СОИБ. Внедрение. Новые возможности СЗИ от НСД Secret Net 7.2 под прицелом (UPD)

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(5)
()
Недавно мой однофомилец Илья Борисов в своем блоге призвал отказаться от продвижения security-by-marketing в сторону real security.


Чтобы поддержать эту инициативу хочу поделится некоторыми моментами из опыта внедрения  Secret Net 7.2 и анализу некоторых маркетинговых функций этого СЗИ от НСД


·        Собственные механизмы управления и система управления.

Напомню что во всех предыдущих версиях Secret Net, требовало внесения изменений в схему AD, управления системой осуществлялось через надстройки групповых политик AD, частично хранило настройки в AD и требовало для установки и работы учетную запись с максимальными привилегиями в AD.

Собственная система управления, не требующая внесения изменений в AD и больших привилегий в AD, я рассматриваю как технологический прорыв, выводящий SN на один уровень с другими современными СЗИ на Российском рынке.


·        Упрощение системы автоматической установки на множество АРМ


Посмотрим, какие неприятные моменты были обнаружены при реализации проекта (внедрение Secret Net для защиты ИСПДн, которая составляет 10% от общего кол-ва узлов):

1.      Документация в версии 7.2 обновилась, но реально в ней документированы не все новые возможности.

Например, отсутствует описание варианта установки без модификации схемы AD. (UPDATE - благодаря помощи Кода Безопасности найдено примечание в отдельном обзаце по поводу такой установки. Но детали по правам доступа отсутствуют)

2.      В целом техническая поддержка вендора Код Безопасности оказалась не готова к любым к вопросам по установке или настройке Secret Net версии 7.2

На любой вопрос, даже по документации, спрашивали свой любимый набор данных




Далее пропадали со словами, что им необходимо смоделировать подобную ситуацию.

3.      В итоге от ТП вендора было получены следующие требования к правам учетной записи, необходимой для установки сервера безопасности и клиентов:


 

Похоже, что производитель даже не задумывался об определении реально необходимых полномочий для установки своего ПО и сразу попросил максимально возможные.

Дальнейший опыт установки показал что чуть меньших прав тоже достаточно
(UPDATE - из комментариев Кода безопасности получено что для установки достаточно локального админа. Для добавления в управление SN - администратора в Secret Net. Можно сделать раздельно)

4.      Так-же перед установкой сервера безопасности Secret Net необходимо включить режим “Доверять компьютеру делегирование ”. Но на вопрос к ТП указать для каких служб и объектов необходимо включить делегирование, получил ответ, что они пока не в курсе и просят установить делегирование для любых сервисов и объектов. Что в будущем, может привести к печальным последствиям, предполагая, что в домене есть узлы более ценных ИС, кроме ИСПДн и что в третьем пункте мы назначили права доменного админа.




5.      При автоматической установке клиентов обнаружился ещё пара моментов

a.      установка клиентов из системы управления невозможна, опять придется действовать через групповые политики

b.      нужно подготовить файл настройки, файл настройки и дистрибутивы выложить на папку в общем доступе, а в файле настройки  -  логин и пароль учетки от имени которой будет установка и подключение клиента к серверу (смотри пункт 3). Отличный подарок для внутреннего злоумышленника (от которых мы и планировали защищаться)

  (UPDATE) Из комментариев Кода Безопасности получена информация, что учетные данные пользователя указывать не нужно. В таком случае установка возможно с правами локального администратора и потом отдельно добавляем в оперативное управление SN администратором SN.

6.      Оказалось что централизованная система управления не до конца централизованная.  Управлять контролем целостности через неё не получится. Приходится устанавливать и запускать отдельную утилиту на АРМ администратора.  Неужели так трудно включить все функции управления в одну консоль?





Выводы: с учетом приведенных недостатков и ограничений не вижу особых преимуществ использования варианта с новой системой управления. 
С теми же полномочиями и быстрее получится развернуть систему по-старому, через модификацию AD и надстройки над групповыми политиками AD


Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.