Dallas Lock - Форум по вопросам информационной безопасности

to Yerdan
Попробуйте поставить грифы "разделяемая папка" на все эти каталоги. Т.е. вначале до установки Далласа прогнать работу ФР под юзером, затем каждый каталог пометить "разделяемой папкой", начиная с наивысшего (иначе не примет). Не факт, но, возможно, поможет...
Cuneiform, походу, загнулся. Во всяком случае для Win. Нашел кучу форков и визуализаторов для Linux...

to hecc
Надо попробовать в следующий раз именно Dr.Web Security Space 10. Спасибо!
А бага у вас была в связи с клинчем драйвера МФУ и драйвера поддержки печати в Далласе. Т.е. драйвер МФУ перезаписал нужную Далласу область памяти (возможно, и библиотеки-перехватчики добавил свои). Как факт, всегда вначале ставьте весь нужный софт, а потом уже СЗИ НСД (касается не только Далласа)...

to Yerdan
Шутки шутками, но даже под суперадмином не работал. Впрочем как и некоторые другие специальные программы. Но это при установке уже поверх далласа было. До далласа не пробовал, если честно. И проблема с word 2013 тоже под суперадмином возникает. Так что последняя практика показывает, что не все так однозначно. В совокупности в зависимости от версий OS+Office+антивирус+Dallas каких только баг не встречал, и у всех все по разному))

to oko
Да я знаю, что по хорошему надо даллас поверх всего ставить,и на новых машинах это не проблема реализовать.Но бывает, что уже на аттестованных машинах возникает необходимость добавить софт или поменять принтер или мфу. И вот тогда начинаются пляски...

Кстати, ТП говорит что новая сборка, которая совместима с 10 вебом уже проходит инспекционный контроль. Правда на мой запрос ее предоставить для теста, мне так ничего и не ответили.

2oko
Не выходит каменный цветок с разделяемыми папками. Ставил, и в автоматическом, и в ручном режиме прописывал - не получается. Дело в том, что FR эти папки каждый раз удаляет и создает заново.

to hecc
На уже аттестованных: сохраняете конфиг Далласа, удаляете его, ставите нужное ПО, натягиваете Даллас, применяете конфиг и донастраиваете установленное ПО. Шагов много, но это лучше, чем ловить баги. И потом, иным порядком вы явно нарушаете принцип эксплуатации СЗИ НСД. И в Далласе, и в Страже, и в Аккорде и т.п. везде явно указано, что ПО должно быть установлено, запущено и протестировано на работоспособность до установки СЗИ НСД...

to Yerdan
У вас проблемы с распознаванием PDF? И под меткой 0, и выше 0? А вам нужно в любых метках или только под 1 (2)? Если только под одной - готов поделиться "костылем". Только что протестировал схему - работает (правда, с FR12 ломаным, но, думаю, разницы не будет - да простит меня компания ABBYY за использование кряков для их софта, ага). Костыль, потому что это может создать проблему для другого "особенного софта". Типовой софт (архиваторы, PDF-читалки, Office) + FR12 в такой конфигурации работает. Что будет с AutoCAD, CorelDRAW и т.п. - не рискну предполагать - надо тестировать...

*в сторону* JPG, кстати, распознается и работает без проблем при любых мандатных сессиях. И тут, кстати, можно доковырять до новой уязвимости в Далласе (некорректно их драйвер считывания меток NTFS работает). Но мне лень...

Собственно, для работы FR11-FR12 под какой-то 1 мандатной меткой надо:
1. Запустить FR до установки Далласа под нужным юзером. Остальной софт тоже, разумеется.
2. До установки Далласа в "переменных средах" (которые в доп.параметрах системы) сменить "%USERPROFILE%\AppData\Local\Temp" на "C:\Windows\Temp" и дать средствами Win доступ в этот каталог всем нужным юзерам "по максимуму". Вот один из аспектов "костыля", кстати, зато официальный - один из способов настройки SN в свое время был. Рассуждать о секьюрности такого способа не буду - сами все понимаете, думаю :)
3. Натянуть Даллас, перегрузиться и установить в его настройках:
- применить шаблоны для другого используемого ПО, исключая FR;
- "раздел.папка" на C:\Windows\Temp, дискр.доступ для нужных юзеров со всеми опциями КРОМЕ "выполнение вложенных объектов" (мы же за ЗПС, не так ли?)
- "раздел.папка" на C:\Users\имя_юзера\AppData\Local\Temp СНИМАЕМ! Вместо этого ставим мандатную метку, под которой должен работать FR;
- "раздел.папка" на C:\ProgramData\ABBYY\Finereader\12.00, дискр.доступ туда всем юзерам БЕЗ "выполнения вложенных объектов";
- "раздел.папка" на C:\Users\имя_юзера\Local\ABBYY\FineReader\12.00, дискр.доступ туда юзеру-владельцу каталога БЕЗ "выполнения вложенных объектов";
- в "Параметрах ФС по умолчанию" ставим всем юзерам полный доступ БЕЗ "выполнения вложенных объектов";
- на каталоги "C:\Windows", "C:\ProgramData", "C:\ProgramFiles(x86)" и аналогичный для x64 - ставим всем юзерам полный доступ С "выполнением вложенных объектов".
Profit!
Теперь из контекстного меню по любому PDF-файлу в нужной мандатной сессии корректно работает преобразование в Word. Для JPG-файлов теперь тоже работает только в избранной мандатной сессии. + у нас настроена какая-никакая ЗПС (в каталоги, где запуск разрешен, юзеров не пустит Win своими средствами, а из других каталогов запуск ПО запрещен).

ЗЫ Если всего этого не делать, а сделать только перенаправление в C:\Windows\Temp с "раздел.папкой" (или "раздел.папка" на Temp в профиле пользователя, как обычно делается для любого софта), то работать не будет. Прикол в том, что и в случае PDF, и в случае JPG FR создает в C:\Users\имя_юзера\AppData\Local\Temp\FineReader12.00\ те самые каталоги, о которых писал тов. Yerdan. Но при "раздел.папке" на этом "Temp" распознавание JPG-файлов почему-то проходит нормально в любой сессии, а распознавание PDF-файлов не проходит ни при каких условиях. В этом и углядывается косяк Далласа как СЗИ, и косяк ABBYY как разработчика - перенаправление временных сред, заданное в профилях пользователей (в моем примере, в C:\Windows\Temp) должно работать нативно для любого софта, однако ABBYY использует жесткие ссылки (впрочем, при ошибках доступа ругается на C:\Windows\Temp, хотя фактически создает недоступные каталоги все равно в профиле пользователя). Вот такие они, криворукие программисты...

2oko
Спасибо за рецепт, попробую, хотя использовать ломаный софт в аттестованной системе...
И да:
1) увы, мне нужно работать минимум в 2 сессиях;
2) У меня и jpg не открывает. Пишет, что такого файла во временных каталогах нет. Хотя, разумеется, немного иначе, чем в случае с pdf;
3) восстановление настроек DL, увы, работает только в ТОЙ ЖЕ САМОЙ системе, где этот DLбыл перед этим установлен. Создать пользователей (даже не профили) эта функция не способна. Когда у тебя 5-10 пользователей - в принципе не слишком важно. Когда у тебя система заточена под 50-70 пользователей...

ЗЫ. А кто читал новый стандарт "специалист по ТЗИ"? Как вам тот факт, что администрирование СЗИ вменено НАЧАЛЬНИКУ ОТДЕЛА ТЗИ?

to Yerdan
1. Для jpg - как указал, "раздел.папка" на ProgramData...
2. Восстановление настроек, рекомендованное тов. hecc, и будет в той же системе, так что проблем никаких...
3. В вашем случае софт может быть и с лицензией, не должно быть разницы (вероятность крайне мала, ага). Это у меня под рукой лицензии не оказалось...
4. Профиль настроенного юзера копируется к ненастроенным. Настройки Далласа тоже методом ctrl-c ctrl-v перебиваются. Время будет затрачено, конечно, но в разы меньше, чем при ручном режиме...
5. Стандарты в нашей стране зачастую "чтобы было", а вовсе не "обязательно к применению" (читай, уже не СССР)...

to oko
Возьму на заметку, и спасибо за развернутое описание про FR. Надо будет потестить. Вообще всегда старался как можно меньше трогать без надобности и удалять СЗИ от НСД на аттестованных машинах. Только после того как несколько раз наткнулся на баги при обновлении далласа по коду техподдержки стал удалять и заново ставить новую сборку.

Win7+Dr.Web6+DL8-С
Подскажите пожалуйста в чем могут быть причины:
- журнал входов, на одном АРМ отображает только вход в текущей сессии (без истории входов за предыдущие периоды), а на другом АРМ пишет ошибку получения журнала, некорректная дата или время (хотя файл журнала в папке DL существует и его размер растет, видимо записи добавляются).

Здравствуйте, вновь прошу совета, Windows Server 2008 R2 Server Standard + Dallas Lock 8.0-C, программа дала сбой, при загрузке появляется оболочка далласа, блокирует ОС. Был совет загружаться с диска Далласа, либо по мануалу аварийного снятия системы защиты. При загрузке с диска и выбора пункта "Аварийное восстановление DL 8.0" требуется указать путь к папке Windows, при указывании пути выходит сообщение, что путь не верный, либо DL не был установлен (Возможно потому, что DL был удален ранее). Далее прошелся по мануалу ручного отключения защиты (Переименование и копирование файлов в командной строке (некоторых файлов не было), отключение загрузчика, чистка реестра утилитой), ничего не помогло, так же загружается оболочка Далласа... Какие еще есть методы снятия защиты, или остаётся только переустановка Windows?