Dallas Lock - Форум по вопросам информационной безопасности

для Vosiley | 70493

"Если под любым уровнем записывается CD, значит, мандатный режим не настроен либо СЗИ не активно"

Да неужели? Вы очень ошибаетесь.

"Не совсем понятно, что значит CD отформатирован под уровнем "0", сам по себе компакт-диск мандатной информации не несет."

А вы возьмите чистый (читайте "новый") CD-диск и запустите его в среде Windows 7. Система предложит 2 варианта записи диска. Один из них "запись как флеш-накопитель USB". И чтоб записывать этим способом, CD-диск форматируется (единожды при первом запуске). А потом уж можно производить запись данных на диск.
И вот, как раз, это форматирование не проходит должным образом под уровнем большем чем "0".
Так что , прежде чем утверждать, что СЗИ не активно или мандатный режим не настроен, попробуйте сначала проделать то, что я описал выше.

По поводу записи на диск.
С XP еще веселее, правда рецепт был уже выдан.
Если мы имеем новый диск, то в сессии 0 мы должны записать на него (в XP мы можем записать только в режиме CD) любой файл (пустой) для инициализации диска. После этого зарегистрировать диск в DL, установить ему мандатный уровень, и только после этого можем записать на него какую либо информацию выше "0".
И да, странно, если DL позволяет вам, используя виндовую функцию записи дисков, записывать данные выше 0 без регистрации диска и назначении ему грифа.

PS. Диски - зло. Записали диск (Win 8.1, DL). Открываем на другом компьютере (Win 8.1, SN) - нет информации на диске. Открываем на другом компьютере (WIn7, SN) - данные в полном порядке.
Записываю другой диск. WIn 8.1, без СЗИ. Открываю на Win 8.1, SN - нет половины записанных данных. Открываю на ПЭВМ WIn7, SN - вообще нет данных. Открываю на ПЭВМ WinXP, SN - все в порядке. Система абсолютно случайна.

PSS. DL выдал вчера. Для ускорения процесса печати выставил ему "печатать сразу на принтер". Зря. Он на каждом последующем листе печатал все листы раздела, причем выборочно строчки. Иногда мог не печатать строчку, иногда мог вместо наложения строчки на задний план отправить ее на передний, и добавить функцию непрозрачности... 75 листов в брак и час работы по выявлению, что же послужило причиной этого (проявилось не сразу).

to Yerdan
Сдается мне, что причина бед с CD в разной скорости чтения/записи у резаков под проверенными АРМ. Средства защиты не при чем (вам оно понятно, мне оно понятно, но, думаю, надо тут акцентировать внимание, чтобы больше никто не думал плохого про СЗИ НСД).
Завтра буду ковырять DL8.0-С+Win7x64+DrWebX+какой-то-очень-хитрый-принтер. Отпишусь по результатам. Пока симптомы дикие: в сессии выше "0" печать под пользователем невозможна ("неверная настройка принтера"), хотя конфиг 300 раз проверенный на других АРМ (ну, не 300, но раз 100 точно).
У DL очень кривой обработчик печати. Надо бы сравнить с прошлой "уязвимой" версией. Возможно, всему виной пресловутое обновление, устраняющее уязвимости. Возможно, первичная идея делать драйвер-перехватчик. Я с другого балдею - знают же, что поголовно никто не использует функцию маркировки документов (про параноиков, закрытые институты и проч. узкие места не говорю). Но все-равно делают. Ибо требования сертификации. Которые устарели в части РСБ уже много лет назад...

to Human
Уже писал про режим "Как флеш-накопитель". Это зло, добавленное с Win7 и порочащее саму идею безопасного хранения/передачи данных на CD/DVD. А DL поступает тупо. Файловая система не в режиме Mastered? Значит, перезаписываемый носитель. Значит, нужен серийный номер (причем DL и с CD, и с обычными Flash назначает его самостоятельно на основе информации по форматированию, что не есть гуд). Значит, вначале регистрируем, а потом уже пользуемся.
Правильный вывод - это запрет сторонних ФС, разрешение Mastered и использование спец.ПО для записи CD/DVD. В противном случае будут проблемы либо с СЗИ НСД, либо с чтением записанной информации (за счет типизации режимов и скорости прожига - привет тов. Yerdan!), либо с Виндовыми багами. + такой носитель можно будет перезаписать, что в случае с архивной копией или сопроводительным документом, зачастую, подобно смерти...

to Yerdan
С коллегами разобрались со связкой (как и обещал) "DL8.0-С+Win7x64+DrWebX+какой-то-очень-хитрый-принтер". Косяк в сборке. Заказали последнюю версию у Конфидента - все заработало. Включая Dr.Web X (его устанавливали последним).

Для oko | 70539
"Заказали последнюю версию у Конфидента - все заработало. Включая Dr.Web X (его устанавливали последним)."

Последняя версия - это сборка 347.20 ?
А вы ее поставили только в качестве эксперимента или аттестовали/собираетесь аттестовать АС с этой сборкой?

А какие у вас обычно проблемы с DL80C в связке с Dr. Web X? Просто у нас обычно проблемы не связаны с САВЗ.

to Human
1. Она самая, 347.20.
2. Эксперимент дабы узнать, что работать будет. Дальше - дело заказчика, как он будет вопрос с Конфидентом решать.
3. С Dr.WebX обычно проблемы доступа к Word (остальное ПО из пакета Office при этом работает), а иногда и полный останов системы. Помогает установка Dr.Web после DL, что, в сущности, неверно. И не всегда помогает. Остальное уже рассказывал на форуме в этой же теме страницы 3-4 назад.

2 oko
>Помогает установка Dr.Web после DL, что, в сущности, неверно.
Не знаю насколько неверно, но знаю, что лично у меня попытка установить DL на машину, где уже стоит DrWeb 11, не удалась от слова совсем. Этот антивирус категорически не хотел снимать защиту системы, и даже в полностью деактивированном состоянии не давал подменить загрузчик винды.

to Yerdan
А вы DL с режимом доверенной загрузки ставили? Просто обычно при установке DL только службы и драйверы прописывает, но в загрузчик не лезет.
К тому же есть принципиальная разница между Dr.Web 11 и сертифицированным комплектом Dr.Web ESS 10. 10 версия ставится и до, и после. Но "до" редко нормально работает, вернее мешает работе других приложений. Причем версия ОС не важна, как показывает практика.

для oko

"Помогает установка Dr.Web после DL, что, в сущности, неверно"
Почему неверно, если не секрет?

А вы при установке сертиф. Dr.Web X ставите брендмауэр или нет?
Вот, например, у сертифицированного KES 10 (MR2) в формуляре сказано , что при инсталяции программного изделия нужно выбирать "Стандартная установка". В Dr Web 10 такого не припомню..

to Human
1. Неверно, поскольку СЗИ НСД должно "покрывать" остальное ПО на машине. В противном случае, при установке чего-либо "после" СЗИ НСД, его стабильность и целостность гарантировать нельзя. Расписывать долго, уж поверьте на слово...
2. Причем тут брандмауэр? Dr.Web X "до" DL8.0-C можно ставить в любом варианте исполнения (брандмауэр вообще обычно не использую, нет от него ни толка, ни сертификата). Хоть просто антивирус+ядро+модуль обновления. Но это ничего не дает - все равно вероятность ошибки в дальнейшем много больше 0. Проверено не один раз.