Развёртывание и настройка сервера под СЗИ от НСД «Страж NT 4.0»: полное руководство

Пошаговое развёртывание СЗИ «Страж NT 4.0»: требования, установка, настройка политик и тестирование на Windows Server.

2026.03.29                  

Развёртывание и настройка сервера под СЗИ от НСД «Страж NT 4.0»: полное руководствоРазвёртывание и настройка сервера под СЗИ от НСД «Страж NT 4.0»: полное руководство

Важно:

  • Перед началом работ ознакомьтесь с официальным «Руководством администратора» и убедитесь в наличии действующей лицензии ФСТЭК России.

1. Предварительные требования

Поддерживаемые ОС для сервера:

  • Windows Server 2008 R2 Standard/Enterprise/Datacenter x64
  • Windows Server 2012 R2 Standard/Essentials/Datacenter x64
  • Windows Server 2016/2019/2022 (Standard/Essentials/Datacenter)

Аппаратные требования:

Параметр Требование
Свободное место на системном диске ≥ 100 МБ
Файловая система FAT32 или NTFS
USB-порт ≥ 1 свободный (для аппаратных идентификаторов)
Контроллер USB 2.0/1.1 для MBR; 3.0 только для GPT
Язык системы «Русский (Россия)» для программ без Юникода

Подготовка учётной записи администратора:

  1. Создайте учётную запись администратора СЗИ до установки.
  2. Для доменной среды: пользователь должен входить в локальную группу «Администраторы» и в группу «Администраторы домена».
  3. Имя и пароль администратора должны совпадать на всех серверах, где планируется единое развёртывание.

2. Пошаговая установка на сервер

Этап 1: Подготовка системы

# Отключите быстрый запуск (для Windows 8+)
powercfg /h off

# Убедитесь, что все обновления ОС установлены
# Установите все необходимое прикладное ПО ДО установки СЗИ

Этап 2: Запуск установки

  1. Запустите GInstall.exe из дистрибутива с правами администратора.
  2. Введите лицензионный номер комплекта СЗИ.
  3. Выберите параметры установки:
    • Установка драйверов идентификаторов
    • Настройка замкнутой программной среды (опционально)
    • Включение аудита событий

Этап 3: Формирование идентификатора администратора

  1. При запросе предъявите аппаратный идентификатор (USB-токен, iButton и т.п.).
  2. Введите пароль администратора.
  3. Система создаст резервный диск восстановления — сохраните его в безопасном месте.

Этап 4: Перезагрузка и проверка

# После перезагрузки проверьте:
# 1. Наличие значка «Монитор системы защиты» в трее
# 2. Запрос предъявления идентификатора при входе
# 3. Работоспособность служб СЗИ:
Get-Service | Where-Object {$_.Name -like "*Guard*"}

3. Сетевое развёртывание (для нескольких серверов)

Установка Агента администрирования:

  1. Запустите программу «Сетевое развертывание» с рабочей станции администратора.
  2. В списке сетевых компьютеров выберите целевой сервер.
  3. ПКМ → «Установить Агент администрирования».
  4. Дождитесь статуса «Работает» в колонке «Агент».

Удалённая установка СЗИ:

  1. Выберите сервер с установленным Агентом.
  2. ПКМ → «Установить СЗИ...».
  3. Введите лицензионный номер и параметры установки.
  4. Сформируйте идентификатор администратора для удалённого сервера.
  5. Нажмите «Установить» → дождитесь статуса «Настройка».

Завершение установки:

  1. Подключитесь к серверу через RDP или используйте Консоль управления.
  2. Настройте политики защиты (см. раздел 4).
  3. В «Сетевом развертывании»: ПКМ по серверу → «Завершить установку СЗИ».

4. Базовая настройка защиты

Через Консоль управления (GManager.exe):

Управление пользователями

Вкладка «Пользователи» → Создать пользователя:
- Имя, домен, метка конфиденциальности
- Назначение аппаратного идентификатора
- Настройка политики паролей

Дискреционный и мандатный контроль доступа

  • DACL: настройка прав доступа к папкам/файлам через Проводник или Менеджер файлов.
  • Метки конфиденциальности: присвоение грифов («ДСП», «Секретно» и т.п.) ресурсам.

Замкнутая программная среда (ЗПС)

Вкладка «ЗПС» → Включить → Режим автозапуска:
- «Разрешено» — только подписанные приложения
- «Автоматическая расстановка» — для начального развёртывания

Управление носителями

  • Регистрация флеш-накопителей в системе.
  • Настройка политик: запрет/разрешение записи, шифрование.

Регистрация событий

Вкладка «Журнал событий» → Настройка аудита:
- Вход в систему
- Доступ к защищённым ресурсам
- Изменение настроек СЗИ
- Включить архивирование журналов по расписанию

5. Тестирование после установки

Встроенное тестирование механизмов:

  1. В Консоли управления: Тестирование → Запуск теста.
  2. Выберите проверки:
    • Дискреционный контроль доступа
    • Мандатный контроль доступа
    • Контроль целостности
    • Контроль носителей
  3. Запустите тест → проанализируйте отчёт.

Проверка сценариев восстановления:

  • Убедитесь, что диск восстановления позволяет войти в систему при утере основного идентификатора.

6. Обновление и обслуживание

Обновление СЗИ:

# 1. Создайте резервную копию настроек:
# Консоль управления → Настройки → Архивирование настроек

# 2. Остановите СЗИ через Монитор в трее

# 3. Запустите новый установщик с ключом /update

# 4. Перезагрузите сервер и проверьте версию:
Get-ItemProperty "HKLM:\SOFTWARE\GuardNT" | Select Version

Мониторинг:

  • Регулярно анализируйте журнал событий на предмет аномалий.
  • Проверяйте целостность системных файлов СЗИ через вкладку «Целостность ресурсов».

7. Типовые проблемы и решения

Проблема Решение
Не запрашивается идентификатор при загрузке Проверить порядок загрузки в BIOS/UEFI; убедиться, что СЗИ установлена в доверенный загрузчик
Ошибка «Устройство не готово» при тестировании Подключите незарегистрированный USB-носитель для теста
Блокировка после 3 неудачных попыток входа Перезагрузите сервер физически; используйте диск восстановления
Конфликт с антивирусом Добавьте папку %SystemRoot%\Guard в исключения антивируса

Рекомендация:

  • Все работы проводите в тестовой среде перед развёртыванием на продуктивных серверах. Регулярно создайте резервные копии настроек и журналов.

При возникновении нештатных ситуаций обращайтесь в техническую поддержку: info@guardnt.ru | +7 (495) 955-9029.

×

Полный размер Слайдшоу Предыдущий Следующий