Тест идентификатора завершился с ошибкой соболь

Версия ПО:  ПАК Соболь 4.0-4.2, Единый Клиент JaCarta 2.12.2.2260 — 12.13.x

Токены:  JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ

Для комбинированных моделей JaCarta обеспечена поддержка функциональности ГОСТ (апплет «Криптотокен-2 ЭП» в составе изделия).

Проблема: 

При записи идентификатора для ПАК «Соболь» на ключевой носитель JaCarta появляется ошибка — «ошибка чтения идентификатора: устройство отсутствует в считывателе».

Причина:

Ошибка возникает из-за того, что не выполнена подготовка апплета токена в ПО «Единый Клиент JaCarta».

Решение:

• Установите актуальную версию ПО «Единый Клиент JaCarta».
• Подключите токен.
• Запустите ПО «Единый Клиент JaCarta» и переключитесь в режим администратора.
• Перейдите во вкладку ГОСТ и нажмите на кнопку «Форматировать приложение пользователем». Для выполнения операции необходимо знать текущий PIN-код пользователя.

Обращаем Ваше внимание на то, что при выполнении данной операции вся информация с апплета ГОСТ будет удалена

• Переподключите токен и выполните повторно запись идентификатора для ПАК «Соболь».

ПАК «Соболь». Версия 3.0

%PDF-1.4
%
487 0 obj
>
endobj
486 0 obj
>stream
Acrobat Elements 9.0.0 (Windows)Acrobat PDFMaker 9.0 for Word2010-12-06T15:22:16+03:002010-12-06T15:21:43+03:002010-12-06T15:22:16+03:00application/pdf

<li xml:lang=»x-default»>ПАК «Соболь». Версия 3.0</li>

uuid:21802ffd-a344-43f7-afe7-1d5cc9be9296uuid:1783c499-d8a4-4a4a-b5d3-a721c1cc2e08Компания «Код Безопасности»Последнее обновление: 06.12.10 Версия ПО Windows: 2.0.64.0 Версия ROM BIOS: 121 Версия ПЛИС: 8.15 PCI-E, 8.14 PCI Версия: 3.0.2Эксплуатационная документация
endstream
endobj
488 0 obj
>
endobj
485 0 obj
>
endobj
74 0 obj
>
endobj
21 0 obj
>
endobj
75 0 obj
>
endobj
115 0 obj
>
endobj
152 0 obj
>
endobj
185 0 obj
>
endobj
216 0 obj
>
endobj
274 0 obj
>
endobj
331 0 obj
>
endobj
364 0 obj
>
endobj
361 0 obj
>/Font>/ProcSet[/PDF/Text/ImageB]/XObject>>>/Type/Page>>
endobj
365 0 obj
>/Font>/ProcSet[/PDF/Text/ImageB]/XObject>>>/Type/Page>>
endobj
368 0 obj
>/Font>/ProcSet[/PDF/Text/ImageB]/XObject>>>/Type/Page>>
endobj
371 0 obj
>/Font>/ProcSet[/PDF/Text/ImageB]/XObject>>>/Type/Page>>
endobj
374 0 obj
>/Font>/ProcSet[/PDF/Text/ImageB]/XObject>>>/Type/Page>>
endobj
497 0 obj
>stream
HWM#
Ws n;HnA`dsERU*Y%{w;H7pH|t߾ߩI9gÔ^?&2ۗ˷Oo}߼*???x0xϜhAKǿPWمv/dGM’kKxG>ܻbuXO-^;i=Ejͺx]qYלs=B7etz^n1yjs:ӑ(i]JN#zA^
ݦ]e9O`M Zj~* YXvWWr?»ØװSXЍa[Q϶5I`mȯ)W_>̻) ` 1zxkyٜ:Qr=|VyUA2m0+ X9*gLbo.쟮e4Y2}ʲ#`2’4%C%E_vq쫵x1l73j Ho. L!˔2R~

=|!_
a>ڿkG?(ީt*gVv’Q1{>!0;Gf.ҜzvDCwݯB`igs8

itsec2012.ru

Документация «Соболь»

Представленные здесь документы входят в комплект поставки изделия. На них распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании «Код Безопасности» эти документы или их части в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этих документах, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании-разработчика.

Документация ПАК «Соболь» (сертификат ФСБ России)

Релиз 3.0.6

Релиз 3.1

Релиз 3.2

Документация ПАК «Соболь» (сертификат ФСТЭК России)

Релиз 3.0 М.2

www.securitycode.ru

Возможности «Соболь»

Электронный замок «Соболь» может быть использован для того, чтобы:

www.securitycode.ru

Настройки BIOS для совместной работы с ПАК «Соболь»

Проблема

Настройки BIOS для совместной работы с ПАК «Соболь»

Решение

Ниже собраны параметры BIOS материнских плат, которые могут влиять на работу платы ПАК «Соболь» («всплытие» расширения BIOS платы «Соболь», поддержка USB-идентификаторов). Однако следует отметить, что наличие или отсутствие конкретного параметра и его влияние зависит от типа и версии BIOS Setup. 1. EFI/UEFI. Для корректной работы платы ПАК «Соболь» в настройках системной BIOS отключить загрузку EFI-Shell (или других приложений стандарта EFI/UEFI) или как минимум поставить его не на первое место (т.е. первой должна загружаться какая-нибудь ОС). При таких настройках необходимо подключить и настроить сторожевой таймер. 1.1. UEFI Boot (Enabled, Disabled). Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Disabled. Иначе возможна загрузка приложений стандарта EFI/UEFI. 2. Настройки USB. Исследовать настройки USB необходимо лишь в том случае, если планируется использование электронных идентификаторов типа USB, а при текущих настройках возникают ошибки работы в поддержке USB-идентификаторов. 2.1. USB 1.1 Controller (Enabled, Disabled). Опция отвечает за стандартный USB-контроллер чипсета. Значение Enabled позволяет задействовать этот контроллер, Disabled — отключить его. Для возможности включения поддержки USB-идентификаторов в ПАК «Соболь» параметр должен принимать значение Enabled. 2.2. USB 2.0 Controller (Enabled, Disabled). Опция позволяет указать версию спецификации, которую будет использовать USB-контроллер чипсета. При выборе Disabled контроллер будет работать в режиме USB 1.1, значение Enabled позволяет задействовать и современный режим USB 2.0. При выборе значения параметра Disabled пропадет возможность работать с USB-идентификаторами в режиме 2.0. 2.3. USB 2.0 Controller mode (FullSpeed, HiSpeed). Конфигурация USB-контроллера: HiSpeed – 480 Мбит/с (соответствует USB 2.0), FullSpeed – 12 Мбит/с (соответствует USB 1.1). При выборе параметра FullSpeed пропадет возможность работать с USB-идентификаторами в режиме 2.0. 2.4. USB Function (Enabled, Disabled). Enabled — позволяет работать с USB-контроллерами. Disabled — отключает шину USB. 2.5. Legacy USB Support (Auto, Enabled, Disabled). Позволяет поддерживать Legacy USB. Опция Auto запрещает поддержку Legacy, если не подключено USB-устройство. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled. 3. Сетевые настройки. Перечисленные ниже указания по настройке носят рекомендательный характер. Иногда для того чтобы плата ПАК «Соболь» начала корректно работать, необходимо изменение сразу нескольких параметров BIOS Setup. 3.1. Boot to Network (Enabled, Disabled). Включает загрузку компьютера по сети. На некоторых платах определяет – будет ли инициализироваться устройство типа «сетевая плата». Поэтому если настройка неактивна, то расширение платы ПАК «Соболь» не всплывает. Если поставить Disabled, будет осуществляться загрузка компьютера без «всплытия» платы ПАК «Соболь». Поэтому параметр должен быть выставлен в Enabled. 3.2. Boot from LAN first (Enabled, Disabled). Включает загрузку компьютера по сети. При этом первоначально будет производиться попытка загрузить операционную систему с сервера, используя локальную сеть, и только если это невозможно, будет осуществляться загрузка с дисков компьютера. Выставление этого параметра в Enabled может привести к игнорированию загрузки платы ПАК «Соболь». Однако если мы хотим использовать плату в режиме загрузочного устройства (IPL), следует присвоить параметру значение Enabled. 3.3. PXE boot to LAN (Enabled, Disabled). Включает возможность загрузки с сетевой карты по стандарту PXE. Параметр аналогичен Boot to Network и должен быть выставлен в Enabled (чаще всего имеет значение при использовании платы в режиме загрузочного устройства (IPL)). 3.4. Slot Security (Enabled, Disabled). Состояние слота PCI/PCI-E. Если значение параметра установить в Disabled, то PCI/PCI-E слот будет отключен. Для корректной работы платы ПАК «Соболь» параметр соответствующего слота (в который установлена плата) должен быть выставлен в значение Enabled. 3.5. Launch PXE OpROM (Enabled, Disabled). Параметр аналогичен PXE boot to LAN. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Enabled. 3.6. PXE Boot Agent (Enabled, Disabled). Если плата ПАК «Соболь» не «всплывает», то изменение данного параметра может восстановить работу платы. Для этого попробуйте выставить данный параметр в значение Disabled для всех сетевых карт, кроме ПАК «Соболь». 3.7. Lan Option ROM (Enabled, Disabled). Эта опция позволяет разрешить (значение Enabled) или запретить (значение Disabled) сетевую загрузку компьютера посредством интегрированного сетевого адаптера. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled. 4. Порядок загрузочных устройств. Для того чтобы использовать плату в режиме загрузочного устройства (IPL*), необходимо определить ее первым загрузочным устройством в BIOS Setup. 4.1. Boot Drive Order. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. В большинстве случаев при выборе этой опции (нажатием на ней клавиши ) вы попадаете в дополнительное меню, где можно уже непосредственно выбрать порядок опроса накопителей.
4.2. Boot Device Select. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.
4.3. Boot Sequence. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.

* Данная возможность доступна начиная с версии 3.0.3 (build141) только при наличии специального джампера на плате PCI-E или с отдельной версией прошивки на плате PCI.

5. Настройки HDD.
5.1. Hard Disk Write Protect (Enabled, Disabled). Включение данной опции (Enabled) запрещает запись на жесткие диски, установленные в компьютере. Достаточно сложно представить себе ситуацию, когда это потребовалось бы (даже операционная система во время своей работы постоянно «сбрасывает» на диск различную информацию), поэтому для корректной работы с шаблонами контроля целостности данная опция должна быть выключена (Disabled). Встречается нечасто.

www.securitycode.ru

Программно-аппаратный комплекс «Соболь»

«Соболь» – это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Защита в соответствии с законодательством: Сертификаты ФСБ и ФСТЭК России позволяют использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.

Достоинства электронного замка «Соболь»

• Наличие сертификатов ФСБ и ФСТЭК России
• Защита информации, составляющей государственную тайну
• Помощь в построении прикладных криптографических приложений
• Простота в установке, настройке и эксплуатации
• Поддержка 64х битных операционных систем Windows
• Поддержка идентификаторов iKey 2032, eToken PRO и Rutoken v.2.0.

Основные возможности:1. Идентификация и аутентификация. Используются персональные электронные идентификаторы: iButton, eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карты eToken PRO. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора.

2. Регистрация попыток доступа к компьютеру.Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти:- факт входа пользователя и имя пользователя;- предъявление незарегистрированного идентификатора;- ввод неправильного пароля;- превышение числа попыток входа в систему;- дата и время регистрации событий НСД.

3. Сторожевой таймер.Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь».

4. Датчик случайных чисел.Электронный замок «Соболь» содержит датчик случайных чисел, соответствующий требованиям ФСБ России.

5. Контроль целостности программной среды.ПО комплекса позволяет контролировать неизменность файлов и физических секторов жесткого диска, а также файловой системы EXT4 в ОС семейства Linux.Поддерживаются 32 и 64-разрядные операционные системы Windows 2000/XP/Vista/7/8/8.1 и Windows Server 2003/2008/2012/2012 R2, а также ОС Trustverse Linux XP Desktop 2008 Secure Edition, MCBC 3.0, Mandriva 2008/ROSA 2011, RHEL 4.1/6, Debian 5.0/6, CentOS 6.2, АльтЛинукс СПТ 6, Astra Linux Special Edition «Смоленск» 1.3,VMware vSphere ESXi 5.1 Update 1/5.1 Update 2/5.5×64.

6. Контроль целостности реестра Windows.ПАК «Соболь» позволяет контролировать неизменность системного реестра Windows, что существенно повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.

7. Контроль конфигурации.ПАК «Соболь» позволяет контролировать неизменность конфигурации компьютера – PCI-устройств, ACPI, SMBIOS и оперативной памяти.

8. Запрет загрузки с внешних носителей.Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.).

9. Возможность программной инициализации.Инициализация ПАК «Соболь» осуществляется программным способом, без вскрытия системного блока и удаления джампера на плате.

10. Выбор форматов исполнения платы: PCI, PCI-Express, Mini PCI-Express, Mini PCI-Еxpress Half size.

Технические требования:Поддерживаемые операционные системы:Windows 8/8.1 x64 Edition;Windows Server 2012/ 2012 R2 x64 Edition;Windows Server 2008 /Server 2008 x64 Edition /Server 2008 R2;Windows 7 / 7 x64 Edition/ 8 x64 Edition;Windows Vista (Enterprise, Business, Ultimate) / Vista (Enterprise, Business, Ultimate) x64 Edition;Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition;Windows XP Professional / XP Professional x64 Edition;FreeBSD/6.2/6.3/7.2/8.2;МСВС 3.0 x86;Альт Линукс СПТ 6.0.0 х86/х64;Astra Linux Special Edition «Смоленск» 1.1/1.2/1.3 x64;ОС CentOS 6.2;Debian 6.0.3 x86/x64;Mandriva ROSA Desktop 2011.0 x86/x64;Red Hat Enterprise Linux 6.0 x86/x64;VMware VSphere ESXi 5.1 Update 1/5.1 Update 2/5.5 x64.

Рисунок №

Программные методы защиты информации

Антивирус Касперского

Антиви́рус Каспе́рского — антивирусное программное обеспечение, разрабатываемое Лабораторией Касперского. Предоставляет пользователю защиту от вирусов, троянских программ, шпионских программ, руткитов, adware, а также неизвестных угроз с помощью проактивной защиты, включающей компонент HIPS.

Антивирус Касперского имеет большие возможности мы перечислим некоторые из них.

Рисунок№ Окно управления антивируса Касперский

Базовая защита

• Защита от вирусов, троянских программ и червей
• Защита от шпионских и рекламных программ
• Проверка файлов в автоматическом режиме и по требованию
• Проверка почтовых сообщений (для любых почтовых клиентов)
• Проверка интернет-трафика (для любых интернет-браузеров)
• Защита интернет-пейджеров (ICQ, MSN)
• Мониторинг активности (собирает данные о действиях программ на компьютере и предоставляет эту информацию другим компонентам для более эффективной защиты).
• Защита от программ-эксплойтов.
• Защита от программ блокировки экрана.
• Откат действий вредоносной программы (позволяет выполнить отмену всех совершенных программой действий, если программа будет признана вредоносной).
• Защита от троянов-шифровальщиков
• Проверка Java- и Visual Basic-скриптов
• Защита от скрытых битых ссылок
• Постоянная проверка файлов в автономном режиме
• Постоянная защита от фишинговых сайтов

Предотвращение угроз

infopedia.su

Системные требования «Соболь»

Для ПАК «Соболь» с сертификатом ФСБ России:

Для ПАК «Соболь» с сертификатом ФСТЭК России:

* Некоторые операционные системы и их версии не поддерживаются в связи с архитектурными особенностями. Для проверки поддержки интересующей вас операционной системы, не представленной в списке, закажите тестовый образец.

Возможна техническая несовместимость с некоторыми моделями системных плат ЭВМ. Информацию о совместимости конфигураций компьютеров с ПАК «Соболь» можно найти в Таблице совместимости.

Если вы не нашли информацию по вашим компьютерам в таблице, рекомендуем перед приобретением проверить плату на совместимость.

www.securitycode.ru

ПАК «Соболь» 3.0 — Connect-WIT

ТЕМАТИКА ПРОДУКЦИИ: Аппаратно-программный модуль доверенной загрузки с наиболее широким списком поддерживаемых аппаратных платформ и операционных систем

НАИМЕНОВАНИЕ: ПАК «Соболь» 3.0

ПРОИЗВОДИТЕЛЬ: ООО «Код Безопасности»

ПОСТАВЩИК: Партнеры компании «Код Безопасности»: http://www.securitycode.ru/where_to_buy/partners/

ИСТОЧНИК (URL): http://www.securitycode.ru/products/pak_sobol/

 НАЗНАЧЕНИЕ: Программно-аппаратный комплекс «Соболь» – средство защиты компьютера от несанкционированного доступа, обеспечивающее доверенную загрузку. Электронный замок может применяться для защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА:

• Защита данных на персональных компьютерах, серверах, ноутбуках, моноблоках и тонких клиентах. Поддерживает широкий выбор форматов исполнения.
• Усиленная двухфакторная аутентификация с помощью персональных электронных идентификаторов.
• Сертифицированный ФСБ России аппаратный датчик случайных чисел.
• Простота установки, настройки и администрирования.
• Возможность программной инициализации без вскрытия системного блока.

ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ:

Идентификация и аутентификация

Используются персональные электронные идентификаторы: iButton, eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF и смарт-карты eToken PRO. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного электронного идентификатора.

Контроль целостности программной среды

Контроль неизменности файлов и физических секторов жесткого диска, а также файловых систем: NTFS, FAT 32, FAT 16, UFS, UFS2, EXT3, EXT2, EXT4 в ОС семейства Linux и MS Windows.

Поддерживаются операционные системы:

Регистрация попыток доступа к компьютеру

Ведется системный журнал, записи которого хранятся в специальной энергонезависимой памяти:

• факт входа пользователя и имя пользователя;
• предъявление незарегистрированного идентификатора;
• ввод неправильного пароля;
• превышение числа попыток входа в систему;
• дата и время регистрации событий НСД.

Контроль целостности реестра MS Windows

Контроль неизменности системного реестра MS Windows повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.

Контроль конфигурации

ПАК «Соболь» контролирует неизменность конфигурации компьютера: PCI-устройств, ACPI, SMBIOS и оперативной памяти.

Сторожевой таймер

Механизм сторожевого таймера блокирует доступ к компьютеру, если управление при его включении не передано ПАК «Соболь».

Запрет загрузки с внешних носителей

Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.).

Датчик случайных чисел

Физический датчик случайных чисел в ПАК «Соболь» соответствует требованиям ФСБ России.

Программная инициализация

Инициализация ПАК «Соболь» может осуществляться программным способом, без вскрытия системного блока и удаления джампера на плате.

115533, Москва, 1-й Нагатинский проезд, д. 10

телефон/факс.: +7 (495) 982 30 20,

[email protected], www.securitycode.ru

Похожие записи:

www.connect-wit.ru

Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.

ПАК «Соболь» и антивирус

При выборе Типового варианта 1 для обеспечения уровня безопасности (КС3) для ЗСПД СЭП (Россия), а также согласно требованиям Формуляра и эксплуатационной документации на СЗИ, требуется наличие на рабочих станциях:

• Сертифицированного ФСБ АПМДЗ ПАК «Соболь»
• Сертифицированного ФСБ и/или ФСТЭК Антивирусного средства

ПАК «Соболь»

Предназначен для решения следующих задач:

• Защита компьютеров от несанкционированного доступа и обеспечение доверенной загрузки.
• Создание доверенной программной среды для повышения класса защиты СКЗИ.

• Идентификация и аутентификация пользователей
• Запрет загрузки с внешних носителей
• Регистрация попыток доступа к компьютеру
• Блокировка доступа к компьютеру при обнаружении попытки отключения ПАК «Соболь»
• Контроль целостности программной среды и реестра Windows
• Контроль аппаратной конфигурации компьютера
• Аппаратный датчик случайных чисел

Обращаем внимание, что эксплуатация ПАК Соболь версий 3.0 и 3.2 на компьютере с ОC Windows 10, скорее всего, потребует переустановки операционной системы Windows 10. Это касается ОC Windows 10, по умолчанию инициализирующую диск в GPT, который ПАК Соболь версий 3.0 и 3.2 не поддерживают.
Рекомендации производителя доступны по ссылке.

Для корректной работы ПАК Соболь версии 3.0 и 3.2 на материнских платах с поддержкой технологии UEFI, операционная система должна быть установлена на диск с Master Boot Record (MBR). Более подробно.

Дополнительно информируем, что ПАК Соболь версии 4 на текущий момент не сертифицирован ФСБ РФ и не может использоваться для организации АРМ по классу защищенности КС3.

Модельный ряд ПАК «Соболь»:

• PCI Express (габариты: 57 х 80 мм). Цена 10 868,00 руб.
• Mini PCI Express (габариты: 50 x 30 мм). Цена 11 498,00 руб.
• Mini PCI Express Half Size (габариты: 26 x 30 мм). Цена 11 603,00 руб.

База знаний

Соболь

4233 — Настройки BIOS для совместной работы с ПАК «Соболь»

Версия: 3.0.1, 3.0.6, 3.0.7, 3.0.8, 3.0.9

Дата изменения: 28.09.2020

28 сентября 2020

Проблема

Настройки BIOS для совместной работы с ПАК «Соболь»

Решение

Ниже собраны параметры BIOS материнских плат, которые могут влиять на работу платы ПАК «Соболь» («всплытие» расширения BIOS платы «Соболь», поддержка USB-идентификаторов). Однако следует отметить, что наличие или отсутствие конкретного параметра и его влияние зависит от типа и версии BIOS Setup.
1. EFI/UEFI.
Для корректной работы платы ПАК «Соболь» в настройках системной BIOS отключить загрузку EFI-Shell (или других приложений стандарта EFI/UEFI) или как минимум поставить его не на первое место (т.е. первой должна загружаться какая-нибудь ОС). При таких настройках необходимо подключить и настроить сторожевой таймер.
1.1. UEFI Boot (Enabled, Disabled). Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Disabled. Иначе возможна загрузка приложений стандарта EFI/UEFI.
2. Настройки USB.
Исследовать настройки USB необходимо лишь в том случае, если планируется использование электронных идентификаторов типа USB, а при текущих настройках возникают ошибки работы в поддержке USB-идентификаторов.
2.1. USB 1.1 Controller (Enabled, Disabled). Опция отвечает за стандартный USB-контроллер чипсета. Значение Enabled позволяет задействовать этот контроллер, Disabled — отключить его. Для возможности включения поддержки USB-идентификаторов в ПАК «Соболь» параметр должен принимать значение Enabled.
2.2. USB 2.0 Controller (Enabled, Disabled). Опция позволяет указать версию спецификации, которую будет использовать USB-контроллер чипсета. При выборе Disabled контроллер будет работать в режиме USB 1.1, значение Enabled позволяет задействовать и современный режим USB 2.0. При выборе значения параметра Disabled пропадет возможность работать с USB-идентификаторами в режиме 2.0.
2.3. USB 2.0 Controller mode (FullSpeed, HiSpeed). Конфигурация USB-контроллера: HiSpeed – 480 Мбит/с (соответствует USB 2.0), FullSpeed – 12 Мбит/с (соответствует USB 1.1). При выборе параметра FullSpeed пропадет возможность работать с USB-идентификаторами в режиме 2.0.
2.4. USB Function (Enabled, Disabled). Enabled — позволяет работать с USB-контроллерами. Disabled — отключает шину USB.
2.5. Legacy USB Support (Auto, Enabled, Disabled). Позволяет поддерживать Legacy USB. Опция Auto запрещает поддержку Legacy, если не подключено USB-устройство. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled.
3. Сетевые настройки.
Перечисленные ниже указания по настройке носят рекомендательный характер. Иногда для того чтобы плата ПАК «Соболь» начала корректно работать, необходимо изменение сразу нескольких параметров BIOS Setup.
3.1. Boot to Network (Enabled, Disabled). Включает загрузку компьютера по сети. На некоторых платах определяет – будет ли инициализироваться устройство типа «сетевая плата». Поэтому если настройка неактивна, то расширение платы ПАК «Соболь» не всплывает. Если поставить Disabled, будет осуществляться загрузка компьютера без «всплытия» платы ПАК «Соболь». Поэтому параметр должен быть выставлен в Enabled.
3.2. Boot from LAN first (Enabled, Disabled). Включает загрузку компьютера по сети. При этом первоначально будет производиться попытка загрузить операционную систему с сервера, используя локальную сеть, и только если это невозможно, будет осуществляться загрузка с дисков компьютера. Выставление этого параметра в Enabled может привести к игнорированию загрузки платы ПАК «Соболь». Однако если мы хотим использовать плату в режиме загрузочного устройства (IPL), следует присвоить параметру значение Enabled.
3.3. PXE boot to LAN (Enabled, Disabled). Включает возможность загрузки с сетевой карты по стандарту PXE. Параметр аналогичен Boot to Network и должен быть выставлен в Enabled (чаще всего имеет значение при использовании платы в режиме загрузочного устройства (IPL)).
3.4. Slot Security (Enabled, Disabled). Состояние слота PCI/PCI-E. Если значение параметра установить в Disabled, то PCI/PCI-E слот будет отключен. Для корректной работы платы ПАК «Соболь» параметр соответствующего слота (в который установлена плата) должен быть выставлен в значение Enabled.
3.5. Launch PXE OpROM (Enabled, Disabled). Параметр аналогичен PXE boot to LAN. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Enabled.
3.6. PXE Boot Agent (Enabled, Disabled). Если плата ПАК «Соболь» не «всплывает», то изменение данного параметра может восстановить работу платы. Для этого попробуйте выставить данный параметр в значение Disabled для всех сетевых карт, кроме ПАК «Соболь».
3.7. Lan Option ROM (Enabled, Disabled). Эта опция позволяет разрешить (значение Enabled) или запретить (значение Disabled) сетевую загрузку компьютера посредством интегрированного сетевого адаптера. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled.
4. Порядок загрузочных устройств.
Для того чтобы использовать плату в режиме загрузочного устройства (IPL*), необходимо определить ее первым загрузочным устройством в BIOS Setup.
4.1. Boot Drive Order. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. В большинстве случаев при выборе этой опции (нажатием на ней клавиши ) вы попадаете в дополнительное меню, где можно уже непосредственно выбрать порядок опроса накопителей.
4.2. Boot Device Select. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.
4.3. Boot Sequence. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.

* Данная возможность доступна начиная с версии 3.0.3 (build141) только при наличии специального джампера на плате PCI-E или с отдельной версией прошивки на плате PCI.

5. Настройки HDD.
5.1. Hard Disk Write Protect (Enabled, Disabled). Включение данной опции (Enabled) запрещает запись на жесткие диски, установленные в компьютере. Достаточно сложно представить себе ситуацию, когда это потребовалось бы (даже операционная система во время своей работы постоянно «сбрасывает» на диск различную информацию), поэтому для корректной работы с шаблонами контроля целостности данная опция должна быть выключена (Disabled). Встречается нечасто.

Соболь, UEFI и BitLocker

Представьте, что вам пришла в голову прекрасная мысль поставить ПАК «Соболь» на компьютер с Windows 10, в котором включен Unified Extensible Firmware Interface (UEFI), а системный диск зашифрован BitLocker’ом. И не просто поставить, а чтобы он еще и работал — контролировал целостность файлов, например. На этом пути вас ждет множество удивительных приключений.

Во-первых, Соболь не дружит с UEFI и GPT. Когда они включены, загрузка просто пролетает мимо, не обращая на Соболь никакого внимания, поэтому для начала вам придется сходить в BIOS компьютера и изменить метод загрузки на Legacy, после чего Соболь радостно предложит инициализировать плату. Только вот Windows загружаться больше не будет, потому что далеко не все Legacy BIOS умеют работать с таблицей разделов GPT. Следующим шагом вам нужно будет конвертировать GPT в MBR и починить загрузчик Windows — это отдельный интересный процесс, но в целом ничего сложного.

И вот — ура! — Соболь при включении машины просит предъявить идентификатор, Windows запускается, вы ставите драйверы Соболя и готовы включить контроль целостности во имя соответствия формуляру! Перегружаетесь, в Соболе идете в меню настроек контроля целостности и задаете ему папку с шаблонами C:Sobol. А её нет. Ну как же нет? — вот же, только что была. Понятно, в общем-то, что Соболь не умеет читать диски, зашифрованные BitLocker’ом. Ничего страшного, запускаете Windows и пишете в командной строке:

manage-bde -off c:

Тут придется подождать, пока диск расшифруется, но оно того стоит, ведь КЦ гораздо лучше BitLocker’а! По ходу процесса можно проверять готовность диска командой

manage-bde -status c:

Когда статус сменится на «Полностью расшифрован», время доставать шампанское. Но не спешите его открывать, положите пока на лед, потому что Соболь все равно не увидит расшифрованный диск.

Ну вот так. Не увидит. Нет C:Sobol.

Почему? Говорят, лучшие умы человечества, и, в частности, Кода Безопасности многие годы ломали головы над этой загадкой. А выяснилось вот что: зашифрованный (и впоследствии расшифрованный) раздел с Windows отформатирован в NTFS, но вот в таблице разделов MBR запись о нем содержит ID файловой системы не 0x07, как полагается для NTFS, а 0x0C, как будто там FAT32. Кто меняет FS ID и по каким причинам — науке неизвестно, но получается так, что Соболь верит всему, что на заборе в MBR написано, и пытается NTFS-раздел читать как FAT32, что в целом бесперспективно. Всего-то нужно HEX-редактором для MBR заменить в строке нужного раздела FS ID на правильный (то есть для NTFS исправить 0x0C на 0x07) — и вот тут время открывать шампанское.

Есть, конечно, и секретный уровень: если у вас обычная инсталляция Windows, в которой сначала идет активный загрузочный раздел, потом системный, а потом все остальное, то придется еще немного повозиться с MBR с тем чтобы загрузочный раздел был на первом месте в таблице разделов, а за ним следовал системный, и после этого указать в настройках Соболя папку с шаблонами не C:Sobol, а D:Sobol — и все! — чувствуете себя как царь, наблюдая за расчетом контрольных сумм!

Программно-аппаратный комплекс «Соболь»

Сертифицированный аппаратно-программный модуль доверенной загрузки (АПМДЗ).

Актуальная версия продукта, сертифицированного ФСТЭК России: 3.0 М.2.

Актуальная версия продукта, сертифицированного ФСБ России: 3.0.6, 3.1, 3.2.

В реестре отечественного ПО.

• Доверенная загрузка ОС.

ПАК «Соболь» обеспечивает запрет загрузки ОС с внешних носителей, что гарантирует загрузку штатной доверенной операционной системы.

• Использование электронных идентификаторов.

Идентификация и аутентификация пользователей в ПАК «Соболь» обеспечивается до загрузки ОС с помощью ключей iButton, iKey2032, eToken, Rutoken и др.

• Сторожевой таймер.

Модуль сторожевого таймера блокирует доступ к компьютеру при обнаружении попытки отключения электронного замка.

• Сертифицированный ФСТЭК и ФСБ России модуль доверенной загрузки.

ПАК «Соболь» сертифицирован ФСТЭК, ФСБ и Минобороны России, может применяться для защиты ИСПДн до УЗ1 включительно и ГИС до К1 включительно, а также для защиты АСУ ТП до К1 включительно и АС до 1Б (гостайна с грифом «совершенно секретно»). Кроме того, ПАК «Соболь» может применяться для повышения класса защищённости СКЗИ.

Назначение

Электронный замок «Соболь» может быть использован для того, чтобы:

• доступ к информации на компьютере получили только те сотрудники, которые имеют на это право;
• в случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.

• Выбор форматов исполнения.
  • Поддержка платы PCI,
  • Поддержка платы PCI Express,
  • Поддержка платы Mini PCI Express,
  • Поддержка платы Mini PCI Express Half Size,
  • Поддержка платы М.2 type 2230-A-E.
• Аутентификация пользователей.

  Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов. В качестве персональных идентификаторов пользователей могут применяться:

  • iButton (DS1992, DS1993, DS1994, DS1995, DS1996),
  • eToken PRO / eToken PRO (Java),
  • смарт-карта eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2,
  • iKey 2032,
  • Рутокен S / Рутокен S RF.
• Блокировка загрузки ОС со съёмных носителей.
  • После включения питания компьютера, замок «Соболь» перехватывает управление всеми устройствами ввода-вывода и не позволяет загрузиться нештатной ОС.
  • После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается.
  • Запрет распространяется на всех пользователей компьютера, за исключением администратора.
• Контроль целостности программной среды.

  Используемый в комплексе «Соболь» механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жёсткого диска до загрузки операционной системы.

  • Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями.
  • Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности.
  • Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2, EXT3 и EXT4.

  Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.

  Контроль целостности системного реестра Windows.

  Данная возможность позволяет контролировать неизменность системного реестра Windows, что существенно повышает защищённость рабочих станций от несанкционированных действий внутри операционной системы.

  Сторожевой таймер.

  Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь».

  Регистрация попыток доступа к ПЭВМ.

  Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события:

  • факт входа пользователя и имя пользователя;
  • предъявление незарегистрированного идентификатора пользователя;
  • введение неправильного пароля;
  • превышение числа попыток входа в систему;
  • число и дата НСД.
• Контроль конфигурации.

  ПАК «Соболь» позволяет контролировать неизменность конфигурации компьютера – PCI-устройств, ACPI, SMBIOS и оперативной памяти. Данная возможность существенно повышает защиту рабочей станции.

  Платы

  Идентификаторы, доступные к заказу

  Дополнительные устройства