Подробный гайд: Разграничение прав при работе с USB-накопителями в СЗИ НСД Dallas Lock

Подробный гайд: Разграничение при работе с USB-накопителями в СЗИ НСД Dallas Lock В СЗИ НСД Dallas Lock 8.0 за "Разграничение прав при работе с USB-накопителями" отвечает сертифицированный ФСТЭК модуль СКН (Средство контроля накопителей).

---

Он поддерживает два уровня защиты:

• контроль подключения (разграничение прав) и уровень отчуждения (прозрачное шифрование данных при записи на сертифицированные носители).

---

Ниже представлен подробный пошаговый гайд по настройке контроля USB-накопителей, основанный на актуальных технических материалах (в том числе из статей на servermon.ru).

---

Вариант 1. Локальная настройка (на отдельном АРМ)

Если Dallas Lock используется автономно на конкретном компьютере, настройка выполняется через локальную оболочку администратора.

Шаг 1. Запуск и переход к параметрам контроля

1. Запустите оболочку Dallas Lock 8.0 с правами Администратора безопасности.
2. Перейдите на вкладку «Параметры безопасности» и выберите раздел «Контроль ресурсов».

---

Шаг 2. Глобальный запрет всех флешек по умолчанию

1. Откройте подраздел «Глобальные».
2. В списке параметров найдите и выберите «Параметры открытых USB-Flash носителей по умолчанию».
3. Перейдите на вкладку «Дискреционный доступ».
4. Выберите группу «Все» и установите для неё «Полный запрет».
5. Нажмите «ОК» для применения. Теперь система блокирует любые неподконтрольные флешки.

---

Шаг 3. Добавление разрешенных накопителей (Белый список)

1. Подключите к ПК USB-накопитель, который необходимо разрешить для работы.
2. Перейдите в раздел «СКН» -> «Сменные накопители» и нажмите кнопку «Добавить».
3. В выпадающем списке выберите подключенный накопитель (система идентифицирует его по уникальному серийному номеру).
4. Перейдите на вкладку «Дискреционный доступ» для этого накопителя.
5. Назначьте права конкретным пользователям или группам (например, «Только чтение», «Чтение/запись» или «Полный доступ»).

---

Шаг 4. Применение политик

1. Сохраните изменения.
2. Перезагрузите компьютер или завершите сеанс текущего пользователя, чтобы политики вступили в силу.

---

Вариант 2. Централизованная настройка (через Сервер безопасности)

Если в инфраструктуре используется Сервер безопасности Dallas Lock, политики разграничения удобнее формировать централизованно для всего домена или групп АРМ.

---

Шаг 1. Формирование глобального запрета в домене

1. Запустите консоль Сервера безопасности.
2. Перейдите на вкладку «Контроль ресурсов домена» -> «Глобальные».
3. Выберите параметр «Параметры открытых usb-flash накопителей по умолчанию».
4. На вкладке «Дискреционный доступ» выберите группу «Все» и установите «Полный запрет». Нажмите «ОК».

---

Шаг 2. Регистрация разрешенного носителя на сервере

1. Подключите разрешенный USB-накопитель непосредственно к серверу безопасности.
2. Перейдите на вкладку «СКН» -> «Сменные накопители» и нажмите «Добавить».
3. Выберите накопитель из выпадающего списка.
4. На вкладке «Дискреционный доступ» назначьте необходимые права (например, полный доступ для группы "Все" или точечно для конкретных сотрудников).
5. После сохранения накопитель отобразится в общем списке с присвоенным идентификационным номером Dallas Lock.

---

Шаг 3. Применение политик к клиентам

1. В дереве клиентов консоли Сервера безопасности выберите целевую группу компьютеров или конкретный АРМ.
2. Установите флаг «Включить централизованное управление».
3. В списке доступных накопителей выберите ранее добавленный USB-накопитель.
4. Нажмите «Сохранить».
5. Выполните синхронизацию Сервера безопасности с клиентскими АРМ для применения настроек.

---

Дополнительные механизмы защиты (СКН)

Для обеспечения комплексной защиты сведений, составляющих гостайну или коммерческую тайну, в Dallas Lock предусмотрены дополнительные функции:

1. Теневое копирование (DLP-функционал)

Система может автоматически сохранять скрытые копии всех файлов, которые пользователи записывают на съемные носители. Копии хранятся в защищенной системной папке. Включается через параметры аудита: «Аудит: Просмотр теневых копий файлов».

---

2. Преобразование информации (Уровень отчуждения)

При использовании сертифицированных носителей (например, Рутокен ЭЦП 3.0) Dallas Lock может прозрачно шифровать данные «на лету» при записи. Ключи преобразования хранятся только на авторизованном АРМ, что делает невозможным чтение данных на стороннем компьютере.

---

3. Аудит событий

Обязательно включите в «Параметры безопасности» -> «Аудит» ведение журналов:

• Журнал ресурсов — фиксация фактов чтения/записи.
• Аудит устройств — регистрация фактов подключения и отключения физических носителей.

---

Важные нюансы администрирования

Наследование политик:

В Dallas Lock параметры аудита и доступа к устройствам не наследуются, а полностью заменяются на более низком уровне.

Режим обучения:

Если инфраструктура большая и вы не знаете, какие флешки используются, можно временно включить «Режим обучения». Система будет автоматически добавлять в белый список ресурсы, к которым обращались пользователи.

Резервное копирование:

Перед массовым развертыванием политик на сеть обязательно сохраните текущую конфигурацию через меню «Конфигурация» -> «Сохранить настройки».

Тестирование:

После настройки всегда тестируйте политики под обычной (непривилегированной) учётной записью, чтобы убедиться, что запрет работает корректно и не блокирует периферию (для этого используется разделение на классы устройств — запрет настраивается именно на класс USB Mass Storage).

---

Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.

---