Решение проблем использования СЗИ Блокхост-Сеть 2.0


- ошибки при установке Блокхост-Cеть;
- проблемы со входом в систему после установки Блокхост-Сеть;
- эксплуатация – проблемы и решения;

В последней на сегодняшний день версии СЗИ Блокхост-Сеть 2.2.16.1038 разработчикам удалось решить многочисленные проблемы прошлых версий, а их система развертывания работает просто таки хорошо. И все же проблем с установкой и эксплуатацией СЗИ еще хватает. Ниже предпринята попытка систематизировать трудности, с которыми, скорее всего, придется столкнуться ее администраторам и пользователям.


1. Ошибки при установке Блокхост-Cеть


В процессе установки серверной части Блокхоста возникает Ошибка вызова AddPrinter:3001 на ОС Windows Server 2008 R2 x64, версия БХ - 2.2.16.1038

Требуется удалить следы предыдущей версии сервера Блокхост-Сеть. Помогает удаление старой версии и папки установки программы - C:\BlockHost.

С чем может быть связана ошибка при установке "Не найдено сетевое имя"?

На рабочей станции, куда проводится установка должны быть открыты стандартные общие ресурсы C$ и admin$:



Кроме того, на рабочей станции должна быть включена учетная запись Администратор и к ней задан пароль.

При распространении Блокхоста на клиентские машины через серверную консоль статус подключения – «Отсутствует доступ»

Обычно проблема связана с работой брандмауера Windows на системной машине. Обычно антивирусное ПО на клиенте перехватывает управление брандмауэром и тогда установка клиента Блокхоста проходит штатно. Экран брандмауэра в панели управления Windows 7 при этом выглядят следующим образом:



В отдельных случаях перехвата не происходит и тогда экран брандмауера будет выглядеть так:



Потребуется зайти в параметры брандмауера и отключить его для всех типов сетей:



Саму службу брандмауэра отключа (Брандмауэр Windows для Windows 7 и Брандмауэр защитника Windows в Windows 10) отключать не нужно, иначе при установке получите сообщение об ошибке «Невозможно подключиться к машине».

Во время развертывания клиента Блокхост-Сеть через консоль системы развертывания клиентский компьютер был выключен пользователем. При повторном запуске установки в режиме развертывания msi-пакетов из серверной консоли аутентификация учетной записи локального администратора проходит, при установке - ошибка 1603 или 1607. Через систему развертывания - агент устанавливается нормально, установка клиента заканчивается ошибкой "Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и доступ к нему".

В этом случае успех принесла следующая последовательность действий:


2. Проблемы со входом в систему после установки Блокхост-Сеть


После разблокировки рабочей станции Блокхост не видит аппаратный носитель, при вводе пароля выдает ошибку, что пароль неверный. После перезагрузки, иногда неоднократной, все приходит в норму

  1. Самое простое решение – вынуть и вставить обратно носитель, подождать 20-30 секунд и попробовать повторно разблокировать станцию.
  2. В подобных случаях помогает запрет настройки Параметр временного отключения USB-порта в настройках схемы электропитания компьютера:


Не конкретно к этому случаю, при проблемах разблокировки рабочей станции из спящего режима также установите запрет на отключение жесткого диска в спящем режиме - поможет избежать множества проблем.

Сложности входа на рабочую станцию с медленных компьютеров

После появления приглашения ctrl+alt+delete ждем 30-60 секунд (дожидаемся загрузки служб Блокхоста) и пытаемся авторизоваться.

Ошибка при входе с eToken: предъявленный ключевой носитель заблокирован на доступ пользователя к данной рабочей станции»

Попробуйте разблокировать:



Еще похожая ошибка:

При входе в систему зависает на экране "Добро пожаловать", после 1-2 перезагрузок приходит в норму.

Если сразу после ввода пароля и пин-кода при зависании нажать ctrl+alt+delete и перейти на диспетчер задач, то загрузка ОС происходит нормально.

Для Windows 10 можно посоветовать такую последовательность: перед включением клиента не подключать носитель, а подключить его, когда загрузится окно входа. После этого подключить носитель и произвести вход.

Как решить проблему при входе пользователя в ОС "время ожидания истекло"?

Посмотрите есть ли в списке установленного ПО на рабочей станции следующее: wufuc – программа, разблокирующая центр обновления на неподдерживаемом оборудовании. Если есть, удалите ее.

Если используется eToken PKI Client попробуйте вместо него установить SafeNet Client, который по отзывам пользователей быстрее работает с аппаратными ключами.

После ввода пользователем своих регистрационных данных появляется сообщение "Не удалось загрузить службу персонального экрана"

В этом случае необходимо переустановить драйвер персонального экрана БлокХоста автоматическим или ручным способом. Подробное описание способов привелено в приложенном файле.

Восстановление персонального экрана.docx

На экране ввода пароля или не отображается окно носителя (нет иконки носителя и поля для ввода пин-кода), только строчки домен, пользователь и пароль.

Необходимо нажать кнопку Сменить пользователя. Драйвер носителя должен быть установлен. Сам аппаратный носитель должен быть вставлен в рабочую станцию.

Возникает синий экран и соответственно автоматическая перезагрузка после разблокировки (ввода пароля и пин-кода) заблокированной рабочей станции на Windows 10.

Нажимаем Win + R, набираем secpol.msc, запускаем.

Выбираем Локальные политики - Параметры безопасности - Контроль учетных записей: все администраторы работают в режиме одобрения администратором:



Выключаем политику, перезагружаем.

При попытке штатного входа пользователя в систему с установлены БХС после некоторого ожидания выводится ошибка: Автозапуск служб не настроен. Вход в систему в этом режиме возможен только с токеном. Для входа в мягком режиме настройте автозапуск служб

решение проблемы приводится в приложенном файле:

Руководство по диагностике и устранению проблемы автозапуска служб.docx


3. Эксплуатация – проблемы и решения


Какой пин-код спрашивает Блокхост-Сеть при входе?

Если носитель уже использовался в Блокхосте – нужно вспомнить. Если не использовался - для флэшки при настройке Блокхоста задается носитель, и пин-код, который вы введете при настройке, станет пин-кодом носителя. Для токенов пин-коды необходимо задавать предварительно в соответствующем ПО.

Как предоставить общий доступ к папке на рабочей станции пользователя если установлен Блокхост-Сеть?

Доступ к общей папке открывается (помимо стандартного механизма Windows) добавлением дополнительной доменной учетной записи в качестве пользователя Блокхоста на станции с общей папкой. Вместо локального входа выбирается "сетевой вход", носитель в такой схеме привязывать не нужно.

Как в Блокхост-Сеть 2.0 ограничить использование usb-устройств перечнем разрешенных? Как назначить группе сотрудников (отделу) одинаковые доступные флэшки?

Управление в том числе и usb-устройствами производится в разделе Контроль портов и CD окна Настройки машины:



В приложенным файле – практическое пособие от разработчиков по использованию механизма контроля портов.

Настройка контроля usb-устройств в БХС 1038.docx

Недостаток механизма контроля портов в Блокхост-Сеть заключается в следующем. Если необходимо, чтобы usb-устройство было доступным для всех пользователей в организации, это устройство необходимо будет прописать на рабочей станции каждого сотрудника. И так с каждого устройства! Частично обойти это ограничение можно способом, указанным ниже.

Чтобы назначить одинаковые доступные флэшки группе пользователей необходимо в список пользователей для групповой настройки добавить не только пользователей Active Directory, но и группы безопасности AD (группы отделов), а уже для них настроить контроль портов.

Как будет осуществляться техподдержка, в том числе удаленная, при установленном Блокхост-Сеть?

  1. Локально под учетной записью встроенного Администратора, либо учетной записи , входящей в группу локальных администраторов.
  2. Манипуляции с рабочими станциями удаленно - убивают смысл внедрения Блокхоста как средства защиты информации от несанкционированного доступа. Как вариант - использовать мандатный режим разграничения, чтобы нельзя было получить доступ к служебным и рабочим документам, подключившись удаленно.

Можно ли настроить автоматическую блокировку компьютера при отключении ключевого носителя?

Можно для рабочих станций, включенных в домен, через групповые политики. Для этого на контроллере домена настроить политику действий при изъятии смарт-карты:

Параметры безопасностиЛокальные политики - Параметры безопасности - Интерактивный вход в систему: поведение при извлечении смарт-карты
выбрать:Блокировка смарт-карты

Кроме того, на рабочей станции-клиенте СЗИ необходимо запустить службу Политика удаления смарт-карт и установить для нее автоматический запуск при старте ОС

В результате этих действий после того, как пользователь извлечет из компьютера свой ключевой носитель, рабочая станция будет заблокирована.

Указанный способ не будет работать для рабочих станций, не включенных в домен, а находящихся в рабочей группе.

Как настроить БХ на клиенте чтобы пользователь мог зайти на рабочую станцию только с помощью eToken

выбираете в консоли машину, заходите список пользователей (чтобы в основном окне высветился список всех пользователей), выделяете нужного пользователя, нажимаете кнопку Управление носителями, выбираете носитель и вводите его пин-код, жмете ОК, потом раскрываете нужного пользователя в списке пользователей и в разделе Аутентификация ставите галочку Вход с токеном.

Можно ли настроить клонирование настроек рабочих станций, то есть осуществить перенос настроек на другую.

Средство называется синхронизация настроек. Создается группа, туда добавляются рабочие станции. Затем настраиваете одну из рабочих станций и синхронизируете группу соответствующей командой из меню.

Однако таким способом синхронизировать можно только общие настройки, вроде мягкого режима. Настройки пользователей синхронизировать получится только, если предполагается, что синхронизируемые в группе пользователи работают на всех машинах в группе, например это может быть администратор. Конкретных же пользователей каждой машине придется задавать индивидуально.

Нужно ли обязательно записывать пароль на eToken при смене пароля?

Нет. Эта галочка:



актуальна в основном для учетных записей с несменяемым паролем, например администратора. В таком случае пароль можно записать на ключевой носитель и входить в систему без ввода пароля.

Клиентские машины в серверной консоли Блохост находятся в состоянии Ожидание, а в колонке Описание присутствует надпись Settings node not found

В этом случае следует попробовать развернуть msi пакеты снова на клиентских станциях, добавив при этом в Параметрах Connect=1



При запуске серверной консоли появляется окно с ошибкой Не возможно получить клиентские настройки. Генерация параметров MSI развертывания и развертывание через агента работать не будут.

Существует готовое решение от разработчиков:

Устранение проблемы отсутствия подключения клиента сервера Блокхост.docx

Однако помогает оно не всегда и более простым решением может оказаться переустановка серверной части. При условии наличии сохраненных ранее настроек сервера:



все рабочие станции успешно присоединятся к серверу после его восстановления.

Как удалить правильно удалить клиента Блокхост-Сеть?

Наилучшие результаты достигаются при удалении клиента через систему развёртывания на сервере - задача на удаление Блок-сеть клиент:



Еще может оказаться необходимым удаление папки C:\BlockHost с клиента и удаление веток из реестра при помощи поиска по ключевому слову blockhost

На многих компах с БХ 2.0 после загрузки все сетевые диски помечены красным крестом, типа недоступны!? Хотя на самом деле доступны и после первого входа на них значок исчезает. Также появились проблемы при смене пароля.

Причина таких сбоев - наличие в привязках сетевых адаптеров служб-фильтров в остановленном состоянии. При наличии установленного клиента БХС такие привязки вызывают задержку в инициализации сетевого адаптера, причем никаких записей в логах попытка инициализации не оставляет. После успешной инициализации службы сеть возобновляет работу.

Для устранения этих проблем вам понадобиться консольная утилита enumiric.exe из сервисного набора БХС. Эта утилита выводит привязки служб к адаптерам машины, а также пишет, возможно ли изменение конфигурации адаптера.

Подробное описание решения проблемы и утилита – в приложенных файлах.

Отладка сетевых проблем 1038.docx +
enumiric.zip



Ранее:
Организация работы и настройка клиентской части Блокхост-Сеть