Подробный гайд: Ограничение съёмных носителей в Dallas Lock 8.0

Настройка ограничения съёмных носителей в Dallas Lock 8.0: пошаговый гайд по блокировке USB, белому списку и аудиту доступа

2026.05.06                  

Подробный гайд: Ограничение съёмных носителей в Dallas Lock 8.0Подробный гайд: Ограничение съёмных носителей в Dallas Lock 8.0

Важно:

Все настройки выполняются через оболочку администратора СЗИ НСД Dallas Lock 8.0 или через Сервер безопасности при централизованном управлении.

Основы модуля СКН (Система контроля накопителей)

Модуль СКН является частью СЗИ Dallas Lock 8.0 и предназначен для контроля съёмных машинных носителей информации.

Он поддерживает два уровня защиты:

Уровень Назначение
Уровень подключения Контроль подключения накопителей к АРМ, разграничение доступа по пользователям/группам
Уровень отчуждения Преобразование информации «на лету» при записи на сертифицированные носители (Рутокен ЭЦП 3.0), защита от утечек

Модуль сертифицирован ФСТЭК России и соответствует требованиям профилей защиты ИТ.СКН.П4.ПЗ и ИТ.СКН.Н4.ПЗ.

Пошаговая настройка (локальный режим)

Шаг 1: Запуск оболочки администратора

  1. Запустите Dallas Lock 8.0 с правами администратора безопасности
  2. Перейдите на вкладку «Параметры безопасности»«Контроль ресурсов»

Шаг 2: Настройка глобальных политик для съёмных носителей

  1. Откройте раздел «Глобальные»
2. Выберите параметр:
  • Параметры открытых USB-Flash носителей по умолчанию — для обычных флешек
  • Параметры преобразованных сменных накопителей по умолчанию — для защищённых носителей

Шаг 3: Запрет доступа по умолчанию

  1. Перейдите на вкладку «Дискреционный доступ»
  2. Выберите группу «Все» → установите «Полный запрет»
  3. Нажмите «ОК» для применения

Шаг 4: Добавление разрешённых накопителей (белый список)

  1. Подключите к ПК USB-накопитель, который нужно разрешить
  2. Перейдите: «СКН»«Сменные накопители» → кнопка «Добавить»
  3. В выпадающем списке выберите подключённый накопитель по серийному номеру/идентификатору
4. На вкладке «Дискреционный доступ» назначьте права:
  • Конкретному пользователю или группе
  • Тип доступа: «Только чтение», «Чтение/запись» или «Полный доступ»

Шаг 5: Применение политик

  1. Сохраните изменения
  2. Выполните синхронизацию (при работе с Сервером безопасности)
  3. Перезагрузите компьютер или завершите сеанс пользователя для применения политик

Настройка через Сервер безопасности (централизованное управление)

Если используется Сервер безопасности Dallas Lock:

  1. Запустите консоль Сервера безопасности
  2. Перейдите: «Контроль ресурсов домена»«Глобальные»
  3. Выберите Параметры открытых USB-Flash накопителей по умолчанию → запретите доступ группе «Все»
  4. Подключите разрешённый накопитель к серверу
  5. Перейдите: «СКН»«Сменные накопители»«Добавить»
  6. Выберите накопитель из списка → настройте дискреционные права
7. В дереве клиентов выберите целевую группу/ПК:
  • Установите флаг «Включить централизованное управление»
  • Выберите настроенный накопитель в списке
  • Нажмите «Сохранить»
    1. Выполните синхронизацию сервера с клиентами

Дополнительные функции СКН

Теневое копирование

  • Автоматическое сохранение копий файлов, копируемых на съёмные носители
  • Копии хранятся в защищённой области: C:\DLOCK80\Logs\PrintCopy\ (для печати) или аналогичной для носителей
  • Включается в параметрах аудита: «Аудит: Просмотр теневых копий файлов»

Преобразование накопителей (для уровня отчуждения)

  • Прозрачное шифрование данных при записи на сертифицированные носители Рутокен ЭЦП 3.0
  • Ключи преобразования хранятся в защищённой области ПК и недоступны пользователю
  • Доступ к данным возможен только на АРМ, авторизованных в домене безопасности

Аудит событий

Включите в «Параметры безопасности» → «Аудит»:
  • Журнал ресурсов — для фиксации доступа к накопителям
  • Аудит устройств — для регистрации подключений/отключений
  • Аудит событий зачистки — при использовании гарантированной очистки

Важные замечания

  1. Наследование политик: параметры аудита и доступа не наследуются, а заменяются на более низком уровне.
  2. Режим обучения: для упрощённой настройки ЗПС и доступа можно временно включить «Режим обучения» — система автоматически добавит права для используемых ресурсов.
  3. Тестирование: после настройки обязательно протестируйте политики под учётной записью обычного пользователя.
  4. Резервное копирование: перед массовым развёртыванием политик сохраните конфигурацию через меню «Конфигурация» → «Сохранить настройки».

Рекомендация:

Для максимальной защиты используйте комбинацию:
  • Запрет всех носителей по умолчанию + Белый список сертифицированных Рутокен ЭЦП 3.0 + Теневое копирование + Аудит событий.

При возникновении вопросов обращайтесь в техническую поддержку Конфидент: hotline@confident.ru.

×

Полный размер Слайдшоу Предыдущий Следующий