Dallas Lock - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=5412&from=0

К списку тем | Добавить сообщение


Автор: Кристинка, Кристинка и К | 24242 14.12.2010 03:39
проблема!
сначала при печати компьютер стал уходить в BSOD. после долгомутной переустановки (заключившейся в итоге в переустановки службы диспетчера печати) принтер стал печатать(также при отключении в даллас локе "аудита печати"), теперь печать происходит при только отключении "аудита печати" .

Автор: Даниил Ильин | 24245 14.12.2010 10:21
Да, это классика!

Автор: Кристинка, Кристинка и К | 24248 14.12.2010 12:45
и что???

Автор: Даниил Ильин | 24262 14.12.2010 16:14
Вы кое-как поделились информацией о своей проблеме.
В чем, собственно, Ваш вопрос?

Прошла пара лет

Автор: Алексей | 34052 20.01.2012 09:48
нужна помощь, отключил в dallas locke 7.5 учетную запись, теперь не могу загрузиться...может есть способ обойти dallas или поможет только переустановка?

Прошло несколько месяцев

Автор: victorych | 38932 29.08.2012 10:57
И все таки жаль, жаль ... , что вопрос Кристины не получил ответа. Проблема есть и как теперь я наблюдаю не только у Кристины ... После установки DL служба печати наглухо отказывается функционировать.

Автор: TIP | 38933 29.08.2012 11:55
В новой версии DL такой проблемы полк не наблюдается, хотя и в старых такое случалось не всегда

Автор: Комрад | 38941 29.08.2012 17:57
Господа, звоните в техподдержку конфидента.
По вопросу Кристины -виноват скорее всего драйвер принтера, нужно попробовать переустановить драйвер или установить стандартный драйвер макрософт (если принтер древний или редкий то скорее всего из=за этого).

Алексей, какую именно вы учетную запись отключили и как именно?

Прошло около недели

Автор: забегал, пробовал, подходит! | 39014 06.09.2012 19:59
DL 7.7 таже самая проблема. Снесли Даллас, поставили заново дрова на принтер (официальные и принудительно), сверху поставили Даллас, все печатает и работает. Заметили тенденцию, что когда Даллас поставлен на ПЭВМ с установкой следующих программ возникают проблеммы, выражающиеся в некоректной работе ПО.

Автор: Пластеев Максим, ООО "ДРСЦ "Компьюлинк" | 39019 07.09.2012 06:26
Проблема с Далласом (синий экран при печати), и еще некоторых вещах кроется в конфликте следующей связки как правило:
Каспер+Даллас+Принтер.
На сайте далласа в ЧАВО есть решение.
Привожу его здесь целиком в качестве цитаты:
<начало цитаты>
Для решения проблем связанных c использовании DL и антивируса Касперского 6-й и 7-й версии, необходимо:
Обновить антивирус Касперского;
Внести в реестр значение, с выключенной самозащитой в антивирусе Касперского (настройки антивируса-Сервис):

REGEDIT

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KLIF\Parameters]
"NoISwift"=dword:00000001
<конец цитаты>

В большинстве случаев это помогает. Если не помогло самый простой способ обратится в тех поддержку далласа, это будет быстрее чем обсуждение проблем на форуме :)

Прошло несколько месяцев

Автор: Трапов Сергей, Астал-П | 42266 23.02.2013 21:55
Да, c DL7.0 - DL7.7 есть такая проблема при печати. Связана именно с несовместимостью фильтра файловой системы далласа и касперским. Готов спорить, что у Кристины установлен касперский. Лечится, как указано в посте выше. После лечения проблем не возникает. Причём рекомендуется выполнить это лечение, даже если печать не используется, но касперский установлен - так как проблема может вылезти в другой подсистеме.
C DL8.0-К вышеуказанной проблемы с касперским нет.

Алексей, если вы отключили учётную запись суперадминистратора, то для того что бы загрузиться в винды, нужно выполнить процедуру "аварийного восстановления" - смотри в инструкции по эксплуатации.

А вообще можно смело звонить в техподдержку конфидента - отвечают грамотно и быстро.

Прошло несколько месяцев

Автор: Ксения, НГУЭУ | 47797 10.12.2013 16:16
Здравствуйте, подскажите пожалуйста, почему при настройке мандатного доступа пользователь с уровнем доступа 3-"особой важности" не может читать файлы пользователя с уровнем конфиденциальности 1-"секретно"?

Автор: Антон | 47812 11.12.2013 10:36
Ксения, чуть больше информации. Версия даласа хотя бы нужна.

Автор: Ксения, НГУЭУ | 47856 12.12.2013 16:31
Версия 7.7

Прошел месяц

Автор: Игорь | 48638 16.01.2014 12:09
Уважаемые коллеги!
В документации (Руководстве по эксплуатации), к обновленной версии СЗИ НСД "Dallas Lock 7.7",полученной нами после продления его сертификата, в разделе 1.2 появилась фраза, которой не было раньше:
"Аппаратная идентификация не является обязательной.

При защите сведений, составляющих государственную тайну, запрещается использовать аппаратные идентификаторы, не имеющие соответствующего сертификата соответствия." (добавилось)

Возникает 3 вопроса:
1. Обязательно ли использование аппаратных идентификаторов на объектах, аттестуемых по ГТ? (До сих пор их применение не являлось обязательным для этого продукта и ОИ проходили аттестацию без вопросов).
2. Что имеется ввиду под соответствующим сертификатом соответствия для аппаратных идентификаторов? К примеру, eToken имеет сертификат № 1883 только до класса 1Г включительно (по 4 уровню НДВ).
3. У производителей других СЗИ НСД ("Страж NT", "Соболь", "Аккорд", "Блок-хост" и т.д.) в качестве аппаратных идентификаторов могут использоваться любые, не обязательно сертифицированные носители (iButton, даже простые флэшки). Требование использования сертифицированных аппаратных идентификаторов по ГТ только для этого продукта, или это общее требование для всех СЗИ НСД?

Автор: Безопасник | 48643 16.01.2014 14:48
Игорь, изменений в руководящих документов не было. Мое мнение хотите использовать аппаратные идентификаторы - используйте. Не хотите - ставьте пароль на БИОС или другими средствами закрывайте требования РД.
Но если вы решили использовать аппаратные идентификаторы - не указывайте их как средство защиты, либо используйте сертифицированные по ГТ.

Автор: *.x | 48647 16.01.2014 16:37
Получили ответ разработчиков:

"Все верно, в рамках продления сертификата и прохождения инспекционного контроля, испытательная лаборатория установила такое требование в части аппаратной идентификации.

1. Использовать или нет все зависит от Вашей модели угроз, как такого требования в РД нет.

2. Это означает что сертификат на аппаратный идентификатор должен быть сертифицирован минимум 2 НДВ.

3. У других производителей в рамках проведения сертификации, тоже должно будет появится такое требование.

С уважением,

Симонов Константин
ООО "Конфидент"
специалист по технической поддержке
СЗИ Dallas Lock "

http://www.dallaslock.ru/

Автор: Старый волк | 48654 16.01.2014 20:24
Пролоббировали свои интересы производители аппаратных идентификаторов))

Автор: Практик | 48680 17.01.2014 08:52
Какой аппаратный идентификатор сертифицирован по 2 НДВ?
Особенно актуально в свете п.3 ответа и переаттестации действующих систем - не придется ли менять все СЗИ НСД, кроме Dallas Lock.

Автор: Алексей | 48692 17.01.2014 11:11
C 05 по 06 февраля проводится Практический семинар «Средства защиты информации от несанкционированного доступа. Практика применения на базе СЗИ от НСД «Secret Net» и «Dallas Lock». Стоимость 10200 руб.
Кого интересует пишите или звоните 89119130317@mail.ru

Прошло несколько месяцев

Автор: Катя | 53954 11.10.2014 13:25
Доброго времени суток) возникла проблема с Dallos Lock. Ребят, может быть вы подскажите что делать)
Установила я даллос значит. Все хорошо было, могла и пароли менять и все, что угодно. А с недавних пор он (имею в виду dallos lock) стал ругаться, мол драйвер защиты не инициализирован... Ну приплыли думаю. Попыталась переустановить его, а вот фигушки)) теперь и удалить не могу, и пароль поменял не могу...а ещё под именем администратора даже не заходит,говорит не верное имя учётной записи..
И вот что делать?)

Автор: Стас, Конфи | 53955 11.10.2014 14:48
Катя, используйте процедуру аварийного восстановления. Она описана в руководстве по эксплуатации.

Автор: Катя | 53956 11.10.2014 15:18
Стас, спасибо. Попробую..

Автор: Стас, Конфи | 53959 11.10.2014 21:21
Катя, какая у вас винда? Это сообщение появляется при загрузке компа, но, тем не менее, зайти в систему можно? У меня есть предположение, что такая ситуация произошла из-за того, что на одной из загрузок компа была выбрана опция "last good known configuration" - в результате чего некоторые ветки реестра были восстановлены на те, которые были до установки Далласа. Вот драйвер и не инициализирован (как вы знаете, все установленные драйвера прописаны в реестре).
В этой ситуации аварийное восстановление поможет. Но вы сможете его выполнить, только если у вашего пользователя есть права администратора.

Автор: Катя | 53960 11.10.2014 22:03
Стас, стоит Windows XP...
Загрузка ее идет нормально, т.е. все как положено: вводим даласовский пароль, начинается загрузка винды. Открывается рабочий стол и тут выдает это сообщение: Драйвер защиты не инициализирован. И одна кнопочка в этом окне - ОК..все.
А по поводу Вашего предположения сказать точно не могу... думаю, что такой вариант загрузки вряд ли могли выбрать.. НО! не исключено)
Про аварийное восстановление что-то даже не подумала. Мдаааа... Я попробую в понедельник восстановить конечно. Права администратора у пользователя есть (на сколько я помню). Потому что зайти в Dallos и посмотреть не могу из-за этой ошибки.

Спасибо большое за помощь) как все сделаю, отпишусь)

Автор: Стас, Конфи | 53962 11.10.2014 23:34
Что бы посмотреть, входит ли пользователь в группу "администраторы" не обязательно запускать оболочку администратора Далласа. Это можно сделать и штатными средствами ОС. Даллас то какой версии?

Автор: Катя | 53966 12.10.2014 10:10
У далосса версия 7.5

Автор: Катя | 53976 13.10.2014 07:36
Как хорошо, что мир не без добрых людей)
Стас, спасибо большое за помощь) все получилось...)

Автор: Катя | 53987 13.10.2014 18:50
Ещё вот такой вопрос.
Два компьютера. На обоих стоит windows xp. Они в сети. На одном стоит даллос, и на втором тоже. Ну пусть для условности будут компьютеры А и Б. Так вот, раньше, если я на компьютере А создам, изменю или удалю пользователя, то на компьютере Б, создаются, изменитсся или удалится это пользователь. Сейчас каждый из компов живет своей жизнью.. Как мне вернуть обратно все? Подскажите пожалуйста)
Просто с этой программой столкнулась недавно... И как, что тут делать не пойму.. Такая вот я) Наверное просто лень сесть и разобраться что к чему...
Заранее благодарю!!!)

Автор: Стас, Конфи | 53990 13.10.2014 23:19
Даллас может работать в двух режимах: под управлением сервера безопасности и не под управлением СБ. Во втором случае, на каждом компьютере своя независимая база данных пользователей - и, естественно, изменения чего-либо на одном компе не вызывает изменений на другом. Если же под управлением СБ - сервер безопасности централизованно управляет учётными записями пользователей. Но синхронизация осуществляется только в одну сторону - от СБ к клиентам. Поэтому поведение, как вы описываете возможно, только если компьютер А является сервером безопасности для Б. Сейчас же, видимо, эти взаимоотношения исчезли по каким-то причинам.

Автор: Катя | 53993 14.10.2014 06:54
Все, и с этим вопросом разобралась. Указала в сетевом администраторе имя компьютера А и вуаля... Но это странно, потому что я так делала, но даллос ругался, типо неверное имя (ну или что то в этом духе).

Ну все, вопросов больше нет) спасибо ещё раз!)

Автор: Сергей | 54057 20.10.2014 14:47
Здравствуйте! Как отключить оповещения системы защиты при открытии приложений или их установке? Хочется чтобы они были стандартными виндовыми а не далласовскими. Возможно такое или нет?

Автор: Алекс | 54086 20.10.2014 21:20
Всем привет! В Dallas Lock 8.0-C обнаружилась такая проблема при работе в секретной сессии, word 2007 не открывает файлы word 2003, а файлы 2007 открывает без проблем. Кто подскажет решение???? Заранее спасибо.

Автор: igor331 | 54087 21.10.2014 00:01
Алекс, смотрите аудит отказов

Автор: Сергей | 54090 21.10.2014 09:12
Наверное неправильно сформировал вопрос... Как отключить параметры контроля учетных записей? Т.е. раньше при установке или открытии какого-либо приложения выскакивало окно "внести изменения на компе? и т. д.", сейчас после установки далласа вылазит другое окно уже далласовское и требует админа и пароль... как сделать так чтобы вернуть стандартное окно виндовое? тех поддержки нет... все приходится делать методом научного тыка... помогите пожалуйста!

Автор: ИБ | 54091 21.10.2014 09:12
Алекс, там глюк в системе есть. Не знаю по каким причинам образуется две папки Temp. Одна просто Temp, вторая Temp'. Лечить следующий образом:
1) Включаете аудит отказов на диск С.
2) Заходите под пользователем и пытаетесь работать с файлом ворда 2003, у вас появляются ошибки.
3) Заходите под администратором, смотрите в журнале аудита отказов, ошибку Tempa в папке пользователя.
4) Копируете путь ошибки, включительно со словами Temp, но не дальше.
5) Далее Пуск/выполнить, вставляете туда этот путь. Он найдет один Temp,
пробуйте еще раз вставить путь, он найдет два temp. Один из которых и есть этот Temp'.
Вот на него нужно поставить тоже самое, что стоит на первом. Причем, когда будете ставить, он сначала ругнется, ставьте галку не смотря на ругань))
Вообщем как то так)) если что обращайтесь. 100% глюк.

Автор: ИБ | 54092 21.10.2014 09:15
Сергей,
так это и есть стандартное виндовское окно, которое вылазит, когда вы превышаете полномочия учетной записи. Т.е. если вы под админом у вас вылазит окно "внести изменения", если не под учеткой админа, то вылазит окно "введите имя админа и пароль админа".
вы не под админом работаете.

Автор: Катя | 54098 21.10.2014 10:21
Сергей, или попробуйте учётную запись в даллосе сделать администратором

Автор: Сергей | 54099 21.10.2014 10:48
Понял, спасибо большое, ИБ и Катя

Автор: Стас, Конфи | 54165 25.10.2014 23:53
Сергей, за окошко о котором вы пишите, отвечает специальный модуль, который называется Credential Provider. Он есть в винде, но Даллас заменяет его своим, т.к. ему нужно запросить у пользователя информацию, о которой стандартный Credential Provider не знает - уровень мандатного доступа и аппаратные идентификаторы. Но, независимо от того, используется ли стандартный CredProv или нештатный, управляет им виндовая подсистема winlogon.exe - и именно она "говорит" CredProv когда нужно отобразить тот или иной диалог. Таким образом, Даллас на этот процесс не влияет. Данный диалог отобразился бы и без Далласа, но, возможно, в ином виде. Выше вам верно ответили. В вашем случае, подсистема винды User Acount Control (UAC) требует ввести учётные данные пользователя, имеющего право на установку ПО, т.к. у текущего пользователя таких прав нет. И Даллас тут ни при делах.

Автор: Прохожий | 54176 27.10.2014 08:28
Вопрос такой, Доверенная загрузка в DL8 реализовано методом шифрования-преобразования дисков....для гостайны это я так понимаю не обязательное условие? Спасибо.

Автор: simm | 54177 27.10.2014 09:15
в НМД по гостайне вообще нет понятия "Доверенная загрузка"
а в DL это просто дополнительный механизм защиты.

Автор: Игорь | 54178 27.10.2014 09:17
Прохожий,
Модуль доверенной загрузки в DL8.0-С только позволяет создавать преобразованные (шифрованные) области жесткого диска. Так написано в руководстве на DL.
Но требований в имеющихся на сегодняшний день РД Гостехкомиссии на обязательность использования доверенной загрузки, в т.ч. для ГТ, нет.
Проблема может возникнуть в свете вышедших новых требований к средствам доверенной загрузки (приказ ФСТЭК № 119 от 23.09.2013). Там установлено три типа СДЗ и в DL8.0-C реализован третий из них - СДЗ уровня загрузочной записи, что для ГТ по этим же требованиям не применимо. Но пока требований обязательности доверенной загрузки нет, то можно не заморачиваться

Автор: Прохожий | 54180 27.10.2014 09:44
Спасибо....я примерно так и думал..::)

Автор: igor331 | 54294 01.11.2014 01:29
Добрый день!

После чекдиска перестало пускать под разрешенными учетными записями с ошибкой "Неправильный формат файла с данными".

В чем может быть проблема?

Автор: igor331 | 54295 01.11.2014 01:30
Windows 7 X64
DallasLock 8.0-C

Автор: Стас | 54309 03.11.2014 14:20
Игорь, видимо, повредился файл с базой данных учётых записей Далласа (C:\DLLOCK80\accountsDB.dls). Все файлы с данными Далласа контролируются с помощью механизма контрольных сумм.

Автор: Санек | 54339 06.11.2014 20:58
Здравствуйте! Проблема такая: установлена WinXP SP3, office2003, dallas 8.0-c.
Устанавливаю метки конфиденциальности для папки, задаю уровень конф. пользователю такой же как и папке. Захожу под пользователем с 0 уровнем, запускаю word, затем под нужным уровнем конф., в папку заходит но создать документ не может, пишет "не возможно открыть существующий normal.dot". Все возможные разделяемые папки настроил. ЧТО ЕЩЕ МОЖНО СДЕЛАТЬ? На Win8 все работает как часы....

Автор: ИБ | 54356 07.11.2014 13:46
Санек | 54339

Мандатный режим настраивали вручную или автоматически? Если автоматические, то возможно вот решение:
там глюк в системе есть. Не знаю по каким причинам образуется две папки Temp. Одна просто Temp, вторая Temp'. Лечить следующий образом: 1) Включаете аудит отказов на диск С. 2) Заходите под пользователем и пытаетесь работать с файлом ворда 2003, у вас появляются ошибки. 3) Заходите под администратором, смотрите в журнале аудита отказов, ошибку Tempa в папке пользователя. 4) Копируете путь ошибки, включительно со словами Temp, но не дальше. 5) Далее Пуск/выполнить, вставляете туда этот путь. Он найдет один Temp, пробуйте еще раз вставить путь, он найдет два temp. Один из которых и есть этот Temp'. Вот на него нужно поставить тоже самое, что стоит на первом. Причем, когда будете ставить, он сначала ругнется, ставьте галку не смотря на ругань)) Вообщем как то так)) если что обращайтесь. 100% глюк. - See more at: http://itsec.ru/forum.php?sub=5412&from=30#sthash.DCxtIXBk.dpuf

Автор: Деревенщина | 54443 14.11.2014 01:37
Здравствуйте!
Подскажите, если я на папку ставлю метку мандатного доступа, почему не происходит наследования этой метки на файлы которые создаются в этой папке?....

Автор: simm | 54450 14.11.2014 10:33
54443
а какой смысл в таком наследовании? файлы из этой папки могут быть скопированы только в папки с таким же уровнем мандатного доступа или выше.

Автор: Деревенщина | 54503 18.11.2014 07:11
simm | 54450, спасибо это я понимаю, просто с DL уже давно не работал, а другие СЗИ накладывают мандатные метки как на папки так и на файлы, думал может я чего не понимаю.:)

Прошло несколько недель

Автор: Деревенщина | 54734 11.12.2014 01:13
Подскажите кто знает. DL8-C, Windows 7, office 2010...документы docx открывает без проблем, но вот с doc проблема, пишет нет доступа к файлу, т.е. преобразование работать ну ни как не хочет. При включеном обучающим режиме всё окай, но после отключения его ни чего не меняется...:(

Автор: simm | 54744 11.12.2014 10:01
54734
Смотрите в сторону папки TEMP.
docx - записывают темп файлы по полному пути. doc по короткому
это должно быть видно в журнале доступа к ресурсам при выставленном аудите отказов.

Автор: Lipton | 54815 14.12.2014 02:33
Здравствуйте, столкнулся с такой проблемой:
после установки DL 8.0-С перестал работать Outlook 2013, программа запускается, но письма не отправляет. ЗПС не настраивали, проблема появляется даже при стандартном конфиге.

Прошел месяц

Автор: pasha | 55010 12.01.2015 10:49
есть библиотека printfix которую нужно подменять для сборки 195, после ее подмены и outlook и powerpoint должны заработать

Прошло несколько недель

Автор: Roman | 55699 09.02.2015 10:31
Вот может кому пригодится по DL 8.0 - http://youtu.be/N_yb5ygYH3o

Автор: Roman | 55701 09.02.2015 12:17
Хотелось бы услышать мнения по поводу обхода доверенной загрузки в DL80c показанной в видео постом выше - http://youtu.be/N_yb5ygYH3o .
Пробовал выполнить требования методического документа ФСТЭК, а конкретно:
Требования к реализации УПД.17: В информационной системе должно обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки.
Доверенная загрузка должна обеспечивать:
блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
и т.д.

Может что-то я не так понимаю, что-то не так делал...

Автор: Glock | 55702 09.02.2015 13:08
Dallas Lock 8.0 не закрывает УПД.17.
Я интересовался этим вопросом и в результате связался с техподдержкой.
Мне там все подробно объяснили. Дело в том что есть отдельные требования к средствам доверенной загрузки и эти требования Dallas Lock не выполняет.

Автор: Дядя Дима | 55703 09.02.2015 13:29
Roman, читай внимательно формуляр на DL. По формуляру должна стоять загрузка с системного диска в Биосе и пароль на биос.
То что вы отформатировали диск с данными не значит, что взломали DL. Доступа к данным вы не получили, а по инструкциям должна быть копия этих данных на другом носителе (cd нарример).
Вообщем Америку вы не открыли. Всем давно известно, что единственным способом обеспечить доверенную загрузку без всяких условностей - аппаратные сзи. Но в борьбе за рынок производители сзи уменьшают стоимость своих решений и предлагают вот такие ухищрения.

Автор: Дмитрий | 55709 09.02.2015 14:39
Отформатированный винт - несанкционированное воздействие на информацию (ГОСТ Р 50922-2006)

Автор: Дядя Дима | 55710 09.02.2015 15:01
Повторюсь, если сделать т.к. написано в формуляре, вы не сможете загрузиться в обход СЗИ и отформатировать винт.

Автор: Roman | 55711 09.02.2015 15:05
Да согласен, еще и биос в некоторых случаях должен пройти проверку. Допустим так, НО... где тогда сообщения о том что произошла загрузка в обход загрузчика DL про которых говориться в документации??? Их не было в журналах..., или они появятся только если я биос запоролю и поставлю загрузку с винта??? Сомневаюсь... .

Автор: Glock | 55713 09.02.2015 15:18
По поводу сообщений. Насколько я понял в документации говорится именно о загрузке ОС в обход загрузчика, но имеется ввиду ОС, которая установлена на Вашем ПК. Вы же грузитесь с загрузочного диска и по факту загружаете ту ОС, которая у Вас на загрузочном диске и с помощью нее получаете доступ к данным. По моему это немного другая ситуация.
Хотя сам я подобных сообщений не видел.

Автор: Roman | 55714 09.02.2015 15:35
Возможно и так, но по документации тяжело понять как на самом деле, физика процесса не разжевана.
Просто получается, что если не трогать биос то я никогда не узнаю что была загрузка АРМ, с внешнего носителя.
А биос мне еще предложат наверное протемачить чтобы вообще все супер было и потом еще соболь для надежности воткнуть )).

Автор: Glock | 55717 09.02.2015 15:56
Согласен, в документации данный момент не очень подробно описан, приходится догадываться.

Автор: Roman | 55741 10.02.2015 09:58
Наверное Dallas может реагировать только на изменение своего загрузчика, т.е. если загружать именно штатную ОС в обход загрузчика DL. А вот если смотреть именно в сторону того требования ФСТЭК - "блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы" то тут в общем случае DL не спасет.... он получается отрабатывает только частный случай изменения своего загрузчика DL.

Автор: Хусаинов Михаил | 55745 10.02.2015 11:59
На мой взгляд тут речь идет о сервисной функции, Dallas Lock не сертифицирован как средство доверенной загрузки, а по СВТ-3 нет требования на доверенную загрузку тоже. Т.е. это некий сервисный механизм, который сертифицированную функцию безопасности не выполняет.

Автор: Glock | 55746 10.02.2015 12:10
Насколько я понял, то Dallas Lock можно использовать как некий дополнительный защитный функционал.

Автор: Roman | 55754 10.02.2015 14:58
Скорее некоторый дополнительный функционал нужно использовать совместно с DL, например сертифицированную доверенную загрузку.

Автор: Sergey | 55775 10.02.2015 19:10
Вопрос, Windows 8, MS Office 2013 и DLL 8.0-C, ругается на Temp, мандатные разграничения доступа расставлены, пробовали применять шаблоны, но это ничего не дало. Помогите, может кто сталкивался с проблемой.

Автор: Glock | 55790 11.02.2015 10:33
Скорее всего какая то из папок не является разделяемой.
Настройте аудит отказов и посмотрите по журналу ресурсов к какому каталогу происходит обращение.

Автор: Sergey, ФГУП Гамма | 55797 11.02.2015 12:38
решили вопрос! вдруг у кого возникнет. MS office 2013 создает еще копии content.mso и content.word по пути C:\Users\Администратор\AppData\Local\Microsoft\Windows\inetcache\content.mso и C:\Users\Администратор\AppData\Local\Microsoft\Windows\inetcache\content.word

Автор: Деревенщина | 55816 12.02.2015 01:38
Sergey, а как у вас работает office 2013 при открытии файлов doc?
Чет не могу у себя настроить.:(

Автор: Дядя Дима | 55819 12.02.2015 08:33
Про файлы doc писали ранее, почитайте тему

Автор: Vasiliy | 55846 13.02.2015 13:01
Добрый день.
Система Windows 7 Pro, установлен Dallas Lock 7.7 при запуске "Администратор" DL 7.7 стало появляться сообщение об ошибке "Запись пользователя повреждена (0)". Dallas Lock и загрузчик были отключены почищен реестр удалены файлы из системного каталога. При повторной установке стало появляться сообщение "Ошибка записи в служебный раздел Dallas Lock! (2.5)" куда копать, что посоветуете?

Автор: simm | 55849 13.02.2015 14:25
Vasiliy | 55846
антивирус удалите и повторите установку.

Прошло несколько недель

Автор: Гость | 56226 12.03.2015 12:32
Видеоинструкции по установке и настройке СЗИ, в том числе DallasLock - https://www.youtube.com/channel/UCwmsWopiRNju5r_f3kmqcAg
Подписывайтесь, будет постоянно пополнятся.

Прошла пара месяцев

Автор: Аркадий, УРСН | 56731 24.04.2015 12:54
Добрый день! Такой вопрос, как на сервере безопасности Dallas Lock 8.0 создать доменные учетные записи, если сервер вводить в домен нельзя??

Автор: simm | 56732 24.04.2015 13:09
Аркадий, УРСН | 56731
Вас кто-то ввел в заблуждение. можно вводить в домен AD.
Нельзя устанавливать сервер безопасности на контроллере домена AD, это да есть такое.

Автор: Аркадий, Урсн | 56750 26.04.2015 18:16
Я пробовал вводить в домен, при загрузке компа Даллас лок отправлял его в ребут

Прошло несколько месяцев

Автор: Vosiley, ИнфоЦентр | 58103 07.08.2015 16:15
Dallas Lock 8-С в нынешних версий мало пригоден для разграничения доступа к флешкам. Наблюдаются глюки, вследствие которых он "забывает" прописанную в него флешку, и она при следующем подключении к АРМ видится как другая флешка.

Прошло несколько месяцев

Автор: Валерий, ТФОМС-ВО | 60388 25.12.2015 10:45
В сети клиенты Dallas Lock 8-К. Установили сервер безопасности, при попытке в консоли удаленно включить клиентов в домен безопасности мгновенно появляется сообщение "Ошибка сети.". При этом по сети клиент гарантированно доступен, все нужные порты открыты.

Автор: Bebebe | 60391 25.12.2015 11:17
Проверьте пинги по короткому имени в обе стороны.

Автор: Валерий, ТФОМС-ВО | 60402 25.12.2015 15:57
Bebebe Спасибо за ответ,
"Проверьте пинги по короткому имени в обе стороны."
это я проверял, все в порядке.
Скорость появления "Ошибка сети." говорит о том что даже попытка пинга не происходит.
При этом, если я так же с консоли даю команду "Обновить DL" то то все проходит в штатном режиме.

Автор: Алексей, Капитал | 60431 28.12.2015 18:29
DL 8. Домен. При печати на некоторых станциях вываливается сообщение об ошибке принтера. Помогает переустановка драйвера принтера. Но на некоторое время. Ошибка появляется не системно. Может неделю работать без проблем. Может по нескольку раз в день.

Автор: oko | 60432 29.12.2015 00:37
to Алексей, Капитал
Если "контроль потоков" настраивали - смотрите настройки C:\Windows\system32\spool и журнал процессов. Если не настраивали - просите у Конфидента новую сборку. Попадалась сборка с косяками драйверов маркировки и контроля печати. Любопытно, что при включенной маркировке отпадали только Corel DRAW и Excel (причем Word работал без проблем). Как вариант вообще отключить опцию "учет" или "контроль" печати и посмотреть, не в ней ли дело.

Автор: Алексей, Капитал | 60437 29.12.2015 11:34
to oko
СЗИ НСД Dallas Lock 8.0-K Номер сборки: 8.0.223.0 Дата сборки: 02.09.2014
Отключил аудит печати. Проверяю...
Еще есть глюк - при добавлении нового пользователя в AD, нет возможности добавить его в домен безопасности без перезагрузки сервера безопасности - не видит. Писал в поддержку DL. Обещали исправить в следующей сборке :(

Автор: Алексей, Капитал | 60438 29.12.2015 11:41
to oko
СЗИ НСД Dallas Lock 8.0-K Номер сборки: 8.0.223.0 Дата сборки: 02.09.2014
Отключил аудит печати. Проверяю...
Еще есть глюк - при добавлении нового пользователя в AD, нет возможности добавить его в домен безопасности без перезагрузки сервера безопасности - не видит. Писал в поддержку DL. Обещали исправить в следующей сборке :(

Автор: Bebebe | 60440 29.12.2015 13:32
Алексей,

с добавлением доменного пользователя я тоже сталкивался.
Это не глюк, такова реализация в Dallas Lock.

Прошла пара месяцев

Автор: Александр, ИП | 61117 21.02.2016 10:00
Подскажите пожалуйста, возможно ли белый список (разрешенных) usb накопителей экспортировать на другой ПК. Версия Dallas Lock 8.0С.
И еще одна проблемка: при добавлении в белый список флэш-карт SD и microSD через карт-ридер иногда новые распознает как-будто уже добавленные. Из 20-25 флэшек такая ситуация наблюдалась примерно в 5-6 случаях. Использовались два разных карт-ридера на двух разных ПК. Спасибо.

Автор: прохожий | 61150 25.02.2016 15:11
Возникла проблема в настройке принтера в DL8-C. Имеется сервер и клиентская. ДЛ установлен только на сервере, пользователь входит со своего клиентского ПЭВМ в терминальном режиме. При печати в открытом режиме проблем нет, а при печати в закрытом - ошибка настройки принтера. При этом принтер установлен на клиентском ПК. В случае установки принтера на сервер - проблем нет.

Автор: oko | 61152 25.02.2016 18:53
Дежа вю. http://itsec.ru/forum.php?sub=6189&from=90. Пост №61055 и дальше.

Автор: Алексей | 61155 26.02.2016 20:23
Подскажите, пожалуйста, ответ по такому вопросу:
Есть winXP, DallasLock 7.7. Ставлю на папку метку **, добавляю приложения-исключения (Ворд, Эксель), даю всем пользователям полные права к этой папке по-фамильно.
Ожидаемый результат: Иванов входит, делает документ, сохраняет, выходит. Потом заходит Петров, открывает этот же документ, допечатывает, сохраняет, выходит. Потом заходит Сидоров... И т.д.
Реальный результат: входит Иванов, делает документ, сохраняет под именем X1, выходит. Заходит Петров, открывает Х1, допечатывает, пытается сохранить, но ему не дают сохранить под Х1, любое другое имя но не Х1 (предположим Х2). Заходит Сидоров и тоже может изменить и Х1 и Х2, но измененный собой документ уже не может сохранить ни под Х1 ни под Х2 !!
В этом и беда. Подскажите, как сделать, чтоб они асе могли открыть и СОХРАНИТЬ документ под именем Х1. И чтобы в журналах все отображалось: заходил Иванов и печатал Х1, заходил Петров и печатал Х1 и т.д.
Заранее спасибо!

Автор: oko | 61157 26.02.2016 21:04
Приветствую!
На вскидку проблема с дискреционным режимом доступа (если в мандатной сесси выше уровня 0 тот же Иванов нормально открывает/редактирует и сохраняет документ). DL7.7 помню плохо, но, возможно, косячит дискреционка Windows.
Для проверки включите "мягкий режим", включите глобальный аудит отказов (по всем полям), очистите журнал и выполните все операции от Иванова, Петрова и Сидорова. Если все пройдет гладко (все могут редактировать и сохранять X1), то дискреционка Windows не при чем. Тогда по журналу DL посмотрите, на что ругается. Иначе проверяйте права для данных пользователей в Windows.
Кстати, процессы-исключения применяются для каталогов, содержащих временные файлы (для Office 2003-2007 - C:\путь-к-профилю-пользователя\Temp, ...\TemporaryInternetFiles\Content.Word, ...\Content.MSO и т.п.) Т.е. на каталог с конечными документами метку с "процессом-исключением" для Word, Excel и т.д. ставить не надо. Возможно, ошибка именно в этом.

Прошло около недели

Автор: Vosiley | 61263 05.03.2016 15:07
Это по всей видимости происходит потому, что параллельно работают два дискреционных механизма доступа - Windows и Dallas Lock. В Windows необходимо разрешить полный доступ к папке для всех пользователей, а разграничивать права доступа средствами Dallas Lock.

Автор: Vosiley | 61264 05.03.2016 15:11
oko, процессы-исключения не нужно прописывать для каталогов, содержащих временные файлы, такие каталоги нужно очищать.
Процессы-исключения нужно прописывать для каталогов, содержащих постоянные настройки, напр. \Application Data\Microsoft\

Автор: Vosiley | 61265 05.03.2016 15:14
oko, процессы-исключения не нужно прописывать для каталогов, содержащих временные файлы, такие каталоги нужно очищать.
Процессы-исключения нужно прописывать для каталогов, содержащих постоянные настройки, напр. \Application Data\Microsoft\

Автор: heromant | 61357 11.03.2016 09:07
Доброе, товарищи!
Подскажите, кто-нибудь настраивал доступ к сетевым папкам? Есть ли какие-то нюансы? Что-то никак не получается всё прикрутить.

Автор: oko | 61359 11.03.2016 10:21
Приветствую!
Настраивал без домена и выделенного сервера безопасности DL в версии 7.7. В версии 8.0 не пробовал, но, думаю, принцип тот же:
- одинаковые имена и пароли пользователей на раб. станциях (серверах), ибо с разными почему-то не работало (не выводило окно авторизации Windows при подключении к сетевому ресурсу);
- правила доступа к каталогу на машине, где каталог расшарен, для anonymous и нужных пользователей;
- правила доступа к удаленному каталогу (задаются в дискреционном разделе) на машине, которая к данному каталогу подключается по сети, для нужных пользователей;
- убедиться в отсутствии файрволлов и проч. сетевых защитных механизмов;
- для каталогов с мандатной меткой отличной от 0 то же самое, только одинаковая метка на каталог как на локальной машине, так и на удаленных.
Должно заработать. Потому по-тихоньку допиливать правила до нужного результата.

Прошла пара недель

Автор: Sergey | 61786 24.03.2016 09:36
Добрый день! Возникла проблема такого рода.Установлен DL 8. При назначении грифа папке почему-то файлы в папке остаются не грифованные, такая же ситуация и при создании новых файлов в папке. Что это может быть?

Автор: oko | 61787 24.03.2016 10:16
Приветствую!
Проверьте работу мандатной системы: попробуйте в неконфиденциальной сессии создать какой-нибудь файл в конфиденциальном каталоге (а лучше в его подкаталоге, гриф на который не задан явно). По-идее в доступе должно быть отказано. Это логика работы DL8. Вкладка с перечнем мандатных меток (ресурсов) содержит только каталоги/файлы, на которые метка установлена явно - последующие подкаталоги/файлы "получают" метку автоматически и рекурсивно средствами DL при обращении к ним пользователем/процессом, но в список не заносятся.
А вот если опыт не удастся, то возможны следующие проблемы: либо что-то дополнительно настроено не так, либо в руки попалась "кривая" сборка DL.

Прошла пара недель

Автор: Николай | 62388 11.04.2016 13:16
Добрый день. При включении в панели администрирования Доверенной загрузки выдаёт ошибку:

Ошибка в процессе включения/выключения режима доверенной загрузки! (Ошибка создания непрерывного файла атрибутов: Не удалось создать файл. Проверьте наличие свободного места на диске С: (должно быть свободно не менее 100 Мб).

ОС Windows 8

Автор: oko | 62389 11.04.2016 17:40
Приветствую!
Если у вас действительно имеется не менее 100 Мбайт свободного места на диске С, то вариант прост - либо ошибка в сборке DL, либо DL под Win8 считает диском С небольшой раздел восстановления. В любом случае звоните в техподдержку Конфидент - расскажут, как поступать дальше.

Автор: Николай | 62390 11.04.2016 18:22
Техподдержка посоветовала переустановку ДЛ с удалением папки, и дефрагментацию. Не помогло.

Автор: Николай | 62391 11.04.2016 18:22
Техподдержка посоветовала переустановку ДЛ с удалением папки, и дефрагментацию. Не помогло.

Автор: oko | 62415 12.04.2016 10:29
Еще одна возможная причина - разметка ЖМД по стандарту GPT. Тогда отсутствует раздел главной загрузочной записи - MBR, куда DL8.0 по простоте своей пытается засунуть модификацию, отвечающую за механизм идентификации и аутентификации, кодирования таблиц файловой системы всех локальных дисков и проч.
Очень похоже, поскольку GPT с вводом в действие Win8 получил широкое распространение.
Если действительно присутствует GPT вместо MBR (посмотреть можно в ОС Win8 через Управление компьютером - Управление дисками или на уровне UEFI BIOS), то рекомендую либо отказаться от механизма доверенной загрузки (особенно, если у вас АС под ГТ), либо снести Win8, в UEFI в разделе BOOT выбрать режим Legacy BIOS (и выбор вместо Win8 - Другие ОС) и произвести установку ОС Win8 заново. Получите разметку ЖМД в MBR структуре. После этого механизм доверенной загрузки в DL должен заработать.

Автор: Николай | 62427 12.04.2016 15:27
Проблема решилась обновлением сборки.

Прошла пара недель

Автор: Саня | 62677 27.04.2016 10:59
Здравствуйте!

Может кто знает, что за хрень происходит:

Dallas Lock 8.0-К, Сервер безопасности

Впервые опробовали механизм смены пароля пользователем по истечению его срока.

Т.е. пользователю выдало сообщение о том, что необходимо сменить пароль. Пользователь меняет пароль. Заходит под новым паролем в систему (без перезагрузки ПК).

Но стоит только перезагрузить ПК DL начинает ругаться, что пароль введен неверно.
Верность ввода пароля - 100%.

Помогает только любая из этих процедур:
1) Зайти под админиским пользователем и поменять локально пароль.
2) Специально поменять пароль для конкретного пользователя через Сервер безопасности.

Автор: oko | 62679 27.04.2016 11:58
Приветствую!
А пользователь пароль меняет средствами DL или Windows? Т.е., где настроено ограничение на время пароля - через оснастки DL или через gpedit? Просто похоже на ситуацию, когда пароль изменен в базе данных ОС, но не изменен в базе Далласа.

Автор: Саня | 62682 27.04.2016 12:39
oko
Ограничение установлено в DL.

Пароль меняется на этапе идентификации.
Т.е. там, где оболочка DL предлагает ввести логи и пароль.

Может быть так и есть. Только ведь механизм-то даласлокавский.

Автор: oko | 62683 27.04.2016 13:33
Тут либо косяк в сборке или в настройках Сервера безопасности. Проверить можно превентивной сменой пароля пользователем. Через оснастку Далласа, ага. Если опять ничего положительного не даст - только обращаться в тех.поддержку. Либо вообще отказаться от смены паролей пользователями самостоятельно (впрочем, понимаю, что для того и вводилась функция, чтобы от нее не отказываться).

Автор: Саня | 62688 27.04.2016 15:38
Проверить можно превентивной сменой пароля пользователем. Через оснастку Далласа, ага.
-----------
Не совсем понятно о чем речь?

1. Если о том, что бы конкретному пользователю поставить (через Сервер безопасности) флаг "Потребовать смену пароля при следующей загрузке", а потом (после ребута) поменять его на пользовательском ПК в момент идентификации, т.е. без применения локального Администратора DL.
То это я проделывал - та же фигня: пользователь меняет пароль. Делает перезагрузку. Пароль не верный.

2. Если речь идет о том, что бы на клиентской машине залогиниться под пользователем с правами администратора, зайти в оснастку DL, т.е. запустить Администратора DL и там поменять пароль.
То это я проделывал - проблем нет. пароль меняется успешно.

3. Если речь идет про то, что бы поменять пароль пользователю удаленно через Сервер безопасности.
То и это я проделывал. Пароль применяется успешно.
---------

Т.е. сбрасывается он только в одном случае: когда пользователь меняет его ДО захода в ОС.

Автор: simm | 62689 27.04.2016 15:46
Смотрите в журнал сервера безопасности, там на момент смены пользователем пароля есть ошибки?
Опять же есть журнал управления пользователями в локальной админке там подозрительных записей с ошибками нет?

Автор: Саня | 62690 27.04.2016 15:56
simm

В журналах собранных сервером безопасности:
Есть только:
- требуется смена пароля
- пароль набран неверно


Локальные журналы я не смотрел. Гляну. Но ведь сервер их собирает.

Автор: oko | 62692 27.04.2016 17:38
Исходя из всего вышеуказанного, мне, лично, не ясна причина проблемы. При условии 100% верности пароля. Возможно, en/ru-переключение глючит (или вообще клавиатуру пользователя)? Попробуйте проверки ради ввести чисто цифровой пароль. Кстати, такая чехарда наблюдается/проверялась на нескольких АРМ в сети или только на одном?

Автор: Саня | 62693 27.04.2016 18:26
oko
На всех. Всегда.

Кроме того, ведется журнал неправильно набранных паролей, так что можно 100% знать правильно набран пароль или нет.

Автор: simm | 62694 27.04.2016 18:34
советую посмотреть GPO ОС на сервере и на клиенте, в случае если на сервере парольные политики по сложности сильнее, то может возникнуть описанная ситуация. т.е. при смене пароля пользователем он (пароль) отсылается на сервер и если он не проходит по политикам на сервере остается старый и при следующей синхронизации меняет его на старый.

Автор: Саня | 62695 27.04.2016 18:55
simm
В DL все политики одинаковые, т.к. применял их централизованно через Сервер безопасности.

Автор: oko | 62696 27.04.2016 19:44
simm про GPO Windows (локальные и, если домен, то глобальные) говорит, насколько я понимаю
Кстати, возможно. Не особо в курсе, как работает модуль связи своей БД-паролей с БД-паролей ОС в Далласе. Вполне возможен конфликт, когда ОС считает пароль недопустимым (по своим политикам), но уведомление не появляется (Даллас, к примеру, его скрывает и игнорирует).
Впрочем, исходя из журнала, "неверность" пароля идет в следствие недоступности сервера безопасности на этапе смены пароля. Т.е. в локальную базу Далласа новый пароль попадает, в локальную базу ОС тоже. После входа юзера в систему идет синхронизация с сервером безопасности. И СБ, соответственно, не в курсе о смене пароля - меняет его на старый автоматически. Результат - после ребута пользователю в доступе отказывает. Кстати, после ребута пробовали старый пароль вбивать? Каков результат?
Если вся картина более или менее соответствует моим рассуждениям, то траббла может заключаться в промежуточном звене - стороннем межсетевом экране (в составе того же DL или антивируса) или брандмауэре Windows. До его прогрузки, которая осуществляется на этапе старта пользовательской сессии локальной машине, все соединения с СБ блокируются, например.

Автор: Саня | 62708 27.04.2016 21:45
Попробую еще два эксперимента:
1) Поэксперементирую с МЭ
2) Отсоединю одну машину от СБ и локально проверю тот же механизм.

Автор: Саня | 62800 28.04.2016 13:56
В общем.
Что касается МЭ.

Я особо не экспериментировал ибо если бы МЭ какой-либо блокировал, то тогда пароли замененные локально через администратора на клиентской машине не отправлялись бы на СБ, а они уходят нормально.

Можно 100% сказать, что проблема именно в том, что замененные таким образом (до загрузки ОС) пароли по какой-то причине НЕ уходят в СБ, а после синхронизации (т.е. даже перезагрузку делать не нужно - достаточно с СБ отправить команду на синхронизацию с клиентом) пароли не действительны: ни старый ни новый.

Я просто НЕ пойму что да как.

Автор: oko | 62801 28.04.2016 14:37
Сможете скрины настроек СБ выложить куда-нибудь и дать на них ссылку?
Можно также эксперимента ради другую сборку СБ (например, из демо-версии DL8-K) развернуть в тестовой среде и провести имитацию сложившейся проблемы.

Прошла пара недель

Автор: Дмитрий | 62963 11.05.2016 11:29
Всем, Добрый! Помогите решить проблемы с включенной функцией Dallas lock «Журнал печати», возникающие при печати документов. Используемые средства Dallas lock версии 8.0.223.0 (сервер, клиент), Windows 7 и сетевой принтер Work Sentre.
* При печати PDF документов распечатываются пустые листы («печатать как картинку» печатаются нормально);
* Документы Word альбомные листы печатаются на половину (как книжный);
* Документы Word на одном листе распечатываются с наложением текста друг на друга

Автор: oko | 62968 11.05.2016 15:33
Приветствую!
Увы, это вам не сюда, а в техподдержку Далласа. Драйвер, отвечающий за контроль печати в этом СЗИ известен своими проблемами совершенно разного рода, увы..

Автор: simm | 62969 11.05.2016 15:48
Пустые листы печатаются скорее всего из-за включенной опции создания теневых копий документов. Там защита от копирования PDF файлов срабатывает.

Прошло около недели

Автор: Саня | 63170 20.05.2016 10:07
oko | 62801

Выпал я из темы.
Пытаюсь вернуться.

А скрины каких именно настроек?


Тестовая среда - это т.е. в другой сети - не трогать пока развернутую инфраструктуру с DL?

Автор: oko | 63171 20.05.2016 10:16
Скрины настроек основных механизмов DL. Т.е. без учета дискреционных и мандатных разграничений.
Тестовая среда - да, либо другая сеть, либо совокупность виртуальных машин. Взять сборку DL с сайта Конфидента. И попробовать сЪиммитировать проблему на ней. Вам, в сущности, нужны 1-2 АРМ и сервер. Даже лучше будет, если вначале вы развернете ту же самую сборку, которая уже используется. И, если в ней проблема подтвердится - опробуете демо-сборку с сайта.

Автор: Саня | 63173 20.05.2016 11:35
Спасибо.
Я попробую.

У меня одна мысль возникла.

Замечено.

Что если в
Панель управления\Все элементы панели управления\Диспетчер учетных данных
{control userpasswords2} Управление паролями

Добавить учетную запись Windows - скажем, подключение какому-либо ресурсу на другой машине, а потом поменять на ОС пароль и выполнить перезагрузку, то запись в этом разделе пропадает, т.е. учетные данные для подключения к внешнему ресурсу слетают.

Может это связанные события?
-------------

Не подскажите, где можно взять последнюю сборку DL и СБ DL 8.0-К?

Автор: oko | 63191 20.05.2016 22:44
Ссылка на демо вот: http://www.dallaslock.ru/demo-versiya.html. Там через регистрацию и некоторое ожидание.
На тему взаимосвязи. Мне попадались системы, в которых данная проблема (слета пароля к сетевому ресурсу) встречалась и без СЗИ НСД каких-либо. Как ни странно, причины каждый раз были разными, но на поверхности, поэтому точно уже не скажу.
Мое мнение, что в вашей проблеме виновата либо сборка Далласа, либо, что вероятнее, какая-то мелочь, которую упускаем из виду.

Прошла пара недель

Автор: Пьер, в/ч | 63421 01.06.2016 16:48
В Dallas Lock 8.0-C стоит настройка на CD, DVD диски настройка "только для чтения". Однако, запись на диски для доменных пользователей осуществляется. В журнале аудита присутствует запись "неизвестная ошибка dallas lock 00000104", "скорректированы права доступа". Как правильно настроить???

Автор: Пьер, в/ч | 63422 01.06.2016 16:48
В Dallas Lock 8.0-C стоит настройка на CD, DVD диски настройка "только для чтения". Однако, запись на диски для доменных пользователей осуществляется. В журнале аудита присутствует запись "неизвестная ошибка dallas lock 00000104", "скорректированы права доступа". Как правильно настроить???

Автор: Сергей | 63478 03.06.2016 17:39
На машине c Win7 x64 Pro стоит офисный пакет Microsoft Office 2013 и KES. Я настроил несколько меток конфиденциальности. Далее, по инструкции, задействовал механизм разделяемых папок из шаблона MS Office. После этого в любом пользователе с меткой конфиденциальности отличной от 0, при щелчке по иконке Word выпадает синий экран с ошибкой модуля fltmgr.sys.
Я сбросил настройки и также настроил несколько меток конфиденциальности и папки под них. Ворд запускался нормально, но ругался на ошибку папки TEMP и не мог сохранить ни один файл в любом пользователе с меткой конфиденциальности отличной от 0 в соответствующую папку.
Опять же, по инструкции, я вручную уже включил разделяемую папку C:\Users\User\AppData\Local\Temp и получил в данном пользователе такой же синий экран с такой же ошибкой.
Было у кого похожее?

Прошло около недели

Автор: Саня | 63638 12.06.2016 10:35
oko
Опробовал действующую сборку в другой сетке (из целых двух ПК) и всё тоже самое.

Решил запросить демоверсию у конфидента.
Только оказывается там нужно заполнить целую заявку, отсканировать её и направить по определённому адресу.
А заявка - это лицензионное соглашение с ЮЛ.

У меня сомнения возникли - не создаст ли это потом какие-либо обязательства ЮЛ перед конфидентом, оплатить и т.п.?

Автор: oko | 63639 12.06.2016 14:43
to Саня
Вестимо да, косяк в сборке.
При заказе демо-версии проблем быть не должно. Заказывал ранее - никаких позже вопросов не возникало :)

Прошла пара недель

Автор: Саня | 63955 25.06.2016 05:42
Дему мне так и не выдали.
Отправил запрос.
Ответа нет.
Позвонил. Сказали что посмотрят.
И в общем так и ничего.
----------------------

Очевидно, что проблема в обратной синхронизации.
Т.е. С СБ на клиентский компьютер синхронизация проходит, а обратно нет.

И вот что я обнаружил - до этого я не подумал, что можно так сделать.

В общем, если зайти в оболочку администратора DL на Клиентской машине и нажать кнопочку (в меню по значку в уголке) "Синхронизировать компьютер с сервером безопасности", то программа выдает сообщение: "Ошибка в процессе синхронизации! (Доступ запрещен!)".
Вопрос:
Это нормальная ситуация - так и должно быть или в этом и есть суть проблемы?

Автор: Саня | 63956 25.06.2016 06:45
Еще я командой
netstat -an | find ":<номер порта>"
проверил порты 17490, 17491, 17492.
На СБ они в находятся в статусах
Listening
Established (только для 17492)

А на клиентских машина доступен только один порт:
17490 Listening

Так и должно быть?

Автор: Саня | 63957 25.06.2016 09:06
Вообще, эти порты 17491, 17492 открываются с установкой СБ, а сего удалением - закрываются.
Может быть это все - мышиная возня?

Но тогда почему запрос на синхронизацию с сервером, направленный с клиентского АРМ выдает ошибку доступа?

Автор: Саня | 63959 25.06.2016 12:29
Товарищи, кто-нибудь, кто использует DL-8.0-К пожалуйста, посмотрите если из под оболочки администратора на клиенте нажать кнопку "Синхронизировать компьютер с сервером безопасности" будет ошибка или нет?

Автор: oko | 63970 26.06.2016 13:08
to Саня
Приветствую еще раз!
Версии К под рукой нет, увы. Но точно знаю, что ошибки синхронизации быть не должно. Трясите техподдержку на предмет причин, вызывающих подобную реакцию системы. И разбирайте каждую причину с привязкой к своей сети раздельно.
Могу, конечно, сейчас повторить уже разобранное ранее (увы, не помню весь процесс изучения Вашей проблемы), но навскидку:
1. Рассинхронизация времени на клиентской и серверной части. Включая часовые пояса. Проверьте пакеты обновления Винды. Схожие проблемы были с другими сетевыми СЗИ (время одинаковое, но на сервере +3 пояс, а на клиентах +4).
2. Дискреционные права на запись во временные файлы, используемые сервером безопасности для хранения меток синхронизации. Увы, не знаю, какие файлы. Если на СБ тоже установлен Dallas - включите полный аудит, выполните принудительную синхронизацию и посмотрите результат в журнале событий Dallas Lock.
3. Все-таки firewall. По приведенной конфигурации портов - все верно. Но смущает Established для 17492. Покурите мануал на Dallas в части именно этого порта - с чем связан? Ибо у вас он уже с кем-то установил соединение. И, возможно, это фейк-соединение, которое мешает СБ выполнять синхронизацию с клиентами.
4. NAT между клиентами и СБ. Или вообще разные подсети для клиентов и СБ через какой-нибудь маршрутизатор.
Как-то так. Доберусь до работы в будние - если хватит времени - разверну версию в тестовой среде. И попробую проверить указанные ошибки. У Вас билд (номер версии) DallasLock-8.0K какой?

Автор: Саня | 63991 27.06.2016 16:21
oko
Спасибо.
Гляну.

Автор: Саня | 64019 28.06.2016 11:13
oko
1. Рассинхронизация если и есть то составляет 1-2 секунды.
3. firewall - выгружал стороннюю программу оставался только брандмауэр.
Вообще, если за портом понаблюдать том можно увидеть следующее:
- Когда запущена консоль СБ, то netstat -a | find ":17492" выдает
TCP 0.0.0.0:17492 Server:0 LISTENING
TCP IP-адрес компьютера:17492 Server:50529 ESTABLISHED
TCP IP-адрес компьютера:50529 Server:17492 ESTABLISHED
- когда консоль СБ не запущена, то
TCP 0.0.0.0:17492 Server:0 LISTENING
4. NAT - нет. 100% сеть одноранговая.
Номер сборки: 195

2.
Немного разобрался.
Функция синхронизации с запросом Клиент >>> СБ таки работает, то только для пользователя - администратора безопасности DL.
Я же ранее тестировал только на иных пользователях - как с правами администратора, так и с ограниченными правами, но не являющихся администраторами безопасности.

Вот я и думаю: а может быть ТАК и должно быть и тогда не в том направлении копаю?

С другой стороны, если попытаться рассуждать логично:раз из под оболочки Администратора DL не идет синхронизация с СБ то будет ли она под этим же пользователем идти при смене пароля?
Наверное нет.

Как-то так.

Автор: Саня | 64022 28.06.2016 12:21
Судя по всему, не в том направлении рою.
1. Через СБ направил запрос на смену пароля пользователя.
2. Сменил пароль при следующем входе.
3. Залогинился под администратором безопасности DL.
4. Выполнил синхр. с СБ.
5. При попытке залогиниться под тестовым пользователем - таже фигня.

Автор: Саня | 64023 28.06.2016 12:26
Единственный вариант, который мог бы еще проверить, а это тестировать пользователя - администратора безопасности.

Но он автономен и от СБ не зависит.
А предоставить подобные права тестовому пользователю я не могу.
Добавил этому пользователю все права из блока "Права пользователя", в том числе на деактивацию системы защиты, а толку - 0.
Это даже не помогло совершать указанную синхронизауию с СБ.

Короче я больше не знаю чего делать.

Автор: oko | 64033 28.06.2016 19:40
to Саня
Увы, не смогу на этой неделе потестировать...
Попробуйте, кстати, снести DL с Сервера Безопасности и повторить процедуру синхронизации из-под пользователя на другой машине. Заодно и процедуру смены пароля. Возможно, косяк в настройках DL на самом сервере?

Автор: Юрий | 64092 30.06.2016 13:43
Здравствуйте. Подскажите возможно ли организовать сеть из двух машин, на одной из них установлен Dallas Lock 7.7, на другой Dallas Lock 8.0-C. Не будет ли конфликтов, возможно ли будет настроить общие папки с мандатным доступом?

Автор: oko | 64093 30.06.2016 20:22
to Юрий
Приветствую!
Скорее нет, чем да. DL все внешние входящие соединения к сетевым каталогам регистрирует у себя под юзером "anonymous" в случае, когда не используется Сервер Безопасности. Для систем без разграничения прав доступа на уровней ресурсов и учетных записей такой подход применим. Как только, положим, ARM1\User1 должен будет иметь доступ только в каталог \\ARM2\1, а ARM1\User 2 в \\ARM2\2 - получится проблема, поскольку обе учетки будут ломиться на ARM2 под анонимусом. Т.е. разграничение реализовать не получится. И регистрация событий, соответственно, тоже будет реализована не корректно, поскольку будут регистрироваться действия сетевого доступа без указания конкретного пользователя.
Впрочем, задачу с полным разграничением и регистрацией на уровне DL (не Windows) приходилось когда-то решать. Но для версии DL8.0-C исключительно. Навскидку, должны совпадать полностью имена учетных записей, зарегистрированных в DL на всех машинах. Но пройдет ли такая схема между DL7.7 и DL8.0 - вопрос, надо пробовать.

Автор: oko | 64094 30.06.2016 20:22
to Юрий
Приветствую!
Скорее нет, чем да. DL все внешние входящие соединения к сетевым каталогам регистрирует у себя под юзером "anonymous" в случае, когда не используется Сервер Безопасности. Для систем без разграничения прав доступа на уровней ресурсов и учетных записей такой подход применим. Как только, положим, ARM1\User1 должен будет иметь доступ только в каталог \\ARM2\1, а ARM1\User 2 в \\ARM2\2 - получится проблема, поскольку обе учетки будут ломиться на ARM2 под анонимусом. Т.е. разграничение реализовать не получится. И регистрация событий, соответственно, тоже будет реализована не корректно, поскольку будут регистрироваться действия сетевого доступа без указания конкретного пользователя.
Впрочем, задачу с полным разграничением и регистрацией на уровне DL (не Windows) приходилось когда-то решать. Но для версии DL8.0-C исключительно. Навскидку, должны совпадать полностью имена учетных записей, зарегистрированных в DL на всех машинах. Но пройдет ли такая схема между DL7.7 и DL8.0 - вопрос, надо пробовать.

Автор: simm | 64101 01.07.2016 09:21
to Юрий | 64092
по сети эти версии взаимодействовать не будут, можете даже не пробывать. При обращении по сети сначала проверяется наличие DL на удаленной машине. Проверка начинается с опроса TCP порта, так вот в 77 и 80 они разные. Соответственно любые подключения будут считаться анонимными.

Прошло около недели

Автор: Rom | 64186 08.07.2016 12:56
Здравствуйте. Имеется ПК с Dallas Lock 7.7, ОС - Win 7 prof. Проблема в следующем.
Часть пользователей (примерно половина) пререстала управлятся из DL - у них значки, как описано в мануале - данный пользователь заведен только в ОС. Хотя изначально все пользователи были нормально заведены в DL. При этом при загрузке программы DL под админом - выдается ошибка "Запись пользователя повреждена (0)". Учетки этих пользователей невозможно редактировать, выдается сообщение - пользватель с данным именем уже существует.
А одному из пользователей вообще не войти в систему - ошибка Запись пользователя повреждена. Новых пользователей DL создает нормально. Насколько я понямл - произошла "рассинхронизация" DL и ОС/
Поясните, кто в курсу - есть ли способ исправить положение (т.е. как-либо обратно прописать "отвалившихся" пользователей в DL), или надо сносить DL и ставить заново?

Прошло около недели

Автор: Компас | 64330 16.07.2016 11:35
А подскажите, пожалуйста, можно ли на всех компьютерах сети (ну, кроме сервера), находящихся в домене DL использовать одинакового имя пользователя - администратора DL, с одинаковым паролем?


Т.е. Простые пользователи - будут разными, а пользователь с админискими правами будет одинаковым на всех ПК и пароль у него будет одинаковый.

Не отразится ли это на работе DL?


ПС.
Все пользователи имеют равные права доступа к ИС.

Автор: Евгений | 64331 17.07.2016 13:28
Компас | 64330
А Вы что устанавливаете DL в домене от имени разных пользователей?

Автор: Компас | 64341 19.07.2016 11:00
Компас
Не в домене - одноранговая сеть.
Имеется ввиду домен безопасности DL.

На каждой машине, где устанавливается DL (кроме серверной) администратором безопасности является учетная запись с логином и паролем, аналогичная тем, что есть на других ПК в сети DL, и с той же ролью.

Т.е. если смотреть ос стороны Сервера безопасности, то для доступа к ПК 1 будет:
Вася пупкин 12345
И для доступа к ПК 2, 3, 4... будет Вася пупкин 12345

Прошла пара недель

Автор: Мимо проходил | 64774 01.08.2016 22:55
http://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1168-informatsionnoe-soobshchenie-fstek-rossii-ot-19-iyulya-2016-g-240-24-3246

Опять к вопросу бета-теста и техподдержки за счет клиента...

Автор: Клинт | 64846 06.08.2016 07:56
Я вот чего не пойму.
Обновить сборку БЕЗ действующей техподдержки не получится что ли?
Судя по инструкции конфидента - при обновлении необходимо ввести код активации технической поддержки.

Автор: oko | 64847 06.08.2016 11:46
Если нет кода - сохраняете конфиг установленного Далласа, удаляете его и ставите новую сборку. Вводите только старый серийный номер и применяете старый сохраненный конфиг. Правда, если была настроена ЗПС - она не применится. И вообще, юзать конфиги - моветон. Проще и лучше настроить все заново. Меньше риск получить неизвестные ошибки, связанные с кривизной применения конфигураций...

Автор: Клинт | 64850 06.08.2016 12:29
oko
Понятно.
Спасибо.))

Автор: simm | 64859 08.08.2016 09:14
to Клинт | 64846
Вообще то Конфидент предоставляет бесплатно код тех поддержки для обновления.

to oko | 64847
а что та мза проблема с ЗПС (просто не сталкивался)?

Автор: oko | 64861 08.08.2016 14:09
to simm
Несколько раз обновляли Даллас8.0С через сохранение конфигураций - удаление - установку - применение конфигураций. Так вот, все пути к файлам, помеченным выполняемыми для ЗПС, почему-то при применении конфигов не восстанавливаются. Мандатка, дискреционка, КЦ, политики Далласа - пожалуйста. А с выполняемыми файлами косяк. Но тут все зависит от метода настройки ЗПС. Кстати о методе. В обновлении, выложенном Конфидентом на своем сайте, есть интересна особенность. В прошлых сборках ЗПС настраивалась через Мягкий (Неактивный) режим. Когда запуск Далласа производится в этом режиме из-под пользователя, в параметрах ФС по умолчанию ставится запрет на исполнение файлов - и пользователь постепенно запускает нужный софт под своей учеткой. Затем идем в журнал, видим кучу запретов запуска ПО. На любом ПО из списка в журнале ставим флаг "разрешить выполнение" и Даллас сам предлагает эту маску применить ко всем объектам в журнале. Операция долгая, зато позволяющая явно указать, какое ПО разрешено к запуску из-под юзера. Так вот, в новой сборке Далла ничего не предлагает применить автоматом. А выставить такой флаг, выделив все строки в журнале, не получается.
Впрочем, ЗПС в Далласе не защищает файл от подмены (если его КС не рассчитывать заранее, разумеется). Т.е. такой метод все-равно не полный с позиции секьюрности.
Сейчас настраиваем иначе - явно указываем корневые каталоги с вложенными каталогами и файлами (к примеру, C:\Windows), в которых разрешен запуск исполняемых файлов для юзеров. Потом убираем лишнее (cmd, taskmgr и т.п.) И запрещаем пользователям писать в эти каталоги и их подкаталоги. Тем самым защищаемся от подмены файлов + от запуска портативного софта, не расположенного в разрешенных каталогах. Тоже не панацея, но уже лучше. И такой метод в "сборке-Далласа-без-уязвимости" работает.

Автор: Дмитрий | 64862 08.08.2016 15:26
Здравствуйте, подскажите, из-за какого параметра DallasLock 8.0K могут не открываться вложения электронной почты Word и Excel? Outlook пишет сбой операции

Автор: Клинт | 64889 11.08.2016 05:19
Что я не так сдал?

У меня после установки этой сборки: 8.0.347.4 (DL и сервер СБ)

Начались какие-то косяки с ПК:
1) Не работает командная строка, точнее команды не исполняются:
- ping
- arp
- ipconfig
- shutdown
и т.д.

2) Пропал доступ ко всем узлам в установленном тут же VipNet Client.

3) Доступ к ПК в сети DL (правда на всех клиентах пока старая сборка) имеется - видят все друг друга.
Доступ в интернет через браузер тоже имеется.

------------------------
Для обновления версии я удалил старую сборку и поставил новую.
Только вот при установке Сервера безопасности было сообщение, что настроить Межсетевой экран не удалось поэтому было предложено продолжить без его настройки, что я и выбрал.

Может быть проблема в этом?

Посоветуйте, пожалуйста, что можно сделать (кроме снести все нахрен)?

Автор: Клинт | 64890 11.08.2016 05:57
Проблему с cmd я решил путем дописывания:
;C:\Windows\System32

в переменную Path в параметрах среды системы.

Но с VipNet проблема не исчезла.

Автор: oko | 64892 11.08.2016 06:20
to Клинт
Проблема именно в МЭ, вернее, в работе сетевого драйвера Далласа. Полагаю, конфликт драйвера МЭ в составе Далласа с драйвером МЭ в составе ViPNet. Правильный порядок был бы таким: удалить VipNet, удалить Даллас, проверить, что все работает, поставить Даллас, поставить ViPNet. Подозреваю, что в первый раз, когда ставили еще старые сборки, поступали именно так.
А вообще, зачем обновлялись, ради устранения недавно обнаруженной уязвимости? Проще было бы компенсирующие меры в части ЗПС применить, право слово...

Автор: Клинт | 64902 11.08.2016 14:27
to oko
Действительно переустановка в определенном порядке помогла.
Спасибо за подсказку.

Но тут другая хрень возникла.
Прям злость берет.
На одном клиенте (к счастью только на одном)
Удалил старую версию, установил новую.
Пользователи через сервер добавились.
Только эта зараза при попытке зайти под таким пользователем выдает сообщение Доступ запрещен.
Создал на сервере нового тестового юзера - таже фигня.
Подключил к ДЛ встроенного пользователя -Администратор - тоже самое.
Заходит ТОЛЬКО под пользователем под которым ставился ДЛ.
Может кто сталкивался с подобным?
В конце концов, не могли же они так откровенно (ФСТЭК задействован) выложить кривую сборку?

Автор: Клинт | 64903 11.08.2016 14:27
to oko
Действительно переустановка в определенном порядке помогла.
Спасибо за подсказку.

Но тут другая хрень возникла.
Прям злость берет.
На одном клиенте (к счастью только на одном)
Удалил старую версию, установил новую.
Пользователи через сервер добавились.
Только эта зараза при попытке зайти под таким пользователем выдает сообщение Доступ запрещен.
Создал на сервере нового тестового юзера - таже фигня.
Подключил к ДЛ встроенного пользователя -Администратор - тоже самое.
Заходит ТОЛЬКО под пользователем под которым ставился ДЛ.
Может кто сталкивался с подобным?
В конце концов, не могли же они так откровенно (ФСТЭК задействован) выложить кривую сборку?

Автор: oko | 64906 11.08.2016 15:48
Мне кажется, что проблема не со сборкой, раз случай единичный из выборки аналогичных машин с аналогичным дистрибутивом. По журналам (и локальным, и на СБ) поглядите, какую причину пишет Даллас в части "Доступ запрещен". И, кстати, у вас механизмы замкнутой программной среды настроены? Если да, то отключите. Механизмы контроля целостности (как единичных файлов, так и всяческих сред в оснастках Далласа)? Тоже временно отключите. Методом, так сказать, исключения воспользуйтесь...
Еще стоит проверить синхронизацию времени. И, самое банальное, понимаю, корректность паролей и иных ключей (буде такие имеются) доступа.

А в тему "не могли"... увы, могли... ибо все-таки спешка, необходимость повторной сертификации, недовольные клиенты и т.д. и т.п. Несколько странностей новой сборки (без уязвимости) сам ловил. Что ж, поглядим, что дальше будет.

Автор: Slayper9 | 64910 11.08.2016 18:30
Такая же проблема, как в посте 64862, через СБ удаленно развернул Dallas Lock 8.0-С (сборка 347) на клиентском ПК (Win7), без каких-либо настроек, Outlook стал некорректно работать. Письма отправляются/принимаются, входящие вложения открываются нормально, а отправленные вложения (.doc, .xls, .pdf и т.д.) не открываются с ошибкой "Сбой операции".
Подскажите пожалуйста как решить!

Автор: oko | 64913 11.08.2016 21:38
to Slayper9
Это вам, по всей видимости, в техподдержку Далласа проще обратиться. Скинуть им логи (по возможности) - нехай разбираются. От себя только одно могу сказать - Аутглюком не пользовался и тем более под Далласом...

Автор: Клинт | 64915 12.08.2016 05:26
to oko
Источник зла установлен.
Если не включать клиента DL в домен безопасности (т.е. не присоединять его к серверу безопасности DL), то все работает нормально.
Как только установить связь с СБ так начинаются глюки.

При этом СБ настройки посылает на клиента, вновь созданных пользователей посылает, а пароли почему-то нет.
Более того он не посылает пароли и на старые клиенты.

Автор: oko | 64920 12.08.2016 10:02
Значит, ваш случай уже второй. Несколько страниц назад в этой же теме пытались разобраться с похожей проблемой с тов. Саня. Вопрос, по всей видимости, все еще актуален. У меня, к сожалению, так и не получилось развернуть тестовый стенд (не дошли руки).

Автор: Антонио | 64976 16.08.2016 19:54
Клинт
По ошибке "Доступ запрещен". Все довольно просто, проверьте политику интерактивный вход: разрешен в правах пользователя DL. Должно стоять значение "Все".

Автор: Slayper9 | 64987 17.08.2016 13:42
По поводу ошибки, озвученной в посте 64910 ("Сбой операции" при открытии вложений в Outlook).
Ошибка в моем случае характерна для сборки 347.4. Тех. поддержка не отрицает существование данного бага и предлагает обновиться до новой сборки, уже пропатченной, но еще не прошедшей инспекционный контроль. И действительно, для проверки поставил старую 281 сборку, Outlook пока работает нормально.

Автор: Санек | 65016 18.08.2016 19:01
Всем привет! Столкнулся с проблемой печати в dl80c после установки обновления v347.4. Не печатает с уровней выше 0. Пишет ошибка настроек текущего принтера. Автономный комп. Может кто знает что надо сделать. Заранее спасибо

Автор: oko | 65038 19.08.2016 17:06
to Санек
Совет, снесите все, установите и настройте вручную заново. Вестимо, что-то не подкачалось из старых конфигураций - в такой ситуации вылавливать ошибки - неблагодарное дело...

Автор: Санек | 65051 20.08.2016 15:36
То око
Пробовал все сносить настройки, делал вручную ничего не помогает. Сборка 233 работает нормально — принтер печатает, а на сборе 347.4 нет...

Автор: oko | 65053 20.08.2016 20:31
to Санек
Попробуйте отключить "Аудит печати" и/или "Аудит устройств". Чисто ради проверки. Если заработает - пишите в техподдержку, что их сборка косячит с вашим принтером (драйверами).

Прошла пара недель

Автор: Клинт | 65261 03.09.2016 10:15
Антонио
По ошибке "Доступ запрещен". Все довольно просто, проверьте политику интерактивный вход: разрешен в правах пользователя DL. Должно стоять значение "Все".
----------

Я такой опции не нашел. Увы.
А вообще, после того как обнаружилась очередная ошибка: иногда (после перезагрузки сервер) не запускаются службы СБ. И. соответственно, СБ тоже не запускается.

Решил нафиг снести этот даллас лок и поставить прежнюю версию.

Прошла пара недель

Автор: Антонио | 65543 15.09.2016 11:38
Клинт

См. в оболочке Dallas Lock, вкладка "Параметры безопасности" -> "Вход" -> "Интерактивный вход: Разрешен".

Служба СБ привязана к токену, на момент запуска службы токен должен быть подключен к СБ.

Автор: Vosiley | 65694 19.09.2016 11:33
Непонятно, почему затеяли обновление на эту откровенно сырую сборку. Очень много с какими принтерами не работает в уровнях конфиденциальности выше 0.

Автор: Клинт | 65721 20.09.2016 05:17
Антонио

Данный параметр обнаружен в разделе "Права пользователей".
При это в СБ он находится только в параметрах безопасности домена (а не группы).
И здесь у меня выставлено значение - Интерактивный (а так же Удаленный) вход: Разрешен: Все;
Там где "Запрещен" - пусто.

Но это в предыдущей версии. Новую я снес нафиг.

Автор: Клинт | 65722 20.09.2016 05:28
У меня еще один вопросик возник - буду благодарен за подсказку.

Решил для пользователей с админискими правами дополнительно настроить считыватели при входе в учетную запись.
Заметил, что при доступе с такой учетной запись через сеть - достаточно только пароля
(речь идет про сохраненные учетные данные в хранилище учетных данных для автоматического входа - control userpasswords2 и т.д.).

Вопросы:
это нормально?
это баг?
или требуются допнастройки?

Автор: Антонио | 65742 21.09.2016 17:05
Клинт

Вас смущает что ненужно предъявлять аппаратный идентификатор!?
Приведу такой пример.
Есть ПК1 и ПК2, на каждом из ПК в DL зарегистрирована учетная запись admin и ей на обоих ПК присвоен один и тот же идентификатор. В таком случае при сетевом доступе с ПК1 на ПК2 (папка общего доступа например) аппаратный идентификатор предъявлять не нужно.
В случае если на ПК1 и ПК2 в DL зарегистрирована учетная запись admin, при этом аппаратный идентификатор ей присвоен только на ПК1, то сетевой вход на ПК2 будет невозможен до тех пор пока Вы не присвоете тот же самый идентификатор учетной записи admin на ПК2.

Я так понимаю у Вас именно такая ситуация, поправьте если что не так.

Автор: Клинт | 65743 22.09.2016 06:17
Антонио
Ситуация такая, но не совсем:

Я на одном из ПК сети DL (пока эксперимента ради) настроил для пользователя с правами администратора двухфакторную авторизацию: пароль и считыватель.

Расшарил там каталог.

На другом ПК сети DL через диспетчер учетных записей (control userpasswords2) настроил подключение к этому ПК, т.е. указал IP, логин и пароль учетной записи со считывателем.
И всё. Доступ к ресурсом подопытного ПК появился бе всякой двухфакторной авторизации.

Вообще, если говорить подробнее, то мне такая фишка выгодна, но это отдельная тема.

Мне стало интересно - разве это не уязвимость или разработчики ЗАВЕДОМО предусмотрели подобный момент?

Автор: Антонио | 65748 22.09.2016 09:52
Клинт

"На другом ПК сети DL через диспетчер учетных записей (control userpasswords2) настроил подключение к этому ПК, т.е. указал IP, логин и пароль учетной записи со считывателем.
И всё. Доступ к ресурсом подопытного ПК появился бе всякой двухфакторной авторизации."

А на этом ПК у Вас в DL есть такая же учетная запись с назначенным идентификатором, как и на первом ПК?

Автор: Клинт | 65750 22.09.2016 13:47
Антонио
Считыватель присвоен учетной записи на одном ПК, а на другом для доступа через сеть к первому ПК используется только логин и пароль.

Т.е. для того что бы попасть в определённую учетку на ПК со считывателем, нужно приложить считыватель (это iButton) и набрать пароль.
А если я в ЭТУ же самую учетку захожу с другого ПК (где считыватели даже близко не используются)*, но по СЕТИ, то достаточно только логина и пароля.


* Захожу я не путем создания аналогичной УЗ, а прописывая аутентификационные данные в Диспетчере (control userpasswords2).

Автор: Антонио | 65752 22.09.2016 15:58
Клинт

Ясно, вопросов нет.
Интересная ситуация.
Но вот не знаю можно ли это считать уязвимостью.

Автор: oko | 65755 22.09.2016 19:10
to Клинт
По журналам на машине с Далласом и считывателем посмотрите, кого в итоге авторизует система защиты: учетку, для которой вводились вручную логин+пароль или anonymous? Если "анонимуса", то все закономерно, ибо для них считыватель не предусмотрен вообще. А вот почему "анонимусы" вместо зарегенных юзеров - другой вопрос...
Кстати, вызывает интерес, что значит "для пользователей с админискими правами"? Т.е. только для админских учетных записей? Тогда работать не будет. Либо вообще всем идентификаторы и, соответственно, в оснастках Далласа запретить вход (локальный и удаленный) без идентификаторов, либо никому. В противном случае реализуется нечто вроде "смешанного" входа, когда можно и по идентификатору (iButton, eToken и т.п.) и без него.
Ну а если оба вышестоящих вопроса сняты (т.е. не анонимусы + "вход только по идентификатору"), то на лицо косяк Конфидента - не передают и не запрашивают токен идентификатора при использовании SMB-протокола и иже с ним. На моей памяти из всех чисто программных СЗИ такую фишку использовал только Страж в обязательном порядке (т.е. без идентификатора через сеть не войдешь ни к расшаренным папкам, ни к удаленному рабочему столу, никуда).

Автор: Клинт | 65856 24.09.2016 08:39
Применил в полевых условиях - на сервере.

Что имеем:

Есть две учетки с админискими правами.
Одна нужна для входов с других ПК (в том числе, приложений) - 2 учетка, а другая как пользователь с правами администратора, он же Администратор DL, СБ DL и т.д. - 1 учетка

1) Определил Идентификатор в параметрах безопасности DL, который ПОТОМ буду использовать для учетки 1.
2) Зашел в Свойства (Аппаратная идентификация) учетки 2. Никаких определённых идентификаторов в списке не было. Определил ДРУГОЙ идентификатор для ЭТОЙ (2) учетки. Первый же Идентификатор так и остался висеть в Параметрах безопасности DL.
3) Для 1 учетки идентификатор (в свойствах) не определил.

В итоге:
1) В первую учетку я входу без аппаратного идентификатора.
2) Во вторую учетку с паролем и аппаратным идентификатором, но по сети (проверял только в сети DL) только через логин и пароль.

Теперь о журналах.
(отсматриваю их в Администраторе DL сервера)

В Журналах входов и вообще во всех журналах, где отражаются какие-либо сведения о процессах и т.п.
Удаленные подключения фиксируются от пользователей, зарегистрированных в Сервере безопасности DL: Иванов, Петров, Сидоров.

НО!
Если открыть не DL, а Диспетчер задач операционной системы, то процессы, которые запускаю сетевые приложения с других АРМ в сети, запускаются от имени учетки 2 (соответственно на каждом АРМ выполнены настройки через control userpasswords2).

Вот такая вот петрушка.

Автор: Клинт | 65857 24.09.2016 08:48
Дополнение:

Т.е. DL фиксирует входы с других ПК, либо как "анонимус" (не проверял, но предполагаю), либо, как зарегистрированных в СБ DL пользователей.


НО!

Настройки операционной системы на сервере (и не только) таковы, что по сети требуется вводить логин и пароль.
Соответственно, если не прописать соответствующие данные в Диспетчере (control userpasswords2), то и войти на удаленных ПК (в данном случае, сервер) не получится (хакерские приемы не рассматриваю).

Так было сделано, т.к. одно сетевое приложение (модель сервер-клиент) требовало прохождение аутентификации при подключении к серверу.


Автор: Клинт | 65858 24.09.2016 08:51
Для зарегистрированных в СБ DL пользователей считыватели не установлены (ибо они не админы).

Автор: Человек | 66006 30.09.2016 16:34
Всем привет. Господа, что думаете по вот такому вопросу...
На аттестованной по требованиям ГТ установлен Dallas Lock 8.0-C (сборка 281). Обновились до сборки 8.0.347.4. в связи с ИС ФСТЭК. В АС установлен FineReader 11. После настройки мандатного доступа (разделяемые папки по шаблону), FineReader 11 из-под учетной записи пользователя запускается, но при сканировании выдает ошибку, причем находясь в нулевой сессии. Но суть не в этом.
Позвонил в техподдержку. Они сказали, что о проблеме с FineReader знают, но решения еще у них нет.
Кстати, в предыдущих сборках все работает нормально.
Как вы думаете, лигитимно ли поставить предыдущую сборку (например, 281), где все нормально работает и настроить ЗПС?? или все-таки при любых раскладах нужно обновляться до сборки 8.0.347.4? что вообще думаете по ситуации?

Автор: oko | 66009 01.10.2016 12:39
to Человек
Приветствую!
Собственно, исходя из описания в bdu.fstec.ru, если сможете реализовать ЗПС и гарантировать отсутствие программ, имеющих прямой доступ к потокам данных файловой системы NTFS - можете использовать и 281 сборку. Главное - указать этот момент в описании техпроцесса и соответствующих протоколах контроля эффективности принятых мер защиты от НСД. В противном случае, только обновление.
Кстати, может стоит попробовать тот же CuneiForm в качестве альтернативы FineReader? Если сканирующее устройство не самое древнее и не самое новомодное - вполне сгодится для типовых нужд. А его уже можно настроить под последней версией Далласа (проверено).

Автор: Дмитрий | 66045 05.10.2016 09:09
Здравствуйте, подскажите, на какие ресурсы необходимо устанавливать дискреционное разграничение доступа при обработке пдн, кроме самих ресурсов, содержащих эти пдн?

Прошло около недели

Автор: Vosiley | 66189 12.10.2016 16:44
Подтверждаю проблему с Finereader 12 и Windows XP.

Автор: Валерий | 66230 13.10.2016 10:05
Здравствуйте. Никто не сталкивался с такой проблемой? При изменения пароля пользователем выходит ошибка - password contains values that are not allowed in passwords.
Стоит Dallas lock 8.0-K сборка № 8.0.347.4.

Автор: oko | 66231 13.10.2016 10:46
to Валерий
А пароль точно удовлетворяет требованиям сложности, настроенным в Далласе? А то ругается как раз на наличие символов во вводимом пароле, которые запрещены к вводу.

Автор: Валерий | 66232 13.10.2016 11:55
Точно удовлетворяет, пробовал разные пароли и не понимаю в чем дело. Если на сервере у пользователя поставить галку сменить пароль при первом входе, то захожу под пользователем и меняю без проблем. Я думаю проблема в групповых политиках на сервере win server 2003, но там смотрел все нормально. В сентябре обновляли Dallas до сборки 8.0.347.4, но проблема вылезла не на днях.

Автор: oko | 66235 13.10.2016 14:29
Весьма вероятно, что Винда, да...
Кстати, а где вы такое забавное сообщение увидели? Вначале бы желательно журнал Далласа просмотреть, а он-таки на русском языке...

Автор: Валерий | 66236 13.10.2016 14:45
Сразу глянул в журнале далласа там такая же ошибка, а вот в логах на сервере ничего. Ладно буду копать :(
Скрин журнала
http://radikal.ru/lfp/s019.radikal.ru/i640/1610/be/5a90203c02c1.png/htm
Скрин ошибки
http://radikal.ru/lfp/s019.radikal.ru/i609/1610/21/3b521b3e9dbe.jpg/htm

Автор: oko | 66239 13.10.2016 20:11
Мне явно не нравится пользователь "LOCAL_SYSTEM" - это же системная уч. запись. Что-то тут явно неверно настроено и, скорее всего, не на уровне Далласа...
Вообще, такие сообщения, что в С версии, что в версии К ни разу не встречал. Попробуйте тех.поддержку подолбить - авось они выйдут из ступора, вызванного лавиной вопросов по новой сборке, и все-таки ответят...

Кстати, товарищи! Кто-нибудь решил проблему связки "DL 8.0-C" в мандатном режиме + "Dr.Web ESS 10 сертиф. ФСТЭК"? А то на днях поймал ошибку - MS Office Word любой версии, начиная с 2007, крашится при запуске в сессии выше 0 (Общедоступно). И, судя по курению Гугла, я не один такой. А тех.поддержка и DL, и Dr.Web вменяемого ответа не дает...

Автор: Human | 66282 18.10.2016 09:27
для oko | 66239
У меня "DL 8.0-C"+"Dr.Web ESS 10 сертиф. ФСТЭК"+"MS Office 2016 Pro" корректно работал под Win 7 Pro (x64). А вот CDBurnerXP при установленном "Dr.Web ESS 10 сертиф. ФСТЭК" даже под администратором не запускался, причем в сессии 0...

Автор: oko | 66291 18.10.2016 19:56
to Human
Любопытно... Грешил на установленную ОС. Поставил заново с использованием другого дистрибутива - результат тот же. Замена 10 Веба на 6 (сертиф.вер.) проблему отчасти решила. А так... именно Word и именно при запуске с мандатным уровнем выше 0...
А с CDBurner, возможно, траббла в каталоге /Burn, который в профиле пользователя? Обычно на него "разделяемую папку" ставлю + гриф "0". С другой стороны, под Далласом сторонние утилиты записи CD вообще никогда не использовал...

Автор: Human | 66396 19.10.2016 19:20
для oko | 66291

"С другой стороны, под Далласом сторонние утилиты записи CD вообще никогда не использовал..."
1) У вас под управлением Dallas Lock 8.0C в сессиях выше 0 работают встроенные средства записи CD (для Windows 7, например)? У меня под Windows 7 не работает. Ошибка выходит при форматировании нового CD средствами Windows. А вот если отформатировать под 0 сессией, а потом записать под сессией выше 0, то все корректно записывает. Именно поэтому использую сторонние программы записи дисков.
2) У меня на днях попался АРМ, где обновили Dallas до последней сборки 347.4 и там в сессиях выше 0 Word 2007 не мог распечатывать документы на МФУ HP. А вот в блокноте, WordPad и даже в Excel печать работала нормально. Настройки мандатного доступа настроены корректно. Техподдержка ничего хорошего посоветовать не смогла и предположила , что это их косяк в новой сборке. Пришлось экспериментировать и проблема решилась только при установке другой версии Office (редакция 2010).
P.S. Кстати, в техподдержке Dallas Lock сказали что у них уже готова новая сборка, но ей предстоит еще пройти процедуру сертификации.... Сказали что это потребует времени. Но сказали что при обращении в техподдержку можно у них попросить эту сборку и они ее дадут.

Автор: oko | 66397 20.10.2016 00:57
to Human
1. Работает и с первичным форматированием в сессии выше 0. Все дело в каталоге /Burn (разделяемая папка) в профиле каждого пользователя. Впрочем, если без форматирования не пашет - это даже гуд. Т.е. администратор заранее подготавливает некоторое кол-во CD. Их учитывает секретка. А после пользователи записывают на них инфу с грифом. Аналогично СТРАЖу выходит (только там еще учет средствами СЗИ НСД требуется). Полное отслеживание техпроцесса. Как по Инструкции, ага...
2. Скорее всего проблема в "Аудите печати" в глобальных политиках Далласа и "Аудит устройства" в политиках Далласа для конкретного принтера. Были схожие проблемы. Но отключать аудит вообще нельзя, ибо тогда теряется журнал распечатанных листов. Хорошо, что замена Офиса помогла (мне на некоторых ОС - все зависит от дистрибутива, а не от версии Винды, как оказалось, - не помогало).

ЗЫ Про новую сборку они уже месяца 3 говорят. И про ее сертификацию так тем более. А воз и ныне там...

Автор: 12 | 66399 20.10.2016 10:25
С оптическими дисками мы делаем так: записываем на диск скрытый пустой файл, вешаем на диск метку (на пустой диск мандатные атрибуты повесить нельзя). Записываем потом нужные файлы с помощью Small CD-Writer.

Прошла пара недель

Автор: Nox1us, TSS | 66712 07.11.2016 17:11
Добрый день! Подскажите, пожалуйста, кто сталкивался с такой проблемой. Установил DL 8.0-C (Демка от Конфидента сборка 8.0.347.4) на Win 10. После обязательной перезагрузки посыпались ошибки экзешников... (DTAgent.exe, OneDrive.exe, WerFault.exe, runonce.exe, FTErGuid.exe, dllhost.exe... Память не может быть read/written). И если сообщения от Daemon Tools Agent и OneDrive меня не слишком беспокоят, то вот остальные немного напрягают. Пробовал отключить службу регистрации ошибок Windows, но ошибка WerFault выскакивает всё равно. Но самое интересное - перестали запускаться практически все приложения. Работает только Office (в полном объеме - и Word и Excel и Visio и даже Outlook) и Microsoft Edge. Остальные приложения либо выдают ошибку экзешника (ошибка чтения, как я понимаю), либо вообще ничего не происходит! В журнале процессов это выглядит так:
ID Время Пользователь Процесс PID Операция Результат
955 07.11.2016. 17:03.11 User C:\....\chrome.exe 9532 Запуск ОК
954 07.11.2016. 17:03.11 User C:\....\chrome.exe 9532 Завершение ОК

Сам Даллас никаких сообщений о блокировке не выдает. Пробовал включить режим обучения - та же песня. Я так понимаю какая-то проблема с контролем приложений, но, повторюсь, никаких настроек я не производил - ситуация возникла сразу после перезагрузки. Подскажите где копать, с Dallas Lock столкнулся впервые....

Автор: Nox1us, TSS | 66713 07.11.2016 17:21
Попробовал перезагрузиться в неактивном режиме СЗИ - ничего не изменилось....

Автор: Nox1us, TSS | 66715 07.11.2016 17:57
Вспомнил, что при установке в параметрах конфигурации указал "1Г", подумал, что проблема в этом. Нажал "Установить настройки по умолчанию", перезагрузился - не помогло. В правах пользователя добавил свою учетку в поле "Деактивация системы защиты", но удалить Dallas Lock всё равно не могу.... Выдает сообщение: "Ошибка пакета установщика Windows. Непредвиденное завершение программы, являющейся частью установки. Обратитесь в службу поддержки или к поставщику пакета.

Автор: oko | 66717 07.11.2016 19:23
Сдается мне, что это косяк демоверсии. Видать, в нее поддержку Win10 либо не добавили, либо добавили весьма криво. Попробуйте эту же сборку на Win7 или Win8. Если ошибки повторятся - обратитесь в тех.поддержку разработчиков. Пусть проверят, что они там высылают по заявкам...

Автор: Сергей | 66718 07.11.2016 20:34
Меня просто убивает DL8 и его поддержка!! Как можно до сих пор продавать заведомо старую сборку с уязвимостью, вкладывая в коробку с диском лишь буклет, что то что на диске лажа, а вам необходимо еще залезть на сайт и скачать новую сборку без уязвимости, а потом тебе заказчик начинает выговаривать, что вы мне за х... поставили с уязвимостью.... DL совсем испортился, раньше проблем с ним таких не было, а последние траблы с Dr Webом и MS Office вообще добивают... Никогда не знаешь получится тебе его поставить на объекте или нет.

Автор: oko | 66719 07.11.2016 21:33
Это заговор конкурентов из КБ. Дескать, не они одни продают г*но и спешно латают уязвимости в своих продуктах.
*в сторону* или конкурентов из стана Панциря... Как знать, Питер же не резиновый...

Автор: Nox1us, TSS | 66728 08.11.2016 09:49
Ну в описании вроде есть поддержка Win 10. Я бы с радостью снес эту фигню, но как это сделать? Как я писал выше, DL не дает себя удалить!

Автор: Nox1us, TSS | 66730 08.11.2016 11:12
В общем помог только откат системы до точки восстановления перед установкой DL. Снести его корректно не получилось. Сейчас попробую на виртуалку на Win 7 закатать....

Автор: Nox1us, TSS | 66731 08.11.2016 12:25
Кто-нибудь может подсказать что меняют параметры конфигурации при установки DL? Можно выбрать "Стандартная", "Базовая для 1Г" ну или указать расположения файла раннее созданного конфига. Интересует именно "Базовая для 1Г" - в чём ее отличие от стандартной?
И еще вопрос, если позволите. У КБ есть специальные рекомендации по настройке SN для соответствия тем или иным классам АС (ГИС, УЗ ПДн...), где подробно по пунктам указанно какие настройки нужно применить, что бы система соответствовала определенному классу. Есть ли что-то подобное у Конфидента? Мне вот необходимо настроить СЗИ для соответствия требованиям к ИСПДн УЗ 4. Может быть есть рекомендации или готовые базовые конфиги?

Автор: oko | 66735 08.11.2016 15:27
to Nox1us
1. Конфигурации предназначены как раз для соответствия определенным классам АС от НСД (читайте руководящий документ на сайте fstec.ru в разделе Техзащита информации).
2. Собственно, тем они и различаются. Стандартный - это ненастроенный профиль (параметры по умолчанию). 1Г - уже проведена некоторая (весьма частная) настройка системы защиты (пароли и т.п.). Imho, лучше настраивать после установки Стандартного. Меньше шансов наткнуться на ерунду, влепленную по дефолту разработчиком. Ибо абсолютно типовых АС не бывает...
3. Шаблонов под ИСПДн и ГИС никто делать не будет. В любом случае решает конечный ТЗИшник, как и почему выставлять те или иные параметры для обеспечения нужной защищенности.
4. А рекомендации Кода Безопасности - еще та шляпа. Чего стоит одно только использование ЗПС. Впрочем, в связи с "недавней" уязвимостью в SN ЗПС как раз оказалась весьма актуальна :)

Автор: Yerdan, ММЗ | 66835 11.11.2016 15:45
DL8.0, настроеный, не печатает документы (точнее печатает криво - обрезает до 3/4 документа) форматов А4альбомный, А3 и остальные. А4 книжный печатает нормально.
Полдня мучался, оказалось, виновато теневое копирование. Выключаешь его - все в норме. Вот как это связано? Я бы понял, если бы проблема была в штампе (кстати, в SN7 именно в штампе и была аналогичная проблема, пока не разобрался, как его нормально настроить). Но копирование то тут при чем?

Автор: oko | 66858 13.11.2016 01:23
to Yerdan
Связано через драйвер виртуального принтера в SN или его аналог в DL. Обработка данных из пула печати некорректная. Т.е. в DL он, по всей видимости, заточен под A4-книжный. Любопытно, надо будет потестировать на досуге...
А вообще зачем теневое копирование использовать? Пользы от него кот наплакал, а проблемы - свыше крыши в любом СЗИ...

Автор: asa, asa | 66869 13.11.2016 23:00
Здравствуйте!
Подскажите пожалуйста, по такому вопросу:

Как проверить "Требование гарантии проектирования" в Dallas lock?

На начальном этапе проектирования КСЗ должна строиться модель защиты,
задающая принцип разграничения доступа и механизм управления доступом. Эта
модель должна содержать:

- непротиворечивые правила изменения ПРД;
- правила работы с устройствами ввода и вывода;
- формальную модель механизма управления доступом.

Должна предлагаться высокоуровневая спецификация части КСЗ, реализующего
механизм управления доступом и его интерфейсов. Эта спецификация должна быть
верифицирована на соответствие заданных принципов разграничения доступа.

Если можно простыми словами, спасибо!

Автор: oko | 66870 13.11.2016 23:32
to asa
Если проще, то матрица доступа и формализованное описание тех.процесса.
Если еще проще, то представленное в удобной (понятной) форме (возможно, заранее предусмотренной в организации/ведомстве):
- описание защищаемых и ресурсов (устройств, программ, файлов и каталогов и т.п.);
- описание субъектов (персонала, процессов, устройств и т.п.), которым необходимо предоставить доступ к этим ресурсам;
- описание каналов, методов и средств предоставления доступа к этим ресурсам;
- описание принятых моделей доступа (дискреционная, мандатная, ролевая и т.п.)
- описание субъектов, уполномоченных на администрирование КСЗ, и их функций.

Автор: asa | 66871 14.11.2016 02:58
Благодарю за быстрый ответ и за помощь oko!

конкретно из этих пунктов:

- непротиворечивые правила изменения ПРД ( В документации не описана реализация разграничения доступа,тут как можно проверить непротиворечивость правил доступа?)

- правила работы с устройствами ввода и вывода; (имеется в виду "правила работы" из документации Dallas lock)

Надо проверить DL8.0-C соответствие требованиям РД по 3 классу защищенности от НСД и показать.



Автор: oko | 66876 14.11.2016 11:01
to asa
Так вот вы о чем... Резонный вопрос, зачем делать повторно чужую работу, коли на DL8.0-C и так выдан сертификат соответствия по СВТ3 (в частности)? А испытания проводили ППШ и Эшелон. Вот к ним и следует обратиться, если так хочется понять структуру подобных испытаний...

Прошло около недели

Автор: VMax, Vmax | 67145 23.11.2016 18:02
Возникла такая проблема при обновлении Dallas Lock до версии 8.0.347.4, при установке возникает ошибка установки LWF драйвера. Кто нибудь сталкивался с такой проблемой?

Автор: oko | 67153 24.11.2016 00:30
to VMax
С новой сборкой-без-уязвимостей в DL и без того куча косяков. Причем они различны для каждого конкретного случая. Вами приведенный fail не попадался. Мой совет по опыту обновления - не обновляйте. Сносите к чертям без сохранения настроек, ставьте новую сборку и настраивайте заново. Меньше риск получить огрехи по факту
"подсоса" старых настроек, imho...

ЗЫ Кстати, похоже на конфликт драйвера МЭ в составе DL с драйвером WiFi от Intel. Если WiFi использоваться не будет - снесите его драйвер и попробуйте еще раз. Если не поможет - высылайте отчет и лог-файлы в техподдержку Конфидента. Чувствую, их подход с комбайнерством (НСД+МЭ+СОВ+СДЗ) еще не раз аукнется в будущем...

Автор: Андрей, Администрация Кирилловского рaйона | 67195 29.11.2016 16:50
Добрый день. Ни разу не сталкивался с Dallas Lock, подскажите пожалуйста, как настроить доступ пользователя к dvd приводу (полный доступ), по юзером не получается отформатировать диск и пишет "вставьте перезаписываемый диск" , под админом с этим диском все норм. Есть еще под админом програ для записи, но под юзером она тоже не работает.

Автор: hecc | 67246 05.12.2016 11:54
to VMax

У меня такая проблема была при обновлении 8 далласа 131 сборки на 347.4. При этом теперь из винды даллас не удалить и в меня администратора даллас лок не зайти. связывался с конфидентом, говорят попробовать с удаленным антивирусом это сделать - не помогло, потом дали инструкцию по отключению проверки подписи драйверов - тоже не помогло. предложили сделать аварийное удаление, но мне не загрузиться с диска, тк стоит пароль на биос и его не скинуть никакими судьбами. вот хочу попробовать удалить его из командной строки в ручном режиме, но не знаю как отреагирует на этовинда. Обновлял даллас на 2 машинах и на обоих были проблемы. Думаю что на следующих буду удалять и заново настраивать, тк при чистой установке все нормально встает.

Автор: Hecc | 67287 07.12.2016 22:50
to VMax
Проблема с LWF драйвером у меня решилась при помощи аварийного удаления далласа, затем чистой установкой. Причем когда загрузил конфиг предыдущей версии все сломалось и пришлось снова переустанавливать, поэтому настраивайте лучше все заново без старых конфигов. Теперь правда принтер печатает пустые листы, надо понять что с этим делать.

Прошла пара недель

Автор: Владимир | 67853 26.12.2016 13:44
После установки Dallas Lock 8-с перестала загружать ОС (Windows 10 Pro)

Прошла пара недель

Автор: Vosiley, ООО "ИнфоЦентр" | 67996 08.01.2017 12:24
Удалось победить проблему падения Microsoft Word 2010 в связке DL 8.0-c + DrWeb 10 + MS Office 2010.
Нужно под каждым пользователем выставить файлу winword.exe режим совместимости с Windows Vista.

Автор: oko | 67999 08.01.2017 18:13
to Vosiley
Спасибо! Надо будет опробовать такой подход. По идее аналогичная схема будет и с MS Office 2007/2013 (там Word тоже падал) :)
А под какой ОС удалось победить?

Автор: oko | 68032 09.01.2017 20:50
На будущее: возможно, кому-то пригодится (кто будет гуглить этот форум по ключевым словам, ага).
Если понадобится натянуть последнюю "неуязвимую" сборку DL8.0 (К или С, не важно) на Windows 10 Pro - убедитесь, что при установке ОС использовался режим Legacy BIOS. В противном случае получите постоянный ребут с попыткой автоматического восстановления. Конфидент все обещал добавить полноценную поддержку UEFI, GPT и иже с ним, да, по всей видимости, пока не получает. Как говорится, ждем-с...
Кстати, СТРАЖ-NT 4.0 в ту же степь...

Автор: Vosiley | 68062 12.01.2017 07:05
to oko
Win 7 pro 64

Автор: Human | 68154 17.01.2017 11:49
Всем привет.
Коллеги, кому-нибудь удалось решить проблему печати в MS Word 2007 в DLL80-C (сборка 347.4) в сессии отличной от "0" (ОС Windows 7 Pro) ?
Проблема на каждом АРМ в связке: DLL80-C (сборка 347.4)–MS Word 2007–Windows 7 Pro.
Выдает ошибку "Печать невозможна из-за неверной настройки текущего принтера".
После анализа журнала ресурсов видно, что при пуске на печать система пытается записать файлы (например, ne00, ne01...) в директорию \Windows\System32, и конечно же, СЗИ этого делать не дает в сессиях больше "0".

Автор: Hecc | 68197 19.01.2017 12:20
to Human
Я в данном случае просто ставил этим файлам максимальный гриф из которого нужно печатать, например 1. Правда у меня доходило только до Ne01.
У коллеги доходило до Ne20 что ли и он всем им назначал нужный уровень.
Насколько я понял это вроде как номер виртуального порта принтера но от чего этот номер зависит неясно.

Автор: Human | 68199 19.01.2017 13:09
to Несс
В принципе, как вариант. Но это уже "костыль".
Вообще, непонятно откуда проблема... В ранних сборках такой проблемы нет. Да и в последней сборке проблема исчезает, начиная с MS Office 2010...

На днях столкнулся с еще одной проблемой сборки 347.4. Не сканирует документы из-под пользователей даже под уровнем "0" с помощью ПО для МФУ. Проблема оказалась в папке Temp профиля пользователей. Но проблема не типична: если папку Temp делать разделяемой, то не сканирует в сессии "0". Если убрать разделяемость папки Temp, то начинает нормально сканировать в сессии "0" с соответсвующими последствиями для уровней выше "0" . Проблему решить пока не удалось.

Прошел месяц

Автор: Sergey | 68997 16.02.2017 22:17
to Hecc
to Human
Как я понял из поведения АРМ и ответов техподдержки, эта ошибка возникает, когда на свежеустановленном далласе из-под пользователя первая печать производится в сессии отличной от 0. Сталкивался пару раз с такой проблемой. Один раз решилась перестановкой винды и всего остального, второй заменой принтера (спасибо запасливому заказчику)

Автор: Hecc | 68999 16.02.2017 22:52
to Sergey
Интересное замечание. Могу точно сказать что на том АРМе первая печать проходила в сессии выше 0. То бишь если удалить драйвер и принтер из системы под чистую, затем все заново установить и произвести печать сначала в нулевой сессии, то теоретически должно все работать?

Автор: oko | 69001 17.02.2017 01:01
Правила "хорошего тона" при настройке любой СЗИ НСД - провести под каждой учетной записью пользователей все необходимые операции (с тестовыми данными) ДО установки СЗИ НСД. Т.е. запуск всех приложений, сохранение, сканирование, вывод на печать и т.д.
Далее установить тот же DL. Поставить нужным каталогам флаг "разделяемая папка" с грифом "Общедоступно" ("0 уровень", ага). Установить грифы конфиденциальности на каталоги, в которых пользователи будут хранить конфиденциальную инфу. Донастроить остальные параметры СЗИ. Перезагрузиться и последовательно под 1-2 пользователями проверить работоспособность вначале в "0" сессии, затем в "1", затем во "2" и т.д.
С принтерами может случиться беда из-за специфики работы их драйверов или, скорее всего, дополнительного ПО. Которое, как в случае с HP, любит спамить темповыми файлами во все возможные места (а также лезть куда-нибудь по сети, ага). В таком случае лучший выход - средствами Win сделать для каждого пользователя (в настройках профиля) перенаправление временных сред в каталог C:\Windows\Temp, которому потом назначить "0 уровень" и метку "разделяемая папка" (предварительно его очистив). Метод далеко не безопасный (в глобальном смысле), но зачастую действенный. Применять советую в случае крайней необходимости (когда другие варианты не помогают)...

Прошла пара недель

Автор: Дмитрий | 69347 03.03.2017 09:18
Здравствуйте, с чем может быть связана ошибка установки драйверов системы защиты на Windows Server 2008? Получилось так, что установка была начата из под учетной записи, не являющейся администратором компьютера, это могло как-то повлиять? На виртуальной машине с такой же системой эту ошибку воспроизвести не удалось.
Версия далласа - 8.0К

Прошла пара недель

Автор: Hecc | 69722 16.03.2017 23:44
Друзья, подскажите,есть ли решение по Finereader и DL 8.0 сборки 347.4?
Пробовал 10 и 11 версию, ни одна не работает, либо ошибки, либо когда, как я полагаю, нужную папку делаю разделяемой, то пользователь не может войти в конфиденциальную сессию-идет инициализация до бесконечности.

Автор: Александр, Электромера | 69727 17.03.2017 08:16
Коллеги, добрый день! Вопрос о работе Adobe Acrobat Reader X на АРМе с установленным Dallas Lock 8C (актуальная сборка).
Подскажите, пожалуйста, какие папки должны быть разделяемыми для работы пользователя с Reader под мандатами выше нулевого. Настройка для MS Office и др. программ (по разделяемым папкам) выполнена, а Reader не работает, поэтому применять типовые шаблоны не хочется, иначе потеряются все наши настройки и их нужно будет вводить вручную.

Автор: Human | 69729 17.03.2017 11:17
для Александр, Электромера | 69727
Я так и не понял причины, почему вы не хотите применить типовые шаблоны.
А так: ставьте аудит отказов на системный диск. Заходите под пользователем и проводите необходимые операции. Потом под админом смотрите журнал событий...

Автор: Александр, Электромера | 69731 17.03.2017 11:52
Уточните, пожалуйста, если я загружу типовой шаблон для Adobe Acrobat Reader, то все остальные настройки и все остальные разделяемые папки у меня пропадут? Или новый шаблон просто добавится к остальным?

Автор: Human | 69732 17.03.2017 12:22
Александр, Электромера | 69731
Новый шаблон просто добавится. Старые настройки останутся.

Автор: Vosiley | 69740 17.03.2017 18:13
Вообще, если порыться на лицензионном диске DL 8.0-c образца конца 2016 года, то можно увидеть на нем сборку 374.19, в которой устранено много багов. Но остается вопрос в правомерности применения этой сборки.

Автор: Александр, Электромера | 69754 19.03.2017 00:32
Коллеги, еще вопрос - касается CD/DVD. Имеем Windows 7 64 бит, DL 8, запись осуществляется штатными средствами операционной системы.
Использую режим записи - Как флеш-накопитель USB (установлен по умолчанию).
Возникла (только сейчас) задача записывать пользователями на диски результаты работы под мандатом 1 и выше. У пользователей разрешение есть, но обратил внимание, что диски ("болванки") нужно предварительно зарегистрировать в DL. И сделать это может только администратор безопасности. Это действительно так? Тогда получается, что нужно предварительно зарегистрировать "болванки" для разных мандатов, их хранить как учтенные и выдавать для записи.

Автор: Vosiley | 69755 19.03.2017 09:06
Александр, да, это действительно так. Имел на эту тему разговор с техподдержкой.

Автор: Human | 69783 20.03.2017 10:19
для Александр, Электромера | 69754
Болванки регистрировать в DL не нужно .
У вас, скорее всего, возникла проблема форматирования новой болванки (в режиме флеш-накопителя) под уровнем "1" и выше. Это решается просто: нужно предварительно отформатировать болванку под админом либо под пользователем под уровнем "0". А потом уж записывайте штатными средствами под уровнем "1" и выше.

Автор: Спец, ОГВ | 69786 20.03.2017 10:52
Всем привет.
Недавно устроился в огв и тут начал смотреть что есть и чего нету. На первый взгляд все нормально, но зашел и посмотрел сборку DL 8,0-C и ужаснулся. Там стоит сборка 2013 года.
Как грамотно обновить сборку DL?
Где нибудь в документах необходимо отмечать что обновили сборку сзи?

Автор: oko | 69795 20.03.2017 12:33
to Спец
Запрос в Конфидент - высылают дистрибутив (можно их задолбать просьбами, даже если закончилась техподдержка - обязаны). Либо пошлют скачать исправленный дистрибутив с сайта, снять контрольные суммы и позже пришлют формуляр.
Отметка делается в старом формуляре, если обновили дистрибутив без участия Конфидента (т.е. без получения нового формуляра - так тоже допускается, но это палка о двух концах с позиции регулятора).
Затем акт обновления СЗИ на всех аттестованных/защищенных объектах. В произвольной форме. И номер/дата Акта вносится в Тех.Паспорта аттестованных объектов в графе "Лист регистрации изменений". Затем хорошо бы еще офиц.письмо в орган по аттестации отправить, дескать, произвели обновление СЗИ на таких-то объектах по причине устранения выявленной уязвимости.

to Александр
Не используйте механизм записи болванок в Windows. Он кривой сам по себе. Установите отдельный софт (Nero, CDBurnerXP, InfraRecoder), перенаправьте его конфигурации в C:\Windows\Temp для каждого пользователя, поставьте этому Temp гриф "Открытые данные - разделяемая папка" и убедитесь, что в Windows (в реестре или gpedit.msc) пользователям вообще разрешен доступ на запись CD/DVD. Profit!

Автор: Vosiley | 69802 20.03.2017 17:09
to oko
Данную возможность - записи на обычную болванку пользователем - убрали начиная со сборки 281. Причем, любым софтом. Говорят, что так все и задумано, и что предотвратили утечку информации и нужно форматировать-регистрировать болванку.

Автор: Александр | 69806 20.03.2017 19:30
to Vosiley, oko
Коллеги! Спасибо за помощь, но все очень странно работает и вопросов еще больше появилось.
Последовательность действий. Диск CD-R инициализирую (форматирую) в режиме USB в режиме администратора безопасности.
Регистрирую диск в DL, указываю по дискр.доступу - всем все можно, по мандатному - 1 (то есть ДСП).
Вхожу в систему под пользователем, под мандатом "1" делаю запись. Потом повторно вхожу под тем же пользователем, но уже запись не выполняется, требуются права администратора. Повторно этот диск регистрирую в DL под администратором, потом пользователь может на него записывать еще файлы.
А несколько дисков удалось инициализировать (форматировать в режиме USB-флешки) из под пользователя под мандатом!
Системы не нашел.
И еще вопрос - если я имею заранее отформатированные и зарегистрированные на одном АРМе болванки CD-R, то подойдут ли они для работы на другом АРМе? Там их нужно будет тоже регистрировать?
Как все это организационно оформить? Я ведь не знаю - на каком из АРМов нужно будет сегодня делать запись, а администратора может на месте и не быть. Сделать пару десятков болванок - но как потом разбираться - на каком из АРМов они были использованы и переданы с сопроводом на сторону, а на каком нет.

Автор: oko | 69813 20.03.2017 23:09
to Александр
Во-первых, если речь о ГТ (*вырезано* а если не о ГТ, то зачем тогда Даллас? :) *вырезано*), то:
1. Финализируйте CD после первой же записи. Использовать его без финализации и тем более в режиме flash - моветон. К тому же далеко не безопасный (особенно относительно тех, кому такой CD будет передан с сопроводом). Вы же при передаче, небось, считаете КС или размер диска в байтах? То-то и оно...
2. Используйте все-таки сторонний "резак дисков". Нативные функции в Windows - еще тот геморрой с точки зрения эксплуатации под СЗИ НСД (SecretNet не предлагать - imho, это не средство, а "визуализация" защиты).
3. Либо запись CD идет под контролем администратора (ибо внутренний нарушитель, ибо CD может быть записан на закрытом АРМ с целью выноса информации на любые другие АРМ), либо пользователем под роспись в журнале регистрации в соответствующей службе/органе (том же РСП). При этом в первом случае вопросов никаких. Во втором - на каждом АРМ нужно предусмотреть собственный набор зарегистрированных CD. И журнал (один на все АРМ). И обязательность росписи сотрудника при получении CD в таком журнале.

*в сторону* хоть убей, не помню, чтобы в Далласе 8.0 надо было регистрировать CD. Впрочем, как flash никогда их не форматировал по вышеуказанным причинам...

Прошло около недели

Автор: Strangern, vektor | 70282 30.03.2017 11:23
to Vosiley
А это точно, что запись для юзеров убрали? я просто второй день уже пытаюсь эту запись настроить(
под админом вопросов нет. под юзером в 0 уровне вопросов нет.
чуть другой уровень, какими бы прогами не пробовал, везде ошибка. ашампу выдает запись невозможна.
винда говорит что ошиблась. смолл сд вритер просто висит на 0%..
То есть запись под уровнем отличным от 0, возможна только админом?

Автор: oko | 70284 30.03.2017 12:08
Да глупости это все, что запись убрали. Для нативных средств Windows, возможно. Юзайте InfraRecoder, в настройках которого для каждого юзера пропишите временный каталог хранения данных как C:\Windows\Temp и поставьте на этот каталог средствами DL8.0-C гриф "Общедоступно"-"Разделяемая папка". Profit!
Лично проверял на последней "неуязвимой" сборке - все работает. Не нужно ни болванку регистрировать, ни иным геморроем заниматься. Конечно, это менее безопасно. чем админ, который каждый диск учитывает в СЗИ НСД. С другой стороны, и при таком подходе вероятность утечки информации сохраняется (ежели инсайдер нацелился инфу вытащить, он ее на зарегистрированную болванку накатает, которую потом "тихо-мирно" воткнет в стороннюю рабочую станцию - и дело в шляпе).

Автор: Yerdan, MMZ | 70447 03.04.2017 15:24
Вот иногда мне нравится DL8, иногда так с него материться хочется...
В особенности это касается подсистемы печати. Проблема в следующем: при отправке на печать, принтер может начать печатать через 1 минуту, через 5 минут, через 35 минут, через час после отправки или не начать печатать вовсе. При этом это больше касается именно маленьких документов. Теневое копирование отключено, штамп отключен. Office2010, Win7Pro.

Да, установить DL с установленным DrWeb 11 возможным не оказалось. Веб категорически не желал отключать мониторинг слежения за системой и героически блокировал все попытки СЗИ прописаться в загрузчик.

Автор: Александр | 70453 03.04.2017 18:37
to Strangern, vektor
Да, запись для юзеров убрали для незарегистрированных болванок CD под любым мандатом, большим нуля.
Поэтому мы для каждого АРМа подготовили болванки, учли их, зарегистрировали в DL.

Автор: Human | 70470 04.04.2017 09:59
для Александр | 70453
Уже не первый раз такое вижу на форуме. Откуда эта информация по поводу записи только для зарегистрированных средствами DL80C CD-дисков? какая сборка DL?
У меня на машинах с DL80C (сборка 347.4) диски записываются средствами Windows под любым уровнем сессии, при условии, что CD-болванка изначально отформатированна под уровнем "0" (речь идет о режиме записи на CD как флеш-накопитель).

Автор: Vosiley | 70493 04.04.2017 17:12
to Human
Информация такая от техподдержки по телефону.
Если под любым уровнем записывается CD, значит, мандатный режим не настроен либо СЗИ не активно.
Не совсем понятно, что значит CD отформатирован под уровнем "0", сам по себе компакт-диск мандатной информации не несет.

Автор: Strangern | 70494 04.04.2017 17:13
Информация от техподдержки, попробуйте позвонить в Конфидент, может, еще что-то скажут интересного.

Автор: Vosiley | 70495 04.04.2017 17:14
to Strangern

Дико извиняюсь, скопировал Ваш ник в поле "Автор"

Автор: Human | 70503 04.04.2017 18:11
для Vosiley | 70493

"Если под любым уровнем записывается CD, значит, мандатный режим не настроен либо СЗИ не активно"

Да неужели? Вы очень ошибаетесь.

"Не совсем понятно, что значит CD отформатирован под уровнем "0", сам по себе компакт-диск мандатной информации не несет."

А вы возьмите чистый (читайте "новый") CD-диск и запустите его в среде Windows 7. Система предложит 2 варианта записи диска. Один из них "запись как флеш-накопитель USB". И чтоб записывать этим способом, CD-диск форматируется (единожды при первом запуске). А потом уж можно производить запись данных на диск.
И вот, как раз, это форматирование не проходит должным образом под уровнем большем чем "0".
Так что , прежде чем утверждать, что СЗИ не активно или мандатный режим не настроен, попробуйте сначала проделать то, что я описал выше.

Автор: Yerdan, MMZ | 70515 04.04.2017 21:32
По поводу записи на диск.
С XP еще веселее, правда рецепт был уже выдан.
Если мы имеем новый диск, то в сессии 0 мы должны записать на него (в XP мы можем записать только в режиме CD) любой файл (пустой) для инициализации диска. После этого зарегистрировать диск в DL, установить ему мандатный уровень, и только после этого можем записать на него какую либо информацию выше "0".
И да, странно, если DL позволяет вам, используя виндовую функцию записи дисков, записывать данные выше 0 без регистрации диска и назначении ему грифа.

PS. Диски - зло. Записали диск (Win 8.1, DL). Открываем на другом компьютере (Win 8.1, SN) - нет информации на диске. Открываем на другом компьютере (WIn7, SN) - данные в полном порядке.
Записываю другой диск. WIn 8.1, без СЗИ. Открываю на Win 8.1, SN - нет половины записанных данных. Открываю на ПЭВМ WIn7, SN - вообще нет данных. Открываю на ПЭВМ WinXP, SN - все в порядке. Система абсолютно случайна.

PSS. DL выдал вчера. Для ускорения процесса печати выставил ему "печатать сразу на принтер". Зря. Он на каждом последующем листе печатал все листы раздела, причем выборочно строчки. Иногда мог не печатать строчку, иногда мог вместо наложения строчки на задний план отправить ее на передний, и добавить функцию непрозрачности... 75 листов в брак и час работы по выявлению, что же послужило причиной этого (проявилось не сразу).

Автор: oko | 70521 04.04.2017 23:25
to Yerdan
Сдается мне, что причина бед с CD в разной скорости чтения/записи у резаков под проверенными АРМ. Средства защиты не при чем (вам оно понятно, мне оно понятно, но, думаю, надо тут акцентировать внимание, чтобы больше никто не думал плохого про СЗИ НСД).
Завтра буду ковырять DL8.0-С+Win7x64+DrWebX+какой-то-очень-хитрый-принтер. Отпишусь по результатам. Пока симптомы дикие: в сессии выше "0" печать под пользователем невозможна ("неверная настройка принтера"), хотя конфиг 300 раз проверенный на других АРМ (ну, не 300, но раз 100 точно).
У DL очень кривой обработчик печати. Надо бы сравнить с прошлой "уязвимой" версией. Возможно, всему виной пресловутое обновление, устраняющее уязвимости. Возможно, первичная идея делать драйвер-перехватчик. Я с другого балдею - знают же, что поголовно никто не использует функцию маркировки документов (про параноиков, закрытые институты и проч. узкие места не говорю). Но все-равно делают. Ибо требования сертификации. Которые устарели в части РСБ уже много лет назад...

to Human
Уже писал про режим "Как флеш-накопитель". Это зло, добавленное с Win7 и порочащее саму идею безопасного хранения/передачи данных на CD/DVD. А DL поступает тупо. Файловая система не в режиме Mastered? Значит, перезаписываемый носитель. Значит, нужен серийный номер (причем DL и с CD, и с обычными Flash назначает его самостоятельно на основе информации по форматированию, что не есть гуд). Значит, вначале регистрируем, а потом уже пользуемся.
Правильный вывод - это запрет сторонних ФС, разрешение Mastered и использование спец.ПО для записи CD/DVD. В противном случае будут проблемы либо с СЗИ НСД, либо с чтением записанной информации (за счет типизации режимов и скорости прожига - привет тов. Yerdan!), либо с Виндовыми багами. + такой носитель можно будет перезаписать, что в случае с архивной копией или сопроводительным документом, зачастую, подобно смерти...

Автор: oko | 70539 05.04.2017 11:29
to Yerdan
С коллегами разобрались со связкой (как и обещал) "DL8.0-С+Win7x64+DrWebX+какой-то-очень-хитрый-принтер". Косяк в сборке. Заказали последнюю версию у Конфидента - все заработало. Включая Dr.Web X (его устанавливали последним).

Автор: Human | 70542 05.04.2017 14:57
Для oko | 70539
"Заказали последнюю версию у Конфидента - все заработало. Включая Dr.Web X (его устанавливали последним)."

Последняя версия - это сборка 347.20 ?
А вы ее поставили только в качестве эксперимента или аттестовали/собираетесь аттестовать АС с этой сборкой?

А какие у вас обычно проблемы с DL80C в связке с Dr. Web X? Просто у нас обычно проблемы не связаны с САВЗ.

Автор: oko | 70547 05.04.2017 16:49
to Human
1. Она самая, 347.20.
2. Эксперимент дабы узнать, что работать будет. Дальше - дело заказчика, как он будет вопрос с Конфидентом решать.
3. С Dr.WebX обычно проблемы доступа к Word (остальное ПО из пакета Office при этом работает), а иногда и полный останов системы. Помогает установка Dr.Web после DL, что, в сущности, неверно. И не всегда помогает. Остальное уже рассказывал на форуме в этой же теме страницы 3-4 назад.

Автор: Yerdan, MMZ | 70564 06.04.2017 11:03
2 oko
>Помогает установка Dr.Web после DL, что, в сущности, неверно.
Не знаю насколько неверно, но знаю, что лично у меня попытка установить DL на машину, где уже стоит DrWeb 11, не удалась от слова совсем. Этот антивирус категорически не хотел снимать защиту системы, и даже в полностью деактивированном состоянии не давал подменить загрузчик винды.

Автор: oko | 70623 06.04.2017 12:19
to Yerdan
А вы DL с режимом доверенной загрузки ставили? Просто обычно при установке DL только службы и драйверы прописывает, но в загрузчик не лезет.
К тому же есть принципиальная разница между Dr.Web 11 и сертифицированным комплектом Dr.Web ESS 10. 10 версия ставится и до, и после. Но "до" редко нормально работает, вернее мешает работе других приложений. Причем версия ОС не важна, как показывает практика.

Автор: Human | 70658 06.04.2017 12:47
для oko

"Помогает установка Dr.Web после DL, что, в сущности, неверно"
Почему неверно, если не секрет?

А вы при установке сертиф. Dr.Web X ставите брендмауэр или нет?
Вот, например, у сертифицированного KES 10 (MR2) в формуляре сказано , что при инсталяции программного изделия нужно выбирать "Стандартная установка". В Dr Web 10 такого не припомню..

Автор: oko | 70665 06.04.2017 14:41
to Human
1. Неверно, поскольку СЗИ НСД должно "покрывать" остальное ПО на машине. В противном случае, при установке чего-либо "после" СЗИ НСД, его стабильность и целостность гарантировать нельзя. Расписывать долго, уж поверьте на слово...
2. Причем тут брандмауэр? Dr.Web X "до" DL8.0-C можно ставить в любом варианте исполнения (брандмауэр вообще обычно не использую, нет от него ни толка, ни сертификата). Хоть просто антивирус+ядро+модуль обновления. Но это ничего не дает - все равно вероятность ошибки в дальнейшем много больше 0. Проверено не один раз.

Автор: Jen | 70672 07.04.2017 10:46
Уважаемые коллеги, подскажите, пожалуйста, новичку. Как передать вход только СЗД ДЛ (8.0-С), при этом без дальнейшего входа в систему посредством Win (Win 7 Max). Установлена плата без считывателя

Автор: Strangern, Vector | 70883 14.04.2017 09:02
Jen, не совсем уловил суть, но если хотите чтобы система с винчестера не стартовала, то в биосе отключите загрузку с hdd/
если нужно чтобы система не логинилась автоматом, то в политиках безопасности включите необходимость нажатия ctrl alt del перед логином.

Автор: Евгений | 70889 14.04.2017 14:15
Jen | 70672
Прочитать руководство по эксплуатации СДЗ Dallas Lock, там все написано и показано.

Прошла пара недель

Автор: Герман Петрович | 71777 04.05.2017 20:26
Доброго времени! Обновились DL 8.0-С до версии 8.0.347.20 :
1. На ПЭВМ с ОС 7 Pro 64 - MSO 2010 приложение Word не запускалось (Exel - нормально) под сессией выше 0 даже под администратором при правильных всех настройках разделяемых папок. Антивирус стоит DR WEB 10. Подскажите куда рыть?
2. На ПЭВМ с XP MSO 2007 Стандартный такой же глюк приложение WORD не стартует начинает перенастраиваться и виснет под сессией выше 0 под всеми пользователями и администратором при всех настройках разделяемых папок.Подскажите кто сталкивался.

Автор: oko | 71778 04.05.2017 22:28
to Герман Петрович
Воспользуйтесь (хоть раз) поиском по форуму. Эта проблема (MS Office + DrWeb 10 + DL8.0-C) уже обсуждалась. Иногда бывает, иногда нет. Корреляцию установить не удалось. От себя советую:
- либо сменить Офис (например, перейти на LibreOffice);
- либо сменить антивирус (например, на Kaspersky Endpoint Security 10);
- либо сменить СЗИ НСД (например, на СТРАЖ, Аккорд, SN7 и т.п.);
- либо (лучший вариант) задолбать, наконец, Конфидент и DrWeb письмами, чтобы эти черти договорились между собой и выпустили, наконец, сборки, не конфликтующие друг с другом (наша контора уже отправила, но, однозначно, нужно больше давления от потребителей этой продукции).
imho, подозреваю, что идет конфликт драйверов контроля спулера печати Windows (и в DL, и в DrWeb такой драйвер неотделим от сборки). Ради интереса попробуйте что-нибудь распечатать в 0 сессии из-под того же Администратора в приложении Excel. У меня лично ни разу (когда шел "косяк" Word аналогично вашему случаю) печать из-под Excel не проходила тоже...

Автор: Герман Петрович | 71964 05.05.2017 13:23
To oko
Обратился в Тех поддержку ждемс....

Прошла пара недель

Автор: Anton | 72139 19.05.2017 16:54
Подскажите пожалуйста, что дает выбор типа учетной записи(внутренний, внешний, системный и т.д.) при ее создании ?

Автор: Artem | 72205 24.05.2017 16:05
Здравствуйте, на Windows Server 2008 R2 Server Standard стоит Dallas Lock 8.0-C, программа дала сбой, при загрузке появляется оболочка далласа, блокирует ос, обходными путями открыл панель управления и через "Программы и компоненты" удалил DL, вышло сообщение что нужно перезагрузиться, после перезагрузки появляется снова та же оболочка далласа, в панели управления -> "Программы и компоненты" далласа нет, папка на диске С осталась, что можно сделать, чтобы снять блокировку?

Автор: oko | 72211 24.05.2017 17:35
to Artem
Грузитесь с диска Далласа... А дальше либо методом тыка разберетесь (там все понятно), либо читайте мануал по аварийному снятию системы защиты...

Автор: Gen | 72212 24.05.2017 17:56
to Anton
Добавление реквизита “тип учетной записи”(внутренний пользователь, внешний пользователь, системная, приложение, гостевая (анонимная), временная и др.) является согласно методическому документу "Меры защиты информации в ГИС" усилением требования УПД.1 приказа №17 ФСТЭК.

Прошло несколько недель

Автор: Андрей, КредоС | 72897 16.06.2017 12:43
Есть терминальный сервер. На нем ДЛ. К нему соответственно по рдп подключаются клиенты. До установки ДЛ достаточно было ввести логин\пароль в настройках рдп подключения - и сразу попадали на рабочий стол сервера. После установки - еще раз нужно вводить тот же логин\пароль в окне ДЛ...
Есть способ, чтобы ДЛ "подхватывал" сведения от рдп клиента о логин\пароль (на клиентах ДЛ не установлен)?

Автор: oko | 72900 16.06.2017 15:12
to Андрей
У DL-8 свой механизм ИАФ, так что вначале ИАФ средствами Win, затем повторная средствами DL-8. Вариантов два:
- использовать аппаратные идентификаторы - тогда DL автоматически "подхватит" учетку пользователя, но пароль все равно придется вводить повторно;
- в настройках RDP-подключения 1 раз под нужным пользователем авторизоваться с сохранением пароля - тогда ИАФ средствами Win будет схватывать без уведомлений, а вот ИАФ средствами DL все равно запросит имя и пароль пользователя.
Можно вообще создать фейковую учетку средствами Win, но не регистрировать ее в DL. Этой учетке не менять пароль, но использовать для автоматической ИАФ средствами Win в настройках RDP-подключения. А уже реальную ИАФ проводить в терминальной среде средствами DL-8.

Прошла пара недель

Автор: Александр | 73109 29.06.2017 18:52
Коллеги! Возник вопрос с функционированием ПО "Delphi 10.1 Berlin Professional" (Embarcadero) на АРМе с DL-8C. Проблема в том, что Delphi отказывается работать под любым мандатом, выше нулевого.
Похоже, что механизм разделяемых папок в профиле пользователя я настроил, но Delphi все равно отказывается запускаться - ошибка доступа. Если включить режим обучения, то все работает.
После выключения "режима обучения" в окне "Контроль ресурсов" DL видно, что прописан дискреционный доступ ко многим каталогам (в т.ч. в ProgramData, Program Files, то есть понятно, что программа читает/пишет), но Delphi по прежнему не работает под любым мандатом >0. Проблема, похоже, именно в мандатном доступе, а обучающий режим мандатный доступ не настраивает. Хотя почему в обучающем режиме все работает?
Кто либо сталкивался с данной проблемой? Просьба подсказать, спасибо!!

Автор: oko | 73110 29.06.2017 22:38
Ищите, в какие каталоги пишет сей софт при повышении мандатной метки сессии. Включайте обучающий режим, проводите операции и потом, под администратором, читайте журнал. Все ошибки доступа - ваши. Думайте, какие ресурсы надо сделать разделяемыми, а какие - не нужный мусор. Иного способа нет...
И, кстати, да. Механизм разделяемых папок - не панацея. Т.е. есть шанс !=0, что все равно это все не заработает...

Прошло около недели

Автор: Yerdan | 73541 07.07.2017 11:09
Всем доброго дня (и хорошей погоды).
Два вопроса.
1) Кому-нибудь удалось подружить DL8 и FR11? А то нашим конструкторам слишком лень перенабирать от руки 1000 листов документации... А как только настраиваешь разделяемую папку Temp - FR отказывается работать даже под 0 сессией. Почему-то он резко разучивается перемещать файлы.
2) В системе с установленным DL очень долгий вывод информации на принтер. Может до получаса крутить документ в своих недрах, прежде чем отправит его на печать. Замечено, что после перезагрузки некоторое время все работает на порядок быстрее. Попытки разобраться в причинах ничего не дали. Теневого копирования нет, штампа нет.

Автор: oko | 73550 07.07.2017 12:47
to Yerdan
1. FR 11 вроде работает как надо. Вроде бы даже шаблон для него есть. Если машина с DL и FR попадется (и не забуду) - проверю. Тут другой вопрос: вы как СИРД такое рабочее место аттестовали или у вас электронные документы в растре поступают извне? А то "есть один нюанс" (с)
2. Под DL за все время практики (порядка 100 машин) ни разу проблем с долгим выводом на печать не наблюдалось. Были случаи, когда сканер в составе МФУ запрещаешь для сессий >0, тогда печать вообще могла не пройти. Но так, чтобы задержка... Не DrWeb 10 ли у вас используется совместно с DL? В такой связке (когда еще и MS Office по разрядности не совпадает с MS Windows) возможны любые накладки при печати документов, это да...
+ есть шанс, !=0, что идет клинч между драйвером печати DL и установленным драйвером принтера. На моей памяти было 2-3 раза. Но проблема решаемая долгим реконфигурированием DL по журналу событий (если только ОС не Win10)...

Автор: Yerdan | 73552 07.07.2017 16:06
2oko
1. Там, конечно, цепочка из нескольких систем, информация между которыми передается через аттестованные совместно с ними флешки, одна из систем СИРД, но что там за нюанс? Просто особое прочтение каких-то документов или где-то прямо что-то написано? А так, рабочее место с FR (точнее, где он должен стоять) не СИРД, но и сканера там пока нет.
Если шаблон DL не применять, то FR в 0 сессии работает нормально. Как только применяешь - все, даже в 0 не работает. Сборка та самая, с "заплаткой".
2. Я, конечно, грешу на принтер, но не полностью. В 7.7 так не тупило, а после установки 8.0 началась такая катавасия. Принтер там (точнее МФУ без сканера) - Kyocera 180. DrWeb 6.0, разрядность офиса и винды совпадает, правда, х64... И да, не Win10, как ее вообще можно на объектах использовать?

Автор: oko | 73556 07.07.2017 17:10
<Там, конечно, цепочка из нескольких систем, информация между которыми передается через аттестованные совместно с ними флешки, одна из систем СИРД>
При таком подходе нюансов никаких (кроме общих, ага) :)
<Если шаблон DL не применять, то FR в 0 сессии работает нормально. Как только применяешь - все, даже в 0 не работает.>
А вот это странно. Попробую поковырять ради интереса, как доберусь до тестовой машины. В соседней ветке форума уже рассказывал про механизм "разделяемых папок" и особо "вредное" ППО на примере AutoCAD (http://itsec.ru/forum.php?sub=14180&from=-1). Возможно, с FR11 аналогичная ситуация...
<Принтер там (точнее МФУ без сканера) - Kyocera 180. DrWeb 6.0, разрядность офиса и винды совпадает, правда, х64>
Вот это все в совокупности может и шалить. Надо тестировать. Кстати, Dr.Web-то пора менять на 10 версию. С 6 уже сертификат заканчивается и не будет продлеваться. Да и по старым требованиям (без профилей АВЗ) выдан он...
<И да, не Win10, как ее вообще можно на объектах использовать>
Находятся чудаки. Каюсь, грешен, пришлось пару таких под аттестацию подвести. Поскольку формально запрета на нее нет, а заказчикам иногда "ну очень надо"...

Автор: hecc | 73563 07.07.2017 22:37
ПО поводу DL и FR делал запрос в конфидент полгода назад. Техподдержка сказала, что на данный момент не совместимы. Тестировал на версии с заплаткой. Убил на это два дня. Даже под суперадмином в нулевой сессии не работал. Методом проб и ошибок был результат работы в нулевой сессии, но не записал какие папки делал разделяемыми и не получилось повторить и в итоге забил) Пробовал разные FR кстати. А по поводу DrWeb10, 8 DL и office 13 мне на одном объекте помогла установка Dr.web 10 winspace с сертифицированного диска. С ним в сессии выше нуля работало. Когда ставил дистр не winspace-не работал word и установка совместимости с vista не помогала.
ПО поводу печати-сегодня ставил даллас и после него подключил и настроил мфу. в итоге в конфиденциальном режиме не печатало. Помогла только переустановка далласа, так и не понял в чем бага, тк настройки не менял.

Автор: Yerdan | 73564 08.07.2017 01:02
2hecc
Не работал под суперадмином? Это, честно говоря, фантастика. Под суперадмином DL сам не по себе не работает. Так что под суперадмином работает все и всегда. Кстати, FR прекрасно работает под суперадмином (а ему сессия вообще не важна, они на него не действуют).
Если я правильно понял исходя из логов и того, что я видел, то FR вначале записывает временный файл, полученный со сканера или из открытого документа в папку .../temp/finereader.11/temp, а затем переносит его оттуда в папку /temp/finereader.11, ля дальнейшей работы в FR (распознавания или что там надо). При этом в названии файла фигурируют {} скобки (хотя при открытии картинки, т.е. jpg, вроде не было, но все же ошибка была та же самая). Так вот, FR, из-за какой-то блокировки DL даже под 0 сессией не способен осуществить этот перенос. И, соответственно, не может открыть уже отсканированный файл.
PS.
Подскажите, где скачать официальный cuneiform. Сборки в нашем деле не устраивают.

Автор: oko | 73567 08.07.2017 12:30
to Yerdan
Попробуйте поставить грифы "разделяемая папка" на все эти каталоги. Т.е. вначале до установки Далласа прогнать работу ФР под юзером, затем каждый каталог пометить "разделяемой папкой", начиная с наивысшего (иначе не примет). Не факт, но, возможно, поможет...
Cuneiform, походу, загнулся. Во всяком случае для Win. Нашел кучу форков и визуализаторов для Linux...

to hecc
Надо попробовать в следующий раз именно Dr.Web Security Space 10. Спасибо!
А бага у вас была в связи с клинчем драйвера МФУ и драйвера поддержки печати в Далласе. Т.е. драйвер МФУ перезаписал нужную Далласу область памяти (возможно, и библиотеки-перехватчики добавил свои). Как факт, всегда вначале ставьте весь нужный софт, а потом уже СЗИ НСД (касается не только Далласа)...

Автор: hecc | 73568 08.07.2017 13:17
to Yerdan
Шутки шутками, но даже под суперадмином не работал. Впрочем как и некоторые другие специальные программы. Но это при установке уже поверх далласа было. До далласа не пробовал, если честно. И проблема с word 2013 тоже под суперадмином возникает. Так что последняя практика показывает, что не все так однозначно. В совокупности в зависимости от версий OS+Office+антивирус+Dallas каких только баг не встречал, и у всех все по разному))

to oko
Да я знаю, что по хорошему надо даллас поверх всего ставить,и на новых машинах это не проблема реализовать.Но бывает, что уже на аттестованных машинах возникает необходимость добавить софт или поменять принтер или мфу. И вот тогда начинаются пляски...

Кстати, ТП говорит что новая сборка, которая совместима с 10 вебом уже проходит инспекционный контроль. Правда на мой запрос ее предоставить для теста, мне так ничего и не ответили.

Автор: Yerdan | 73570 08.07.2017 16:02
2oko
Не выходит каменный цветок с разделяемыми папками. Ставил, и в автоматическом, и в ручном режиме прописывал - не получается. Дело в том, что FR эти папки каждый раз удаляет и создает заново.

Автор: oko | 73571 08.07.2017 16:15
to hecc
На уже аттестованных: сохраняете конфиг Далласа, удаляете его, ставите нужное ПО, натягиваете Даллас, применяете конфиг и донастраиваете установленное ПО. Шагов много, но это лучше, чем ловить баги. И потом, иным порядком вы явно нарушаете принцип эксплуатации СЗИ НСД. И в Далласе, и в Страже, и в Аккорде и т.п. везде явно указано, что ПО должно быть установлено, запущено и протестировано на работоспособность до установки СЗИ НСД...

to Yerdan
У вас проблемы с распознаванием PDF? И под меткой 0, и выше 0? А вам нужно в любых метках или только под 1 (2)? Если только под одной - готов поделиться "костылем". Только что протестировал схему - работает (правда, с FR12 ломаным, но, думаю, разницы не будет - да простит меня компания ABBYY за использование кряков для их софта, ага). Костыль, потому что это может создать проблему для другого "особенного софта". Типовой софт (архиваторы, PDF-читалки, Office) + FR12 в такой конфигурации работает. Что будет с AutoCAD, CorelDRAW и т.п. - не рискну предполагать - надо тестировать...

*в сторону* JPG, кстати, распознается и работает без проблем при любых мандатных сессиях. И тут, кстати, можно доковырять до новой уязвимости в Далласе (некорректно их драйвер считывания меток NTFS работает). Но мне лень...

Автор: oko | 73572 08.07.2017 16:32
Собственно, для работы FR11-FR12 под какой-то 1 мандатной меткой надо:
1. Запустить FR до установки Далласа под нужным юзером. Остальной софт тоже, разумеется.
2. До установки Далласа в "переменных средах" (которые в доп.параметрах системы) сменить "%USERPROFILE%\AppData\Local\Temp" на "C:\Windows\Temp" и дать средствами Win доступ в этот каталог всем нужным юзерам "по максимуму". Вот один из аспектов "костыля", кстати, зато официальный - один из способов настройки SN в свое время был. Рассуждать о секьюрности такого способа не буду - сами все понимаете, думаю :)
3. Натянуть Даллас, перегрузиться и установить в его настройках:
- применить шаблоны для другого используемого ПО, исключая FR;
- "раздел.папка" на C:\Windows\Temp, дискр.доступ для нужных юзеров со всеми опциями КРОМЕ "выполнение вложенных объектов" (мы же за ЗПС, не так ли?)
- "раздел.папка" на C:\Users\имя_юзера\AppData\Local\Temp СНИМАЕМ! Вместо этого ставим мандатную метку, под которой должен работать FR;
- "раздел.папка" на C:\ProgramData\ABBYY\Finereader\12.00, дискр.доступ туда всем юзерам БЕЗ "выполнения вложенных объектов";
- "раздел.папка" на C:\Users\имя_юзера\Local\ABBYY\FineReader\12.00, дискр.доступ туда юзеру-владельцу каталога БЕЗ "выполнения вложенных объектов";
- в "Параметрах ФС по умолчанию" ставим всем юзерам полный доступ БЕЗ "выполнения вложенных объектов";
- на каталоги "C:\Windows", "C:\ProgramData", "C:\ProgramFiles(x86)" и аналогичный для x64 - ставим всем юзерам полный доступ С "выполнением вложенных объектов".
Profit!
Теперь из контекстного меню по любому PDF-файлу в нужной мандатной сессии корректно работает преобразование в Word. Для JPG-файлов теперь тоже работает только в избранной мандатной сессии. + у нас настроена какая-никакая ЗПС (в каталоги, где запуск разрешен, юзеров не пустит Win своими средствами, а из других каталогов запуск ПО запрещен).

ЗЫ Если всего этого не делать, а сделать только перенаправление в C:\Windows\Temp с "раздел.папкой" (или "раздел.папка" на Temp в профиле пользователя, как обычно делается для любого софта), то работать не будет. Прикол в том, что и в случае PDF, и в случае JPG FR создает в C:\Users\имя_юзера\AppData\Local\Temp\FineReader12.00\ те самые каталоги, о которых писал тов. Yerdan. Но при "раздел.папке" на этом "Temp" распознавание JPG-файлов почему-то проходит нормально в любой сессии, а распознавание PDF-файлов не проходит ни при каких условиях. В этом и углядывается косяк Далласа как СЗИ, и косяк ABBYY как разработчика - перенаправление временных сред, заданное в профилях пользователей (в моем примере, в C:\Windows\Temp) должно работать нативно для любого софта, однако ABBYY использует жесткие ссылки (впрочем, при ошибках доступа ругается на C:\Windows\Temp, хотя фактически создает недоступные каталоги все равно в профиле пользователя). Вот такие они, криворукие программисты...

Автор: Yerdan | 73573 08.07.2017 22:51
2oko
Спасибо за рецепт, попробую, хотя использовать ломаный софт в аттестованной системе...
И да:
1) увы, мне нужно работать минимум в 2 сессиях;
2) У меня и jpg не открывает. Пишет, что такого файла во временных каталогах нет. Хотя, разумеется, немного иначе, чем в случае с pdf;
3) восстановление настроек DL, увы, работает только в ТОЙ ЖЕ САМОЙ системе, где этот DLбыл перед этим установлен. Создать пользователей (даже не профили) эта функция не способна. Когда у тебя 5-10 пользователей - в принципе не слишком важно. Когда у тебя система заточена под 50-70 пользователей...

ЗЫ. А кто читал новый стандарт "специалист по ТЗИ"? Как вам тот факт, что администрирование СЗИ вменено НАЧАЛЬНИКУ ОТДЕЛА ТЗИ?

Автор: oko | 73578 09.07.2017 13:34
to Yerdan
1. Для jpg - как указал, "раздел.папка" на ProgramData...
2. Восстановление настроек, рекомендованное тов. hecc, и будет в той же системе, так что проблем никаких...
3. В вашем случае софт может быть и с лицензией, не должно быть разницы (вероятность крайне мала, ага). Это у меня под рукой лицензии не оказалось...
4. Профиль настроенного юзера копируется к ненастроенным. Настройки Далласа тоже методом ctrl-c ctrl-v перебиваются. Время будет затрачено, конечно, но в разы меньше, чем при ручном режиме...
5. Стандарты в нашей стране зачастую "чтобы было", а вовсе не "обязательно к применению" (читай, уже не СССР)...

Автор: hecc | 73750 10.07.2017 10:29
to oko
Возьму на заметку, и спасибо за развернутое описание про FR. Надо будет потестить. Вообще всегда старался как можно меньше трогать без надобности и удалять СЗИ от НСД на аттестованных машинах. Только после того как несколько раз наткнулся на баги при обновлении далласа по коду техподдержки стал удалять и заново ставить новую сборку.

Автор: Alexey | 73844 13.07.2017 17:40
Win7+Dr.Web6+DL8-С
Подскажите пожалуйста в чем могут быть причины:
- журнал входов, на одном АРМ отображает только вход в текущей сессии (без истории входов за предыдущие периоды), а на другом АРМ пишет ошибку получения журнала, некорректная дата или время (хотя файл журнала в папке DL существует и его размер растет, видимо записи добавляются).

Прошла пара недель

Автор: Artem, Комиссия по делам несовершеннолетних и защите их прав Администрации Тазовского района | 74222 25.07.2017 07:00
Здравствуйте, вновь прошу совета, Windows Server 2008 R2 Server Standard + Dallas Lock 8.0-C, программа дала сбой, при загрузке появляется оболочка далласа, блокирует ОС. Был совет загружаться с диска Далласа, либо по мануалу аварийного снятия системы защиты. При загрузке с диска и выбора пункта "Аварийное восстановление DL 8.0" требуется указать путь к папке Windows, при указывании пути выходит сообщение, что путь не верный, либо DL не был установлен (Возможно потому, что DL был удален ранее). Далее прошелся по мануалу ручного отключения защиты (Переименование и копирование файлов в командной строке (некоторых файлов не было), отключение загрузчика, чистка реестра утилитой), ничего не помогло, так же загружается оболочка Далласа... Какие еще есть методы снятия защиты, или остаётся только переустановка Windows?

Автор: oko | 74242 25.07.2017 12:46
to Artem
Если <путь не верный, либо DL не был установлен (Возможно потому, что DL был удален ранее)> и DL реально был ранее удален, а уже потом пытались его аварийно снять, то самый правильный выход - это переставить ОС и заново все накатить. Переустановка серверной системы, конечно, болезненный процесс, но альтернативы еще хуже...

Автор: ГОСТ | 74471 28.07.2017 08:14
Доброе утро. Возникала ли у кого ошибка "ошибка при установке драйвера" при удаленной установке с помощью СБ клиентов новой сборки 8.0.436 на Win7. Как ее можно решить?

Автор: oko | 74485 28.07.2017 16:41
to ГОСТ
Курите в сторону антивирусных средств, брандмауэеров, иных средств защиты (например, программ, поставляемых с материнской платой, которые накатили скопом вместе с драйверами), кривизны ОС (если она в активной эксплуатации уже 2-3 года - не удивительно). Скорее всего, речь о драйвере межсетевого экрана в составе Далласа и ему что-то мешает. Если же ничего из вышеперечисленного не мешает, то пишите в техподдержку Конфидента и сбрасывайте им лог установки.

Автор: ГОСТ | 74871 02.08.2017 13:31
Если вдруг у кого такая же ошибка, то помогло отключение проверки цифровой подписи драйверов в Windows.

Автор: Баир, МИФНС России №20 по Иркутской области | 74883 03.08.2017 05:40
Добрый день! Есть проблема после установки версии СЗИ Dallas lock - К 8.0.436. Не применяется конфигурация на сервере безопасности предварительно сохраненной конфигурации. Выдает ошибку "файл конфигурации не был применен (bad crc). Контрольные суммы скачанного дистрибутива с формуляром сверены. Кто-нибудь сталкивался с такой ошибкой? Что можно сделать?
Техподдержка без кода техподдержки не отвечает.

Автор: oko | 74903 03.08.2017 12:26
to Баир
Bad crc - ошибка контрольного суммирования сохраненной конфигурации (в вашем случае). Либо файл конфигураций поврежден, либо 8.0.436 версия вообще не поддерживает формат конфигураций от предыдущих версий...
Как бы то ни было - настраивайте заново вручную. Оно, в целом, и правильно будет, чем старые конфигурации подтягивать пытаться...

Автор: Баир, МИФНС России №20 по Иркутской области | 74938 04.08.2017 04:07
to oko
Спасибо за ответ. Конфиг свежий, от предыдущей версии 8.0.347.20. В нем настроено всего 20 машин. Так что вряд ли он поврежден, так как после неудачной установки новой версии, вернулся на старую. Конфиг применился. Больше похоже, на второй вариант,что очень расстраивает.

Автор: Nox1us, CCT | 75289 09.08.2017 12:54
Добрый день!
Установили локально на клиентской машине (АРМ-1) Dallas Lock 8.0-C (сборка 436) с модулями МЭ+СОВ.
После установки отключили временно межсетевой экран. Потом установили СБ на другой машине (АРМ-2) и ввели в домен безопасности АРМ-1. После этого на АРМ-1 пропал доступ в интернет. Через СБ пробовали отключить МЭ (до этого он был отключен локально на АРМ-1), но это не помогло. Интернет появляется только если включить неактивный режим на АРМ-1. Подскажите, что-нибудь еще кроме МЭ может блокировать доступ в интернет?

Прошла пара недель

Автор: lenur7, больница | 76146 23.08.2017 08:07
Не могу установить Kaspersky Endpoint Sec. 10 c установленным Dallas Lock 8.0.223.0. Что делать?

Автор: LemonCHiK | 76147 23.08.2017 08:46
To lenur7, попробуйте сохранить конфигурацию, удалите DL, установите KES, установите DL и подцепите исходную конфигурацию

Прошла пара месяцев

Автор: Несчастный администратор | 80078 19.10.2017 16:04
Здравствуйте, хотелось бы вернуться уже к не раз обсуждаемому в данной теме вопросу, а именно записи дисков пользователями при уровне мандатного доступа > "0". В свое время я обращался в тех.поддержку, где в принципе получил исчерпывающий ответ:

Для того чтобы производить запись CD-дисков стандартными средствами ОС в режиме выше "Открытые данные", должны быть выполнены следующие условия:

1. Запись должна осуществляться из папки, которая имеет мандатную метку.
2. Форматировать CD диск.
3. Необходимо назначить на CD диск куда будет производится запись, метку мандатного доступа, такую же как и у папки где лежат файлы для записи.
4. Сделать разделяемыми папки, для ОС Windows 7, 8, 8.1, 10:

C:\Users\<имя пользователя>\AppData\Local\Microsoft\Windows\Burn\Burn
C:\Users\<имя пользователя>\AppData\Local\Temp

Если Вы хотите вести запись с помощью сторонних программ, то разделяемые папки будут другими в зависимости от используемого для записи дисков ПО.

5. Также Необходимые пользователи должны быть добавлены в политику «Низкоуровневый доступ к диску» Dallas Lock.
6. Запись должна быть разрешена средствами ОС.

Из этого следует, что для записи дисков Администратору необходимо отформатировать диск и поставить на него мандатную метку. Форматирование стандартными средствами ОС под win7 приводит к тому, что диск работает как флеш-накопитель (так же можно выбрать в меню при попытке зайти на чистый диск).

И наконец вопрос, правильно ли, то что диск используется как флеш-накопитель? Ведь данные на нем можно изменить\дописать и т.д, в отличие от стандартного метода записи. Как вы записываете диски стандартными средствами ОС или сторонними программами? Спасибо.

Автор: Hecc | 80080 19.10.2017 17:37
Для Несчастный администратор
Не вижу оснований для того, чтобы это было не правильно. Диск учитывается в системе, в прочем как и флешка, а также в журнале носителей. Это куда лучше, чем если бы было как раньше, когда можно было записывать все что хочешь, куда хочешь и как хочешь. Теперь за каждый нужно будте отчитаться. Как правило, на объектах всем настраиваю запись стандартными средствами, потому как так меньше возни. Будут интересны другие мнения на сей счет.

Автор: oko | 80085 19.10.2017 21:32
*в сторону* форматируйте CD-диск не как флеш-накопитель, кто мешает? А цимес в старой как мир идее "финализации" диска. Чтобы на грифованный носитель, для которого и количество байт считать надо, ага, никакой другой враг (или дебил) не мог позже ничего нового дописать...

Автор: Несчастный администратор | 80088 19.10.2017 23:41
to Oko
при форматировании CD не как флеш-накопителя запись стандартными средствами ОС не работает в сессии выше 0. И вообще соглашусь с тов. Hecc, что данный способ куда лучше. чем был ранее. Лишь для успокоения хотелось уточнить данный вопрос у гуру форума. Спасибо.

Прошла пара недель

Автор: Александр | 81868 08.11.2017 14:50
Добрый день.

Правильно ли я понимаю, при установленном средстве защиты Dallas Lock 8.0.347.4 программное обеспечение FineReader (любой версии) работать не будет? (На диске имеются шаблоны для данного ПО, но они не помогают).

Разбор ошибок их журнала ресурсов дал малый результат - C:\Users\user1\AppData\Local\Temp\Fine.SSR11\SSR...... - Нарушение совместного доступа.

Заранее, спасибо.

Автор: oko | 81870 08.11.2017 15:29
to Александр
Поищите в этой же теме - можно заставить FR работать, но там есть сложности. Писал уже об этом страниц 3-4 назад...

to Несчастный администратор
Читайте новые требования, которые вместо СТР скоро вступят в силу, и думайте, что целесообразно, а что нет (в части "как флеш" и "не как флеш")...

Прошла пара недель

Автор: Vosiley | 82778 22.11.2017 11:38
Из недавнего общения с техподдержкой выяснил, что в Конфиденте спустя год так и не узнали о том, что с Finereader есть какие-то проблемы.

Автор: oko | 82791 22.11.2017 17:16
to Vosiley
Все они знают, только не хотят палиться. Вы их еще про Dr.Web 10 спросите (понимаю, что боянЪ, но не мог не вспомнить, ага)...

Автор: sekira | 82794 22.11.2017 22:08
И про Касперского

Автор: oko | 82796 22.11.2017 22:28
to sekira
А в связке с Каспером что не так? Пробовал сертиф.версии KAV6.0, KES8.0 и KES10.0 - никаких нареканий не было. Если, конечно, оставлять только файловый антивирус и мониторинг системы...

Прошла пара недель

Автор: Alexandr | 83295 07.12.2017 16:34
Такая проблема.

ОС win10 + ms offise 2016 + dallas 8.0-c

До установки СЗИ Даллас лок:

Чистая винда 10, офис только что поставил,принтер печатает в office 2016 без проблем. Все свойства системы отображаются ( устройства и принтеры, свойства системы)

После установки СЗИ, без настройки сзи - в открытом режиме!!! из под учетной записи админа!!!:

принтер не печатает из офиса 2016, печать пробной страницы идет. Печать прямо на принтер не могу поставить, кружочек заблокирован, устройства и принтеры не открываются.

Кто сталкивался с такой?








Автор: Горшок | 83297 07.12.2017 17:15
Alexandr,
попробуйте распечатать из под учетной записи пользователя

Автор: Alexandr | 83317 08.12.2017 08:38
1. Переустановил виндовс, Установил драйвера. Отключил при установки: голосовые помощники,
весь сбор сведений.

2. Установил Dallas Lock, применил их шаблон MS Offise - печатает, под любой сессией.

Печатает! Все работает!

Но огорчает одно, свойства системы + устройства и принтеры все равно не открываются.

Не знаю, что именно помогло, для печати. Работать можно. Всем Спасибо.

Автор: Alexandr | 83318 08.12.2017 08:49
Устройства и принтеры и свойства системы - открываются, только через панель управления.
Вопрос снят, окончательно.

P.S. в компе стоит СДЗ далласа, вещь приятная, настраивается легко, лучше чем Secret net Соболь (в плане дружелюбного интерфейса) По вопросам звонил в тех поддержку Далласа, очень удивило, отвечают сразу, общение порадовало, тоже камень в сторону кода безопасности...

Автор: Vosiley | 83477 11.12.2017 12:54
Как ни странно, при применении мандатного шаблона на MS Office устанавливается разделяемая папка /spool/PRINTERS, после чего принтер может не печатать при мандатной метке.
Лечится путем удаления данной папки из разделяемых.

Автор: Alexandr | 83479 11.12.2017 14:12
Нет, шаблон через блокнот открывал, не было такого пути. Вроде во всех версиях Даллас Лока, в шаблонах нет такого пути. Иногда из за особенностей принтера, даже приходится назначить перенаправление (сделать разделяемой) и на эту папку и папку /spool/drivers. Все это можно отследить по журналам.

А так радует Страж NT, где нужно установить без проверки/

Если винда не глючная и не убитая.

Прошло около недели

Автор: Мария | 83933 18.12.2017 16:25
Здравствуйте! Установили Dallas Lock 8.0-k на компьютер, учетную запись создали из домена (компьютеры находятся в домене, сервер безопасности не устанавливался), привязали к учетной записи рутокен. При входе этого пользователя почему-то нельзя войти под паролем (без рутокена), пишет предъявлен неверный аппаратный идентификатор. Как настроить Dallas Lock так чтобы можно было входить и под паролем и с рутокеном? И как сделать так чтобы он позволял входить с рутокенов других пол

Автор: Антон | 83937 18.12.2017 17:23
Мария, если Вы назначили для пользователя аппаратный идентификатор, то вход в систему без его предъявления будет невозможен. После назначения аппаратного идентификатора вход в систему возможен только после его предъявления, выбора входить по паролю, либо по идентификатору в Dallas Lock нет.
Все аппаратные идентификаторы, которые Вы планируете использовать для авторизации должны быть прописаны для соответствующих учетных записей на конкретном ПК.

Автор: Мария | 83952 19.12.2017 11:25
Но до этого мы входили и по паролю и по рутокену. Как-то ведь было настроено? Более того можно было зайти с любым рутокеном в любой компьютер с записанными на него данными пользователя. Сейчас после переустановки требуют чтоб настроили, но я не представляю как это можно сделать..

Автор: Антон | 83954 19.12.2017 12:10
В свойствах пользователя Вам нужно присвоить нужный аппаратный идентификатор. Вкладка Аппаратная идентификация в свойствах пользователя. Если нужно то запишите туда авторизационные данные пользователя. Предварительно не забудьте включить поддержку аппаратной идентификации в Параметры безопасности - Вход - Настройка считывателей аппаратных идентификаторов.

Автор: Мария | 83957 19.12.2017 15:35
Как бы я им пользовалась если б он не был привязанным у пользователя? Нужно чтоб еще с паролем заходил. Без идентификатора

Автор: Антон | 83961 19.12.2017 17:46
Мария,

возможно неправильно Вас понял. Но по своему опыту работы с DL могу сказать что если привязан идентификатор для пользователя, то без его предъявления авторизоваться в ОС нельзя.

Может быть что-то изменилось в новых версиях.
Обратитесь в техподдержку, они точно Вам скажут.

Прошел месяц

Автор: green | 85643 26.01.2018 08:25
Добрый день!
Столкнулись с такой проблемой: вылетает MS Word при открытии любого документа ("Прекращена работа программы MS Word"). Ошибка не оставляет никаких следов в журнале Dallas Lock (включен полный аудит отказа на системный диск). Проблема устраняется только при заблокированном контроле печати (в настройках неактивного режима).
Windows 10 Home Edition + Dallas Lock 8.0-С + Kaspersky Endpoint Security 10.
В какую сторону можно копать?
Заранее спасибо!

Автор: green | 85644 26.01.2018 08:30
К сообщению 85643:
Версия офиса – Microsoft Office для дома и бизнеса 2013.

Автор: Obi Van | 85645 26.01.2018 08:34
Разве Dallas Lock 8.0-С поддерживает работу в Windows 10 ??

Автор: green | 85647 26.01.2018 08:56

Автор: Hecc | 85650 26.01.2018 09:10
Это под всеми пользователями? У администратора безопасности все работает? Сборка далласа какая? Пробовали обновлять сборку?
Как вариант попробовать то же самое, но с другими версиями офиса или касперсого, чтобы хотя бы понять причину.
У меня похожее встречалось с вин7, дл8 и др.веб 10 и офис13, помогла установка последней сборки далласа.
Я бы на вашем месте написал в техподдержку далласа. Возможно у них есть информация о данном баге. Потому как не раз уже получалось, что голову ломаешь, а потом техподдержка говорит, что у них изменились алгоритмы в программе или она не совместима с таким то ПО.

Автор: green | 85652 26.01.2018 09:21
>Hecc | 85650

Под администратором проблема сохраняется, сборка Далласа – 347.4.
Да, в ТП, конечно, стоит обратиться. Спасибо!

Автор: green | 85653 26.01.2018 09:23
Вдогонку еще одна ситуация:

Windows 7 Pro + Dallas Lock 7.7 + McAfee VirusScan Enterprise 8.7.
Есть внешний жесткий диск (далее – HDD), который определяется в системе не как съемное USB-устройство, а как отдельный логический том.
При выставлении мандатных и дискреционных прав на папки на HDD соответствующие записи появляются в настройках Dallas Lock. Однако при отключении HDD эти записи меняются – в них пропадает метка тома (то есть, например, в списке дискреционных настроек "I:\Папка" превращается в "?:\Папка".
Само по себе это не проблема – при подключении HDD записи восстанавливаются и все права фактически сохраняются. Но когда HDD отключен, появляется запись об ошибке в графе "Контроль целостности": "?:\Папка - дескриптор принадлежит неизвестному диску (разделу)" .
Это приводит к тому, что при перезагрузке выскакивает предупреждение о нарушении целостности, и загрузка из-под пользователя невозможна. Если загружаться с подключенным HDD, то предупреждения нет.
Короче говоря: Даллас ведёт себя по отношению к HDD так, будто на него выставлен контроль целостности, и считает его отключение изменением конфигурации.

Перепроверил – на HDD точно не выставлен контроль целостности.
Полное отключение контроля целостности (в глобальных настройках) ничего не даёт.

Пробовал вариант прописать права на HDD без использования буквы тома – через серийный номер устройства (подобно тому, как, например, флешки прописываются "Flash(xxx):\", где xxx - серийный номер).
Нашёл серийный номер жёсткого диска, но никак не подберу подходящий вариант записи (то есть что писать – "HDD", "USB-HDD" или что-то еще).

Также в глобальных параметрах для устройств разрешил подключение любых устройств и отключил аудит, проблема по-прежнему сохраняется.

Можете что-нибудь подсказать?
Спасибо!

Автор: А | 85658 26.01.2018 11:27
green | 85643

Проверьте чтобы разрядность 10ки совпадала с офисом, было такое.

Автор: Adm | 85666 26.01.2018 14:27
to green | 85643
Попробуйте на файл приложения "MS Word" поставить режим совместимости с Windows....

Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 85668 26.01.2018 16:10
Совет. Посмотрите, что у Вас за обновление 10-ки. MS пару месяцев назад серьезно реализацию LPC обмена поменяли (, из собственного опыта - нам с этим пришлось помучиться). Поставьте базовую, без обновлений, посмотрите.

Автор: oko | 85690 26.01.2018 21:43
to green
Вне зависимости от заверений Конфидента, сборка ДЛ 347.4 не поддерживает ОС Windows 10 (вернее, поддерживает тот экземпляр, который был на тесте у Конфидента, ага). Обновляйтесь. Благо, новые сборки инспекционный контроль уже прошли...

<Windows 7 Pro + Dallas Lock 7.7 + McAfee VirusScan Enterprise 8.7> - у меня даже нет слов, чтобы описать такое извращение. Либо обновляйтесь, либо миритесь с результатом. Хотя... что-то было в ДЛ 7.7 про "дескриптор по пути" (абсолютный, кажется) - копайте в эту сторону. Вполне вероятно также, что дискреционка в ДЛ 7.7 совмещена с условным КЦ, который и косячит - в таком случае ничего исправить, увы, не получится...

Автор: green | 85899 29.01.2018 10:45
to Hecc | 85650
to oko | 85690

>>помогла установка последней сборки далласа.
>>Обновляйтесь. Благо, новые сборки инспекционный контроль уже прошли...

Обновление до версии 8.0.436 помогло. Данные о совместимости Dallas Lock с Windows 10 на сайте Конфидента действительно оказались не совсем корректными. Спасибо!

>>Вполне вероятно также, что дискреционка в ДЛ 7.7 совмещена с условным КЦ, который и косячит

Да, тоже такие подозрениея возникают.

>>что-то было в ДЛ 7.7 про "дескриптор по пути" (абсолютный, кажется) - копайте в эту сторону

Учту, спасибо!

Прошел месяц

Автор: Юлия | 88834 05.03.2018 18:12
Здравствуйте, устанавливаю в организации Dallas Lock 8.0-K, при установке на
сервере идет конфликт между Касперским и Далласом - после перезагрузки сервер
не может загрузить операционную систему. Устанавливала без Касперского, все
работает, стоит его установить и все, не грузит. При установке Далласа после
Касперского такая же картина.
Могут ли конфликтовать Даллас и Касперский и как это исправить? Dallas версия - RU.4895 7919 5014 10-0, Kasp - 10.2.4.674.

Автор: oko | 88836 05.03.2018 19:36
to Юлия
Вестимо, идет конфликт МЭ в составе Далласа с МЭ в составе Касперского. Потому что иные случаи проверялись (по этим версиям, хотя версию Далласа вы указали некорректно, но это не страшно) - все работало. Подумайте, какой МЭ вам нужен (вероятнее, в составе Далласа) и ставьте этот компонент в составе только одного СЗИ...
Если не поможет, проверьте сборку Далласа. Должна быть 347 и выше для корректной работы (и без потерь сертификации, ага)...

Автор: Ste | 88961 06.03.2018 20:25
Помогите решить проблему с Win 10 Pro + Dallas Lock 8.0-C.
На компе поставили Win 10 Pro версии 1709 сборки 16299.125 что я так понимаю по сути Creatures Pack. При установке DL 8.0-C под метками выше 0. Кнопка Пуск не робит! Конфидент предложил сделать разделяемую папку C:\Users\<name>\AppData\Local\TileDataLayer, НО в данной версии её и нет, как узнал в новой версии заменили TileDataLayer на что-то другое, покопавшись в логах и я, и Конфидент напоролись на папку C:\ProgramData\Microsoft\Windows\WER, но применение разделяемой папки так и не помогло, как и к C:\ProgramData\Microsoft\Windows\WER\Temp и даже к C:\ProgramData. Встречался ли кто уже с данной проблемой?
Интересно что в версии 1709 винды сборки 12699.248 опять эта папка присутствует. Попробую обновиться, НО ВСЁ ЖЕ интересует возможно ли решить эту проблему с данной сборкой...

Автор: oko | 88966 06.03.2018 23:44
to Ste
Лучше техподдержки Конфидента никто не ответит...
Ищите и обрящите. Конкретно к вашим условиям (с учетом разности билдов этой пародии на ОС) кейс вряд ли кто поедложит...
И, лучше, смените ОС на что-нибудь более подходящее. Уверен, проблемы с заменой окупят проблемы с настройкой...
И никогда, повторяю, никогда не разделяйте корневые каталоги (даже C:\Temp, лучше уж перенаправлять)...

Автор: yason | 88979 07.03.2018 11:11
Добрый день! Хотим мигрировать системы на DallasLock 8-С (намучились с секретнетом), вижу есть проблемы с Win10, подскажите имеются ли проблемы использования на XP, 7, 8.1 в т.ч. с использованием HyperTerminal (есть XP и 7, дополнительно новые системы хотим ставить на 8.1), т.е. на что лучше ставить из опыта эксплуатации, чтобы проблем меньше было?

Автор: Проходящий | 88980 07.03.2018 11:58
to oko,
не могли бы объяснить свою позицию по поводу разделяемых корневых каталогов?

Автор: oko | 89004 07.03.2018 17:38
to Проходящий
Овер дохрена копий файлов и структур катаоогов в фейковых разделенных каталогах - недостаточная причина?
К тому же корневые разделы являются общесистемными, затрагиваемыми всем установленным ППО. Разработчики которого знать не знают ни о Далласе, ни о логике работы отечественных СЗИ НСД в целом...

Автор: Ничего не понимаю | 89136 08.03.2018 12:57
to Oko
"Разработчики которого знать не знают ни о Далласе, ни о логике работы отечественных СЗИ НСД в целом" - мне кажется об этом должен, как раз Конфидент заботиться, а не разработчики ППО. Однако, от версии к версии, обнаруживается ПО несовместимое с Dallas Lock 8.0-C.

И еще такой вопрос после обновления DL до сборки 8.0.436.0 принтер HP отказывается печатать 2 экземпляра документа (не исключаю, что дело может быть и в MS Office). Никто не сталкивался с подобным явлением ? Разделение папок по system32/spool или system32/spool/PRINTERS приводит к тому, что принтер вообще отказывается печатать (раньше такой способ помогал), Спасибо.

Автор: oko | 89138 08.03.2018 13:17
to Ничего не понимаю
А снежный человек хочет, чтобы его называли 'сыном земли' (с)
Даллас аак СЗИ НСД сессионного типа мандатной политики априори не должен поддерживать весь спектр ППО без исключений. Хотите полной совместимости - используйте Страж или Аккорд...
В тему печати: какие ОС, версия Офиса, как настраивали? После 286 сборки Конфидент поломал Даллас, исправив уязвимость, ага. И теперь такие закидоны этого СЗИ весьма вероятны...

Автор: Проходящий | 89267 12.03.2018 11:10
to Ничего не понимаю...
Если не ошибаюсь, то DL может напечатать только одну копию. По крайней мере в DL 7.7 было именно так.

Автор: Hecc | 89275 12.03.2018 15:02
to Ничего не понимаю
У меня подобные баги были когда принтер настраивался после установки сзи от нсд. как вариант снести даллас, проверить, будет ли печатать как надо. если будет, то по идее должно заработать и после повторной установки далласа.
Кстати, конкретно у вас, возможно, не нужно делать разделяемыми папки с драйверами на принтер. У меня была ситуация, что принтер HP в сессиях выше нуля не печатал, и разделение папок с драйверами на него не помогало. а выручало присвоение более высокой мандатной метки файлам NE01, NE02 и тд. Они вылезали при аудите на отказ при подаче на печать и находились в какой то из папок, связанных с драйверами.

А вообще даллас, по-моему скромному мнению-УГ. Такое ощущение, что теститровщиков в конфиденте нет как класса. Постоянно вылезают какие то баги, ошибки. Хотя, если бы не было стольких проблем, то был бы вполне себе годный продукт.

Автор: Ничего не понимаю | 89277 12.03.2018 18:27
to Проходящий
Да, в DL 7.7 было именно так, и это отражалось в ЭД к СЗИ. DL 8.0 умеет 2 копии печатать в сессии отличной от "0".

to Heсс
Драйвера на принтер и его настройка производились до установки СЗИ от НСД. Во-первых, при аудите отказов таких файлов нет. А во-вторых, когда-то сталкивался с подобным на более старой сборке DL 8.0-C, и при присвоении мандатной метки файлу Ne01, принтер переставал совсем печатать в сессиях ниже установленной мандатной метки.


to Oko
WIn7 Pro (сборку могу посмотреть), Office 2016. Настраивали по журналу с использованием аудита отказов.

Автор: oko | 89278 12.03.2018 19:18
to Ничего не понимаю
<...Office 2016. Настраивали по журналу с использованием аудита отказов> - вестимо, в этом косяк. Скорее всего проблема как это было в Office 2013, где добавили исполняемый файл .odf и Secret Net вешался при дефолтной настройке ЗПС. Т.е. вы упускаете какой-то доп.файл. Модуль экстрасенсорики подсказывает, что мелкомягкие наконец-то решили мониторить события spool под любой ОС из своего офисного продукта. Т.е. доп.исполняемый файл/библиотека подгружается в память при событиях печати и пытается перехватить спулер печати *зачеркнуто* чтобы его отправить на изучение в облако с целью улучшения Офиса по результатам статистического анализа */зачеркнуто*...
Попробуйте так:
1. Параметры ФС по умолчанию - дискреционка - тестовый пользователь - разрешить все кроме "выполнение вложенных объектов".
2. Каталоги C:\Windows, C:\ProgramData, C:\Program Files (и х86 тоже) - дискреционка - тестовый пользователь - разрешить все.
3. Перезайти под тестового юзера и проверить.
Если не поможет - разрешить все в дискреционке C:\Users.
Если поможет - у вас косяк ЗПС - либо ищите нужный исполняемый файл (группу файлов), либо оставляйте все как привел выше. За вычетом, пожалуй, C:\Users - тут надо искать конкретику, конечно. В итоге, не самая лучшая настройка ЗПС, но вполне безопасная, если подтянуть остальные механизмы, ага...
Если же все это не поможет - поздравляю, у вас конфликт драйвера принтера с перехватчиком печати Далласа. Пробуйте отключать аудит печати, аудит устройств и смотреть, что получится...

Прошла пара недель

Автор: Soft | 90260 24.03.2018 17:19
Dallas Lock 8.0-K Сервер безопасности Номер сборки: 8.0.347.4, Windows 7.
Проблема возникает при сохранении конфигурации сервера безопасности. "Ошибка сохранения конфигурации (Некорректные параметры вызова функции.) Как это возможно исправить?

Автор: Ничего не понимаю | 90261 24.03.2018 18:10
to Soft
Такая же ситуация возникала на Dallas Lock 8.0-C (8.0.436.0), причем появляется случайно на разных компьютерах. Полностью исправить не удалось, но без галочки на Контроль устройств конфиг сохранялся. Меня такой вариант устроил) А так можно дальше искать причины, последовательно применяя какие-либо настройки в контроле устройств и проверяя возможность сохранения конфига.

Автор: Soft | 90262 24.03.2018 18:22
to Soft Ничего не понимаю
Это сервер безопасности и на нём нет выбора что сохранять в конфиг. Сейвиться должны все настройки сервера. А по последнему предложению, можно попробовать поизменять настройки, но это слишком костыльно.

Прошла пара недель

Автор: Legich | 90898 10.04.2018 10:12
Добрый день!
Планируем поставить в секретке на локальную машину SQL, нужно ли переводить dallas lock в "неактивный" или "мягкий" режим, дабы не возникло проблем в дальнейшем?

Автор: sekira | 90903 10.04.2018 12:38
Обратитесь к тому кто аттестовал (готовил) систему а то проблем не оберетесь и с технической и с правовой стороны.

Автор: Legich | 90907 10.04.2018 14:55
Аттестующий орган дал добро. Я интересовался технической стороной, нужно ли отключать СЗИ в момент установки, чтобы не было проблем в дальнейшем, так как много народа пишет, что ставя после установки СЗИ ПО возникают проблемы.

Автор: Hecc | 90908 10.04.2018 15:22
Если в нулевой сессии планируете работать, то проблем быть не должно. Если выше нуля,то тут скорее всего придется изучать аудит отказов и там уже смотреть каким ресурсам какие параметры ставить.
Вообще проблемы возникают и если СЗИ ставить после установки ПО. Нужно же очищаемые папки прописывать или шаблоны мандатного доступа использовать для популярных программ.

Автор: oko | 90912 10.04.2018 17:48
*в сторону*
Если кто-нибудь поделится секретом, как средствами навесного СЗИ НСД уровня ОС контролировать (мандатные) потоки информации внутри СУБД - выдам ему почетный аттестат соответствия вне очереди на любую ИС. Костыли аля "запуск СПО и СУБД только в нужной сессии" не предлагать...

to Legich
Инсталляцию можете проводить, не снимая Далласа (без мягких/неактивных/проч. режимах) из-под уч. записи Администратора безопасности. Даллас эту учетку не контролирует от слова вообще. А вот дальнейшая настройка и корректировка параметров - совсем другой разговор (см. выше, ага)...

Прошел месяц

Автор: Сергей | 93457 17.05.2018 14:48
Добрый день. Не хочет работать AutoCad совместно с DL8.0-C. Примение шаблонов DL не помогает. При входе в AutoCad зависает на фразе добро пожаловать. Никто не сталкивался? windows 7

Автор: Velmann | 93493 18.05.2018 10:10
to oko
Как!? Вы еще не знаете?!
"Крипто БД" — сертифицированная система предотвращения утечек информации из высокопроизводительных систем управления базами данных (СУБД) Oracle, Microsoft SQL Server, Tibero и PostgreSQL. Компания Алладин РД. Говорят, может шифровать отдельные столбцы в таблице, ага, для конкретного пользователя (упуская при этом показатели потери данных при дешифровке). Про назначение доступа к представлениям и объектным БД ни слова. Не смогла найти практическое применение данному продукту.

Автор: oko | 93514 18.05.2018 14:37
to Velmann
А еще есть сертиф. PostgresPro за 1кк руб. Тоже без никто по функционалу безопасности. Но это все костыли, мало пригодные в обычной жизни (предприятиям уровня Газпрома не напрягаться, ага)...

Автор: oko | 93515 18.05.2018 14:41
*вдогонку*
Сдается мне, авторы КриптоБД работали в соседстве с великим НСДмоытоим 'другого регклятора' - QP. А говорят, что в мертворождении курение виновато...

Прошла пара недель

Автор: Александр | 93864 30.05.2018 07:16
Добрый день.
На компьютере с windows 7 установлен Vipnet client 3.2.13.32672+DL 8-K c МЭ и COB + KES 10 ФСТЭК.
При работе из под администратора DNS запросы ходят и сайты открываются.
При входе с правами пользователя DNS запросы не проходят, т.е.
C:\Users\sbadmdea>ping -a 8.8.8.8

Обмен пакетами с 8.8.8.8 с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время=74мс TTL=55
Ответ от 8.8.8.8: число байт=32 время=37мс TTL=55
Ответ от 8.8.8.8: число байт=32 время=37мс TTL=55
Ответ от 8.8.8.8: число байт=32 время=38мс TTL=55

Статистика Ping для 8.8.8.8:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 37мсек, Максимальное = 74 мсек, Среднее = 46 мсек

Подскажите, в чем проблема .

Автор: mik0lart | 93868 30.05.2018 08:03
2 Александр
Лучше конечно в службу поддержки обращаться с такими вопросами, там быстрее и качественнее помогут...
Для начала найдите причину методом исключения... отключая МЭ, включая пункты меню мягкого режима, изучением событий журналов DL.
Посмотрите что wireshark выдает при обращении к DNS. Наиболее вероятно что МЭ рубит выход в сеть.

Автор: oko | 93873 30.05.2018 09:57
to Александр
Вы б еще больше СЗИ с сетевыми драйверами (модулями перехвата и анализа трафика) поставили...
Модуль экстрасенсорики подсказывает, что:
- у вас ГИС/ИСПДн, а работы проводила какая-то организация-лицензиат в рамках ГК и не очень хотела заморачиваться на техпроектирование нормальной системы защиты;
- ViPNet настроен некорректно (для юзера автоматически срабатывает конфигурация "защищенный трафик пропускать, открытый блокировать" для того же http/https);
- МЭ в DL конфликтует с МЭ в ViPNet (не забываем, что DL под администратором фактически не работает);
- в DL неверно настроена Замкнутая программная среда (рубит часть исполняемых файлов/библиотек прикладного софта, через который проверяете связь с "Интернет");
- они оба конфликтуют с KES на сетевом уровне;
- еще куча различных причин, поскольку приведенная вами "связка", imho, извращение чистой воды...

ЗЫ Пингуйте по DNS-имени. Читайте журналы DL, ViPNet. Читайте системный журнал Windows на предмет ошибок сетевых устройств. Смените ViPNet 3.2 - у него уже истекли сертификаты ФСБ, ага...

Автор: Александр | 93876 30.05.2018 10:38
oko, с удовольствием бы не ставил.
ViPNet используется для подключения к удаленной ГИС, убрать на другой комп не получится.
ViPNet 3.х пропускает весь трафик, открытый и закрытый точнее работает в 5 режиме он не запущен.Запускается когда монитор запустится.Вот тут вы правы, для юзера автоматически срабатывает конфигурация "открытый блокировать" в 4.х версиях в обязательном порядке нужно запускать монитор.
Системный журнал без конфликтов, ошибок нет.
В DL нет отметок, что пинг был по имени.

Прошло около недели

Автор: Vosiley | 94466 09.06.2018 13:59
Ура! на сайте доступна к скачиванию 485-я версия далласа, способная работать с Finereader!

Автор: Ничего не понимаю | 94468 09.06.2018 15:34
To Vosiley
Вы уже проверили ? И года не прошло, главное, чтобы другие вещи не поломали...

Автор: Vosiley | 94471 09.06.2018 17:29
to Ничего не понимаю
Вообще, больше года. Коллеги пробовали, говорят работает.

Прошло около недели

Автор: Александр, Приморский центр занятости населения | 95160 20.06.2018 05:14
Добрый день. После обновления Dallas Lock-K до версии 436 возникла проблема с работой программы проверки жестких дисков chkdsk с ключами /x /f. При загрузке системы программа отрабатывает проверку диска нормально, затем выводится сообщение "Windows закончил проверку диска пожалуйста подождите пока компьютер перезагрузится" и вот тут компьютер должен перезагрузиться, но этого не происходит, висит черный экран с информацией о проверке диска. Помогает только ресет. При удалении Dallasa все работает нормально.

Автор: mik0lart | 95179 20.06.2018 10:54
to Александр

С такими вопросами лучше обращаться в службу поддержки продукта. Если по существу вопроса, то срабатывает драйвер ядра DL - dlflt.sys, что вполне логично. Какой-то там софт осуществляет операцию чтения-записи на этапе загрузки ОС. Можно конечно сказать что это системная утилита входящая в состав операционной системы и что это недочет разработчиков DL, но учитывая скорость выхода исправлений для Windows, можно отнестись с пониманием. В качестве рекомендаций: проверяйте диск командой chkdsk без ключей. А лучше вообще не пользуйтесь этой утилитой. Как показывает практика, chkdsk если и найдет ошибки на диске то есть большая вероятность того, что можно не досчитаться файлов необходимых для загрузки ОС.

Автор: 777 | 95322 21.06.2018 15:20
Добрый день !

Удаляли даллас 8.0с как написано в инструкции через установку/удаление, но что то пошло не так, после перезагрузки висит окно далласа, но зайти нельзя, как можно снести даллас?

Автор: Hecc | 95324 21.06.2018 15:47
В разделе руководства по эксплуатации про Аварийное удаление системы защиты расписано что и как делать. Придется либо загружаться с диска и отключать загрузчик или через командную строку подменять файлы.

Автор: 777 | 95342 21.06.2018 20:52
первое пробовал не получается, командную строку не могу запустить т.к. не могу зайти на комп, логин или пароль не знаю

Автор: mik0lart | 95380 22.06.2018 08:48
to 777

Да не нужен там логин и пароль. Вы должны загрузиться с диска DL путем установки очередности загрузки в BIOS c CD привода. После загрузки диска выбрать пункт аварийное отключение... В общем читаем раздел 19 руководства по эксплуатации к DL. А лучше обратитесь в аттестационный орган, службу поддержки или специалисту имеющему опыт эксплуатации DL.

Прошла пара недель

Автор: Павел | 96272 05.07.2018 07:09
Товарищи, подскажите пожалуйста. Установил ДЛ 8 и Lotus Notes 8.5.3. Так вот ДЛ не дает корректно работать с лотусом. Получается ДЛ не дает лотусу подгружать Java. Но это я так понял. И блокирует открытие некоторых вложений. Кто-нибудь сталкивался с таким?

Автор: Александр | 96296 05.07.2018 13:46
Звоните в Даллас. Жесть, иногда просят такой АРМ сделать защищенным - я вам сочувствую - добра вам и здоровья, вы там держитесь!

Прошел месяц

Автор: Vosiley | 99299 11.08.2018 14:18
Встречается такая нехорошая вещь, как Mapinfo. При любом чихе, связанном с настройкой мандатного доступа, у нее слетает активация, а повторная активация производится в ручном режиме через e-mail (заявка обрабатывается несколько дней вручную!).
Так вот, насколько я понимаю, полноценно настроить эту программу с Dallas Lock не удается, чтобы она работала как с грифом, так и без грифа. Файлы лицензии, к которым обращается программа, содержатся в папке /all users/flexnet. Если папку делать разделяемой, получается так, что в режиме с грифом лицензия остается, а без грифа - уже нет. Версия Mapinfo - 11.5
В Secret Net, например, на эти файлы производится специальная настройка через реестр windows. Настройка говорит secret net'у, чтоб он никогда и ни при каких условиях не трогал эти лицензионные файлы (что тоже сомнительно с точки зрения ЗИ). В Dallas Lock ничего похожего нет. Думаю, нужен специальный шаблон.

Автор: oko | 99330 11.08.2018 16:33
to Vosiley
Сам не трогал, но подозреваю, что выход найти можно. Разделяемая папка на то и разделяемая, что содержит в себе копии 'под разный гриф'. Возможно, надо эти копии собрать вручную? К тому же, разве МапИнфо нужен доступ на r/w к своей лицензии? Если так, то это крайне тупо. Правильнее у разработать этого ППО патч получить...

Автор: Vosiley | 99331 11.08.2018 16:54
to oko
Да, там чего-то все время сравнивается в этих файлах лицензии, не зря secret net подошел к этому способом "не тронь - не завоняет".
А разработчик - в Нью-Йорке, и ему плевать.

Автор: mikolart | 99512 13.08.2018 08:42
to Vosiley
А попробуйте отследить Procmon(ном). По идее файл лицензии не должен для чтения/записи открываться. А если не пишем в файл, то и проблем не должно возникать. И посмотрите куда Mapinfo вообще суется (без СЗИ).

Автор: 777 | 99769 14.08.2018 15:21
Добрый день!

подскажите пожалуйста, возможно ли использовать лицензию от даллас 7.5 в даллас 8.0?

Автор: mikolart | 99771 14.08.2018 15:51
Нет

Автор: Sergi, - | 99909 15.08.2018 13:07
Добрый день!
есть СБ, скажите пожалуйста как работает двойная аутентификация?
Что происходит при подключении Etoken'a на клиенте, чем и как Даллас проверяет параметры для входа?

Прошло около недели

Автор: Vosiley | 100635 24.08.2018 09:20
DL 485.12 не работает с FineReader 14. (windows 10). Ругань идет на каталоги в \program data. Похоже, там адреса файнридера руками вбивают в какие-то библиотеки, и когда новая версия файнридера выходит, наступает печаль.

Прошел месяц

Автор: yason | 102262 24.09.2018 09:54
Может кто сталкивался, на аттестованных АРМ при двойной аутентификации в т.ч. по ключу (рутокен) можно использовать одному работнику один токен для доступа на нескольких автономных АРМ с DallasLock?

Автор: mikolart | 102280 24.09.2018 17:00
2 yason
Видимо о двухфакторной аутентификации идет речь? С технической точки зрения необходимо использовать, один пользователь - один идентификатор. С другой стороны, с той которой организационной, можно организовать выдачу такого идентификатора перед работой под роспись, и его сдачу по окончанию работы. В таком случае можно будет однозначно идентифицировать пользователя. Только такое решение мягко говоря неудачное. А дальше на откуп аттестационному органу.

Автор: oko | 102284 24.09.2018 22:13
to yason
Де юре запретов нет. Пароли только должны вводиться и должны быть уникальными для каждого АРМ (разные же АС)...
Де факто, это вопрос: умеет ли DL (какой версии, кстати?) писать свою доп.инфу в разные контейнеры Рутокена. Честно признаться, с DL + Рутокен ни разу в такой связке (несколько автономных АРМ) не работал...

Автор: Инокентий | 102291 25.09.2018 08:38
Доброе утро!!! Подскажите пожалуйста, нужен ли АМДЗ на спец. АПК " Панцырь-М" аттестация по "С", если нужен то как его установить , есть некие трудности с Bios.

Автор: Инокентий | 102292 25.09.2018 08:50
АМДЗ "Dallas Lock"

Автор: mikolart | 102300 25.09.2018 14:44
2 yason

Проверил работу Рутокен S в связке с DL 8.0.485.12. Один идентификатор можно привязать к разным АС но только к одному пользователю (пределах одной АС). Так что технически, как предлагает тов. oko, вполне реализуемо.

Автор: mikolart | 102301 25.09.2018 14:51
2 Инокентий

Смотрите формуляр к АПК "Панцирь-М". Вообще, пока нет новых требований по НСД, применение СДЗ не является обязательным, но канал перекрывать нужно. Например пароль на биос. Или сажать АБИ рядом с пользователями во время работы, что бы бил по рукам тех, кто пытается загрузиться с внешнего носителя информации... ну и в этом духе...

Автор: yason | 102399 27.09.2018 11:54
mikolart, oko, спасибо! По рекомендациям мигрируем с SecretNet (исп-ли "таблетки") на DallasLock, вот и озадачились сколько нужно токенов...

Прошел месяц

Автор: Роман_171 | 103833 29.10.2018 10:21
Доброго дня) кто знает с чем может быть связана проблема. При повышении мандатного доступа через свойства пользователя интерфейс показывает, что уровень повышен, но по факту доступа к папкам текущего уровня мандатного доступа нет. Если при авторизации указать нужный уровень, то тогда всё работает. Может кто сталкивался? Win server 2016, DL 8-c билд 8.0.485.12

Автор: Vosiley | 103926 31.10.2018 20:26
Если папка сетевая, то была такая документированная бага, правда в версии 7.7. Про версию 8-с не упомню, может тоже есть.

Автор: Ничего не понимаю | 104015 02.11.2018 18:34
Все также и осталось. Для доступа к сетевым папкам с мандатной меткой уровень необходимо выбирать при авторизации.

Прошло около недели

Автор: Роман_171 | 104338 12.11.2018 11:20
Народ столкнулся с проблемой. У пользователей подгружается сетевой диск с каталогами, сами файлы лежат на сервере хранения данных. При входе под сессией выше 0, пользователи могут создавать файлы, читать их, но изменять не могут. В чем может быть косяк? конфидент говорит "мандатка настроена верно, но косяк точно в ней" больше пояснить не смогли.

Win server 2016, DL 8-c билд 8.0.485.12

Автор: Роман_171 | 104339 12.11.2018 11:31
.... DL при этом регистрирует "переименование файла" с результатом "доступ запрещен"

Автор: wat | 104342 12.11.2018 13:56
каким образом в далласе указаны пути к этим каталогам: через Net, букву сетевого диска, или оба варианта?

Прошло около недели

Автор: Анатолий | 104654 21.11.2018 09:09
Не стоит использовать "сетевые диски" - в них косяк... Сделайте ярлыки на сетевые папки на рабочем столе... Например...

Автор: Анатолий | 104655 21.11.2018 09:48
А может подскажет кто: как подцепить к установочному пакету DL8.0 файл конфигурации при удалённой установке с СБ?... Или как сделать так, чтоб при первой перезагрузке удалённой машины (после удалённой установки) не включался межсетевой экран DL?...

Автор: Гост | 104663 21.11.2018 14:15
Попробуйте следующий способ: все установленные ПК после перезагрузки попадают в СБ в группу Default, отключите в СБ именно для этой группы МЭ.

Прошел месяц

Автор: Alex, NC | 105474 26.12.2018 17:53
Доброго времени суток, уважаемые знатоки!

У меня есть вопрос о том, как формируется usb->serial number в DallasLock. Из того, что очевидно, он формируется из двух частей - картридера и самой флэшки. Из чуть менее очевидного - как именно это происходит и почему при форматировании флэшки он меняется. Сломал себе мозг, так что очень рассчитываю на вашу помощь.

Задумка следующая - при подключении flash, через exe получать её номер, аналогичный тому, что записал в DallasLock->usb->serial number, ну и, к примеру, вывести его в консоль.

Автор: Ничего не понимаю | 105475 26.12.2018 23:11
п. 13.1 Руководства по эксплуатации DL 8.0
"Для USB-Flash-накопителей номер высчитывается как 32-битный хэш от пути к параметрам
накопителя в реестре. Для дискеты или компакт-диска – это серийный номер тома."


Автор: oko | 105476 27.12.2018 00:00
to Alex
Рекомендую про картридеры забыть. Удалить их из системы (физически) или опечатать, предварительно отключив через BIOS (если удалить не получается или портит внешний вид, ага). Настоятельно рекомендую...

to Ничего не понимаю
+1

Прошла пара месяцев

Автор: Владимир | 105755 12.02.2019 14:43
Здравствуйте. Помогите решить проблему. Стоит Dallas Lock 8-k.
При запуске тонкого клиента 1с (серверный вариант), блокирует запуск в 99% случаях. Просто вешает процесс и все. МЭ не включен. Один первый раз может зайти, потом блокирует раз 10.
По журналу далласа, запуск и сразу стоп.
Подскажите, где проблема, куда смотреть? Если возможно, поподробней.
Спасибо.

Автор: oko | 105757 12.02.2019 15:52
to Владимир
Был в практике случай с DL8.0-C (т.е. механизмов больше + мандатный доступ) и 1С:Предприятие 8.2 как раз в режиме тонкого клиента. Завелось практически сразу. Поэтому Модуль экстрасенсорики подсказывает, что:
- либо вы попали на багу в конкретной версии (билде) DL8.0-K - попробуйте для теста сменить билд;
- либо у вас неверно настроена дискреционная модель доступа (больше там нечего настраивать в целом) - попробуйте поломиться в клиенте и почитать при этом журналы DL8.0-K как на клиентской стороне, так и на серверной.

Автор: Dron | 105774 13.02.2019 13:58
Здравствуйте!

На ПК администратора был развернут СБ с КСБ, после чего DL был установлен на ПК клиента, для последующего добавления его в домен безопасности.
Но после перезагрузки ПК клиента, на нем происходят ошибки 0xc000005 при запуске большинства приложений.
Само СЗИ запускается корректно, однако при его попытке удаления возникает ошибка. На ПК не установлены криптовайдеры.

Каким способом можно исправить данную проблему?

Автор: oko | 105779 14.02.2019 04:19
to Dron
Отправкой соответствующих логов в техподдержку...

Автор: Dron | 105781 14.02.2019 05:01
В техподдержке сказали, что не имеют к этому отношения - это ошибки Windows

Автор: legich | 105816 19.02.2019 09:41
Добрый день!

Подскажите пожалуйста возможно уже кто то сталкивался с такой проблемой? не могу зайти на АРМ даже из под суперадмина. Ввожу логин, домен и пароль, АРМ зависает на мементе когда должен появится рабочий стол. Клавиатура активна (num lock и caps lock) реагируют. На Арм стоит dallas lock 8.0c винда 7-ка. В безопасном режиме тоже не заходит.

Автор: Ничего не понимаю | 105823 19.02.2019 19:47
to Legich
Как правило, все настройки DL 8.0 не распространяются на суперадминистратора. Аварийно удалите DL и посмотрите, что произойдет. Скорее всего, просто побилась ОС и придется её восстанавливать, в любом случае лучше это делать без установленного DL.

Прошла пара месяцев

Автор: Alex, РЗН | 106410 06.05.2019 22:57
В ОС Windows 10 при запуске большинства программ выскакивает сообщение, что файл dlqwerty.dll не найден. Что это за файл и как убрать эту проблему?
То, что он начинается на буквы "dl" намекает, что это что-то от dallas lock. Да и появилась эта проблема примерно после установки Dallas Lock'a.

Прошло несколько недель

Автор: Legihc | 106558 29.05.2019 11:23
Автор: Валерий | 66230
Здравствуйте. Никто не сталкивался с такой проблемой? При изменения пароля пользователем выходит ошибка - password contains values that are not allowed in passwords.
Стоит Dallas lock 8.0-K сборка № 8.0.347.4.

Насколько я понял решение данной проблемы так и не описал никто, возможно я плохо смотрел, но все же опишу. Выдавало туже ошибку, что и у Валерия "password contains values that are not allowed in passwords" сделали настройки требований к паролю в далассе и в винде одинаковыми и все пока работает.

Автор: oko | 106570 30.05.2019 00:56
Legihc
<...сделали настройки требований к паролю в далассе и в винде одинаковыми и все пока работает...> - эээ, а кто-то делает иначе?
Правильный метод: снятие парольных политик с ОС, установка парольных политик только в DallasLock. Но правильный с точки зрения оптимизации функционирования системы, а не столько с позиции безопасности, ага...

Прошел месяц

Автор: Александр, Самара | 106861 08.07.2019 08:30
Добрый день. Если есть желание переустановить windows на компе с секреткой и нсд, какой план действий? Комрады помогите. Фирму проводящую аттестацию нужно привлекать или все можно сделать своими силами.

Автор: system | 106862 08.07.2019 12:36
после установки dallas на терминальные серверы начались спонтанные перезагрузки,
неожиданно завершен системный процесс c:\windows\system32\lsass.exe с кодом состояния -1073741819
windows server 2012r2
dl8

Прошло около недели

Автор: oko | 106904 18.07.2019 01:14
to system
Поддерживаю! Как раз сегодня раза три подряд поймал подобное. Грешил на виртуализацию (VMWare ESXi 5.5 + мало ресурсов отдано виртуальной машине), но, очевидно, корень зла в другом...
Кстати, под Win2008R2 такой чехарды не наблюдалось...

ЗЫ Коллеги по цеху схожу схему (Win2012R2 + DL8.0-C) решили "откатом" до первой "неуязвимой" сборки DL8.0-C (8.0.347.4). Несколько неправильный ход (в части выполнения формальных требований регулятора), но необходимый и оправданный с позиции техпроцесса. Ох уж этот классический треугольник "безопасность - экономичность - функциональность", в последнее время все более похожий на круг, ага...

Прошла пара недель

Автор: Эпиус | 106986 05.08.2019 16:56
Товарищи, вопрос такой:
Есть сервер, на нем развернут клиент DL 8.
На сервере есть шара к которой подключаются клиенты баз DL. В журналах аудита DL все попытки подключения фиксируются под учеткой anonimous.
Что необходимо настроить, чтобы в журналах аудита фиксировались подключения под конкретными учетками пользователей, которые подключаются к шаре?
p.s. Сервер и клиенты в одном домене.

Автор: ViV | 106987 05.08.2019 21:33
Всем доброго времени суток!
Столкнулись вот с такой проблемой. Есть машина с Win 10 Pro (последней сборки), DL 8C, Dr. Web 11.5. Изначально Dr. Web не хотел работать с DL - при наведении на значок Dr. Web в трэе всплывала подсказка типа "Dr. Web is starting...". То есть нельзя было запустить меню антивируса, а следовательно и обновлять его и т. д., хотя сканер работал. С этим позвонили в тех. поддержку DL, там сказали, что знают про эту проблему и дали ссылку на последнюю сборку DL, в которой эта проблема исправлена. Мы её установили, и всё заработало, но теперь процесс входа под уровнем выше 0 зависает на виндовом сообщении "Добро пожаловать" и вращающихся точках. Приходится перезагружать комп. Если удалить Dr. Web, то вход осуществляется нормально. Как я понимаю, DL блокирует какие-то действия антивира, а тот, пока их не выполнит, не даёт загрузить сессию пользователя. Но проблема в том, что не понятно какие именно действия блокирует DL, так как в журнале ничего не пишется, хотя стоит аудит всех отказов на "ФС по умолчанию".
Может кто-то сталкивался с аналогичной или похожими проблемами? Я имею небольшой опыт работы с DL, поэтому может упускаю какие-то очевидные решения таких проблем?

Автор: oko | 106998 07.08.2019 22:37
to Эпиус
Нужно почитать Руководство на Dallas Lock и пристально поглядеть на свою систему. В ряде случаев от anonymous-доступа и, как следствие, anonymous-записей не избавиться (потому что читать надо было раньше, ага)...

to ViV
Странное дело, обычно либо Dr.Web вообще не стартует, либо система в целом крашится. А тут косяк под мандаткой...
Проверяйте, что из всех компонент Dr.Web установлен и грузится только антивирус (в ГТ антиспамы, брандмауэры и проч. не нужны). Что всяческие родительские контроли и контроли эксплойтов (это где, например, запрещается модификация HOSTS) в Dr.Web отключены. Что Dr.Web нигде в конфигах не ссылается на каталог с мандатной меткой выше 0...
Кстати, как настраивали мандатку? Только шаблонами - и сразу получили ошибку Dr.Web? Или вообще не настраивали?
Если руки дойдут - потестирую связку DL + Win10 + Dr.Web. Даже любопытно стало...

Автор: Эпиус | 106999 08.08.2019 10:53
to oko
Про "обязательность" учетки anonymous в документации читал. В своем вопросе имел в виду наличие костыля, устраняющего данную проблему. К примеру в журнале винды регистрация подключений учеток регистрируется и, по-хорошему, можно было бы совместить журнал DL и журнал винды...

Автор: oko | 107003 09.08.2019 00:53
to Эпиус
Увы, это только к разработчикам, чтобы добавили в следующем релизе. Хотя вряд ли удастся их уговорить. Ответ будет простой - для полного аудита юзайте DL на всех машинах в полном согласии с документацией...
Костылей навскидку не предложу. Самого не радует поддержка SMB-сессий в DL...

Автор: Владимир | 107015 12.08.2019 08:48
Добрый день. Проблема с журналами DL, версия 347.2. После перезагрузки или включении компьютера журнал ресурсов, иногда дополнительно ещё и процессов или входов по новой создаются, не сохраняя предыдущую информацию. В журнале управления политиками пишет "журнал поврежден или несанкционированно изменен". Встречался ли кто с такой проблемой?

Предполагаю, что одна из причин, DL был установлен поверх средства защиты HP. HP удаляли уже после установки DL.

Прошло около недели

Автор: Алекс | 107055 21.08.2019 09:37
Добрый день, такая ситуация, стоит даллас 7.7, на виндовс хр,установили акробат 10.0,в сс режиме, после открытия пдф файла, ничего с ним не могу сделать, в мягком режиме все редактируется и печатается, в сс начинает зависать файл, что может быть, может какие разрешения на адоб добавлять???

Автор: oko | 107056 21.08.2019 11:27
to Алекс
Забыть про DL 7.7 как страшный сон и перейти на DL 8.0-C (благо, есть скидки за переход)...
Если не вариант, копать в сторону разделяемой папки (не помню, откровенно говоря, как называется в DL 7.7 эта функция доступа в один каталог на запись для разлчных меток конфиденциальности) для Application Data/Adobe в профиле пользователя. И то, не факт, что сработает - 10 адоб ридер крайне неприятное ПО в части настройки мандатки...

Прошло несколько недель

Автор: Максим | 107223 18.09.2019 10:19
Здравствуйте! У нас в организации используется DL 8.0-K, в системе есть Администратор и Пользователь. Скоро начнётся замена основной ИСПДн и её требуется установить под Пользователем, так как именно под Пользователем будут там работать люди. Но под Пользователем она не устанавливается, при этом не появляется запрос логина и пароля Администратора, как при установке обычных программ (например, MS Office). Под учеткой Администратора устанавливается нормально. Дело осложняется тем, что нам неизвестно, куда ставится эта программа, где прописывается и т.д. Способ, предложенный специалистами техподдержки этой ИСПДн, кажется нам сомнительным - это добавление пользователя в группу Администраторов и отключение политики контроля учетных записей (UAC). Я параллельно нашёл такой способ - дать Пользователю дискреционный полный доступ к диску С. Но этот вариант тоже сомнителен. Программу DL 8.0-K устанавливала сторонняя организация, поэтому как ей правильно пользоваться мы не знаем. Хотелось бы узнать, как можно всё-таки установить такую программу (ИСПДн) под Пользователем, чтобы при этом безопасность не была нарушена.

Автор: oko | 107226 18.09.2019 13:07
*в сторону*
...

to Максим
Primo, ИСПДн - это не только и не столько программа...
Secundo, обращайтесь в ту контору, что ставила вам DL. Чтобы как минимум уточнить конфигурации, если сами не можете / не хотите почитать мануал и разобраться с оснасткой управления...
Tertio, запрет появления окна "Повышение привилегий до Администратора" - это ограничение групповой политики MS Windows, к DL не имеет никакого отношения. Гугл в помощь...
Tandem, конфигурации DL можно сохранить -> снять защиту -> установить нужный софт -> вернуть защиту -> подправить конфигурации DL, чтобы все работало. Хотя какие, к черту, конфигурации - это же К-версия DL...

Автор: Максим | 107228 18.09.2019 13:33
to oko

Спасибо за информацию!
Те, кто устанавливал, говорят, что особо ничего не знают, просто сделали как им сказали и ушли, но вроде как ничего мешать не должно установке. А мануалы наверное придётся почитать.)))
При установке любой программы из-под Пользователя всегда появлялось окно запроса пароля Администратора. Тут речь идёт о Пользователе и Администраторе именно в самом DL. Я так понимаю, учетные записи Windows вообще отключены, а вместо них вот эти две учетные записи DL. А у нас загвоздка как раз в том, что при установке именно этой программы не появляется окно запроса пароля Администратора. Программа имеет расширение *.application. Возможно, скрипт какой-то или что-то ещё. При запуске он подключается к серверу и скачивает программу, после чего она запускается и при этом на рабочем столе появляется ярлык этой программы.
По поводу снятия защиты - программа будет обновляться время от времени, значит, нужно будет каждый раз при обновлении отключать защиту и потом заново включать?
У нас планируется проводить аттестацию этих компьютеров по работе с персональными данными, поэтому у нас DL установили.

Автор: oko | 107230 18.09.2019 15:14
to Максим
Отличные ребята у вас поработали...
Проверьте раздел групповых политик (из-под Администратора, "Пуск-Выполнить" gpedit.msc):
"Конфигурации компьютера" - "Конфигурации Windows" - "Локальные политики" - "Параметры безопасности" - "Контроль учетных записей: поведение запроса на повышение привилегий для администраторов в режиме одобрения администратором" (должно быть "Запрос на повышение...");
"Конфигурации компьютера" - "Конфигурации Windows" - "Локальные политики" - "Параметры безопасности" - "Контроль учетных записей: поведение запроса на повышение привилегий для обычных пользователей" (должно быть "Запрос уч. данных")...
В DL даже в версии К, насколько помню, не было ограничений на повышение привилегий для пользователей. Так что это проблема ОС, а не СЗИ...
И да, при обновлении придется делать то же самое. Но, если оснастку оставите в указанном режиме, придется просто вводит уч.данные Администратора при обновлении, не более...

Автор: Максим | 107238 19.09.2019 11:19
to oko

Спасибо за информацию!
Предложенные Вами изменения я внёс, но пока безрезультатно. За то обнаружил другое - если тот установочный файл заархивировать в sfx-архив с указанием, что нужно произвести установку после распаковки, то он устанавливается. Его получилось запустить от имени администратора и установка прошла успешно. В общем, загадка.

Автор: Максим | 107240 19.09.2019 11:33
to oko

Спасибо за информацию!
Предложенные Вами изменения я внёс, но пока безрезультатно. За то обнаружил другое - если тот установочный файл заархивировать в sfx-архив с указанием, что нужно произвести установку после распаковки, то он устанавливается. Его получилось запустить от имени администратора и установка прошла успешно. В общем, загадка.

Прошла пара недель

Автор: Стрелец, Муниципальный район | 107299 01.10.2019 15:27
Здравствуйте, коллеги!
Необходима Ваша помощь. Может не совсем сюда пишу...
Имеется ИСПДн в пределах отдела, 3 уровня защищённости. Используются СЗИ от НСД. Аттестат соответствия имеется. Используем в качестве идентификаторов для СЗН сертифицированные eToken'ы.
Вопрос такой: обязательно ли использовать токены или же можно обычные флешки, дискеты и т.д.? Само СЗИ от НСД позволяет использовать разные идентификаторы. СЗИ-то позволяет. Но вправе ли МЫ использовать что-то "попроще"?
Спасибо!

Автор: oko | 107300 01.10.2019 17:21
to Стрелец
Вопрос реально не в ту ветку - была где-то на форуме тема "Аттестация объектов информатизации"...
Что до конкретики - спрашивайте контору, выдавшую Аттетстат. Это де юре ее зона ответственности, разрешить вам юзать любые съемные устройства в качестве ИАФ или не разрешать. Заодно свою Модель угроз почитайте, вдруг в ней что-либо именно про eToken (в качестве защитного механизма, ага) прописано...

Прошла пара недель

Автор: Семен, УСЗН | 107385 18.10.2019 10:35
Здравствуйте. Подскажите пожалуйста- вы решили проблему? Ооченб бы выручили если подсказали как.
Проблема у вас была- В ОС Windows 10 при запуске большинства программ выскакивает сообщение, что файл dlqwerty.dll не найден. Что это за файл и как убрать эту проблему?

Автор: sevenseven, ооз | 107423 24.10.2019 12:58
Здравствуйте, проблема следующая. После установки платы СДЗ Dallas Lock в материнскую плату и последующий запуск ОС, происходит постоянный ребут при загрузке. Ни куда зайти не получается. ОС Windows 10. Может у кого была подобная проблема?

Автор: Славян | 107424 25.10.2019 09:41
Из практики. Для того, чтобы Dallas Lock корректно функционировал с Windows 10 необходимо отключить опцию BIOS Secure Boot. Как отключить, есть в интернете (https://remontka.pro/secure-boot-disable/). Еще у Dallas есть техподдержка, по конкретному вопросу достойно отвечают.

Прошел месяц

Автор: IRT | 107557 22.11.2019 23:36
На Windows 1909 Dallas Lock последней версии рандомно вылетает в синий экран при вставке флешки и при создании профиля пользователя. Это так, к сведению. Пришлось вернуться на 1809. Интересно, они собираются его обновлять..

Автор: Александр, физ.лицо | 107570 27.11.2019 15:47
Подскажите пожалуйста, комиссия сделала замечание за то, что в АРМ вставили флешка (сертифицированную) с операционной системой. Флешка на которой находится операционная система входила в установочный комплект на АРМ. Сколько не спрашивал у спецов, у всех разные мнения. Очень срочно надо.

Автор: Мимопроходящий | 107589 28.11.2019 15:42
to Александр,
непонятно про какое АРМ вы говорите. Что значит флешка сертифицирована?

Прошло несколько месяцев

Автор: сергей | 107938 06.03.2020 11:18
windows 10,dallas lock 8.0 c, drweb 11 при запуске висит в трее drweb is starting

Автор: Сергей, ОГВ | 107944 08.03.2020 15:32
Не заработает.
Два года назад Конфидент обещал новую сборку. Сейчас отошёл от этого СЗИ от НСД. Не знаю сделали они что-то новое или нет.
Менять на 10 версию доктора только разве что

Автор: Стрелец | 107960 12.03.2020 12:18
Здравствуйте!
На офф. сайтах не нашёл информации, но может кто сталкивался.
Имеется Windows 7 SP 1 (32 и 64)
ViPNet 4.3 (2.46794)
Dallas Lock-k 8.0
KES 10.3.0.6294.
Всё работает на ура.
Планируется переход на KES 11.1.1.126.
Будет ли работать это сочетание после обновления KES?

Автор: Стрелец | 107961 12.03.2020 12:19
Аналогичный вопрос, но вместо Dallas стоит Secret Net Studio 8
На офф. сайтах не нашёл информации, но может кто сталкивался.
Имеется Windows 7 SP 1 (32 и 64)
ViPNet 4.3 (2.46794)
Secret Net Studio 8
KES 10.3.0.6294.
Всё работает на ура.
Планируется переход на KES 11.1.1.126.
Будет ли работать это сочетание после обновления KES?

Прошла пара месяцев

Автор: Rolin | 108139 22.05.2020 09:31
Всем добрый день. Использую СДЗ DL + DL8.0-C (версия 485) + win10 (x64). Когда вставляешь в CD-ROM CD-R (уже записанный) то спустя какое-то время, как ПК начинает обращаться к диску возникает "синий экран" и ошибка windows 10 kernel security check failure. Много чего перепробовал и подкачку убирал/добавлял. Быстройдействие включал, но решение так и не нашел. Возникает раз через раз. Кто сталкивался с такой проблемой в чем может быть дело?

Автор: oko | 108142 22.05.2020 14:11
to Rolin
С Win10 у всех СЗИ имеются проблемы, потому что все зависит от билда Win10. Обращайтесь в техподдержку производителя СЗИ, указывая свой билд, описание проблемы, а также собрав логи с проблемной машины (дадут утилиту). Возможно уже имеется сборка СЗИ, поддерживающая ваш билд Win10...

Автор: Агент | 108175 29.05.2020 10:49
Добрый день, коллеги!
Пожалуйста, подскажите: при работе в закрытой сессии DL8.0-C (новые сборки) слетают лицензии на условный фотошоп.

Прошла пара месяцев

Автор: Краснова Наталья, АО "Муромский радиозавод" | 108333 16.07.2020 11:15
Подскажите почему в режиме секретно excel не печатает документы (ошибок нет). Word печатает все документы.
Версия MS Office 2013/

Прошла пара недель

Автор: Орест | 108375 03.08.2020 11:34
Здравствуйте. Ситуация вкратце: на машину нужно поставить прикладное ПО, доктор веб и даллас лок. Версия ОС вин 10 про х64 сборка 1607. До момента с далласом всё встало нормально и работает в штатном режиме. При установке же далласа 8.0-с сама установка завершается без ошибок, но в течение следующих 30 сек, предшествующих перезагрузке системы, появляются 3 сообщения с ошибками: требуется драйвер с цифровой подписью Dallas lock core driver, disk crypt driver, hardware control driver. Также после перезагрузки отказывает клавиатура и при попытке запуска далласа возникает ошибка инициализации драйвера dlflt.sys.
Есть ли какие-нибудь способы решения данной проблемы?

Прошло около недели

Автор: Дмитрий, ООО ЛМР | 108392 11.08.2020 06:53
Стоит 10 про 64-разрядная, даллас 8,0,485,12-К и постоянно при работе с браузером хром эдж яндекс система просто намертво повисает. С оперой лисицей такого нет, кто занет в чем проблема и как ее решить?

Автор: oko | 108393 11.08.2020 09:06
to Орест
Пробуйте сменить порядок установки: вначале ОС, затем прикладной софт, затем DL8.0 и в конце Dr.Web. Если не поможет, смените билд Win10 или обращайтесь в техподдержку Конфидента за новой сборкой...

to Дмитрий
Без полного анализа журналов ОС и СЗИ трудно сказать. Но в общем случае советую отказаться от Я.браузера. Ибо, imho, дрянь и без приведенных проблем...

Прошло около недели

Автор: Anonimous | 108425 21.08.2020 15:21
Подскажите, После установки даллас лока в гугл хроме пропадает соединение с интернетом, а именно без далас лока сайты грузяться, а с ним все сайты пишут таймаут соединения после долгого ожидания. Подскажите может какая-то настройка есть или пропускаю. Именно хром, яндекс и фаерфокс работают.

Прошла пара месяцев

Автор: Аноним | 108778 03.10.2020 11:20
Доброе время суток! На серваке установлено win2016+DalasLock8.0+KES11, проблема следующая при чистке остаточной информации dalaslock'ом уходит в ребут с сообщением пропало питание от ядра ОС, больше никаких сообщении. В случае полного отключения KES, проблем не выявлено. Сталкивался кто с данной проблемой?

Прошло несколько недель

Автор: Андрей, Администрация Кирилловсокго района | 108831 26.10.2020 12:31
Доброго дня.
Подскажите, что можно сделать Dallas Lock 8-K, Под администратором захожу, все нормально, перезагружаю, пробую под пользователем, говорит - Разблокировать может только вошедший пользователь. Блокировка что ли зависла? Получается могу зайти ток под админом.

Автор: Yerdan, MMZ | 108841 28.10.2020 00:26
Кто нибудь в курсе, когда наконец "с" Даллас пройдет инспекционный контроль? 2-й год обещаниями кормят. DrWeb в нем не пашет, клиент, установленный на сервер, в сервер не включается... "К" версия уже два-три обновления прошла, а "с" товарищам не интересна?

Прошло несколько недель

Автор: Short | 108881 20.11.2020 15:54
Добрый день уважаемые коллеги по использованию DL. Появилась следующая проблема.
С 0 установил Win7_64. Установил Office 2003. Создал пользователей. Зашел под ними, провел все манипуляции с документами.doc.Установил DL 8.0 (485) Дал права пользователям. Загрузил шаблоны для MS Office. Установил метки на папки. Захожу под пользователем. Пытаюсь открыть документ через WORD. Он начинается выполнять программу установки MS OFFICE. В чем может быть дело? Где искать?

Автор: oko | 108882 20.11.2020 17:58
to Short
Начиная с дистрибутива, с которого ставили MS Office 2003, заканчивая его поддержкой в шаблонах DL последних сборок...
Насколько помню, после "прощелкивания" всех используемых приложений в Office (тем более в 2003) нужно минимум выставить гриф "разделяемая папка - 0 мандатная метка" на каталоги C:\Windows\Temp, %USERPROFILE%\Temp, %USERPROFILE%\Temporary Internet Files\Content.Word, %USERPROFILE%\Temporary Internet Files\Content.MSO, %USERPROFILE%\Temporary Internet Files\Content.IE и сам %USERPROFILE%\Temporary Internet Files. По-идее, этим шаблоны и занимаются. Но при их активации все равно возможны сбои - проверьте...
И да, у вас такая чехарда под !=0 уровнем мандатки на пользовательском входе или на 0 тоже?

Автор: Конь, АО Конь | 108891 24.11.2020 11:21
произошёл
аппаратный сбой со СЗИ, а именно в консоли СБ удалённый АРМ засветился
красным значком, потом вовсе погас на чёрный, решил переустановить
клиента, удалил его с СБ, но удаление произошло "коряво" при повторной
попытке завести клиента под нужным IP адресом пишет, что клиент с таким
именем уже существует на СБ. Дальнейшие попытки мастера установки СЗИ не
дали успехов. Как решить данную проблему, подскажите пожалуйста ?

Прошла пара месяцев

Автор: Soup | 109004 29.01.2021 09:30
Добрый день, после установки Далласа 8.0, начала выпадать ошибка "не удается продолжить выполнение кода , поскольку система не обнаружила dlqwerty.dll. переустановка проблему не решает. Ось Win10

Автор: Эдуард Перекопский, RG | 109005 29.01.2021 10:36
Доброго времени суток, коллеги.
У кого есть опыт установки Dallas 8.0 K на рабочие сервера: KSC, 1С, IIS, TrueConf и т.д.? Упирались, как могли, но придется ставить. Сервера в работе и из падение будет очень очень большой проблемой.

Автор: luck | 109006 29.01.2021 13:08
Добрый день, ведуться журналы СЗИ Dallas Lock 8.0C по второй категории объект. Кто-нибудь знает срок хранения этих журналов СЗИ. Просто периодически их выгружаю и все. А вот сколько хранить понятия не имею. Нигде данной информации не нашел. Если кто подскажет в каком руководящем документе искать буду признателен.

Автор: 777 | 109010 03.02.2021 10:52
Добрый день!
Подскажите, почему dallas 8.0с не пишет на cd под доменной учеткой пользователя (под уровнем 0)?

Прошла пара недель

Автор: Влад | 109038 20.02.2021 15:27
Добрый день!

Столкнулся с проблемой.
На АРМ, я как пользователь с правами локального администратора, установил в Windows 10 (версия 20H2), Dallas Lock 8.0 актуальной сборки 8.0.565.2. После установки и перезагрузки Windows, ввожу в окне авторизации Dallas Lock логин/пароль (те же авторизационные данные, что использовались при установке DL) и в ответ ошибка "Разблокировать компьютер может только вошедший пользователь". Перезагрузки и выключение ПК не помогает, всё та же ошибка.

Добавлю, что клиент DL не включен в сервер безопасности. Также, пробовали зайти под другим пользователем, пробовали зайти под доменным админом... всё без толку.

Кто сталкивался с подобным, как решили проблему?

Автор: Влад | 109039 24.02.2021 09:13
Через техподдержку "Конфидента" удалось решить проблему с установкой DL 8.0-K на Windows 10 версии 20H2.

После установки Dallas Lock 8.0-K актуальной сборки 8.0.865.2 ( http://service.confident.spb.ru/_clients/Dallas/Full/DL80K/DL80Kv565.2.zip ), не перезагружая АРМ, нужно установить ещё один дополнительный патч http://service.confident.spb.ru/_clients/Dallas/Full/patch2004.zip и тогда DL 8.0-K заработает на Win10 версии 20H2.

Прошло несколько недель

Автор: FGGOD | 109107 17.03.2021 19:14
Здравствуйте, кто может подсказать как добавить ярлык на оболочку Dallas LOck для запуска подключения по RDP к файловому серверу через доменного пользователя shareRDP на

Прошла пара недель

Автор: Олег Олегов | 109127 30.03.2021 10:51
При установке DallasLock 8-K на рабочие машины компании (через Сервер безопасности), на части машин перестала работать служба удаленного помощника Windows. После удаления DallasLock работа не возобновилась. Кто-нибудь сталкивался с подобным?

Автор: Александр | 109146 04.04.2021 16:16
Здравствуйте. Подскажите, возможно ли применение DL 8.0-C, у которого закончился срок действия сертификата соответствия ФСТЭК, согласно реестру ФСТЭК имеется действующая техподдержка, но по условиям производителя DL, техподдержка должна приобретаться отдельно. Соответственно в компании эта техподдержка не куплена. Возможно ли применение DL 8.0-C при таких условиях?

Автор: Влад | 109151 05.04.2021 22:28
В отличие от некоторых других компаний, ООО "Конфидент", к счастью, не бросает своих клиентов. На оф.сайте публикуются новые патчи/редакции DL, которые можно свободно скачать. Да и обратиться в техподдержку никто не запрещает, не смотря на отсутствие сертификата техподдержки. Так что, в этом плане, можно утверждать, что техподдержка в наличии. И если DL 8.0-С уже был в составе аттестованной ИС, то можно продолжать использовать это СЗИ. Тем более, продление сертификата соответствия на DL 8.0-C не за горами, вроде как.

Автор: Alex | 109168 09.04.2021 13:28
Здравствуйте! Подскажите, пожалуйста, есть ли у Dallas Lock рекомендации по развертыванию через Microsoft Deployment Toolkit? Не могу найти

Прошло несколько недель

Автор: Сергей | 109223 30.04.2021 19:04
Добрый день!
После установки dallas lock-C сборка 485-12 на:
1. windows 10 1709 при загрузке системы появляется сообщение «учетная запись содержит недостаточно сведений для входа в систему»,
Нажимаем ок появляется экран ввода логин и пароля и входим в систему под администратора безопасности
В логе dallas lock видим , что сообщение «учетная запись содержит недостаточно сведений для входа в систему» относится к учетной записи администратора безопасности (видимо, что то типо автовхода)
2. windows 10 1803 и 1809 при входе в систему появляется сообщение «службе профилей пользователей не удалось войти в систему»
При этом на другом компьютере (другого производителя) при такой же программной конфигурации (цwindows 10 1709,1803,1809)проблем с работой нет
на обоих компьютерах secure boot отключён
Аппаратная часть может вызывать проблемы с работой сзи?

Прошла пара недель

Автор: Yerdan | 109241 16.05.2021 00:56
2 Влад
на "В отличие от некоторых других компаний, ООО "Конфидент", к счастью, не бросает своих клиентов."
Ага. При этом "С" версия не обновлялась с 2019 года, и компания похоже не слишком жаждет это делать, несмотря на кучу проблем как с поддержкой WIN10, антивирусов и собственно работой сервера безопасности. Судя по всему, "К" версия приносит больше прибыли, и ее поддерживают, на "С" версию им уже плевать. Уже 3 года (!!!) ответ один - мы об этом знаем, спасибо за сообщение. Но ни продлевать сертификат, ни направлять на инспекционный контроль "С" версии копания видимо особо не планирует. Это не есть "не бросает своих клиентов"

Прошло около недели

Автор: Юрий | 109275 26.05.2021 14:59
Yerdan
Всячески поддерживаю.

Прошло несколько недель

Автор: Александр | 109315 22.06.2021 10:23
При попытке добавить клиент на СБ получаю вот такое сообщение об ошибке "клиент не может быть добавлен в домен безопасности т.к. содержит компоненты не установленные на сб"

Приходятся добавлять на аналогичный сервер, там добавляется без проблем. только там ограничение в 99 АРМ. Как исправить ошибку ?

СБ на 99 это DL 8.0-К 8.0.485.12
СБ на который пытаюсь добавить так же DL 8.0-К 8.0.485.12

Прошла пара недель

Автор: Антон | 109355 07.07.2021 19:20
Александр

Данная ошибка означает, что на клиенте у Вас установлен больший набор модулей DL чем на СБ. Например на клиенте есть МЭ и СОВ, а на СБ нет.
Возможно покупали СБ давно, когда не было еще модулей МЭ и СОВ, Конфидент уже несколько лет поставляет СБ с максимальным набором модулей. Или еще как вариант лицензию для СБ поставили на клиентский АРМ.

Прошла пара месяцев

Автор: Светлана | 109454 19.08.2021 09:20
Был снят конфиг с АРМа, который введен в домен безопасности. Есть ли возможность в конфиге найти информацию о сервере безопасности доменное имя/ip-адрес?

Прошла пара недель

Автор: Станислав | 109505 06.09.2021 16:02
Ребят, кто подскажет может, DL 8.0 не показывает историю входов. А в журнале управления политиками указано "журнал поврежден или несанкционированно изменен" (Журнал входов). И не только этот журнал. Никто никакие манипуляции не проводил. Не понятно куда пропал журнал входов вообще...
Сразу же второй вопрос. Может быть он связан с первым как-то. После проведения инструментального контроля никак кроме как под "несекретно" войти не удаётся. Даже под админом. Что может быть не так с настройками? Благодарю заранее за любую помощь.

Автор: Игорь Гришин | 109506 07.09.2021 11:24
как сделать чтоб неправильный пароль никогда ни блокировался в dallas lock в ubuntu

Автор: Аноним | 109514 09.09.2021 20:51
С чем может быть связано? После установки Dalas Lock 8.0 на систему все работает стандартно, но после включения загрузчика DL система не загружается, маргает индикатор на экране и больше ничего не происходит

Автор: Аноним | 109533 15.09.2021 15:57
Здравствуйте.
Столкнулся с очень неприятной проблеме. Заказчику нужно установить на ПК Dallas Lock 8.0 -C 485.12
При установке всё идёт гладко, но стоит включить опцию "Загрузчик DL" так сразу же при рестарте компьютер не загружает систему застревая на мигающем прямоугольном индикаторе загрузки который идёт перед началом загрузки OC,. Перепробовал многие варианты. Пробовал ставить на другую версию ОС, пробовал ставить на Винду 7, пробовал ставить Винду на ЖД, ничего не помогает. Может кто сталкивался с подобной проблемой? Нужна помощь и помощь срочная

Автор: oko | 109534 15.09.2021 17:17
to Аноним
Что у вас конкретно ломается и почему - вряд ли кто-то ответит. В практике сталкивался пару раз без особых проблем. Разве что в UEFI-режиме установки ОС и с GPT-разделами не пробовал (возможно, это ваш случай, хотя Win7 мало кто на GPT и в UEFI переводит)...
Цимес в другом. Если -С версия, то, модуль экстрасенсорики подсказывает, что речь идет об АС с ГТ. При таком раскладе подобный загрузчик, primo, избыточен (поскольку либо уж используется СДЗ DallasLock, либо ничего) и, secundo, нелегитимен (потому что для средств доверенной загрузки уровня загрузочной записи отсутствует Профиль сертификации для ГТ)...
Если использование "Загрузчика DL" - хотелка владельца/оператора системы (и у вас все-таки не ГТ), то объясняйте владельцу/оператору означенную проблему установки. Либо вообще откажитесь от его использования, если речь не о ГИС/ИСПДн 1 или 2 класса/уровня защищенности...
В целом, любые подобные методы обеспечения доверенной загрузки не очень хороши: существуют способы их обхода, но куда важнее, что вероятность получить на выходе полностью кодированный ЖМД + утерю PIn-кода администраторами повышается в разы, ага...

Прошел месяц

Автор: Алексей, ГБПОУ РС(Я) "РУ(к)ОР им. Дмитриева Р.М." | 109593 19.10.2021 12:56
Добрый день!
Столкнулся с проблемой.
На АРМ, я как пользователь с правами локального администратора, установил в Windows 10 (версия 21H2), Dallas Lock 8.0 К актуальной сборки 8.0.565.2. После установки и перезагрузки Windows, ввожу в окне авторизации Dallas Lock логин/пароль (те же авторизационные данные, что использовались при установке DL) и в ответ ошибка "Разблокировать компьютер может только вошедший пользователь". Перезагрузки и выключение ПК не помогает, всё та же ошибка. Dallas Lock 8.0 К удалял и устанавливал заново все равно та же ошибка. Как решили проблему?

Автор: oko | 109594 19.10.2021 19:27
to Алексей
При наличии валидного ключа техподдержки - обратиться в техподдержку Конфидента, это же очевидно...
Только, сдается мне, что DL8-K (-C тем более) попросту не поддерживает ваш релиз Win10. Откатывайтесь до Win10 1809 или вообще до Win8.1, например, и будет вам счастье. Как показывает практика, апдейты современной Win и работоспособность отечественных СЗИ НСД - вещи несовместимые, ага...

Прошло несколько недель

Автор: 11 | 109632 09.11.2021 22:25
Коллеги, есть у кого сведения - когда будет сертификат на DL8.0-C по второму уровню доверия ?

Прошла пара недель

Автор: Виктория | 109644 24.11.2021 17:34
Добрый день!
Было ли такое у кого-нибудь, что после установки локально DL 8.0-К (демо-версию!!) на ноутбук слетала система? Общалась с техподдержкой по этому поводу. Говорят дело в невыключенном антивируснике или Secure boot в биосе (хотя с включенным антивирусником система вообще в принципе не должна была начинать ставиться даже). Предварительно отправляла им все характеристика компа. Повторять третий раз не хочу.
Какие у кого вообще впечатления от общения с их тех поддержкой?

Автор: Денис | 109645 25.11.2021 06:21
to Виктория.

С включенным антивирусником обычно ставится.
Слетает система очень часто.

Какую версию DL на какую сборку винды ставите?

Автор: Виктория | 109646 25.11.2021 09:32
to Денис
Dallas Lock 8.0-K.
Windows 10. Версия 1809. Сборка 17763.2300
"Слетает система очень часто." - отличная новость))))

Автор: Антон, МФЦ | 109650 26.11.2021 13:36
добрый день. После установки далласа перестала работаь веб камера. Драйвера удалял, ставил повторно. Результата нет. Что можете посоветовать?

Прошла пара недель

Автор: Георгий Андреевич | 109710 15.12.2021 05:57
Добрый день. Кто-нибудь сталкивался с проблемой при установленном DL 8С, когда в Microsoft Word совершенно не печатается альбомный вариант текста? Мандатный доступ значения не имеет (не печатает во всех). В настройках принтера всё норм, при выводе на печать ориентацию страницы меняем, дрова переустанавливали на принтер. Microsoft Word пробовали тоже разные версии. Excel при этом выводит печать альбомную.

Прошло около недели

Автор: Дядя-с-усами | 109727 25.12.2021 15:27
Виктория,
по поводу Secure Boot - похоже на правду, они не дружат.
по поводу техподдержки - пофигисты, да такое впечатление, что направление СЗИ для Windows - не перспективное больше, и туда перестали вкладываться. Они не успевают за выпусками Windows, отсюда проблемы с совместимостью.

Антон,
Георгий Андреевич,
пробуйте перевести Dallas в неактивный режим, и смотреть, все ли работает в этом режиме.


Георгий Андреевич,
раз вы пробовали разные офисы, остается только тасовать драйвера к принтеру и откатываться на предыдущие версии windows 10-ки.

Автор: Дядя-с-усами | 109728 25.12.2021 15:29
ко всем: не пытайтесь ставить Dallas Lock 8 на современные выпуски Windows!
по ощущениям, последний совместимый выпуск Windows - 1709

Автор: oko | 109730 25.12.2021 22:21
to Дядя-с-усами
Стабильно работает с Win10 вер. 1809, чуть менее стабильно с 1903. Проверено неоднократно на 20+ объектах. Что полностью бьется с требованиями, представленными на сайте производителя (во всяком случае для С-версии)...
С одной стороны, Конфиденту давно пора сертифицировать новую сборку с поддержкой 20H1/20H2. С другой, проблема тут не в DL (потому что у других СЗИ аналогичные сложности в разных релизах ОС), а в политике Microsoft в целом, ага...

Вот откровенно кривая поддержка Windows домена (в части пользователей, а также синхронизации Сервера безопасности с несколькими контроллерами домена) и баги работы клиента DL на контроллерах домена Windows - это камни в огород именно Конфидента. Причем даже на последней серт.сборке К-версии...

Автор: oko | 109731 25.12.2021 22:23
*вдогонку*
А еще трабблы с периферийными печатающими устройствами в части установки драйверов. Зачастую, вне зависимости от настроек контроля устройств, драйвер печатающего устройства либо не устанавливается, либо некорректно отрабатывает. Помогает либо снос DL с повторной установкой, либо Неактивный режим на период установки драйверов (реже)...

Автор: Teo, ПГУ | 109734 28.12.2021 00:03
Всем привет! Здравствуйте, помогите пожалуйста, я студент 3 курса и у меня возникли проблемы, преподователь дал задание настроить СЗИ под свой класс защищённости, у меня 1Б. У меня должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответ-ствии с матрицей доступа, и должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации. Help!!!

Автор: Дядя-с-усами | 109735 28.12.2021 10:31
Так а в чем проблема? создаешь пользователей, создаешь группы, создаешь структуру каталогов, далее через правую кнопку присваиваются дискреционные и мандатные права. Все элементарно, даже инструкция есть, с картинками.

Автор: Станислав | 109736 28.12.2021 12:06
Кстати, коллеги, сейчас DL 8.0С при аттестации не ставят же уже?

Автор: Дядя-с-усами | 109741 29.12.2021 10:50
Только его, в основном сейчас и ставят.

Автор: Дядя-с-усами | 109742 29.12.2021 10:52
to oko
даже в 1709 наблюдается проблема с открытием меню "Пуск". Периодически выскакивает сообщение, что меню пуск не может быть выполнено и другие баги.

Автор: Станислав | 109743 29.12.2021 14:01
to Дядя-с-усами.
А как так, если у него сертификат до августа 2024?

Автор: Дядя-с-усами | 109744 29.12.2021 14:36
Сертификат у него вообще до 08.2019, а вот техподдержка до 08.2024. Ну так будут продлевать сроки техподдержки, пока вроде не слышно, что какую-то новую версию DL выкатывают.

Автор: Станислав | 109745 29.12.2021 15:14
to Дядя-с-усами
Я про техподдержку и имел ввиду)
Поговаривают про 8.6С.

Автор: Станислав | 109746 29.12.2021 15:16
Прошу прощения. Про новую версию DL и правда не слышал. 8.6С - это SNS.

Автор: oko | 109747 30.12.2021 23:55
to Дядя-с-усами
Багов в 1809 LTSC и аналогичной Pro не наблюдал...
С меню Пуск были вроде проблемы, но я уже автоматом Classic Win Shell ставлю на каждом объекте (потому что и меню, и Проводник, imho, в Win10 совершенно убогие) - с ним проблем нет...
А вообще да, Конфиденту давно пора обновить свою С-редакцию. Думаю, отклика от юзеров можно было собрать вагон и понять, куда и что улучшить/исправить, ага...

Прошел месяц

Автор: Олег | 109793 08.02.2022 14:46
Здравствуйте! Подскажите, пжл, установлен Dallas Lock 8с на 2 компа (один с Windows 7, другой с Windows 10) - на обоих у пользователей в сессиях ДСП и Секретно не печатает принтер. Подскажите, что можно сделать?

Автор: maximus | 109794 11.02.2022 08:10
Добрый день. Есть такая проблема. При переаттестации рабочего места стали ставить все необходимые обновления windows. На компьютере есть випнет на хосте и криптопро на виртуальной машине для выпуска электронных подписей. После обновлений перестали пробрасываться носители на виртуалку. Решили на резервном компьютере поставить винду с нуля. Поставили с нуля windows 21h2. Начали с виртуальной машины, настроили ее, поставили все необходимые сзи (крипто про, даллас, доктор вэб и т.д) Носители пробрасываются спокойно, дальше начали настраивать сзи на хосте, поставили DL80Kv689
и снова сразу же начались проблемы с пробросом носителей, т.е носители на хосте видны, да и виртуалка видит, но присоединить не может. Ошибка 0x80070067. Советовали удалить в реестре UpperFilters, но тогда при попытке присоединить Jacarta, rUTOKEN, etoken, синий экран на хосте. Что можете посоветовать? Рабочее место должно быть аттестовано согласно классу защищенности 1 Г.

Прошло несколько недель

Автор: Антон | 109840 05.03.2022 12:55
Добрый день!
При запуске от имени администратора в окне контроля учетных записей не сохраняются учетные данные администратора (имя). Приходится каждый раз вводить имя администратора. Версия Dallas Lock 8.0.710.0-K. Столкнулся именно в данной версии с такой особенностью. Может кто сталкивался?

Прошла пара недель

Автор: User2008 | 109881 24.03.2022 16:42
Доброго времени суток! Подскажите решение проблемы! Суть: в даллас лок 8.0 проищвели смену паролей, 2 дня все работало отлично, на третий, пользователи заходят в ОС, но не могут зайти на ресурсы, на который разграничет доступ (мандатный доступ), выдает сообщение "путь...отказано в доступе, отстутсвуют необходимые права, обратитесь к администратору" (ПРИМЕРНЫЙ ТЕКСТ сообщения, дословный не помню). При этом в журнале вх.пользователей Даллас лока пишет сообщение "пароль должен быть изменен". Поменяли еще раз - все тоже самое

Автор: Бутс | 109892 29.03.2022 10:47
Всем привет!

Может кто подскажет.
Есть ли способ изменить адрес СБ и ключ доступа для связи с СБ, не имея доступа к админке Dallas Lock 8.0? Например, изменить данные для связи с СБ через реестр Windows или через какой-нибудь файл типа DlPolicy.dls?

Прошел месяц

Автор: Александр | 109949 28.04.2022 09:59
Всем добрый день. Коллеги, возник вопрос. Имеется парк машин гт. Установлен даллас, флехи зашифрованы по гост. Сейчас добавятся машины на астре, есть ли вариант подружить между собой шифрованные далласом флехи и астру?

Автор: sekira | 109952 28.04.2022 19:28
"Установлен даллас, флехи зашифрованы по гост"
А зачем?

Автор: Александр | 109957 04.05.2022 09:32
"А зачем?"
Чтобы с аттестованного компа нельзя было скинуть данные на не аттестованный. Таким образом устранен возможный ткуи.

Автор: oko | 109959 04.05.2022 20:30
to Александр
Primo, не ТКУИ, а вопрос НСД...
Secundo, такие методы спорны как сами по себе (в случае "утери ключа"), так и по нормативке (особенно по духу "криптографии" без сертификата, ага)...
Tertio, работа с такими накопителями возможна только в рамках одной/нескольких АС, оснащенных одинаковыми (поддерживающими одинаковый механизм преобразования файлов) СЗИ...
Last, собственно, "функции преобразования файловых объектов" в ALSE и DallasLock между собой несовместимы (во всяком случае в моей практике). Но, imho, об этом лучше (быстрее, надежнее) спросить разработчиков и одного, и второго решения, чем здесь...

Прошло около недели

Автор: Стрелец | 109996 14.05.2022 12:45
Здравствуйте!
Нет ли информации, продлят серт ФСТЭК на Даллас 8-К? Техподдержка на сайте ФСТЭК указана до 2026 года. Оно вроде позволяет использовать. Но даллас перестали ставить при аттестации. Ставят СНС. Штоль всё? Эра линукса пришла?
И второй вопрос: как можно оправдать покупку обновлений/лицензий до Win10? Или уже невозможно?

Автор: Стрелец | 109997 14.05.2022 12:49
Имеется в виду покупка НЕотечественного ПО. Сеть одноранговая, гос и мун закупки.
Переход на отечественное пока для нас финансово неподъёмный. Хотя сейчас и W10 взлетела, но пока что дешевле, чем обновление СЗН под линукс + обучение + сам линукс

Автор: Стрелец | 109998 14.05.2022 12:50
* СЗИ, а не СЗН

Автор: Стас | 109999 14.05.2022 14:25
Коллеги, приветствую!
Подскажите такую вещь. Установлен Dallas Lock 8.0-K. Диск имеет два раздела C и D. За диском D есть неразмеченная область. Хочу увеличить D за счет этой области.
В инструкции пишут что если системный диск менять размером, то Dallas надо сносить перед этим. А несистемный диск D можно ли двигать без удаления Dallas. Кто пробовал? В инструкции только про диск C написано.
Боюсь потерять всю инфу на D.
Подскажите пжл.
Спасибо

Автор: Александр | 110000 17.05.2022 09:18
to oko
спасибо за ответ. жаль конечно, я так и думал что придется с разрабами общаться, и в целом гложут сомнения, что получится. просто имея достаточно большой парк аттестованных пк уследить за всеми проблема, а с шифрованием одной головной болью было меньше.

Автор: nekto | 110001 17.05.2022 15:11
to: Стрелец

> ...Но даллас перестали ставить при аттестации....
Проблема в том, что при покупке СЗИ, оно будет сертифицированным - если произведено при наличии действующего сертификата...

> И второй вопрос: как можно оправдать покупку обновлений/лицензий до Win10? Или уже невозможно?
Как вариант - необходимость использования какого-то софта, отсутствующего в других операционных системах...

Прошло несколько недель

Автор: Чернь | 110040 08.06.2022 00:12
Может кто знает. Когда же появится сертифицированный дистрибутив Dallas Lock 8.0-C сборки 8.0.710.0?
Я не знаком с процедурой сертификации СЗИ, но никак не могу понять, почему 8.0-K сборки 8.0.710.0 смогли сертифицировать, а "секретный" DL до сих пор пребывает в сборке 8.0.565.2.

Прошло несколько месяцев

Автор: Влад | 110436 04.10.2022 16:51
Здравствуйте!

Может кто подскажет.
Как удалить Dallas Lock 8.0-K, установленный в ОС Windows 10?
В базе знаний на сайте Dallas Lock приведены:
- образ диска аварийного восстановления, который по информации на сайте не работает с Windows 10;
- утилита для аварийного удаления Dallas Lock 8.0 с дисков, имеющих разметку GPT.

У меня Windows 10, диски с разметкой MBR. Как безболезненно для ОС удалить DL, непонятно.

Прошла пара недель

Автор: n1kasus | 110475 18.10.2022 09:45

Прошла пара недель

Автор: Ольга | 110491 02.11.2022 11:06
Кто-то сталкивался с такой проблемой, после установки консольной оболочки DallasLock Linux на Redos(7.3, версия ядра 5.15), в окне авторизации ОС поле для ввода пароля выбивает ошибку само по себе, даже не внося пароль? Как можно корректно установить DallasLock на linux?

Автор: oko | 110494 02.11.2022 20:55
*на правах модуля риторических вопросов*
А кто автор таких, мнэ, "светлых мыслей": ставить СЗИ НСД с сертификатом под КОНФИ на ОС с аналогичным сертификатом? Или покупать несертифицированную версию ОС, чтобы потом на нее лепить сертифицированное СЗИ НСД?
Хотя согласен, исключения бывают: готовый объект, часть на Win, часть теперь уже на Lin, все под управлением единого ЦУ. Но зачем тогда лепить СЗИ НСД на ОС, версия которой данным СЗИ НСД официально не поддерживается?

Автор: Ольга | 110496 03.11.2022 16:50
Было предписание вышестоящей организации установить даллас на редос.
стоит отметить Dallas Lock Linux получил сертификат совместимости с РЕД ОС

Автор: oko | 110497 03.11.2022 19:58
to Ольга
Ну, предписаниям вышестоящих организаций противопоставить можно только одно: официальный отказ совместимости и настоятельную просьбу в стиле "раз вы такие вышестоящие, то покажите, как это сделать". Как показывает практика, в аккуратной форме это решает любые проблемы невменяемых целеуказаний...
Что до официальной совместимости: то ли шифруются, то ли плохо искал, но с 14.09.2021 (дата получения сертификата на DL8.0-K последней сборки) ни у Конфидента, ни у REDSOFT не было явных заявлений о совместимости именно 7.3 версии РэдОС с DL8.0-K. И согласно доступным мануалам, поддерживается только 7.2 версия...

Автор: oko | 110498 03.11.2022 20:27
*в догонку*
Сорри, 14.09.2021 - это касается одной из сборок DL8.0-K Windows...
Впрочем, сведения о совместимости РедОС с DL Linux вообще идут от апреля 2020 г. А ядро 5.15 было реализовано и в состав РедОС вошло только на рубеже 2021-2022 г. Так чот по-прежнему терзают меня смутные сомнения...

Автор: Nikita | 110516 09.11.2022 08:00
Здравствуйте!
Возникла проблема с запуском Автоматизированного рабочего места ИБ. СДЗ Dallas Lock напрочь отказывается предоставить выбор аппаратного идентификатора (Поле выбора аппаратного идентификатора горит серым и некликабельно) несмотря на то что токен установлен в разъем Usb. Пробовал все разъемы usb, бесполезно. Ни один другой токен не подходит (обычно если вставить токен с другого АРМ, то в поле выбора он отобразится) Проверял токен на работоспособность, ошибок не обнаружено. В других АРМ токен нормально отображается в поле выбора аппаратного идентификатора. Что делать? уже появляется желание снести все и поставить все системы заново. Можно ли обойтись без сноса?

Автор: Влад | 110519 09.11.2022 14:56
to Nikita

Проблема возникла после первичной установки и настройки СДЗ или же появилась со временем? Если последнее, то логично вспомнить, что предшествовало проблеме. Если есть доступ к админ-режиму СДЗ, то, в теории, можно посмотреть журнал событий СДЗ, понять что случилось.

Также, если СДЗ заведено на сервер безопасности (СБ), то, в теории, с СБ могла распространится политика, запрещающая USB.

Прошел месяц

Автор: Юрий | 110584 13.12.2022 12:13
Добрый день, коллеги! Возник один странный вопрос, а нужно ли делать СП на СДЗ для ГТ? :)

Автор: oko | 110585 14.12.2022 13:26
to Юрий
На странные вопрос по тематике ГТ (подчеркиваю) ответы нужно искать в букваре и в правилах пользования на конкретные СЗИ (при их наличии)...
Если после прочтения букваря и других документов появилось еще больше вопросов - общаться с представителями регулятора и его лицензиатами...
Если вменяемых представителей найти не удалось - писать оф.письмо регулятору (лучше сразу в ЦА)...
Далее по тому же принципу. Высшей точкой, imho, следует считать решение МВК...
Но во всем этом перечне шагов открытый форум в Сети ни разу не встречается, ага...

Автор: Сталкер | 110591 17.12.2022 00:39
Доброго дня.

DL 8.0-C + Win10

Ситуация следующая. Есть учетная запись (УЗ) суперадминистратор (пользователь, который установил DL) и добавленная УЗ администратора безопасности (также находится в группе Администраторы). В настройках DL Параметры безопасности -> Права пользователей -> Параметры безопасности: Просмотр и Управление добавлена УЗ администратора безопасности, все настройки DL под УЗ администратора меняются без проблем.

За исключением одного пункта: DL -> Параметры безопасности -> Права пользователей -> параметр Печать разрешена. Если добавить/удалить УЗ из перечня пользователей под админом, то получим сообщение, что у админа нет прав на редактирование данной настройки. Под УЗ суперадминистратора данная настройка изменяется без проблем, т.е. пользователи добавляются/удаляются.

Также пробовал отключать DL - не помогает. В чем может быть проблема?

PS прочитал в Руководстве по эксплуатации, что пользователь должен обладать тем полномочием, которое хочет предоставить, а админ добавлен в параметр Печать запрещена. Это может влиять на редактирование параметра Печать разрешена?

Автор: Влад | 110592 19.12.2022 08:24
>>Если добавить/удалить УЗ из перечня пользователей под админом, то получим сообщение, что у админа нет прав на редактирование данной настройки. Под УЗ суперадминистратора данная настройка изменяется без проблем, т.е. пользователи добавляются/удаляются.

У меня установлен DL 8.0 сборки 8.0.761.0 на Windows Server 2012R2, из под УЗ не суперадминистратора в параметры "Печать разрешена", "Печать запрещена", можно добавить/удалить как доменного, так и локального пользователя, проблем никаких.

Вполне допускаю, что в сборке 8.0.565.2 и в Windows 10 это реализовано иначе.

Прошла пара месяцев

Автор: Денис | 110637 31.01.2023 14:13
Подскажите есть опыт запуска СДЗ Dallas Lock 8.0 на материнской плате с LGA 775?

Автор: Влад | 110638 31.01.2023 16:56
СДЗ вещь весьма капризная и индивидуальная. СДЗ с одной и той же версией прошивки могут вести себя абсолютно по разному на одной и той же материнской плате.

У нас, например, СДЗ сборка 222, плата КТ-500, код конф. 15, на LGA 775, если мне память не изменяет, запускалась.

Прошло около недели

Автор: Александр, Электромера | 110665 08.02.2023 21:21
Добрый день, коллеги!
Имеем DL 8.0-C. Имел релиз 8.0.485.12. Все работало!
Техподдержка есть.
На сайте DL выяснил, что есть релиз 8.0.565.2, рекомендован для установки (с изменениями в формуляре и т.п.).
На всякий случай сохранил имеющуюся конфигурацию DL. Обновил DL на новую версию.
Правда, САВЗ DrWeb не отключал.
Проблема - под учетной записью пользователя в режиме без конфиденциальности - можно войти. Но если повысить уровень конфиденциальности, то выдоится сообщение "Идет первичная инициализация уровня конфиденциальности".
В чем может быть проблема?

Прошло около недели

Автор: Александр, Электромера | 110673 16.02.2023 17:23
Коллеги! С этой проблемой разобрался, правда, с помощью техподдержки (ТП) от Конфидента, хорошо, что была оплачена. Вначале ТП посоветовала обновить Windows, накатать актуальные обновления. Понятно, что это - нереально. Потом они посоветовали установить патч, связанный с безопасностью и имеющийся в дистрибутиве DL-8K.
А затем - установить патч, на который они прислали ссылку. Теперь все работает.
И еще общий вопрос по наложенным средствам защиты - DL-8C и SNS. В соответствии с руководящими документами должно быть не менее трех учетных записей (даже, если это одно физическое лицо): администратор безопасности (АБ), системный администратор (сисадмин) и пользователь. С пользователем и АБ все понятно, а как в DL (и SNS) завести сисадмина, т.е. создать учетную запись, которая предполагает все права на систему (установка программ, драйверов и др.), но не дает право на доступ к каталогам с мандатным уровнем доступа, выше нулевого?

Автор: oko | 110674 17.02.2023 03:20
to Александр
Как раз в DL этот вопрос решен через назначение нужной учетке группы "Администраторы" на уровне ОС, но без прав администратора на уровне СЗИ. Хотя это все равно хреновое решение...
Вот в SNS все несколько хуже - в последних релизах админа ИБ от сисадмина номинально разделяет "самозащита" и pin-код доступа к Центру управления. Что также хреновое решение...
И где (вернее, по какой линии - ГТ, КОНФИ, ГИС, ИСПДн, т.д.) вы видели обязаловку про 3 уч.записи? Речь в нормативке скорее про "разные функции должны исполнять разные люди". А если человек один (сам себе юзер, сам себе сисадмин и админ иб), то какие могут быть варианты? Только реально разделять ответственность между все-таки разными сотрудниками (как минимум по эксплуатации и по системному администрированию/администрированию безопасности)...

Прошел месяц

Автор: urico77 | 110767 22.03.2023 02:32
Доброго времени суток всем! Подскажите пожалуйста, есть необходимость закупить ноутбук и установить в него СДЗ Dallas Lock, нужен СТОПРОЦЕНТНЫЙ (ну или хотя бы 99%) вариант совместимости ибо работаем по 44ФЗ, в перечне который выдает техпод ноутбуки старых модификаций, которые отсутствуют в продаже или уже не производятся, может кто ставил недавно?
Заранее спасибо.

Прошла пара недель

Автор: Сергей, Администрацтя МО мирнинский район РС(Я) | 110802 05.04.2023 05:34
Добрый день. После установки dalas lock просит перезагрузить ПК, и после этой перезагрузки выдает ошибку под любого пользователя " разблокировать компьютер может только вошедший пользователь" устанавливал и под локальным администратором и под доменным администратором, одно и тоже

Автор: Влад | 110805 05.04.2023 13:46
В ошибкой "разблокировать компьютер может только вошедший пользователь" обычно можно столкнуться, если установить на ОС Win 10 старую сборку DL без соответствующего патча.

Прошло около недели

Автор: пихто | 110827 15.04.2023 10:51
"разблокировать компьютер может только вошедший пользователь"

нужно перед установкой Dallas в настройках пользователя снимать галку "использовать мои учетные данные для входа в систему".

Автор: Tenobran, Ооо "карма" | 110832 17.04.2023 12:01
Добрый день, может кто сталкивался с данной проблемой после установки Dallas lock 8.0.710.0 и включения межсетевого экрана после перезагрузки ПК зависает на входе в ОС на экране "пожалуйста подождите"

Прошла пара месяцев

Автор: Dubik11 | 110924 29.05.2023 19:44
to Oko
Коллеги доброго времени, подскажите пожалуйста, вопрос про системного администратора и администратора безопасности, как тут посоветовали системного админа в dallas lock можно реализовать через добавление пользователя с правами админа из под винды, правильно я понимаю что его в dallas lock добавлять не надо, а какой тогда смысл в нем? Он ведь даже зайти не сможет в систему? И как внести его разрешительную систему? Какие права ему там отразить? Может есть у кого-то примеры реализации? Буду очень благодарен.

Прошло несколько недель

Автор: Stepway | 110963 22.06.2023 11:09
Здравствуйте,коллеги. При эксплуатации Dallas Lock 8.0-C на ОС Win 10 64bit наблюдается следующая проблема: под пользователем не работает контекстный поиск файлов через Проводник Windows. При попытке ввода символов они сразу исчезают. Под Администратором всё работает нормально. Сразу оговорюсь тех. поддержка уже истекла, а продлевать сейчас не возможности. Сборка DL 8.0.565.2. Сборка Windows 19042/631 версия 20H2.
Может у кого была аналогичная проблема?

Прошла пара недель

Автор: Вадим | 110984 07.07.2023 20:56
Добрый вечер, в продолжении темы про то, что принтер категорически отказывается печатать в мандатном режиме контроля доступа. Может кто-то сталкивался с такой проблемой и не смог ее решить.
Значит проблематика вопроса заключалась в следующем, на дворе 2023й год, Dallas Lock 8.0-C версия 761 на ОС Windows 10 LTSC 21H2 (сборка 19044.2486) 64bit. Настройка всего ПО и драйверов выполнена до установки СЗИ, под всеми пользователями осуществлена тестовая работа. Но даже при таком раскладе, принтер отказывался печать, причем печать под любым пользователем в несекретной сессии или как еще ее еще называют открытые данные (мандатный уровень 0), принтер печатает без всяких нареканий, но стоит только войти под другим мандатным уровнем выше нуля, принтер отказывается печатать, при этом: задания на принтер отправляются, он их принимает и даже что-то пытается начать печатать, но прокрутив барабан одну секунду не выдает ничего, в журнале СЗИ при этом фиксируется запись что документ успешно отпечатан, в очереди на печать принтера пусто. Не печатает как из Word, текстового блокнота и даже через свойства принтера, печать тестовой страницы. Для решения этой проблемы обратился к базе знаний на сайте самого Dallas, и там скачано, что необходимо сделать разделяемым каталог C:\Windows\System32\spool\PRINTERS, установив параметр «Папка является разделяемой», но у меня эта папка как раз и является разделяемой, но принтер не работает.
И вот тут, в этом же сообщении чуть ниже, сказано: «Отметим, что в некоторых случаях параметр «Папка является разделяемой» необходимо отключать для C:\Windows\System32\spool\PRINTERS». И о чудо, стоило только лишь снять галочку с «Папка является разделяемой» и принтер запечатал сразу под всеми мандатными уровнями. Пользуйтесь, может кому пригодится.

Прошло около недели

Автор: Дмитрий | 110992 17.07.2023 15:57
Здравствуйте! Win10 + DL 8 C + KES 11. После смены пароля по требованию системы, при включении компьютера появляется синий экран (не смерти) с предложением Перезагрузить или Дополнительно. Загрузиться на синий экран смерти не получается, Восстановление при загрузке не помогает, Безопасный режим не загружается. Куда копать? Есть одна точка восстановления, сделанная год назад.

Прошло несколько недель

Автор: Сталкер | 111056 07.08.2023 17:28
Дмитрий, получилось как-нибудь исправить данный косяк? Периодически такое возникает, помогает только восстановление диска С из образа. Но хотелось как-нибудь восстанавливать работоспособность без этого.

Автор: Влад | 111057 08.08.2023 08:39
Что отвечает техподдержка «Конфидента» по этой проблеме?

Прошло несколько месяцев

Автор: Кирилл, Школа | 111195 21.11.2023 12:20
Добрый день, такой вопрос. Кто должен устанавливать и настраивать данное ПО в образовательном учреждении? Технический специалист, или же квалифицированный инженер по ИБ?

Прошла пара месяцев

Автор: Алексей, Школа | 111344 13.02.2024 14:04
Добрый день, подскажите пожалуйста, есть ПО DL 8.0-c, установили на Win 10 (64 bit). После установки начинается перезагрузка и черный экран. Далее более ничего нет. Что происходит и почему черный экран?

Автор: Влад | 111346 14.02.2024 10:42
Dallas Lock относительно сырая и капризная СЗИ.
Важно какая сборка применялась (текущая сертифицированная 10.5.0.803), с какими правами была выполнена установка.

Прошла пара недель

Автор: Stepway | 111368 05.03.2024 12:43
Здравствуйте, коллеги. Кто в недавнем времени обновлялся на новейшую сборку Dallas-Lock 8.0-C? Как это сделать легально? Если приобретать через официальных партнеров "Конфидент" установочный комплект (без лицензии, которая уже есть в наличии), какая сборка ПО будет на верифицированном носителе?

Автор: Влад | 111371 06.03.2024 08:57
Не думаю, что "Конфидент" продает установочный комплект (диск с дистрибутивом, формуляром, сертификатом соответствия ФСТЭК) отдельно от лицензии. По-крайней мере, мне об этом неизвестно.

По-хорошему, помимо лицензии на СЗИ необходимо на каждый год приобретать техническую поддержку. В рамках ТП "Конфидент" предоставляет ссылку на актуальный дистрибутив + документы в электронном виде (вкладыш в формуляр), которые необходимо иметь для сертифицированного СЗИ.

При покупке установочного комплекта, поставщик в любом случае запрашивает и получает от вендора (от "Конфидент") диск с актуальной сертифицированной сборкой.

Прошла пара недель

Автор: Николай | 111390 26.03.2024 16:19
Здравствуйте, коллеги. Подскажите пожалуйста сталкивались ли вы с такой проблемой: установлена win10(1703), установлен Dallas-Lock 8.0-C, под админом в систему заходит, а если создать в Даласе пользователя и попробовать зайти под ним, то выкидывает обратно на начальный экран логина и пароля?

Автор: zergs | 111391 26.03.2024 16:27
Совместимость сборки DL и ОС Windows проверяли?

Просмотров темы: 338660


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100