Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Dallas Lock - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Dallas Lock

К списку тем | Добавить сообщение


Страницы: [1-20] < 21 22 23 24 25 26 27 28 29 30

Автор: oko | 73567 08.07.2017 12:30
to Yerdan
Попробуйте поставить грифы "разделяемая папка" на все эти каталоги. Т.е. вначале до установки Далласа прогнать работу ФР под юзером, затем каждый каталог пометить "разделяемой папкой", начиная с наивысшего (иначе не примет). Не факт, но, возможно, поможет...
Cuneiform, походу, загнулся. Во всяком случае для Win. Нашел кучу форков и визуализаторов для Linux...

to hecc
Надо попробовать в следующий раз именно Dr.Web Security Space 10. Спасибо!
А бага у вас была в связи с клинчем драйвера МФУ и драйвера поддержки печати в Далласе. Т.е. драйвер МФУ перезаписал нужную Далласу область памяти (возможно, и библиотеки-перехватчики добавил свои). Как факт, всегда вначале ставьте весь нужный софт, а потом уже СЗИ НСД (касается не только Далласа)...

Автор: hecc | 73568 08.07.2017 13:17
to Yerdan
Шутки шутками, но даже под суперадмином не работал. Впрочем как и некоторые другие специальные программы. Но это при установке уже поверх далласа было. До далласа не пробовал, если честно. И проблема с word 2013 тоже под суперадмином возникает. Так что последняя практика показывает, что не все так однозначно. В совокупности в зависимости от версий OS+Office+антивирус+Dallas каких только баг не встречал, и у всех все по разному))

to oko
Да я знаю, что по хорошему надо даллас поверх всего ставить,и на новых машинах это не проблема реализовать.Но бывает, что уже на аттестованных машинах возникает необходимость добавить софт или поменять принтер или мфу. И вот тогда начинаются пляски...

Кстати, ТП говорит что новая сборка, которая совместима с 10 вебом уже проходит инспекционный контроль. Правда на мой запрос ее предоставить для теста, мне так ничего и не ответили.

Автор: Yerdan | 73570 08.07.2017 16:02
2oko
Не выходит каменный цветок с разделяемыми папками. Ставил, и в автоматическом, и в ручном режиме прописывал - не получается. Дело в том, что FR эти папки каждый раз удаляет и создает заново.

Автор: oko | 73571 08.07.2017 16:15
to hecc
На уже аттестованных: сохраняете конфиг Далласа, удаляете его, ставите нужное ПО, натягиваете Даллас, применяете конфиг и донастраиваете установленное ПО. Шагов много, но это лучше, чем ловить баги. И потом, иным порядком вы явно нарушаете принцип эксплуатации СЗИ НСД. И в Далласе, и в Страже, и в Аккорде и т.п. везде явно указано, что ПО должно быть установлено, запущено и протестировано на работоспособность до установки СЗИ НСД...

to Yerdan
У вас проблемы с распознаванием PDF? И под меткой 0, и выше 0? А вам нужно в любых метках или только под 1 (2)? Если только под одной - готов поделиться "костылем". Только что протестировал схему - работает (правда, с FR12 ломаным, но, думаю, разницы не будет - да простит меня компания ABBYY за использование кряков для их софта, ага). Костыль, потому что это может создать проблему для другого "особенного софта". Типовой софт (архиваторы, PDF-читалки, Office) + FR12 в такой конфигурации работает. Что будет с AutoCAD, CorelDRAW и т.п. - не рискну предполагать - надо тестировать...

*в сторону* JPG, кстати, распознается и работает без проблем при любых мандатных сессиях. И тут, кстати, можно доковырять до новой уязвимости в Далласе (некорректно их драйвер считывания меток NTFS работает). Но мне лень...

Автор: oko | 73572 08.07.2017 16:32
Собственно, для работы FR11-FR12 под какой-то 1 мандатной меткой надо:
1. Запустить FR до установки Далласа под нужным юзером. Остальной софт тоже, разумеется.
2. До установки Далласа в "переменных средах" (которые в доп.параметрах системы) сменить "%USERPROFILE%\AppData\Local\Temp" на "C:\Windows\Temp" и дать средствами Win доступ в этот каталог всем нужным юзерам "по максимуму". Вот один из аспектов "костыля", кстати, зато официальный - один из способов настройки SN в свое время был. Рассуждать о секьюрности такого способа не буду - сами все понимаете, думаю :)
3. Натянуть Даллас, перегрузиться и установить в его настройках:
- применить шаблоны для другого используемого ПО, исключая FR;
- "раздел.папка" на C:\Windows\Temp, дискр.доступ для нужных юзеров со всеми опциями КРОМЕ "выполнение вложенных объектов" (мы же за ЗПС, не так ли?)
- "раздел.папка" на C:\Users\имя_юзера\AppData\Local\Temp СНИМАЕМ! Вместо этого ставим мандатную метку, под которой должен работать FR;
- "раздел.папка" на C:\ProgramData\ABBYY\Finereader\12.00, дискр.доступ туда всем юзерам БЕЗ "выполнения вложенных объектов";
- "раздел.папка" на C:\Users\имя_юзера\Local\ABBYY\FineReader\12.00, дискр.доступ туда юзеру-владельцу каталога БЕЗ "выполнения вложенных объектов";
- в "Параметрах ФС по умолчанию" ставим всем юзерам полный доступ БЕЗ "выполнения вложенных объектов";
- на каталоги "C:\Windows", "C:\ProgramData", "C:\ProgramFiles(x86)" и аналогичный для x64 - ставим всем юзерам полный доступ С "выполнением вложенных объектов".
Profit!
Теперь из контекстного меню по любому PDF-файлу в нужной мандатной сессии корректно работает преобразование в Word. Для JPG-файлов теперь тоже работает только в избранной мандатной сессии. + у нас настроена какая-никакая ЗПС (в каталоги, где запуск разрешен, юзеров не пустит Win своими средствами, а из других каталогов запуск ПО запрещен).

ЗЫ Если всего этого не делать, а сделать только перенаправление в C:\Windows\Temp с "раздел.папкой" (или "раздел.папка" на Temp в профиле пользователя, как обычно делается для любого софта), то работать не будет. Прикол в том, что и в случае PDF, и в случае JPG FR создает в C:\Users\имя_юзера\AppData\Local\Temp\FineReader12.00\ те самые каталоги, о которых писал тов. Yerdan. Но при "раздел.папке" на этом "Temp" распознавание JPG-файлов почему-то проходит нормально в любой сессии, а распознавание PDF-файлов не проходит ни при каких условиях. В этом и углядывается косяк Далласа как СЗИ, и косяк ABBYY как разработчика - перенаправление временных сред, заданное в профилях пользователей (в моем примере, в C:\Windows\Temp) должно работать нативно для любого софта, однако ABBYY использует жесткие ссылки (впрочем, при ошибках доступа ругается на C:\Windows\Temp, хотя фактически создает недоступные каталоги все равно в профиле пользователя). Вот такие они, криворукие программисты...

Автор: Yerdan | 73573 08.07.2017 22:51
2oko
Спасибо за рецепт, попробую, хотя использовать ломаный софт в аттестованной системе...
И да:
1) увы, мне нужно работать минимум в 2 сессиях;
2) У меня и jpg не открывает. Пишет, что такого файла во временных каталогах нет. Хотя, разумеется, немного иначе, чем в случае с pdf;
3) восстановление настроек DL, увы, работает только в ТОЙ ЖЕ САМОЙ системе, где этот DLбыл перед этим установлен. Создать пользователей (даже не профили) эта функция не способна. Когда у тебя 5-10 пользователей - в принципе не слишком важно. Когда у тебя система заточена под 50-70 пользователей...

ЗЫ. А кто читал новый стандарт "специалист по ТЗИ"? Как вам тот факт, что администрирование СЗИ вменено НАЧАЛЬНИКУ ОТДЕЛА ТЗИ?

Автор: oko | 73578 09.07.2017 13:34
to Yerdan
1. Для jpg - как указал, "раздел.папка" на ProgramData...
2. Восстановление настроек, рекомендованное тов. hecc, и будет в той же системе, так что проблем никаких...
3. В вашем случае софт может быть и с лицензией, не должно быть разницы (вероятность крайне мала, ага). Это у меня под рукой лицензии не оказалось...
4. Профиль настроенного юзера копируется к ненастроенным. Настройки Далласа тоже методом ctrl-c ctrl-v перебиваются. Время будет затрачено, конечно, но в разы меньше, чем при ручном режиме...
5. Стандарты в нашей стране зачастую "чтобы было", а вовсе не "обязательно к применению" (читай, уже не СССР)...

Автор: hecc | 73750 10.07.2017 10:29
to oko
Возьму на заметку, и спасибо за развернутое описание про FR. Надо будет потестить. Вообще всегда старался как можно меньше трогать без надобности и удалять СЗИ от НСД на аттестованных машинах. Только после того как несколько раз наткнулся на баги при обновлении далласа по коду техподдержки стал удалять и заново ставить новую сборку.

Автор: Alexey | 73844 13.07.2017 17:40
Win7+Dr.Web6+DL8-С
Подскажите пожалуйста в чем могут быть причины:
- журнал входов, на одном АРМ отображает только вход в текущей сессии (без истории входов за предыдущие периоды), а на другом АРМ пишет ошибку получения журнала, некорректная дата или время (хотя файл журнала в папке DL существует и его размер растет, видимо записи добавляются).

Страницы: [1-20] < 21 22 23 24 25 26 27 28 29 30

Просмотров темы: 71148

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.