Подробный гайд: Защитная оболочка СЗИ от НСД Dallas Lock
1. Архитектура и принципы работы
Dallas Lock работает на уровне ядра операционной системы, перехватывая обращения к файловой системе, реестру и процессам с помощью драйверов фильтрации.
Основные компоненты:
* Dallas Lock Server (Сервер управления):
Централизованное хранилище политик безопасности, БД (MS SQL / PostgreSQL), сервер лицензий и центр управления.
* Dallas Lock Client (Агент):
Устанавливается на защищаемые рабочие станции и серверы. Перехватывает вызовы к ядру ОС, обеспечивает аутентификацию, шифрование и контроль целостности.
* Консоль администратора:
MMC-снап-ин или веб-интерфейс для управления политиками.
* Аппаратные идентификаторы:
USB-токены (eToken, RuToken) или контактные ключи (изначально iButton, откуда и название), используемые для двухфакторной аутентификации и хранения криптоключей.
2. Подготовка и развертывание
2.1. Требования и совместимость
Перед установкой убедитесь, что ОС входит в сертифицированный ФСТЭК список (Windows 7/10/11, Windows Server 2008-2022, Astra Linux SE, RED OS, Alt Linux).
Важно:
Для сертификации по 1-му классу (защита г***ы) требуется использование в замкнутой программной среде и отключение неиспользуемых интерфейсов.
2.2. Установка Серверной части (для централизованного управления)
1. Подготовка БД:
Разверните экземпляр MS SQL или PostgreSQL. Создайте БД и пользователя с правами db_owner для Dallas Lock.
2. Инсталляция:
Запустите Setup.exe на сервере, выберите компонент Server. Укажите строку подключения к БД.
3. Активация:
Импортируйте лицензионный файл (.lic) в консоли сервера.
4. Настройка сети:
Откройте порты для взаимодействия с агентами (по умолчанию TCP 1433 для БД и специфичные порты для синхронизации политик, уточняйте в документации к вашей версии).
2.3. Установка Клиентской части (Агента)
1. Бэкап:
Обязательно сделайте полный бэкап образа системы или критичных данных. Установка СЗИ затрагивает загрузочный сектор и драйверы ядра.
2. Инсталляция:
Запустите Setup.exe на клиенте, выберите Client. Укажите IP-адрес или FQDN сервера Dallas Lock.
3. Перезагрузка:
После установки система уйдет в перезагрузку. Драйверы Dallas Lock внедряются в стек загрузки ОС.
4. Первый вход:
При первом включении система потребует инициализации (создание локального администратора Dallas Lock или привязку к домену AD).
3. Настройка подсистемы аутентификации и блокировки
Это ядро защиты от НСД. Dallas Lock заменяет стандартную подсистему logon Windows (или PAM в Linux).
3.1. Аппаратная аутентификация (USB-ключи)
- В консоли создайте Профиль аутентификации.
- Инициализируйте USB-токен: задайте PIN-код, запишите на него криптографические ключи пользователя.
- Назначьте токен конкретному пользователю ОС.
Настройка блокировки:
В политиках укажите «Требовать наличие ключа при входе». Опционально включите «Блокировать ПК при извлечении ключа» (работает через драйвер USB-фильтр).
3.2. Защита от обхода (Замкнутая программная среда)
Чтобы пользователи не могли загрузиться с LiveCD или в Безопасном режиме (Safe Mode) и о***и СЗИ:
- Включите политику «Запрет загрузки в безопасном режиме».
- Настройте «Контроль загрузочных устройств» (запрет boot с USB, CD/DVD, сети).
- Включите «Защиту загрузочного сектора» (агент шифрует MBR/VBR и перехватывает управление до загрузки ОС).
4. Разграничение доступа (ДРД и МРД)
Dallas Lock поддерживает как дискреционное, так и мандатное разграничение доступа.
4.1. Дискреционный доступ (ДРД)
Работает через списки контроля доступа (ACL), аналогичные NTFS, но управляемые из консоли Dallas Lock.
- Создавайте Группы доступа (аналогично AD).
- Назначайте права (Чтение, Запись, Выполнение, Удаление) на папки и файлы.
Нюанс:
Права Dallas Lock имеют приоритет над стандартными правами NTFS. При конфликте действует более строгое правило.
4.2. Мандатный доступ (МРД)
Требуется для работы с документами, содержащими грифы секретности.
- В консоли создайте Иерархию мандатных уровней (например: Носитель -> Со -> Совершенно со -> Особой в***и).
- Назначьте мандатные уровни пользователям (на основе их допусков) и папкам/файлам.
- Включите политику мандатного контроля. Агент не позволит процессу с низким мандатным уровнем прочитать файл с высоким, даже если пользователь имеет права ДРД.
5. Криптографическая защита и контроль целостности
5.1. Шифрование файлов и контейнеров
Прозрачное шифрование:
Можно зашифровать целые тома или папки. Файлы шифруются "на лету" (on-the-fly) с использованием ГОСТ 28147-89 или AES-256. Ключи хранятся на USB-токене пользователя.
Создание криптоконтейнеров:
Создание виртуальных зашифрованных дисков (образов), которые монтируются только после ввода PIN-кода токена.
5.2. Контроль целостности (СКЦ)
Обязательный элемент для соответствия требованиям ФСТЭК.
- В консоли выберите объекты для контроля (системные файлы, конфигурации, папки с приложениями).
- Агент вычислит контрольные суммы (хэш-функции ГОСТ Р 34.11-2012).
- Настройте периодичность проверок (по расписанию или при каждом входе).
- При изменении файла агент заблокирует доступ к нему и отправит алерт на сервер.
6. Аудит и журналирование
Dallas Lock ведет детальный журнал событий, который нельзя очистить штатными средствами ОС.
Настраиваемые правила аудита:
Можно логировать не только факты входа/выхода, но и конкретные действия: открытие файла, печать, запуск процесса, изменение прав, попытки несанкционированного доступа.
Интеграция с SIEM:
Настройте на сервере Dallas Lock отправку syslog-сообщений (в формате CEF или JSON) на ваш SIEM-сервер (MaxPatrol, Splunk, Wazuh и т.д.) для корреляции событий ИБ.
Защита журналов:
Логи хранятся в зашифрованном виде на сервере и защищены от модификации даже локальным администратором.
7. Аварийные процедуры (Disaster Recovery)
Вам необходимо знать процедуры восстановления доступа, так как потеря USB-токена или сбой агента могут привести к потере данных.
7.1. Утеря USB-токена
- Администратор в консоли отзывает скомпроетированный токен (добавляет его серийный номер в чёрный список).
- Выпускается новый токен, пользователю назначается новый профиль аутентификации.
- Если на токене хранились ключи шифрования, а резервная копия ключей не была сохранена на сервере (или в сейфе), данные будут утеряны безвозвратно.
Рекомендация:
- всегда настраивайте восстановление ключей на администратора или хранилище резервных копий.
7.2. Экстренное снятие защиты (Recovery Mode)
Если агент повредился и Windows не грузится (синий экран при загрузке драйвера Dallas Lock):
- Загрузитесь с установочного диска Windows (или LiveCD, если BIOS позволяет).
- Используйте утилиту Dallas Lock Recovery Tool (входит в дистрибутив). Она позволяет временно отключить драйверы СЗИ и загрузить ОС в стандартном режиме.
- После загрузки удалите или переустановите агент.
Важно:
Все действия по экстренному снятию защиты строго логируются и требуют ввода пароля аварийного доступа (Recovery Password), который должен храниться у начальника подразделения ИБ.
8. Best Practices для Администратора ИБ
1. Тестовый контур:
Никогда не раскатывайте новые политики (особенно МРД и шифрование) сразу на продакшн. Создайте тестовую группу ПК. Ошибка в правах Dallas Lock может привести к тому, что пользователи заблокируют сами себе доступ к системным файлам или профилям.
2. Групповые политики (GPO):
Используйте интеграцию с Active Directory. Dallas Lock умеет импортировать пользователей и группы из AD, что избавляет от дублирования учетных записей.
3. Обновления агента:
Обновления Windows (особенно мажорные, вроде перехода с 21H2 на 22H2) часто ломают сторонние драйверы ядра. Перед обновлением ОС на защищённых машинах проверяйте совместимость версии Dallas Lock с новым билдом Windows.
4. Резервное копирование БД:
Ежедневно настраивайте бэкап базы данных сервера Dallas Lock. В ней хранятся все политики, хэши контрольных сумм и криптоключи.
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.