Подробный гайд: Защитная оболочка СЗИ от НСД Dallas Lock

Dallas Lock - СЗИ от НСД для защиты информации. Настройка, развертывание, администрирование. Аутентификация, шифрование, контроль целостности, аудит.

2026.07.04                  


Подробный гайд: Защитная оболочка СЗИ от НСД Dallas LockПодробный гайд: Защитная оболочка СЗИ от НСД Dallas Lock

1. Архитектура и принципы работы

Dallas Lock работает на уровне ядра операционной системы, перехватывая обращения к файловой системе, реестру и процессам с помощью драйверов фильтрации.

Основные компоненты:

* Dallas Lock Server (Сервер управления):

Централизованное хранилище политик безопасности, БД (MS SQL / PostgreSQL), сервер лицензий и центр управления.

* Dallas Lock Client (Агент):

Устанавливается на защищаемые рабочие станции и серверы. Перехватывает вызовы к ядру ОС, обеспечивает аутентификацию, шифрование и контроль целостности.

* Консоль администратора:

MMC-снап-ин или веб-интерфейс для управления политиками.

* Аппаратные идентификаторы:

USB-токены (eToken, RuToken) или контактные ключи (изначально iButton, откуда и название), используемые для двухфакторной аутентификации и хранения криптоключей.


2. Подготовка и развертывание

2.1. Требования и совместимость

Перед установкой убедитесь, что ОС входит в сертифицированный ФСТЭК список (Windows 7/10/11, Windows Server 2008-2022, Astra Linux SE, RED OS, Alt Linux).

Важно:

Для сертификации по 1-му классу (защита г***ы) требуется использование в замкнутой программной среде и отключение неиспользуемых интерфейсов.


2.2. Установка Серверной части (для централизованного управления)

1. Подготовка БД:

Разверните экземпляр MS SQL или PostgreSQL. Создайте БД и пользователя с правами db_owner для Dallas Lock.

2. Инсталляция:

Запустите Setup.exe на сервере, выберите компонент Server. Укажите строку подключения к БД.

3. Активация:

Импортируйте лицензионный файл (.lic) в консоли сервера.

4. Настройка сети:

Откройте порты для взаимодействия с агентами (по умолчанию TCP 1433 для БД и специфичные порты для синхронизации политик, уточняйте в документации к вашей версии).


2.3. Установка Клиентской части (Агента)

1. Бэкап:

Обязательно сделайте полный бэкап образа системы или критичных данных. Установка СЗИ затрагивает загрузочный сектор и драйверы ядра.

2. Инсталляция:

Запустите Setup.exe на клиенте, выберите Client. Укажите IP-адрес или FQDN сервера Dallas Lock.

3. Перезагрузка:

После установки система уйдет в перезагрузку. Драйверы Dallas Lock внедряются в стек загрузки ОС.

4. Первый вход:

При первом включении система потребует инициализации (создание локального администратора Dallas Lock или привязку к домену AD).


3. Настройка подсистемы аутентификации и блокировки

Это ядро защиты от НСД. Dallas Lock заменяет стандартную подсистему logon Windows (или PAM в Linux).

3.1. Аппаратная аутентификация (USB-ключи)

  1. В консоли создайте Профиль аутентификации.
  2. Инициализируйте USB-токен: задайте PIN-код, запишите на него криптографические ключи пользователя.
  3. Назначьте токен конкретному пользователю ОС.

Настройка блокировки:

В политиках укажите «Требовать наличие ключа при входе». Опционально включите «Блокировать ПК при извлечении ключа» (работает через драйвер USB-фильтр).


3.2. Защита от обхода (Замкнутая программная среда)

Чтобы пользователи не могли загрузиться с LiveCD или в Безопасном режиме (Safe Mode) и о***и СЗИ:

  • Включите политику «Запрет загрузки в безопасном режиме».
  • Настройте «Контроль загрузочных устройств» (запрет boot с USB, CD/DVD, сети).
  • Включите «Защиту загрузочного сектора» (агент шифрует MBR/VBR и перехватывает управление до загрузки ОС).

4. Разграничение доступа (ДРД и МРД)

Dallas Lock поддерживает как дискреционное, так и мандатное разграничение доступа.

4.1. Дискреционный доступ (ДРД)

Работает через списки контроля доступа (ACL), аналогичные NTFS, но управляемые из консоли Dallas Lock.

  • Создавайте Группы доступа (аналогично AD).
  • Назначайте права (Чтение, Запись, Выполнение, Удаление) на папки и файлы.

Нюанс:

Права Dallas Lock имеют приоритет над стандартными правами NTFS. При конфликте действует более строгое правило.


4.2. Мандатный доступ (МРД)

Требуется для работы с документами, содержащими грифы секретности.

  1. В консоли создайте Иерархию мандатных уровней (например: Носитель -> Со -> Совершенно со -> Особой в***и).
  2. Назначьте мандатные уровни пользователям (на основе их допусков) и папкам/файлам.
  3. Включите политику мандатного контроля. Агент не позволит процессу с низким мандатным уровнем прочитать файл с высоким, даже если пользователь имеет права ДРД.

5. Криптографическая защита и контроль целостности

5.1. Шифрование файлов и контейнеров

Прозрачное шифрование:

Можно зашифровать целые тома или папки. Файлы шифруются "на лету" (on-the-fly) с использованием ГОСТ 28147-89 или AES-256. Ключи хранятся на USB-токене пользователя.

Создание криптоконтейнеров:

Создание виртуальных зашифрованных дисков (образов), которые монтируются только после ввода PIN-кода токена.


5.2. Контроль целостности (СКЦ)

Обязательный элемент для соответствия требованиям ФСТЭК.

  1. В консоли выберите объекты для контроля (системные файлы, конфигурации, папки с приложениями).
  2. Агент вычислит контрольные суммы (хэш-функции ГОСТ Р 34.11-2012).
  3. Настройте периодичность проверок (по расписанию или при каждом входе).
  4. При изменении файла агент заблокирует доступ к нему и отправит алерт на сервер.

6. Аудит и журналирование

Dallas Lock ведет детальный журнал событий, который нельзя очистить штатными средствами ОС.

Настраиваемые правила аудита:

Можно логировать не только факты входа/выхода, но и конкретные действия: открытие файла, печать, запуск процесса, изменение прав, попытки несанкционированного доступа.

Интеграция с SIEM:

Настройте на сервере Dallas Lock отправку syslog-сообщений (в формате CEF или JSON) на ваш SIEM-сервер (MaxPatrol, Splunk, Wazuh и т.д.) для корреляции событий ИБ.

Защита журналов:

Логи хранятся в зашифрованном виде на сервере и защищены от модификации даже локальным администратором.


7. Аварийные процедуры (Disaster Recovery)

Вам необходимо знать процедуры восстановления доступа, так как потеря USB-токена или сбой агента могут привести к потере данных.


7.1. Утеря USB-токена

  1. Администратор в консоли отзывает скомпроетированный токен (добавляет его серийный номер в чёрный список).
  2. Выпускается новый токен, пользователю назначается новый профиль аутентификации.
  3. Если на токене хранились ключи шифрования, а резервная копия ключей не была сохранена на сервере (или в сейфе), данные будут утеряны безвозвратно.

Рекомендация:

  • всегда настраивайте восстановление ключей на администратора или хранилище резервных копий.

7.2. Экстренное снятие защиты (Recovery Mode)

Если агент повредился и Windows не грузится (синий экран при загрузке драйвера Dallas Lock):

  1. Загрузитесь с установочного диска Windows (или LiveCD, если BIOS позволяет).
  2. Используйте утилиту Dallas Lock Recovery Tool (входит в дистрибутив). Она позволяет временно отключить драйверы СЗИ и загрузить ОС в стандартном режиме.
  3. После загрузки удалите или переустановите агент.

Важно:

Все действия по экстренному снятию защиты строго логируются и требуют ввода пароля аварийного доступа (Recovery Password), который должен храниться у начальника подразделения ИБ.


8. Best Practices для Администратора ИБ

1. Тестовый контур:

Никогда не раскатывайте новые политики (особенно МРД и шифрование) сразу на продакшн. Создайте тестовую группу ПК. Ошибка в правах Dallas Lock может привести к тому, что пользователи заблокируют сами себе доступ к системным файлам или профилям.

2. Групповые политики (GPO):

Используйте интеграцию с Active Directory. Dallas Lock умеет импортировать пользователей и группы из AD, что избавляет от дублирования учетных записей.

3. Обновления агента:

Обновления Windows (особенно мажорные, вроде перехода с 21H2 на 22H2) часто ломают сторонние драйверы ядра. Перед обновлением ОС на защищённых машинах проверяйте совместимость версии Dallas Lock с новым билдом Windows.

4. Резервное копирование БД:

Ежедневно настраивайте бэкап базы данных сервера Dallas Lock. В ней хранятся все политики, хэши контрольных сумм и криптоключи.


Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.


Статью подготовил: Денис Аверко @Nymexis г. Омск

Комментарии

Загрузка...
Если комментарии не загружаются, можете попробовать отключить блокировщик рекламы для этого сайта