Решение
Такого списка совместимых переходников у нас нет.
Ошибка ДСЧ, при работе через переходник, скорее всего говорит о том, что на слоте переходника отсутствует напряжение 12 В. Бывают такие неполноценные переходники, которые не передают с штатного слота на материнской плате все необходимое напряжение. Стоит обратить внимание на переходники, в которых указана поддержка 12 В и, для обеспечения необходимого питания, идет дополнительный кабель к блоку питания, но при этом все равно необходимо предварительное тестирование совместимости с нашей платой.
Например: в результате тестирования одного из переходников с ПАК «Соболь» 3.0.1 (прошивка 1.0.99) «Соболь» не заработал – ошибка ДСЧ.
При этом нельзя исключить неработоспособность конкретного экземпляра платы. Желательно проверить, работает ли ДСЧ, если плата вставлена в штатный слот PCI на материнской плате произвольного компьютера.
Перейти к содержимому раздела
Валидата
Форум компании
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Ошибка инициализации ДСЧ
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
1 2015-06-16 09:13:26
- alexeyegorov1
- New member
- Неактивен
- Зарегистрирован: 2015-06-16
- Сообщений: 2
Тема: Ошибка инициализации ДСЧ
Добрый день.
Имеем следующий зоопарк.
Сигнатура версии 3.6 267.07.
Плата Соболь версии 3.0
При установке СКЗИ Сигнатура выбрана среди прочего поддержка ДСЧ Соболь.
Установлено ПО Соболь, ПО SecretNet версии 5.1 Автономный вариант.
Установлена Сигнатура Сертификат, поэтому комп не подключен к сети.
При инициализации ДСЧ с использованием биологического ДСЧ проблем нет.
При инициализации ДСЧ с использованием ДСЧ Соболь Сигнатура выдает ошибку:
«Инициализация датчика случайных чисел. Ошибка 0XE0BE0026. Некорректные случайные данные. Драйвер VDCryDrv заблокирован».
После этого Сигнатура не работает до полной перезагрузки.
Куда можно покопать? В журналах Винды никаких дополнительных сообщений нет.
2 Ответ от alart 2015-06-16 12:34:33
- alart
- Administrator
- Неактивен
- Откуда: Москва
- Зарегистрирован: 2011-07-28
- Сообщений: 287
Re: Ошибка инициализации ДСЧ
Добрый день!
Судя по всему, сбоит плата Соболь. Попробуйте поставить другую плату.
3 Ответ от alexeyegorov1 2015-06-16 15:26:36 (2015-06-16 15:28:37 отредактировано alexeyegorov1)
- alexeyegorov1
- New member
- Неактивен
- Зарегистрирован: 2015-06-16
- Сообщений: 2
Re: Ошибка инициализации ДСЧ
Соболь штука редкая и дорогая…
А почему Сигнатура после этого не работает?
Кстати, при включении Соболь проводит самотестирование, в т.ч. ДСЧ. Ошибок нет.
4 Ответ от alart 2015-06-16 17:56:08
- alart
- Administrator
- Неактивен
- Откуда: Москва
- Зарегистрирован: 2011-07-28
- Сообщений: 287
Re: Ошибка инициализации ДСЧ
Данная ошибка (0xE0BE0026) возникает, если полученные с платы данные не проходят статистическую проверку случайности.
> А почему Сигнатура после этого не работает?
драйвер VDCryDrv блокируется, поэтому Сигнатура не работает. Компьютер можно не перезагружать, достаточно перезапустить драйвер.
Сообщений 4
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Ответов: 1 Просмотров: 548 Страницы: 1
Ответов: 1 Просмотров: 394 Страницы: 1
Ответов: 1 Просмотров: 371 Страницы: 1
Ответов: 1 Просмотров: 368 Страницы: 1
Ответов: 1 Просмотров: 345 Страницы: 1
Ответов: 1 Просмотров: 357 Страницы: 1
Ответов: 1 Просмотров: 363 Страницы: 1
Ответов: 1 Просмотров: 318 Страницы: 1
Ответов: 1 Просмотров: 880 Страницы: 1
Ответов: 1 Просмотров: 694 Страницы: 1
Ответов: 1 Просмотров: 479 Страницы: 1
Ответов: 1 Просмотров: 811 Страницы: 1
Ответов: 1 Просмотров: 483 Страницы: 1
Ответов: 1 Просмотров: 410 Страницы: 1
Ответов: 1 Просмотров: 356 Страницы: 1
Ответов: 1 Просмотров: 379 Страницы: 1
Ответов: 1 Просмотров: 646 Страницы: 1
Ответов: 1 Просмотров: 375 Страницы: 1
Ответов: 1 Просмотров: 717 Страницы: 1
Ответов: 1 Просмотров: 885 Страницы: 1
Сейчас на форуме: авторизированных пользователей не найдено (статистика обновляется раз в 30 сек.)
201
По завершении каждой процедуры на экран выводится окно с сообщением о ее результате.
Тест NVRAM памяти
Этот тест проверяет работоспособность энергонезависимой памяти комплекса «Соболь» − NVRAM памяти. В ходе проверки осуществляются попытки доступа на чтение и запись для каждого сегмента двух банков NVRAM памяти комплекса.
Процедура проверки не приводит к потере данных, хранящихся в NVRAM памяти, но только при соблюдении следующего запрета − во время выполнения проверки запрещается проводить перезагрузку компьютера и отключать питание.
Тест датчика случайных чисел
Этот тест проверяет работоспособность аппаратного датчика случайных чисел комплекса «Соболь». Тестирование заключается в проверке равномерности распределения случайных чисел, генерируемых датчиком. Процедура выполняется в три прохода, что позволяет повысить надежность получаемых результатов.
Тест считывателя iButton
Этот тест проверяет правильность обмена данными между считывателем персональных идентификаторов iButton, подключенным к плате комплекса «Соболь», и идентификатором iButton, предъявляемым во время проверки.
Процедура проверки не приводит к потере данных, хранящихся в идентификаторе.
Последовательное выполнение всех тестов
При использовании этой процедуры обратите внимание на особенность выполнения теста считывателя iButton − запрос персонального идентификатора на экран не выводится. Поэтому следует персональный идентификатор, предназначенный для проверки, заблаговременно привести в соприкосновение со считывателем, если этого не сделать, то выдастся сообщение об ошибке (рис.16.17).
Рис. 16.17. Ошибка чтения идентификатора. Идентификатор не был заблаговременно помещен в считыватель.
202
Ошибки при диагностике
Причина: Произошла ошибка при обмене данными с указанным банком NVRAM памяти комплекса «Соболь». В первом случае ошибка вызвана нарушением механизма обмена данными с памятью, во втором − несовпадением записанных и прочитанных данных.
Действия: Повторите проверку NVRAM памяти. При многократном повторении данного результата обратитесь в службу технической поддержки поставщика комплекса.
Причина: Указанное число раз проверка равномерности распределения случайных чисел, генерируемых датчиком случайных чисел комплекса «Соболь», завершилась неудачей.
Действие: Повторите проверку датчика случайных чисел. При многократном повторении данного результата обратитесь в службу технической поддержки поставщика комплекса.
Причина: Произошла ошибка при обмене данными между предъявленным персональным идентификатором и считывателем. Возможно, испорчен идентификатор или неисправен считыватель.
Действие: Повторите тест, предъявив другой идентификатор. Если тест завершился без ошибок − считыватель исправен. Выполните форматирование предъявленного ранее идентификатора и повторите тест. Если ошибка устойчиво повторяется − идентификатор не исправен, обратитесь в службу технической поддержки поставщика комплекса.
Причина: При последовательном выполнении всех тестов во время проверки считывателя iButton не был предъявлен персональный идентификатор.
Действие: Приведите персональный идентификатор в соприкосновение со считывателем и повторите процедуру или выполните проверку считывателя iButton отдельно от остальных проверок.
203
Настройка общих параметров.
После выполнения команды «Инициализации платы» появляется окно «Общие параметры системы» (рис.16.18).
Рис. 16.18. Общие параметры системы
Внимание! Если не найден каталог установки ПО комплекса «Соболь» (обычно C:Sobol) или в этом каталоге отсутствуют файлы шаблонов для контроля целостности ненулевой длины (bootfile.nam, bootfile.chk, bootsect.nam, bootsect.chk), параметру «Контроль целостности файлов и секторов» присваивается значение «Нет». При попытке изменить значение этого параметра на экране появится окно для ввода пути к каталогу с файлами шаблонов. Если путь к каталогу был изменен при установке ПО комплекса «Соболь» введите этот путь и нажмите клавишу <Enter>. Учитывайте, что для каталогов, размещающихся на дисках с файловой системой FAT12, FAT16 и FAT32, длинные имена (более 8 символов) нужно указывать в краткой форме, например «progra~1». Узнать краткую форму записи имени можно с помощью команды DIR или менеджеров файлов, например, Total Commander. При обнаружении заданного каталога и находящихся в нем файлов шаблонов для контроля целостности параметр примет значение «Да», иначе значение параметра не изменится.
«Версия криптографической схемы», настройка которой выполняется только при инициализации комплекса «Соболь», является обязательной.
Внимание! Администратор, обслуживающий несколько комплексов «Соболь», должен на всех обслуживаемых комплексах установить одинаковую версию криптографической схемы.
Установите для параметра «Версия криптографической схемы» значение:
∙ «2.0» − если не требуется обеспечивать совместимость с предыдущими версиями комплекса. Рекомендуется выбирать это значение параметра.
Пояснение. В этом случае невозможна повторная регистрация администратора и пользователей данного комплекса «Соболь» на комплексах предыдущих
204
версий. Также невозможна повторная регистрация администратора и пользователей комплексов предыдущих версий на данном комплексе «Соболь».
∙«1.0» − чтобы обеспечить совместимость с предыдущими версиями ком-
плекса.
Остальные параметры системы не требуют пояснения, так как их назначение очевидно из их названия.
Выполнив настройку параметров, нажмите клавишу <Esc> для сохранения изменений и продолжения процедуры инициализации. Начнется тестирование правильности работы датчика случайных чисел (ДСЧ).
∙Если тестирование ДСЧ завершилось с ошибкой, в строке сообщений появится сообщение об этом. Для продолжения работы требуется перезагрузить
компьютер − нажмите любую клавишу. В строке сообщений появится дополнительное сообщение о необходимости перезагрузки. Нажмите еще раз любую клавишу. Компьютер будет перезагружен.
Совет. Для перезагрузки компьютера используйте также комбинацию кла-
виш <Alt>+<Ctrl>+<Del>.
∙ Если тестирование ДСЧ завершено успешно (получен положительный результат), инициализация комплекса будет продолжена.
Регистрация администратора
При регистрации администратора ему назначается пароль для входа в систему и присваивается персональный идентификатор. Процедура регистрации может выполняться в одном из двух вариантов.
Первичная регистрация администратора (рис.16.19), при выполнении ко-
торой в персональный идентификатор администратора записывается новая служебная информация о регистрации.
Рис. 16.19. Окно запроса.
Если идентификатор содержит служебную информацию, например, записанную в идентификатор при инициализации другого комплекса «Соболь», она будет уничтожена и администратор не сможет управлять работой другого комплекса.
Повторная регистрация администратора, при выполнении которой слу-
жебная информация, записанная в персональный идентификатор при первичной
205
регистрации администратора, считывается из идентификатора без ее изменения, что позволяет администратору использовать один и тот же идентификатор для входа в систему на нескольких компьютерах, оснащенных комплексами «Соболь».
Рекомендации
∙Если при установке нескольких комплексов «Соболь» на первом из них выполняется первичная регистрация администратора, а на всех остальных − повторная регистрация администратора, тогда администратор сможет управлять всеми комплексами, используя один и тот же персональный идентификатор.
∙При выполнении повторной инициализации находящегося в эксплуатации комплекса «Соболь» рекомендуется проводить повторную регистрацию администратора.
Для первичной регистрации администратора выберите «Да» (рис.16.19) и нажмите клавишу <Enter>. На экране появится диалог для ввода пароля администратора. Если оба значения пароля совпали, на экране появится запрос: «Прислоните и удерживайте персональный идентификатор». При присвоении персонального идентификатора в него записывается служебная информация.
∙Если персональный идентификатор регистрировался ранее на другом компьютере и уже содержит служебную информацию, на экране появится предупреждение (рис.16.20):
Рис. 16.20. Предупреждение о ранее возможной регистрации идентификатора
∙ Если же структура данных персонального идентификатора нарушена или в нем недостаточно свободного места для записи служебной информации, на экране появится запрос на форматирование персонального идентификатора
(рис.16.21):
Рис. 16.21. Запрос на форматирование идентификатора
206
При форматировании персонального идентификатора вся информация, содержащаяся в его памяти, будет полностью утеряна без возможности восстановления. Для отказа от форматирования нажмите клавишу <Esc>, на экране вновь появится запрос персонального идентификатора.
Для повторной регистрации администратора в окне «Запрос» выберите «Нет» и воспользуйтесь паролем и персональным идентификатором, назначенным ему при первичной регистрации.
Контрольные суммы.
В том случае если общему параметру «Контроль целостности файлов и секторов» присвоено значение «Да», на экране появится запрос, предлагающий рассчитать контрольные суммы. При подтверждении начнется расчет эталонных значений контрольных сумм объектов, заданных исходными шаблонами для контроля целостности, при этом на экране будет отображаться процесс расчета.
Если при расчете контрольных сумм не найден один или несколько файлов или секторов, заданных шаблонами для контроля целостности, по окончании процедуры расчета на экране появится запрос на запрет контроля целостности (рис.
16.22).
Рис. 16.22. Ошибка расчета контрольных сумм
Выберите:
∙«Да» − для отключения контроля целостности файлов и секторов, выполняемого при входе пользователей в систему.
Пояснение. В этом случае следует выполнить корректировку шаблонов для контроля целостности рассчитать эталонные значения контрольных сумм и включить параметр «Контроль целостности файлов и секторов».
∙«Нет» − чтобы не отключать контроль целостности файлов и секторов. Пояснение. В этом случае контроль целостности файлов и секторов будет
выполняться с ошибками, что приведет к невозможности входа пользователей в систему. Завершив инициализацию, обязательно выполните корректировку шаблонов для контроля целостности, затем повторно рассчитайте эталонные значения контрольных сумм.
207
Подробно о проведении корректировки шаблонов для контроля целостности рассказано в документации ПАК «Соболь» v.2.0.(Руководство по администриро-
ванию (УВАЛ. 00300-58-01 91))
По окончании инициализации появиться сообщение (рис.16.23).
Рис. 16.23. Завершение процесса инициализации комплекса.
Создание и редактирование пользователя, назначение пользователям персональных идентификаторов и паролей
Для того чтобы перевести комплекс из режима инициализации в рабочий режим сделайте следующее:
1)Выключите компьютер.
2)Вскройте корпус системного блока.
3)Отсоедините считыватель от платы комплекса «Соболь»:
4)Аккуратно извлеките плату комплекса «Соболь» из разъема системной шины PCI.
5)Установите перемычки на разъемах платы J0-J1.
6)Аккуратно вставьте плату комплекса «Соболь» в разъем системной шины PCI и закрепите планку крепления платы крепежным винтом.
7)Подключите к плате считыватель.
Закройте корпус системного блока.
Выполнив все указанные действия, включите компьютер и перейдите к управлению комплексом «Соболь».
Меню администратора
Включите питание или выполните перезагрузку компьютера. На экране появится окно, в центре которого будет отображаться запрос персонального идентификатора, предъявите идентификатор администратора и введите пароль. При успешном завершении тестирования на экране появится информационное окно
(рис.16.24).
208
Рис. 16.24. Информационное окно
После нажатия на любую клавишу появится окно администратора (рис.16.25).
Рис. 16.25. Окно администратора
Команды меню администратора:
Список пользователей. Регистрация пользователей, удаление. Настройка параметров пользователя.
Журнал регистрации событий. Просмотр записей о событиях, зарегистрированных комплексом «Соболь», представленных в табличной форме. Каждая строка таблицы содержит сведения об одном событии. Первая строка содержит запись о самом последнем из зарегистрированных событий, а нижняя строка − запись о событии, зарегистрированном раньше всех остальных.
Расчет контрольных сумм. Расчет эталонных значений контрольных сумм для объектов, заданных шаблонами контроля целостности.
Общие параметры системы. Настройка общих параметров комплекса. Смена пароля. Изменение пароля администратора.
Смена аутентификатора. Смена аутентификатора администратора. Диагностика платы. Проверка работоспособности комплекса.
Пояснение. Аутентификатор − структура данных, хранящаяся в персональном идентификаторе пользователя (аутентифицирующая информация пользователя), которая наравне с паролем пользователя участвует в процедуре аутентификации пользователя.
209
Создание и редактирование пользователей
Выберите команду «Список пользователей» для того чтобы приступить к управлению пользователями. После выбора появится окно «Зарегистрированные пользователи» со списком пользователей в нижней части и настройками учетной записи в верхней (рис.16.26).
В верхней части окна даны сведения о пользователе и перечень параметров учетной записи.
∙«Имя пользователя».
∙«Номер ТМ-идентификатора».
∙«Время последнего входа».
∙«Общее количество входов».
∙«Количество неудачных попыток входа».
∙«Текущий статус пользователя».
∙«Режим контроля целостности».
∙«Запрет загрузки с внешних носителей».
∙«Ограничение срока действия пароля».
∙«Замена аутентификатора при смене пароля».
Рис. 16.26. Зарегистрированные пользователи.
Количество неудачных попыток входа. Значение данного параметра равно
«0», если число неудачных попыток входа, выполненных пользователем во время последнего сеанса входа в систему, меньше значения общего параметра «Предельное число неудачных входов пользователя» и пользователь завершил сеанс успешным входом в систему.
210
Значение данного параметра больше «0», если число неудачных попыток входа, выполненных пользователем во время последнего сеанса входа в систему, достигло числа, заданного общим параметром «Предельное число неудачных входов пользователя». При этом вход пользователя в систему блокируется автоматически.
Для разблокирования входа пользователя в систему выберите строку с названием данного параметра и нажмите клавишу <Enter>. Параметр примет значение «0». Затем установите для параметра «Текущий статус пользователя» значение «Не блокирован».
Текущий статус пользователя. Управляет блокировкой входа пользователя в систему. Параметр может принимать два значения: «Блокирован» − вход пользователя в систему запрещен, или «Не блокирован» − вход пользователя в систему разрешен.
Если вход пользователя в систему запрещен, то при попытке входа в систему, даже если пользователь правильно указал пароль, на экран выводится сообщение «Ваш вход в систему запрещен Администратором» и компьютер блокируется.
Режим контроля целостности. Определяет для данного пользователя режим работы подсистемы контроля целостности. Параметр может принимать два значения: «Жесткий» − включен жесткий режим, или «Мягкий» − включен мягкий режим.
∙Жесткий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности контролируемых объектов, вход пользователя в систему запрещается и компьютер блокируется. В журнале регистрируется событие «Ошибка при контроле целостности».
∙Мягкий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности заданных файлов и секторов, вход пользователя в систему разрешается. В журнале событий регистрируется событие «Ошибка при контроле целостности».
Запрет загрузки с внешних носителей. Позволяет разрешить пользователю
загружать операционную систему со съемных носителей − дискет, CD-ROM, ZIPустройств, магнитооптических дисков, USB-устройств и др. Параметр может принимать два значения: «Да» − загрузка ОС со съемных носителей запрещена, или «Нет» − загрузка ОС со съемных носителей разрешена.
Содержание
- Соболь ошибка чтения памяти платы
- Ссылки
- Зачем нужен
- Преимущества
- Возможности
- Принцип работы
- Размышления админа
- Комплектация
- Внешний вид
- Установка и инициализация электронного замка ПАК «Соболь» версии 3.0
- Установка «КриптоПро CSP» 3.6 и СЗИ «Secure Pack Rus» 3.0
Соболь ошибка чтения памяти платы
ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО «Код Безопасности».
Поставим на сервер HPE Proliant DL360 Gen10.
Ссылки
Зачем нужен
- Защита информации от несанкционированного доступа.
- Контроль целостности компонентов ИС.
- Запрет загрузки ОС с внешних носителей.
- Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
- Повышение класса защиты СКЗИ.
Преимущества
Тут я списал с листовки, добавив свои комментарии.
- Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
- Усиленная (чем усиленная? — масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором).
- Простота установки, настройки и администрирования.
- Возможность программной инициализации без вскрытия системного блока.
- Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.
Возможности
Принцип работы
- PCI Express 57×80
- Mini PCI Express
- Mini PCI Express Half Size
- M.2 A-E
Размышления админа
При получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет — двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там.
Обратил внимание на фразу «Простота администрирования». Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации.
Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает.
Случайная перезагрузка в результате сбоя ПО — поездка в ЦОД. Да, есть способы не ездить в ЦОД, но тогда смысл двухфакторки теряется. Ну, или сервер под столом держать.
Комплектация
Внешний вид
Одна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен — видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.
Не так давно наша команда одержала победу в тендере на 5 автоматизированных рабочих мест (АРМ) для государственного учреждения. Успешная реализация данного заказа подтолкнула к мысли разместить техническую статью о проделанной работе, а так же о тех проблемах, с которыми мы сталкивались в процессе.
С мониторами, ИБП, мышками и клавиатурами проблем не возникло, поэтому все наше внимание было отдано именно сборке системного блока. Проанализировав рынок IT оборудования, мы выбрали самую оптимальную сборку в соотношении цена/производительность, так же удовлетворяющую техническим требованиям заказчика.
После тщательной подборки комплектующих мы приступили к сборке оборудования и его лицензированию.
За основу мы взяли 4-ядерный процессор Intel Core i5 4460 с частотой 3200 МГц и интегрированным графическим ядром HD Graphics 4600, 8Gb RAM, а так же SSD Samsung 850 EVO в качестве загрузочного жесткого диска.
Более подробно ознакомиться с разными характеристиками системных блоков выбрать и приобрести наш продукт, вы сможете, в разделе Компьютеры
При каждой установке ОС мы проводим тесты на быстродействие загрузки нашего оборудования. В результате которых мы выяснили, что полная установка операционной системы на данную сборку составила 6 минут и 19 секунд. Установка производилась с 32 Gb флешки Voyager GT, используя интерфейс ПК USB 3.0 . На загрузку Windows 7 Professional x64 требуется всего 11,2 секунды. Это отличный показатель эффективной работы данной сборки, и во многом заслуга высокоскоростного накопителя SSD Samsung 850 EVO на 1 терабайт.
В продолжение статьи мы проведем инициализацию аппаратно-программного модуля доверенной загрузки (АПМДЗ) «Соболь», который применяется для защиты государственной тайны, персональных данных и конфиденциальной информации. И рассмотрим с какими внештатными ситуациями вы можете столкнуться при установке данного модуля.
Установка и инициализация электронного замка ПАК «Соболь» версии 3.0
Электронный замок «Соболь» предназначен для защиты компьютеров от несанкционированного доступа и обеспечения доверенной загрузки, а также создания доверенной программной среды для повышения класса защиты СКЗИ (Средства криптографической защиты информации).
ПАК «Соболь» устанавливается на компьютеры, оснащенные 32-х или 64-х разрядными процессорами. Для подключения платы комплекса у компьютера должен быть свободный разъем системной шины стандарта PCI-E/ PCI/ Mini PCI-E. Работоспособность ПАК «Соболь» не зависит от типа используемой ОС, поэтому плату комплекса можно устанавливать на компьютеры, работающие под управлением различных операционных систем. Реализованный в комплексе механизм КЦ (контроль целостности) включает в свой состав программные компоненты, успешная работа которых зависит от операционной системы компьютера.
В данном описании мы подробно расскажем и проиллюстрируем, как устанавливается на автоматизированное рабочее место электронный замок «Соболь» версии 3.0 с платами «PCI» и «PCI-E» (рис.1 и рис.2), с какими проблемами вы можете столкнуться и как их можно решить.
Рассмотрим пример установки на плате PCI т.к., как оказалось в отличие от платы PCI-E она менее функциональна в отношении работы с материнскими платами.
Для начала установки, после отключения ПК от сети и снятия крышки корпуса, нам первым делом необходимо установить плату в разъем. В данном случае мы используем материнскую плату «B85M-E45»:
Заметим одну особенность, плата PCI поставляется со вставленной перемычкой между разъемами » J0″ и «J1» (отмечено на изображении), в этом положении она не имеет никакой функции, проще говоря, можно считать, что её нет в плате. Оставляем её в этом положении и приступаем к подключению сторожевого таймера.
Обращаю ваше внимание, что отсутствие перемычки загружает ПАК «Соболь» в режиме инициализации, который предназначен для первичной регистрации администратора, если же перемычка находится в положении » J0″, то ПАК «Соболь» загружается в рабочем режиме.
Сторожевой таймер — это дополнительный модуль, блокирующий доступ к компьютеру при обнаружении попытки отключения электронного замка «Соболь».
Для подключения сторожевого таймера нам необходимо отключить штекер стандартного кабеля кнопки Reset от разъема Reset, расположенного на материнской плате и вставить его разъем RST платы комплекса «Соболь» (рис.1).
После этого подключаем штекер кабеля механизма сторожевого таймера, входящего в комплект поставки, к разъему платы WD. Затем подключите другой штекер этого кабеля к разъему Reset, расположенному на материнской плате.
На изображении ниже продемонстрирован подключенный сторожевой таймер.
После перезагрузки компьютера должно высветиться окно с заголовком «режим инициализации».
Если же такого окна вы не наблюдаете, а видите на черном фоне мигающий курсор, то это значит что управление на ПАК «Соболь» не передалось. Для устранения данной проблемы вам необходимо в BIOS Setup разрешить загрузку операционной системы с модулей расширения BIOS сетевых плат.
Если управление по прежнему не передается модулю расширения BIOS комплекса, используйте ПАК «Соболь» в режиме загрузочного устройства ( IPL- режим). Вот в этой части мы и видим отличие платы PCI-E от платы PCI.
Для того, чтобы перевести плату PCI-E в загрузочный режим, необходимо установить перемычку на разъем » J2″ (Рис.2), предварительно выключив компьютер.
После проделанных действий включаем компьютер, заходим в BIOS и в настройках последовательности загрузки системы с загрузочных устройств ставим [Network: Sobol] на первое место, следом [UEFI USB Hard Disk].
В этом случае загрузка операционной системы осуществляется только с жесткого диска, при условии его наличия в меню загрузки BIOS Setup.
В отличие от платы PCI-E, в плате PCI нет возможности самостоятельно перевести ПАК «Соболь» в загрузочный режим с помощью перемычки. Для того чтобы перевести плату PCI в IPL режим нам необходимо будет обратиться в службу технической поддержки разработчика данного комплекса и сдать плату PCI на перепрошивку. Данная процедура абсолютно стандартна и служба поддержки отзывчиво отнесется к вашей проблеме и оперативно переведут плату в режим загрузочного устройства.
После того как вы перепрошьете АПМДЗ «Соболь», у вас загрузится окно » режим инициализации». Выберем пункт «инициализация платы» и приступаем к первичной регистрации администратора.
После просмотра общих параметров системы пройдет тестирование датчика случайных чисел и высветиться окно, в котором вы подтвердите первичную регистрацию.
В поле «введите новый пароль» вы вводите свой пароль, который должен содержать не менее восьми знаков.
После подтверждения вас попросят предъявить персональный идентификатор.
Прикладываем персональный идентификатор, который входит в пакет поставки.
Производим его форматирование и на этом идентификация платы завершена.
После того, как мы идентифицировали плату, нам необходимо переместить перемычку, которая на данный момент находится между разъемами » J0″ и «J1» в положение «J0». Тем самым мы переводим ПАК «Соболь» в рабочий режим.
На этом установка платы «Соболь» заканчивается, после включения компьютера производится загрузка уже непосредственно через электронный замок. Вас попросят приложить идентификационный ключ, которому мы уже присвоили уникальный код. После чего вводим пароль и попадаем в информационный раздел, где будет показана статистика последних удачных и неудачных входов в систему. Пропуская этот раздел путем нажатия любой клавиши переносимся в меню администратора, откуда уже можно перейти непосредственно к загрузке операционной системы или же произвести индивидуальные настройки.
Проводим необходимые действия, загружаем операционную систему и приступаем к установке ПО ПАК «Соболь», который входит в пакет. После её завершения, заключительный раз перезагружаем компьютер и приступаем к работе.
Более подробную инструкцию и всю имеющуюся дополнительную информацию о подключении и использовании программно-аппаратного комплекса «Соболь» вы всегда можете найти на сайте производителя в разделе «документация».
Далее мы рассмотрим установку связующих с ПАК «Соболь» программ, таких как «КриптоПро CSP» и «Secure Pack», и с какими проблемами можно столкнуться при их загрузке.
Установка «КриптоПро CSP» 3.6 и СЗИ «Secure Pack Rus» 3.0
Описание установки программ «КриптоПро CSP» 3.6 и CPB «Secure Pack Rus» 3.0 мы объединили в один блок, так как это две зависимые друг с друга программы. Для начала давайте ознакомимся с описанием обеих программ.
Крипто-провайдер «КриптоПро CSP 3.6» – это программное обеспечение, необходимое для работы с ЭЦП (электронной цифровой подписью). «КриптоПро 3.6» служит для формирования и проверки ЭЦП, обеспечивает юридическую значимость электронных документов (совместно с ЭЦП).
«КриптоПро CSP 3.6» позволяет настраивать взаимодействие открытого сертификата и закрытого ключа, настройку ключевых носителей. Помимо этого, «КриптоПро 3.6» необходим для нормальной работы на официальном сайте РФ по размещению государственных закупок, а также на сайтах электронных торговых площадок.
Стоит отметить, что крипто-провайдер «КриптоПро CSP 3.6» имеет 3 класса защиты КС1, КС2 и КС3 в соответствии с классификацией, используемой при сертификации ФСБ. С технической точки зрения эти классы отличаются тем, что в них по-разному организована работа с ключами, а также в некоторых классах имеется возможность включения кеширования ключей. Более подробно ознакомиться со степенью классов вы можете на сайте производителя в руководстве администратора.
Средство защиты информации Secure Pack Rus версия 3.0 (СЗИ SPR 3.0) является сервисным пакетом для операционных систем семейства Microsoft Windows и позволяет обеспечить выполнение требований ФСБ России по защите конфиденциальной информации по классу АК2 и АК3.
Ключевыми преимуществами СЗИ SPR 3.0 являются:
-использование только документированных механизмов, что обеспечивает высокую устойчивость работы и совместимость с другими программами;
-не нарушает исходную функциональность ОС Windows и приложений Microsoft;
-работа Secure Pack Rus 3.0 незаметна для пользователя (не мешает работе пользователя и, обычно, не требует внимания);
-возможность конфигурации и легкость настройки, в том числе централизованно по локальной вычислительной сети;
-встраивание сертифицированных российских средств, криптографической защиты информации.
Средство защиты информации Secure Pack Rus версия 3.0 поставляется в двух исполнениях:
-СЗИ SPR 3.0 Исполнение 1 – позволяет обеспечить выполнение требований ФСБ России по защите конфиденциальной информации по классу АК3;
-СЗИ SPR 3.0 Исполнение 2 – позволяет обеспечить выполнение требований ФСБ России по защите конфиденциальной информации по классу АК2.
В данном описании мы будем использовать СЗИ SPR 3.0 Исполнение 1
Приобретая лицензии средств защиты информации Secure Pack Rus, вы получите установочный дистрибутив. На нем будут находиться все версии данного продукта, а тк же подробное руководство администратора по установке. К тому же в отдельной папке вы найдете и версии крипто-провайдера «КриптоПро CSP 3.6» с подробными инструкциями по использованию и установке.
Если же вы приобретаете лицензии только на крипто-провайдер, то установочный дистрибутив вы сможете скачать с официального сайта производителя.
Мы установим все необходимые нам компоненты с DVD диска и покажем какого рода ошибки могут возникнуть.
Запуская установочный файл CSPSetup, класс защиты будет соответствовать КС1, что может не коррелировать с требованиями по защите конфиденциальной информации Secure Pack. В данном случае класс защиты КС1 не соответствует требованиям АК3. И при его установке вы увидите ошибку несовместимости двух программ.
Следовательно, выбрав нужный класс защиты установочного файла, в нашей ситуации это КС3, проводим установку крипто-провайдера, и перезагружаем компьютер. Следующей ошибкой, которая может возникнуть при загрузке СЗИ Secure Pack, нужного нам протокола (АК3), это нехватка дополнительной установки программного обеспечения «КриптоПро EFS» предназначенного для обеспечения защиты конфиденциальной информации при ее хранении на ПЭВМ. Если мы не проведем данную установку, то при загрузке СЗИ Secure Pack протокола АК3 у нас появится ошибка, требующая произвести данную загрузку.
Проводим установку «КриптоПро EFS» и еще раз перезагружаем компьютер. Важно заметить, что перезагружать компьютер нужно перманентно , после установки каждой программы, иначе не произойдут нужные изменения в реестре, и вы можете опять столкнуться с проблемой несовместимости программ.
После выполнения всех действий установка Secure Pack Rus 3.0 АК3 пройдет успешно, и вы можете приступать к работе.
Последний момент, который хотелось бы отметить, это ввод ключа лицензии для крипто-провайдера.
Если вы не ввели при установке данной программы лицензионный ключ, то это можно сделать, зайдя в Панель управления, где будет находиться иконка «КриптоПро CSP». Двойной клик откроет свойства данной программы, где вы и введете лицензионный ключ при нажатии на кнопку «Ввод лицензии».
Надеемся, что данная статья помогла вам в настройке аналогичного оборудования.
Источник
Вчера попался мне компьютер на ремонт. Пишу эту себе на заметку, вдруг попадётся снова такая же беда. Или может кому-то поможет.
- Итак, первая беда – нет броска на монитор. Традиционно исправляется протиранием плат расширения – видеокарты и оперативной памяти. Вытаскиваю платы, тщательно протираю контактные площадки (можно бумагой зачистить, только аккуратно, чтобы не содрать SMD элементы, расположенные близко к контактным площадкам). Устанавливаем на место. Отлично! Всё включается.
2. Вторая беда – игнорируется плата АПК “Соболь”, хотя он установлен в PCI слот. Вытаскиваю плату, протираю контакты аналогично, убираю джампер с J0 разъема, это позволит заново проинициализировать плату. Устанавливаю плату на место, в настройках BIOS выставляю загрузку с Sobol, благо биос современный, увидел это. Но если компьютер старый – придётся искать пункт разрешения запуска BIOS с плат расширения.
Вот и появилось заветное окошко Sobol. Первым делом проведём диагностику платы:
Выбираем все тесты.
Если плата исправна, жмём пункт “Инициализация платы”, в этом случае надо будет забить “таблетку” администратора. Да, у меня iButton:
Прикладываем идентификатор, вводим пароль (8 символов) и следуем подсказкам на экране. Можно создать запасной идентификатор администратора, я лично не стал. Откроется окно настроек, оставляю по умолчанию всё. Меня устраивает такая политика. Перезагружаемся.
Плата работает как надо.
3. Третья беда – на компьютере установлен SecretNet, и он висит на “Ожидание старта подсистемы контроля целостности”. Я ждал минут 10, ничего не изменилось.
Жмём ESC, производим вход в систему. Открываем каталог /Program Files/Secret Net/Client/icheck и делаем резервную копию всех файлов где-нибудь в “ином месте”, сами файлы удаляем. Перезагружаемся. Дважды, почему-то.
Да, кстати, я разобрался в чём причина. Не может быть прочитан лог-файл в этом каталоге (информация в журнале приложений), поэтому не стартует служба контроля целостности.
Итак, система воссоздала все свои настройки по умолчанию, контроль целостности проходит, но… Другая ошибка. Теперь при запуске мастера настройки доступа видим ошибку “у пользователя не установлен максимальный уровень допуска” и настройки только для чтения. Порочный круг. Возвращаем файлы из бэкапа – запускается мастер настройки, но не стартует контроль целостности. Убираем файлы из icheck – запускается контроль целостности, но нельзя запустить мастер настройки, т.к. нет уровня допуска.
Решил проблему. Вошёл в систему с новыми настройками, подкинул старый файл snicdb.sdb, открыл задачи контроля целостности, заново пересканировал все контрольные суммы. Запустил службу вручную, всё запускается отлично. Перезагружаюсь. Та-дам!
Как выяснилось, для решения этой проблемы, файл snicdb.sdb не нужно было удалять, хорошо, что сделал резервную копию. Но все остальные файлы из icheck можно тереть.
Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!
Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!
