Установка СЗИ Блок-Хост 2.0


Автономная установка СЗИ


Согласно документации, СЗИ имеет два варианта установки – автономный и с удаленным управлением. Причем под автономным вариантом понимается не автономный компьютер, а именно автономное функционирование СЗИ на рабочей станции. То есть рабочая станция вполне себе может находится в домене, но Блокхост на ней будет функционировать в автономном режиме и не взаимодействовать с сервером администрирования. Соответственно, установка, настройка, управление, аудит будут выполняется также с этой рабочей станции.

Пример. Имеется домен, на части рабочих станций принято решение установить СЗИ «Блокхост-сеть 2.0. Производится автономная установка СЗИ на эти рабочие станции, их пользователям выдаются персональные идентификаторы (токены или флэшки).
Итог: реализована двухфакторная идентификация пользователей на критически важных рабочих станциях.

Автономный вариант СЗИ «Блокхост-сеть 2.0» поставляется в виде файлов BlockHost-Net-2.0-Client x32.msi и BlockHost-Net-2.0-Client x64.msi для 32 и 64-битных ОС Windows соответственно.

При использовании автономного варианта СЗИ «Блокхост-сеть 2.0» клиентскую часть СЗИ устанавливают на защищаемую локальную рабочую станцию.

Как уже говорилось, установка «СЗИ Блокхост-сеть 2.0» ведется только под ВСТРОЕННОЙ УЧЕТНОЙ ЗАПИСЬЮ ЛОКАЛЬНОГО АДМИНИСТРАТОРА. Учетная запись – Администратор (Administrator) должна быть включена, для нее должен быть задан пароль и вы должны знать этот пароль.

Для инсталляции клиентской части СЗИ необходимо войти в операционную систему под учетной записью встроенного администратора ОС Windows (контроллера домена).

Собственно установка производится путем запуска соответствующего MSI-пакета: BlockHost-Net-2.0-Client x32.msi или BlockHost-Net-2.0-Client x64.msi. В ходе установки потребуется ввести код лицензии и код активации клиентской части, которые прописаны в выданной лицензии. Галочку «Сетевая лицензия» не устанавливаем:



Далее будет предложено создать ключевой носитель администратора безопасности:



Прямого указания в формуляре на обязательность этого действия нет. В нашем случае был создан единственный ключевой носитель и для всех автономных установок блокхоста и для сервера администрирования блокхост. Использовали для этих целей e-Token PRO 72k (Java). Чтобы задать PIN-код носителя, использовался E-Token PKI Client 5.1.82.0

В целом допускается использование следующих типов носителей - eToken, SafeNet eToken, ruToken, eSmart Token, Avest Token, USB - носитель, дискета или персональный идентификатор в реестре Windows.

Для задания PIN-кода для всех носителей, кроме USB – носителей и дискет, необходимо использовать соответствующее программное обеспечение.

В ходе установки в список пользователей рабочей станции будут добавлены все учетные записи локальных пользователей ОС Windows, а также учетные записи пользователей домена, профили которых существуют на рабочей станции. Всем пользователям рабочей станции устанавливаются права локального и сетевого входа в ОС и мандатная метка со значением 1:



Для рабочей станции после установки СЗИ назначается так называемый «мягкий режим», при котором защитные средства СЗИ работают, но позволяют выполнять запрещенные операции с фиксацией их средствами аудита:



Мягкий режим позволяет произвести настройку СЗИ рабочей станции. В первую очередь необходимо откорректировать список пользователей СЗИ и назначить всем пользователям аппаратные персональные идентификаторы:



После этого мягкий режим нужно снять, иначе теряется смысл использования СЗИ. К числу первоначальных настроек СЗИ также относится назначение учетных записей, которые имеют права на запуск и настройку клиентской части СЗИ. Дабы не повторяться, этот момент рассмотрен в материале Установка Блокхост-сеть 2.0. в варианте с удаленным управлением

Обновление или удаление клиентской части СЗИ «Блокхост-сеть 2.0» также может произвести только пользователь, вошедший в систему под встроенной учетной записью локального администратора.

Обновление версий СЗИ до сертифицированной версии СЗИ Блокхост-сеть 2.0» производится установкой новой версии СЗИ «Блокхост-сеть 2.0» поверх уже установленной.

В следующей части рассмотрим установку СЗИ «Блокхост-сеть 2.0» с удаленным управлением.



Ранее:
Мероприятия, необходимые для использования СЗИ Блокхост-сеть 2.0 в качестве сертифицированного ПО


Далее:
Установка СЗИ Блок-Хост 2.0. Установка с удаленным управлением