управления».
Заполнить соответствующие поля «Имя клиента», необходимо ввести имя клиента, которое будет отображаться в дереве КСБ или Консоли ЕЦУ; имя севера ЕЦУ или его ip-адрес, ключ доступа (по умолчанию пустой).
Нажать кнопку «Ввести в ДБ».
Как лицензируется СДЗ Dallas Lock?
СДЗ Dallas Lock распространяется как товар, в отличие от программных решений, которые распространяются как право на использование ПО. На СДЗ Dallas Lock устанавливается цена, которая зависит от срока технического сопровождения и количества (диапазона) одновременно приобретаемых изделий, облагается НДС.
Задайте вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
