Как сделать в антивирусе исключение для папки

Закрыть ... [X]

14.12.2010 03:39

проблема!
сначала при печати компьютер стал уходить в BSOD. после долгомутной переустановки (заключившейся в итоге в переустановки службы диспетчера печати) принтер стал печатать(также при отключении в даллас локе "аудита печати"), теперь печать происходит при только отключении "аудита печати" .

14.12.2010 10:21

Да, это классика!

14.12.2010 12:45

и что???

14.12.2010 16:14

Вы кое-как поделились информацией о своей проблеме.
В чем, собственно, Ваш вопрос?

Прошла пара лет

20.01.2012 09:48

нужна помощь, отключил в dallas locke 7.5 учетную запись, теперь не могу загрузиться...может есть способ обойти dallas или поможет только переустановка?

Прошло несколько месяцев

29.08.2012 10:57

И все таки жаль, жаль ... , что вопрос Кристины не получил ответа. Проблема есть и как теперь я наблюдаю не только у Кристины ... После установки DL служба печати наглухо отказывается функционировать.

29.08.2012 11:55

В новой версии DL такой проблемы полк не наблюдается, хотя и в старых такое случалось не всегда

29.08.2012 17:57

Господа, звоните в техподдержку конфидента.
По вопросу Кристины -виноват скорее всего драйвер принтера, нужно попробовать переустановить драйвер или установить стандартный драйвер макрософт (если принтер древний или редкий то скорее всего из=за этого).
Алексей, какую именно вы учетную запись отключили и как именно?

Прошло около недели

06.09.2012 19:59

DL 7.7 таже самая проблема. Снесли Даллас, поставили заново дрова на принтер (официальные и принудительно), сверху поставили Даллас, все печатает и работает. Заметили тенденцию, что когда Даллас поставлен на ПЭВМ с установкой следующих программ возникают проблеммы, выражающиеся в некоректной работе ПО.

07.09.2012 06:26

Проблема с Далласом (синий экран при печати), и еще некоторых вещах кроется в конфликте следующей связки как правило:
Каспер+Даллас+Принтер.
На сайте далласа в ЧАВО есть решение.
Привожу его здесь целиком в качестве цитаты:
<начало цитаты>
Для решения проблем связанных c использовании DL и антивируса Касперского 6-й и 7-й версии, необходимо:
Обновить антивирус Касперского;
Внести в реестр значение, с выключенной самозащитой в антивирусе Касперского (настройки антивируса-Сервис):
REGEDIT
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KLIF\Parameters]
"NoISwift"=dword:00000001
<конец цитаты>
В большинстве случаев это помогает. Если не помогло самый простой способ обратится в тех поддержку далласа, это будет быстрее чем обсуждение проблем на форуме :)

Прошло несколько месяцев

23.02.2013 21:55

Да, c DL7.0 - DL7.7 есть такая проблема при печати. Связана именно с несовместимостью фильтра файловой системы далласа и касперским. Готов спорить, что у Кристины установлен касперский. Лечится, как указано в посте выше. После лечения проблем не возникает. Причём рекомендуется выполнить это лечение, даже если печать не используется, но касперский установлен - так как проблема может вылезти в другой подсистеме.
C DL8.0-К вышеуказанной проблемы с касперским нет.
Алексей, если вы отключили учётную запись суперадминистратора, то для того что бы загрузиться в винды, нужно выполнить процедуру "аварийного восстановления" - смотри в инструкции по эксплуатации.
А вообще можно смело звонить в техподдержку конфидента - отвечают грамотно и быстро.

Прошло несколько месяцев

10.12.2013 16:16

Здравствуйте, подскажите пожалуйста, почему при настройке мандатного доступа пользователь с уровнем доступа 3-"особой важности" не может читать файлы пользователя с уровнем конфиденциальности 1-"секретно"?

11.12.2013 10:36

Ксения, чуть больше информации. Версия даласа хотя бы нужна.

12.12.2013 16:31

Версия 7.7

Прошел месяц

16.01.2014 12:09

Уважаемые коллеги!
В документации (Руководстве по эксплуатации), к обновленной версии СЗИ НСД "Dallas Lock 7.7",полученной нами после продления его сертификата, в разделе 1.2 появилась фраза, которой не было раньше:
"Аппаратная идентификация не является обязательной.
При защите сведений, составляющих государственную тайну, запрещается использовать аппаратные идентификаторы, не имеющие соответствующего сертификата соответствия." (добавилось)
Возникает 3 вопроса:
1. Обязательно ли использование аппаратных идентификаторов на объектах, аттестуемых по ГТ? (До сих пор их применение не являлось обязательным для этого продукта и ОИ проходили аттестацию без вопросов).
2. Что имеется ввиду под соответствующим сертификатом соответствия для аппаратных идентификаторов? К примеру, eToken имеет сертификат № 1883 только до класса 1Г включительно (по 4 уровню НДВ).
3. У производителей других СЗИ НСД ("Страж NT", "Соболь", "Аккорд", "Блок-хост" и т.д.) в качестве аппаратных идентификаторов могут использоваться любые, не обязательно сертифицированные носители (iButton, даже простые флэшки). Требование использования сертифицированных аппаратных идентификаторов по ГТ только для этого продукта, или это общее требование для всех СЗИ НСД?

16.01.2014 14:48

Игорь, изменений в руководящих документов не было. Мое мнение хотите использовать аппаратные идентификаторы - используйте. Не хотите - ставьте пароль на БИОС или другими средствами закрывайте требования РД.
Но если вы решили использовать аппаратные идентификаторы - не указывайте их как средство защиты, либо используйте сертифицированные по ГТ.

16.01.2014 16:37

Получили ответ разработчиков:
"Все верно, в рамках продления сертификата и прохождения инспекционного контроля, испытательная лаборатория установила такое требование в части аппаратной идентификации.
1. Использовать или нет все зависит от Вашей модели угроз, как такого требования в РД нет.
2. Это означает что сертификат на аппаратный идентификатор должен быть сертифицирован минимум 2 НДВ.
3. У других производителей в рамках проведения сертификации, тоже должно будет появится такое требование.
С уважением,
Симонов Константин
ООО "Конфидент"
специалист по технической поддержке
СЗИ Dallas Lock "

16.01.2014 20:24

Пролоббировали свои интересы производители аппаратных идентификаторов))

17.01.2014 08:52

Какой аппаратный идентификатор сертифицирован по 2 НДВ?
Особенно актуально в свете п.3 ответа и переаттестации действующих систем - не придется ли менять все СЗИ НСД, кроме Dallas Lock.

17.01.2014 11:11

C 05 по 06 февраля проводится Практический семинар «Средства защиты информации от несанкционированного доступа. Практика применения на базе СЗИ от НСД «Secret Net» и «Dallas Lock». Стоимость 10200 руб.
Кого интересует пишите или звоните

Прошло несколько месяцев

11.10.2014 13:25

Доброго времени суток) возникла проблема с Dallos Lock. Ребят, может быть вы подскажите что делать)
Установила я даллос значит. Все хорошо было, могла и пароли менять и все, что угодно. А с недавних пор он (имею в виду dallos lock) стал ругаться, мол драйвер защиты не инициализирован... Ну приплыли думаю. Попыталась переустановить его, а вот фигушки)) теперь и удалить не могу, и пароль поменял не могу...а ещё под именем администратора даже не заходит,говорит не верное имя учётной записи..
И вот что делать?)

11.10.2014 14:48

Катя, используйте процедуру аварийного восстановления. Она описана в руководстве по эксплуатации.

11.10.2014 15:18

Стас, спасибо. Попробую..

11.10.2014 21:21

Катя, какая у вас винда? Это сообщение появляется при загрузке компа, но, тем не менее, зайти в систему можно? У меня есть предположение, что такая ситуация произошла из-за того, что на одной из загрузок компа была выбрана опция "last good known configuration" - в результате чего некоторые ветки реестра были восстановлены на те, которые были до установки Далласа. Вот драйвер и не инициализирован (как вы знаете, все установленные драйвера прописаны в реестре).
В этой ситуации аварийное восстановление поможет. Но вы сможете его выполнить, только если у вашего пользователя есть права администратора.

11.10.2014 22:03

Стас, стоит Windows XP...
Загрузка ее идет нормально, т.е. все как положено: вводим даласовский пароль, начинается загрузка винды. Открывается рабочий стол и тут выдает это сообщение: Драйвер защиты не инициализирован. И одна кнопочка в этом окне - ОК..все.
А по поводу Вашего предположения сказать точно не могу... думаю, что такой вариант загрузки вряд ли могли выбрать.. НО! не исключено)
Про аварийное восстановление что-то даже не подумала. Мдаааа... Я попробую в понедельник восстановить конечно. Права администратора у пользователя есть (на сколько я помню). Потому что зайти в Dallos и посмотреть не могу из-за этой ошибки.
Спасибо большое за помощь) как все сделаю, отпишусь)

11.10.2014 23:34

Что бы посмотреть, входит ли пользователь в группу "администраторы" не обязательно запускать оболочку администратора Далласа. Это можно сделать и штатными средствами ОС. Даллас то какой версии?

12.10.2014 10:10

У далосса версия 7.5

13.10.2014 07:36

Как хорошо, что мир не без добрых людей)
Стас, спасибо большое за помощь) все получилось...)

13.10.2014 18:50

Ещё вот такой вопрос.
Два компьютера. На обоих стоит windows xp. Они в сети. На одном стоит даллос, и на втором тоже. Ну пусть для условности будут компьютеры А и Б. Так вот, раньше, если я на компьютере А создам, изменю или удалю пользователя, то на компьютере Б, создаются, изменитсся или удалится это пользователь. Сейчас каждый из компов живет своей жизнью.. Как мне вернуть обратно все? Подскажите пожалуйста)
Просто с этой программой столкнулась недавно... И как, что тут делать не пойму.. Такая вот я) Наверное просто лень сесть и разобраться что к чему...
Заранее благодарю!!!)

13.10.2014 23:19

Даллас может работать в двух режимах: под управлением сервера безопасности и не под управлением СБ. Во втором случае, на каждом компьютере своя независимая база данных пользователей - и, естественно, изменения чего-либо на одном компе не вызывает изменений на другом. Если же под управлением СБ - сервер безопасности централизованно управляет учётными записями пользователей. Но синхронизация осуществляется только в одну сторону - от СБ к клиентам. Поэтому поведение, как вы описываете возможно, только если компьютер А является сервером безопасности для Б. Сейчас же, видимо, эти взаимоотношения исчезли по каким-то причинам.

14.10.2014 06:54

Все, и с этим вопросом разобралась. Указала в сетевом администраторе имя компьютера А и вуаля... Но это странно, потому что я так делала, но даллос ругался, типо неверное имя (ну или что то в этом духе).
Ну все, вопросов больше нет) спасибо ещё раз!)

20.10.2014 14:47

Здравствуйте! Как отключить оповещения системы защиты при открытии приложений или их установке? Хочется чтобы они были стандартными виндовыми а не далласовскими. Возможно такое или нет?

20.10.2014 21:20

Всем привет! В Dallas Lock 8.0-C обнаружилась такая проблема при работе в секретной сессии, word 2007 не открывает файлы word 2003, а файлы 2007 открывает без проблем. Кто подскажет решение???? Заранее спасибо.

21.10.2014 00:01

Алекс, смотрите аудит отказов

21.10.2014 09:12

Наверное неправильно сформировал вопрос... Как отключить параметры контроля учетных записей? Т.е. раньше при установке или открытии какого-либо приложения выскакивало окно "внести изменения на компе? и т. д.", сейчас после установки далласа вылазит другое окно уже далласовское и требует админа и пароль... как сделать так чтобы вернуть стандартное окно виндовое? тех поддержки нет... все приходится делать методом научного тыка... помогите пожалуйста!

21.10.2014 09:12

Алекс, там глюк в системе есть. Не знаю по каким причинам образуется две папки Temp. Одна просто Temp, вторая Temp'. Лечить следующий образом:
1) Включаете аудит отказов на диск С.
2) Заходите под пользователем и пытаетесь работать с файлом ворда 2003, у вас появляются ошибки.
3) Заходите под администратором, смотрите в журнале аудита отказов, ошибку Tempa в папке пользователя.
4) Копируете путь ошибки, включительно со словами Temp, но не дальше.
5) Далее Пуск/выполнить, вставляете туда этот путь. Он найдет один Temp,
пробуйте еще раз вставить путь, он найдет два temp. Один из которых и есть этот Temp'.
Вот на него нужно поставить тоже самое, что стоит на первом. Причем, когда будете ставить, он сначала ругнется, ставьте галку не смотря на ругань))
Вообщем как то так)) если что обращайтесь. 100% глюк.

21.10.2014 09:15

Сергей,
так это и есть стандартное виндовское окно, которое вылазит, когда вы превышаете полномочия учетной записи. Т.е. если вы под админом у вас вылазит окно "внести изменения", если не под учеткой админа, то вылазит окно "введите имя админа и пароль админа".
вы не под админом работаете.

21.10.2014 10:21

Сергей, или попробуйте учётную запись в даллосе сделать администратором

21.10.2014 10:48

Понял, спасибо большое, ИБ и Катя

25.10.2014 23:53

Сергей, за окошко о котором вы пишите, отвечает специальный модуль, который называется Credential Provider. Он есть в винде, но Даллас заменяет его своим, т.к. ему нужно запросить у пользователя информацию, о которой стандартный Credential Provider не знает - уровень мандатного доступа и аппаратные идентификаторы. Но, независимо от того, используется ли стандартный CredProv или нештатный, управляет им виндовая подсистема winlogon.exe - и именно она "говорит" CredProv когда нужно отобразить тот или иной диалог. Таким образом, Даллас на этот процесс не влияет. Данный диалог отобразился бы и без Далласа, но, возможно, в ином виде. Выше вам верно ответили. В вашем случае, подсистема винды User Acount Control (UAC) требует ввести учётные данные пользователя, имеющего право на установку ПО, т.к. у текущего пользователя таких прав нет. И Даллас тут ни при делах.

27.10.2014 08:28

Вопрос такой, Доверенная загрузка в DL8 реализовано методом шифрования-преобразования дисков....для гостайны это я так понимаю не обязательное условие? Спасибо.

27.10.2014 09:15

в НМД по гостайне вообще нет понятия "Доверенная загрузка"
а в DL это просто дополнительный механизм защиты.

27.10.2014 09:17

Прохожий,
Модуль доверенной загрузки в DL8.0-С только позволяет создавать преобразованные (шифрованные) области жесткого диска. Так написано в руководстве на DL.
Но требований в имеющихся на сегодняшний день РД Гостехкомиссии на обязательность использования доверенной загрузки, в т.ч. для ГТ, нет.
Проблема может возникнуть в свете вышедших новых требований к средствам доверенной загрузки (приказ ФСТЭК № 119 от 23.09.2013). Там установлено три типа СДЗ и в DL8.0-C реализован третий из них - СДЗ уровня загрузочной записи, что для ГТ по этим же требованиям не применимо. Но пока требований обязательности доверенной загрузки нет, то можно не заморачиваться

27.10.2014 09:44

Спасибо....я примерно так и думал..::)

01.11.2014 01:29

Добрый день!
После чекдиска перестало пускать под разрешенными учетными записями с ошибкой "Неправильный формат файла с данными".
В чем может быть проблема?

01.11.2014 01:30

Windows 7 X64
DallasLock 8.0-C

03.11.2014 14:20

Игорь, видимо, повредился файл с базой данных учётых записей Далласа (C:\DLLOCK80\accountsDB.dls). Все файлы с данными Далласа контролируются с помощью механизма контрольных сумм.

06.11.2014 20:58

Здравствуйте! Проблема такая: установлена WinXP SP3, office2003, dallas 8.0-c.
Устанавливаю метки конфиденциальности для папки, задаю уровень конф. пользователю такой же как и папке. Захожу под пользователем с 0 уровнем, запускаю word, затем под нужным уровнем конф., в папку заходит но создать документ не может, пишет "не возможно открыть существующий normal.dot". Все возможные разделяемые папки настроил. ЧТО ЕЩЕ МОЖНО СДЕЛАТЬ? На Win8 все работает как часы....

07.11.2014 13:46

Санек | 54339
Мандатный режим настраивали вручную или автоматически? Если автоматические, то возможно вот решение:
там глюк в системе есть. Не знаю по каким причинам образуется две папки Temp. Одна просто Temp, вторая Temp'. Лечить следующий образом: 1) Включаете аудит отказов на диск С. 2) Заходите под пользователем и пытаетесь работать с файлом ворда 2003, у вас появляются ошибки. 3) Заходите под администратором, смотрите в журнале аудита отказов, ошибку Tempa в папке пользователя. 4) Копируете путь ошибки, включительно со словами Temp, но не дальше. 5) Далее Пуск/выполнить, вставляете туда этот путь. Он найдет один Temp, пробуйте еще раз вставить путь, он найдет два temp. Один из которых и есть этот Temp'. Вот на него нужно поставить тоже самое, что стоит на первом. Причем, когда будете ставить, он сначала ругнется, ставьте галку не смотря на ругань)) Вообщем как то так)) если что обращайтесь. 100% глюк. - See more at:

14.11.2014 01:37

Здравствуйте!
Подскажите, если я на папку ставлю метку мандатного доступа, почему не происходит наследования этой метки на файлы которые создаются в этой папке?....

14.11.2014 10:33

54443
а какой смысл в таком наследовании? файлы из этой папки могут быть скопированы только в папки с таким же уровнем мандатного доступа или выше.

18.11.2014 07:11

simm | 54450, спасибо это я понимаю, просто с DL уже давно не работал, а другие СЗИ накладывают мандатные метки как на папки так и на файлы, думал может я чего не понимаю.:)

Прошло несколько недель

11.12.2014 01:13

Подскажите кто знает. DL8-C, Windows 7, office 2010...документы docx открывает без проблем, но вот с doc проблема, пишет нет доступа к файлу, т.е. преобразование работать ну ни как не хочет. При включеном обучающим режиме всё окай, но после отключения его ни чего не меняется...:(

11.12.2014 10:01

54734
Смотрите в сторону папки TEMP.
docx - записывают темп файлы по полному пути. doc по короткому
это должно быть видно в журнале доступа к ресурсам при выставленном аудите отказов.

14.12.2014 02:33

Здравствуйте, столкнулся с такой проблемой:
после установки DL 8.0-С перестал работать Outlook 2013, программа запускается, но письма не отправляет. ЗПС не настраивали, проблема появляется даже при стандартном конфиге.

Прошел месяц

12.01.2015 10:49

есть библиотека printfix которую нужно подменять для сборки 195, после ее подмены и outlook и powerpoint должны заработать

Прошло несколько недель

09.02.2015 10:31

Вот может кому пригодится по DL 8.0 -

09.02.2015 12:17

Хотелось бы услышать мнения по поводу обхода доверенной загрузки в DL80c показанной в видео постом выше - .
Пробовал выполнить требования методического документа ФСТЭК, а конкретно:
Требования к реализации УПД.17: В информационной системе должно обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки.
Доверенная загрузка должна обеспечивать:
блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
и т.д.
Может что-то я не так понимаю, что-то не так делал...

09.02.2015 13:08

Dallas Lock 8.0 не закрывает УПД.17.
Я интересовался этим вопросом и в результате связался с техподдержкой.
Мне там все подробно объяснили. Дело в том что есть отдельные требования к средствам доверенной загрузки и эти требования Dallas Lock не выполняет.

09.02.2015 13:29

Roman, читай внимательно формуляр на DL. По формуляру должна стоять загрузка с системного диска в Биосе и пароль на биос.
То что вы отформатировали диск с данными не значит, что взломали DL. Доступа к данным вы не получили, а по инструкциям должна быть копия этих данных на другом носителе (cd нарример).
Вообщем Америку вы не открыли. Всем давно известно, что единственным способом обеспечить доверенную загрузку без всяких условностей - аппаратные сзи. Но в борьбе за рынок производители сзи уменьшают стоимость своих решений и предлагают вот такие ухищрения.

09.02.2015 14:39

Отформатированный винт - несанкционированное воздействие на информацию (ГОСТ Р 50922-2006)

09.02.2015 15:01

Повторюсь, если сделать т.к. написано в формуляре, вы не сможете загрузиться в обход СЗИ и отформатировать винт.

09.02.2015 15:05

Да согласен, еще и биос в некоторых случаях должен пройти проверку. Допустим так, НО... где тогда сообщения о том что произошла загрузка в обход загрузчика DL про которых говориться в документации??? Их не было в журналах..., или они появятся только если я биос запоролю и поставлю загрузку с винта??? Сомневаюсь... .

09.02.2015 15:18

По поводу сообщений. Насколько я понял в документации говорится именно о загрузке ОС в обход загрузчика, но имеется ввиду ОС, которая установлена на Вашем ПК. Вы же грузитесь с загрузочного диска и по факту загружаете ту ОС, которая у Вас на загрузочном диске и с помощью нее получаете доступ к данным. По моему это немного другая ситуация.
Хотя сам я подобных сообщений не видел.

09.02.2015 15:35

Возможно и так, но по документации тяжело понять как на самом деле, физика процесса не разжевана.
Просто получается, что если не трогать биос то я никогда не узнаю что была загрузка АРМ, с внешнего носителя.
А биос мне еще предложат наверное протемачить чтобы вообще все супер было и потом еще соболь для надежности воткнуть )).

09.02.2015 15:56

Согласен, в документации данный момент не очень подробно описан, приходится догадываться.

10.02.2015 09:58

Наверное Dallas может реагировать только на изменение своего загрузчика, т.е. если загружать именно штатную ОС в обход загрузчика DL. А вот если смотреть именно в сторону того требования ФСТЭК - "блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы" то тут в общем случае DL не спасет.... он получается отрабатывает только частный случай изменения своего загрузчика DL.

10.02.2015 11:59

На мой взгляд тут речь идет о сервисной функции, Dallas Lock не сертифицирован как средство доверенной загрузки, а по СВТ-3 нет требования на доверенную загрузку тоже. Т.е. это некий сервисный механизм, который сертифицированную функцию безопасности не выполняет.

10.02.2015 12:10

Насколько я понял, то Dallas Lock можно использовать как некий дополнительный защитный функционал.

10.02.2015 14:58

Скорее некоторый дополнительный функционал нужно использовать совместно с DL, например сертифицированную доверенную загрузку.

10.02.2015 19:10

Вопрос, Windows 8, MS Office 2013 и DLL 8.0-C, ругается на Temp, мандатные разграничения доступа расставлены, пробовали применять шаблоны, но это ничего не дало. Помогите, может кто сталкивался с проблемой.

11.02.2015 10:33

Скорее всего какая то из папок не является разделяемой.
Настройте аудит отказов и посмотрите по журналу ресурсов к какому каталогу происходит обращение.

11.02.2015 12:38

решили вопрос! вдруг у кого возникнет. MS office 2013 создает еще копии content.mso и content.word по пути C:\Users\Администратор\AppData\Local\Microsoft\Windows\inetcache\content.mso и C:\Users\Администратор\AppData\Local\Microsoft\Windows\inetcache\content.word

12.02.2015 01:38

Sergey, а как у вас работает office 2013 при открытии файлов doc?
Чет не могу у себя настроить.:(

12.02.2015 08:33

Про файлы doc писали ранее, почитайте тему

13.02.2015 13:01

Добрый день.
Система Windows 7 Pro, установлен Dallas Lock 7.7 при запуске "Администратор" DL 7.7 стало появляться сообщение об ошибке "Запись пользователя повреждена (0)". Dallas Lock и загрузчик были отключены почищен реестр удалены файлы из системного каталога. При повторной установке стало появляться сообщение "Ошибка записи в служебный раздел Dallas Lock! (2.5)" куда копать, что посоветуете?

13.02.2015 14:25

Vasiliy | 55846
антивирус удалите и повторите установку.

Прошло несколько недель

12.03.2015 12:32

Видеоинструкции по установке и настройке СЗИ, в том числе DallasLock -
Подписывайтесь, будет постоянно пополнятся.

Прошла пара месяцев

24.04.2015 12:54

Добрый день! Такой вопрос, как на сервере безопасности Dallas Lock 8.0 создать доменные учетные записи, если сервер вводить в домен нельзя??

24.04.2015 13:09

Аркадий, УРСН | 56731
Вас кто-то ввел в заблуждение. можно вводить в домен AD.
Нельзя устанавливать сервер безопасности на контроллере домена AD, это да есть такое.

26.04.2015 18:16

Я пробовал вводить в домен, при загрузке компа Даллас лок отправлял его в ребут

Прошло несколько месяцев

07.08.2015 16:15

Dallas Lock 8-С в нынешних версий мало пригоден для разграничения доступа к флешкам. Наблюдаются глюки, вследствие которых он "забывает" прописанную в него флешку, и она при следующем подключении к АРМ видится как другая флешка.

Прошло несколько месяцев

25.12.2015 10:45

В сети клиенты Dallas Lock 8-К. Установили сервер безопасности, при попытке в консоли удаленно включить клиентов в домен безопасности мгновенно появляется сообщение "Ошибка сети.". При этом по сети клиент гарантированно доступен, все нужные порты открыты.

25.12.2015 11:17

Проверьте пинги по короткому имени в обе стороны.

25.12.2015 15:57

Bebebe Спасибо за ответ,
"Проверьте пинги по короткому имени в обе стороны."
это я проверял, все в порядке.
Скорость появления "Ошибка сети." говорит о том что даже попытка пинга не происходит.
При этом, если я так же с консоли даю команду "Обновить DL" то то все проходит в штатном режиме.

28.12.2015 18:29

DL 8. Домен. При печати на некоторых станциях вываливается сообщение об ошибке принтера. Помогает переустановка драйвера принтера. Но на некоторое время. Ошибка появляется не системно. Может неделю работать без проблем. Может по нескольку раз в день.

29.12.2015 00:37

to Алексей, Капитал
Если "контроль потоков" настраивали - смотрите настройки C:\Windows\system32\spool и журнал процессов. Если не настраивали - просите у Конфидента новую сборку. Попадалась сборка с косяками драйверов маркировки и контроля печати. Любопытно, что при включенной маркировке отпадали только Corel DRAW и Excel (причем Word работал без проблем). Как вариант вообще отключить опцию "учет" или "контроль" печати и посмотреть, не в ней ли дело.

29.12.2015 11:34

to oko
СЗИ НСД Dallas Lock 8.0-K Номер сборки: 8.0.223.0 Дата сборки: 02.09.2014
Отключил аудит печати. Проверяю...
Еще есть глюк - при добавлении нового пользователя в AD, нет возможности добавить его в домен безопасности без перезагрузки сервера безопасности - не видит. Писал в поддержку DL. Обещали исправить в следующей сборке :(

29.12.2015 11:41

to oko
СЗИ НСД Dallas Lock 8.0-K Номер сборки: 8.0.223.0 Дата сборки: 02.09.2014
Отключил аудит печати. Проверяю...
Еще есть глюк - при добавлении нового пользователя в AD, нет возможности добавить его в домен безопасности без перезагрузки сервера безопасности - не видит. Писал в поддержку DL. Обещали исправить в следующей сборке :(

29.12.2015 13:32

Алексей,
с добавлением доменного пользователя я тоже сталкивался.
Это не глюк, такова реализация в Dallas Lock.

Прошла пара месяцев

21.02.2016 10:00

Подскажите пожалуйста, возможно ли белый список (разрешенных) usb накопителей экспортировать на другой ПК. Версия Dallas Lock 8.0С.
И еще одна проблемка: при добавлении в белый список флэш-карт SD и microSD через карт-ридер иногда новые распознает как-будто уже добавленные. Из 20-25 флэшек такая ситуация наблюдалась примерно в 5-6 случаях. Использовались два разных карт-ридера на двух разных ПК. Спасибо.

25.02.2016 15:11

Возникла проблема в настройке принтера в DL8-C. Имеется сервер и клиентская. ДЛ установлен только на сервере, пользователь входит со своего клиентского ПЭВМ в терминальном режиме. При печати в открытом режиме проблем нет, а при печати в закрытом - ошибка настройки принтера. При этом принтер установлен на клиентском ПК. В случае установки принтера на сервер - проблем нет.

25.02.2016 18:53

Дежа вю. . Пост №61055 и дальше.

26.02.2016 20:23

Подскажите, пожалуйста, ответ по такому вопросу:
Есть winXP, DallasLock 7.7. Ставлю на папку метку , добавляю приложения-исключения (Ворд, Эксель), даю всем пользователям полные права к этой папке по-фамильно.
Ожидаемый результат: Иванов входит, делает документ, сохраняет, выходит. Потом заходит Петров, открывает этот же документ, допечатывает, сохраняет, выходит. Потом заходит Сидоров... И т.д.
Реальный результат: входит Иванов, делает документ, сохраняет под именем X1, выходит. Заходит Петров, открывает Х1, допечатывает, пытается сохранить, но ему не дают сохранить под Х1, любое другое имя но не Х1 (предположим Х2). Заходит Сидоров и тоже может изменить и Х1 и Х2, но измененный собой документ уже не может сохранить ни под Х1 ни под Х2 !!
В этом и беда. Подскажите, как сделать, чтоб они асе могли открыть и СОХРАНИТЬ документ под именем Х1. И чтобы в журналах все отображалось: заходил Иванов и печатал Х1, заходил Петров и печатал Х1 и т.д.
Заранее спасибо!

26.02.2016 21:04

Приветствую!
На вскидку проблема с дискреционным режимом доступа (если в мандатной сесси выше уровня 0 тот же Иванов нормально открывает/редактирует и сохраняет документ). DL7.7 помню плохо, но, возможно, косячит дискреционка Windows.
Для проверки включите "мягкий режим", включите глобальный аудит отказов (по всем полям), очистите журнал и выполните все операции от Иванова, Петрова и Сидорова. Если все пройдет гладко (все могут редактировать и сохранять X1), то дискреционка Windows не при чем. Тогда по журналу DL посмотрите, на что ругается. Иначе проверяйте права для данных пользователей в Windows.
Кстати, процессы-исключения применяются для каталогов, содержащих временные файлы (для Office 2003-2007 - C:\путь-к-профилю-пользователя\Temp, ...\TemporaryInternetFiles\Content.Word, ...\Content.MSO и т.п.) Т.е. на каталог с конечными документами метку с "процессом-исключением" для Word, Excel и т.д. ставить не надо. Возможно, ошибка именно в этом.

Прошло около недели

05.03.2016 15:07

Это по всей видимости происходит потому, что параллельно работают два дискреционных механизма доступа - Windows и Dallas Lock. В Windows необходимо разрешить полный доступ к папке для всех пользователей, а разграничивать права доступа средствами Dallas Lock.

05.03.2016 15:11

oko, процессы-исключения не нужно прописывать для каталогов, содержащих временные файлы, такие каталоги нужно очищать.
Процессы-исключения нужно прописывать для каталогов, содержащих постоянные настройки, напр. \Application Data\Microsoft\

05.03.2016 15:14

oko, процессы-исключения не нужно прописывать для каталогов, содержащих временные файлы, такие каталоги нужно очищать.
Процессы-исключения нужно прописывать для каталогов, содержащих постоянные настройки, напр. \Application Data\Microsoft\

11.03.2016 09:07

Доброе, товарищи!
Подскажите, кто-нибудь настраивал доступ к сетевым папкам? Есть ли какие-то нюансы? Что-то никак не получается всё прикрутить.

11.03.2016 10:21

Приветствую!
Настраивал без домена и выделенного сервера безопасности DL в версии 7.7. В версии 8.0 не пробовал, но, думаю, принцип тот же:
- одинаковые имена и пароли пользователей на раб. станциях (серверах), ибо с разными почему-то не работало (не выводило окно авторизации Windows при подключении к сетевому ресурсу);
- правила доступа к каталогу на машине, где каталог расшарен, для anonymous и нужных пользователей;
- правила доступа к удаленному каталогу (задаются в дискреционном разделе) на машине, которая к данному каталогу подключается по сети, для нужных пользователей;
- убедиться в отсутствии файрволлов и проч. сетевых защитных механизмов;
- для каталогов с мандатной меткой отличной от 0 то же самое, только одинаковая метка на каталог как на локальной машине, так и на удаленных.
Должно заработать. Потому по-тихоньку допиливать правила до нужного результата.

Прошла пара недель

24.03.2016 09:36

Добрый день! Возникла проблема такого рода.Установлен DL 8. При назначении грифа папке почему-то файлы в папке остаются не грифованные, такая же ситуация и при создании новых файлов в папке. Что это может быть?

24.03.2016 10:16

Приветствую!
Проверьте работу мандатной системы: попробуйте в неконфиденциальной сессии создать какой-нибудь файл в конфиденциальном каталоге (а лучше в его подкаталоге, гриф на который не задан явно). По-идее в доступе должно быть отказано. Это логика работы DL8. Вкладка с перечнем мандатных меток (ресурсов) содержит только каталоги/файлы, на которые метка установлена явно - последующие подкаталоги/файлы "получают" метку автоматически и рекурсивно средствами DL при обращении к ним пользователем/процессом, но в список не заносятся.
А вот если опыт не удастся, то возможны следующие проблемы: либо что-то дополнительно настроено не так, либо в руки попалась "кривая" сборка DL.

Прошла пара недель

11.04.2016 13:16

Добрый день. При включении в панели администрирования Доверенной загрузки выдаёт ошибку:
Ошибка в процессе включения/выключения режима доверенной загрузки! (Ошибка создания непрерывного файла атрибутов: Не удалось создать файл. Проверьте наличие свободного места на диске С: (должно быть свободно не менее 100 Мб).
ОС Windows 8

11.04.2016 17:40

Приветствую!
Если у вас действительно имеется не менее 100 Мбайт свободного места на диске С, то вариант прост - либо ошибка в сборке DL, либо DL под Win8 считает диском С небольшой раздел восстановления. В любом случае звоните в техподдержку Конфидент - расскажут, как поступать дальше.

11.04.2016 18:22

Техподдержка посоветовала переустановку ДЛ с удалением папки, и дефрагментацию. Не помогло.

11.04.2016 18:22

Техподдержка посоветовала переустановку ДЛ с удалением папки, и дефрагментацию. Не помогло.

12.04.2016 10:29

Еще одна возможная причина - разметка ЖМД по стандарту GPT. Тогда отсутствует раздел главной загрузочной записи - MBR, куда DL8.0 по простоте своей пытается засунуть модификацию, отвечающую за механизм идентификации и аутентификации, кодирования таблиц файловой системы всех локальных дисков и проч.
Очень похоже, поскольку GPT с вводом в действие Win8 получил широкое распространение.
Если действительно присутствует GPT вместо MBR (посмотреть можно в ОС Win8 через Управление компьютером - Управление дисками или на уровне UEFI BIOS), то рекомендую либо отказаться от механизма доверенной загрузки (особенно, если у вас АС под ГТ), либо снести Win8, в UEFI в разделе BOOT выбрать режим Legacy BIOS (и выбор вместо Win8 - Другие ОС) и произвести установку ОС Win8 заново. Получите разметку ЖМД в MBR структуре. После этого механизм доверенной загрузки в DL должен заработать.

12.04.2016 15:27

Проблема решилась обновлением сборки.

Прошла пара недель

27.04.2016 10:59

Здравствуйте!
Может кто знает, что за хрень происходит:
Dallas Lock 8.0-К, Сервер безопасности
Впервые опробовали механизм смены пароля пользователем по истечению его срока.
Т.е. пользователю выдало сообщение о том, что необходимо сменить пароль. Пользователь меняет пароль. Заходит под новым паролем в систему (без перезагрузки ПК).
Но стоит только перезагрузить ПК DL начинает ругаться, что пароль введен неверно.
Верность ввода пароля - 100%.
Помогает только любая из этих процедур:
1) Зайти под админиским пользователем и поменять локально пароль.
2) Специально поменять пароль для конкретного пользователя через Сервер безопасности.

27.04.2016 11:58

Приветствую!
А пользователь пароль меняет средствами DL или Windows? Т.е., где настроено ограничение на время пароля - через оснастки DL или через gpedit? Просто похоже на ситуацию, когда пароль изменен в базе данных ОС, но не изменен в базе Далласа.

27.04.2016 12:39

oko
Ограничение установлено в DL.
Пароль меняется на этапе идентификации.
Т.е. там, где оболочка DL предлагает ввести логи и пароль.
Может быть так и есть. Только ведь механизм-то даласлокавский.

27.04.2016 13:33

Тут либо косяк в сборке или в настройках Сервера безопасности. Проверить можно превентивной сменой пароля пользователем. Через оснастку Далласа, ага. Если опять ничего положительного не даст - только обращаться в тех.поддержку. Либо вообще отказаться от смены паролей пользователями самостоятельно (впрочем, понимаю, что для того и вводилась функция, чтобы от нее не отказываться).

27.04.2016 15:38

Проверить можно превентивной сменой пароля пользователем. Через оснастку Далласа, ага.
-----------
Не совсем понятно о чем речь?
1. Если о том, что бы конкретному пользователю поставить (через Сервер безопасности) флаг "Потребовать смену пароля при следующей загрузке", а потом (после ребута) поменять его на пользовательском ПК в момент идентификации, т.е. без применения локального Администратора DL.
То это я проделывал - та же фигня: пользователь меняет пароль. Делает перезагрузку. Пароль не верный.
2. Если речь идет о том, что бы на клиентской машине залогиниться под пользователем с правами администратора, зайти в оснастку DL, т.е. запустить Администратора DL и там поменять пароль.
То это я проделывал - проблем нет. пароль меняется успешно.
3. Если речь идет про то, что бы поменять пароль пользователю удаленно через Сервер безопасности.
То и это я проделывал. Пароль применяется успешно.
---------
Т.е. сбрасывается он только в одном случае: когда пользователь меняет его ДО захода в ОС.

27.04.2016 15:46

Смотрите в журнал сервера безопасности, там на момент смены пользователем пароля есть ошибки?
Опять же есть журнал управления пользователями в локальной админке там подозрительных записей с ошибками нет?

27.04.2016 15:56

simm
В журналах собранных сервером безопасности:
Есть только:
- требуется смена пароля
- пароль набран неверно
Локальные журналы я не смотрел. Гляну. Но ведь сервер их собирает.

27.04.2016 17:38

Исходя из всего вышеуказанного, мне, лично, не ясна причина проблемы. При условии 100% верности пароля. Возможно, en/ru-переключение глючит (или вообще клавиатуру пользователя)? Попробуйте проверки ради ввести чисто цифровой пароль. Кстати, такая чехарда наблюдается/проверялась на нескольких АРМ в сети или только на одном?

27.04.2016 18:26

oko
На всех. Всегда.
Кроме того, ведется журнал неправильно набранных паролей, так что можно 100% знать правильно набран пароль или нет.

27.04.2016 18:34

советую посмотреть GPO ОС на сервере и на клиенте, в случае если на сервере парольные политики по сложности сильнее, то может возникнуть описанная ситуация. т.е. при смене пароля пользователем он (пароль) отсылается на сервер и если он не проходит по политикам на сервере остается старый и при следующей синхронизации меняет его на старый.

27.04.2016 18:55

simm
В DL все политики одинаковые, т.к. применял их централизованно через Сервер безопасности.

27.04.2016 19:44

simm про GPO Windows (локальные и, если домен, то глобальные) говорит, насколько я понимаю
Кстати, возможно. Не особо в курсе, как работает модуль связи своей БД-паролей с БД-паролей ОС в Далласе. Вполне возможен конфликт, когда ОС считает пароль недопустимым (по своим политикам), но уведомление не появляется (Даллас, к примеру, его скрывает и игнорирует).
Впрочем, исходя из журнала, "неверность" пароля идет в следствие недоступности сервера безопасности на этапе смены пароля. Т.е. в локальную базу Далласа новый пароль попадает, в локальную базу ОС тоже. После входа юзера в систему идет синхронизация с сервером безопасности. И СБ, соответственно, не в курсе о смене пароля - меняет его на старый автоматически. Результат - после ребута пользователю в доступе отказывает. Кстати, после ребута пробовали старый пароль вбивать? Каков результат?
Если вся картина более или менее соответствует моим рассуждениям, то траббла может заключаться в промежуточном звене - стороннем межсетевом экране (в составе того же DL или антивируса) или брандмауэре Windows. До его прогрузки, которая осуществляется на этапе старта пользовательской сессии локальной машине, все соединения с СБ блокируются, например.

27.04.2016 21:45

Попробую еще два эксперимента:
1) Поэксперементирую с МЭ
2) Отсоединю одну машину от СБ и локально проверю тот же механизм.

28.04.2016 13:56

В общем.
Что касается МЭ.
Я особо не экспериментировал ибо если бы МЭ какой-либо блокировал, то тогда пароли замененные локально через администратора на клиентской машине не отправлялись бы на СБ, а они уходят нормально.
Можно 100% сказать, что проблема именно в том, что замененные таким образом (до загрузки ОС) пароли по какой-то причине НЕ уходят в СБ, а после синхронизации (т.е. даже перезагрузку делать не нужно - достаточно с СБ отправить команду на синхронизацию с клиентом) пароли не действительны: ни старый ни новый.
Я просто НЕ пойму что да как.

28.04.2016 14:37

Сможете скрины настроек СБ выложить куда-нибудь и дать на них ссылку?
Можно также эксперимента ради другую сборку СБ (например, из демо-версии DL8-K) развернуть в тестовой среде и провести имитацию сложившейся проблемы.

Прошла пара недель

11.05.2016 11:29

Всем, Добрый! Помогите решить проблемы с включенной функцией Dallas lock «Журнал печати», возникающие при печати документов. Используемые средства Dallas lock версии 8.0.223.0 (сервер, клиент), Windows 7 и сетевой принтер Work Sentre.
При печати PDF документов распечатываются пустые листы («печатать как картинку» печатаются нормально);
Документы Word альбомные листы печатаются на половину (как книжный);
Документы Word на одном листе распечатываются с наложением текста друг на друга

11.05.2016 15:33

Приветствую!
Увы, это вам не сюда, а в техподдержку Далласа. Драйвер, отвечающий за контроль печати в этом СЗИ известен своими проблемами совершенно разного рода, увы..

11.05.2016 15:48

Пустые листы печатаются скорее всего из-за включенной опции создания теневых копий документов. Там защита от копирования PDF файлов срабатывает.

Прошло около недели

20.05.2016 10:07

oko | 62801
Выпал я из темы.
Пытаюсь вернуться.
А скрины каких именно настроек?
Тестовая среда - это т.е. в другой сети - не трогать пока развернутую инфраструктуру с DL?

20.05.2016 10:16

Скрины настроек основных механизмов DL. Т.е. без учета дискреционных и мандатных разграничений.
Тестовая среда - да, либо другая сеть, либо совокупность виртуальных машин. Взять сборку DL с сайта Конфидента. И попробовать сЪиммитировать проблему на ней. Вам, в сущности, нужны 1-2 АРМ и сервер. Даже лучше будет, если вначале вы развернете ту же самую сборку, которая уже используется. И, если в ней проблема подтвердится - опробуете демо-сборку с сайта.

20.05.2016 11:35

Спасибо.
Я попробую.
У меня одна мысль возникла.
Замечено.
Что если в
Панель управления\Все элементы панели управления\Диспетчер учетных данных
{control userpasswords2} Управление паролями
Добавить учетную запись Windows - скажем, подключение какому-либо ресурсу на другой машине, а потом поменять на ОС пароль и выполнить перезагрузку, то запись в этом разделе пропадает, т.е. учетные данные для подключения к внешнему ресурсу слетают.
Может это связанные события?
-------------
Не подскажите, где можно взять последнюю сборку DL и СБ DL 8.0-К?

20.05.2016 22:44

Ссылка на демо вот: . Там через регистрацию и некоторое ожидание.
На тему взаимосвязи. Мне попадались системы, в которых данная проблема (слета пароля к сетевому ресурсу) встречалась и без СЗИ НСД каких-либо. Как ни странно, причины каждый раз были разными, но на поверхности, поэтому точно уже не скажу.
Мое мнение, что в вашей проблеме виновата либо сборка Далласа, либо, что вероятнее, какая-то мелочь, которую упускаем из виду.

Прошла пара недель

01.06.2016 16:48

В Dallas Lock 8.0-C стоит настройка на CD, DVD диски настройка "только для чтения". Однако, запись на диски для доменных пользователей осуществляется. В журнале аудита присутствует запись "неизвестная ошибка dallas lock 00000104", "скорректированы права доступа". Как правильно настроить???

01.06.2016 16:48

В Dallas Lock 8.0-C стоит настройка на CD, DVD диски настройка "только для чтения". Однако, запись на диски для доменных пользователей осуществляется. В журнале аудита присутствует запись "неизвестная ошибка dallas lock 00000104", "скорректированы права доступа". Как правильно настроить???

03.06.2016 17:39

На машине c Win7 x64 Pro стоит офисный пакет Microsoft Office 2013 и KES. Я настроил несколько меток конфиденциальности. Далее, по инструкции, задействовал механизм разделяемых папок из шаблона MS Office. После этого в любом пользователе с меткой конфиденциальности отличной от 0, при щелчке по иконке Word выпадает синий экран с ошибкой модуля fltmgr.sys.
Я сбросил настройки и также настроил несколько меток конфиденциальности и папки под них. Ворд запускался нормально, но ругался на ошибку папки TEMP и не мог сохранить ни один файл в любом пользователе с меткой конфиденциальности отличной от 0 в соответствующую папку.
Опять же, по инструкции, я вручную уже включил разделяемую папку C:\Users\User\AppData\Local\Temp и получил в данном пользователе такой же синий экран с такой же ошибкой.
Было у кого похожее?

Прошло около недели

12.06.2016 10:35

oko
Опробовал действующую сборку в другой сетке (из целых двух ПК) и всё тоже самое.
Решил запросить демоверсию у конфидента.
Только оказывается там нужно заполнить целую заявку, отсканировать её и направить по определённому адресу.
А заявка - это лицензионное соглашение с ЮЛ.
У меня сомнения возникли - не создаст ли это потом какие-либо обязательства ЮЛ перед конфидентом, оплатить и т.п.?

12.06.2016 14:43

to Саня
Вестимо да, косяк в сборке.
При заказе демо-версии проблем быть не должно. Заказывал ранее - никаких позже вопросов не возникало :)

Прошла пара недель

25.06.2016 05:42

Дему мне так и не выдали.
Отправил запрос.
Ответа нет.
Позвонил. Сказали что посмотрят.
И в общем так и ничего.
----------------------
Очевидно, что проблема в обратной синхронизации.
Т.е. С СБ на клиентский компьютер синхронизация проходит, а обратно нет.
И вот что я обнаружил - до этого я не подумал, что можно так сделать.
В общем, если зайти в оболочку администратора DL на Клиентской машине и нажать кнопочку (в меню по значку в уголке) "Синхронизировать компьютер с сервером безопасности", то программа выдает сообщение: "Ошибка в процессе синхронизации! (Доступ запрещен!)".
Вопрос:
Это нормальная ситуация - так и должно быть или в этом и есть суть проблемы?

25.06.2016 06:45

Еще я командой
netstat -an | find ":<номер порта>"
проверил порты 17490, 17491, 17492.
На СБ они в находятся в статусах
Listening
Established (только для 17492)
А на клиентских машина доступен только один порт:
17490 Listening
Так и должно быть?

25.06.2016 09:06

Вообще, эти порты 17491, 17492 открываются с установкой СБ, а сего удалением - закрываются.
Может быть это все - мышиная возня?
Но тогда почему запрос на синхронизацию с сервером, направленный с клиентского АРМ выдает ошибку доступа?

25.06.2016 12:29

Товарищи, кто-нибудь, кто использует DL-8.0-К пожалуйста, посмотрите если из под оболочки администратора на клиенте нажать кнопку "Синхронизировать компьютер с сервером безопасности" будет ошибка или нет?

26.06.2016 13:08

to Саня
Приветствую еще раз!
Версии К под рукой нет, увы. Но точно знаю, что ошибки синхронизации быть не должно. Трясите техподдержку на предмет причин, вызывающих подобную реакцию системы. И разбирайте каждую причину с привязкой к своей сети раздельно.
Могу, конечно, сейчас повторить уже разобранное ранее (увы, не помню весь процесс изучения Вашей проблемы), но навскидку:
1. Рассинхронизация времени на клиентской и серверной части. Включая часовые пояса. Проверьте пакеты обновления Винды. Схожие проблемы были с другими сетевыми СЗИ (время одинаковое, но на сервере +3 пояс, а на клиентах +4).
2. Дискреционные права на запись во временные файлы, используемые сервером безопасности для хранения меток синхронизации. Увы, не знаю, какие файлы. Если на СБ тоже установлен Dallas - включите полный аудит, выполните принудительную синхронизацию и посмотрите результат в журнале событий Dallas Lock.
3. Все-таки firewall. По приведенной конфигурации портов - все верно. Но смущает Established для 17492. Покурите мануал на Dallas в части именно этого порта - с чем связан? Ибо у вас он уже с кем-то установил соединение. И, возможно, это фейк-соединение, которое мешает СБ выполнять синхронизацию с клиентами.
4. NAT между клиентами и СБ. Или вообще разные подсети для клиентов и СБ через какой-нибудь маршрутизатор.
Как-то так. Доберусь до работы в будние - если хватит времени - разверну версию в тестовой среде. И попробую проверить указанные ошибки. У Вас билд (номер версии) DallasLock-8.0K какой?

27.06.2016 16:21

oko
Спасибо.
Гляну.

28.06.2016 11:13

oko
1. Рассинхронизация если и есть то составляет 1-2 секунды.
3. firewall - выгружал стороннюю программу оставался только брандмауэр.
Вообще, если за портом понаблюдать том можно увидеть следующее:
- Когда запущена консоль СБ, то netstat -a | find ":17492" выдает
TCP 0.0.0.0:17492 Server:0 LISTENING
TCP IP-адрес компьютера:17492 Server:50529 ESTABLISHED
TCP IP-адрес компьютера:50529 Server:17492 ESTABLISHED
- когда консоль СБ не запущена, то
TCP 0.0.0.0:17492 Server:0 LISTENING
4. NAT - нет. 100% сеть одноранговая.
Номер сборки: 195
2.
Немного разобрался.
Функция синхронизации с запросом Клиент >>> СБ таки работает, то только для пользователя - администратора безопасности DL.
Я же ранее тестировал только на иных пользователях - как с правами администратора, так и с ограниченными правами, но не являющихся администраторами безопасности.
Вот я и думаю: а может быть ТАК и должно быть и тогда не в том направлении копаю?
С другой стороны, если попытаться рассуждать логично:раз из под оболочки Администратора DL не идет синхронизация с СБ то будет ли она под этим же пользователем идти при смене пароля?
Наверное нет.
Как-то так.

28.06.2016 12:21

Судя по всему, не в том направлении рою.
1. Через СБ направил запрос на смену пароля пользователя.
2. Сменил пароль при следующем входе.
3. Залогинился под администратором безопасности DL.
4. Выполнил синхр. с СБ.
5. При попытке залогиниться под тестовым пользователем - таже фигня.

28.06.2016 12:26

Единственный вариант, который мог бы еще проверить, а это тестировать пользователя - администратора безопасности.
Но он автономен и от СБ не зависит.
А предоставить подобные права тестовому пользователю я не могу.
Добавил этому пользователю все права из блока "Права пользователя", в том числе на деактивацию системы защиты, а толку - 0.
Это даже не помогло совершать указанную синхронизауию с СБ.
Короче я больше не знаю чего делать.

28.06.2016 19:40

to Саня
Увы, не смогу на этой неделе потестировать...
Попробуйте, кстати, снести DL с Сервера Безопасности и повторить процедуру синхронизации из-под пользователя на другой машине. Заодно и процедуру смены пароля. Возможно, косяк в настройках DL на самом сервере?

30.06.2016 13:43

Здравствуйте. Подскажите возможно ли организовать сеть из двух машин, на одной из них установлен Dallas Lock 7.7, на другой Dallas Lock 8.0-C. Не будет ли конфликтов, возможно ли будет настроить общие папки с мандатным доступом?

30.06.2016 20:22

to Юрий
Приветствую!
Скорее нет, чем да. DL все внешние входящие соединения к сетевым каталогам регистрирует у себя под юзером "anonymous" в случае, когда не используется Сервер Безопасности. Для систем без разграничения прав доступа на уровней ресурсов и учетных записей такой подход применим. Как только, положим, ARM1\User1 должен будет иметь доступ только в каталог \ARM2, а ARM1\User 2 в \ARM2 - получится проблема, поскольку обе учетки будут ломиться на ARM2 под анонимусом. Т.е. разграничение реализовать не получится. И регистрация событий, соответственно, тоже будет реализована не корректно, поскольку будут регистрироваться действия сетевого доступа без указания конкретного пользователя.
Впрочем, задачу с полным разграничением и регистрацией на уровне DL (не Windows) приходилось когда-то решать. Но для версии DL8.0-C исключительно. Навскидку, должны совпадать полностью имена учетных записей, зарегистрированных в DL на всех машинах. Но пройдет ли такая схема между DL7.7 и DL8.0 - вопрос, надо пробовать.

30.06.2016 20:22

to Юрий
Приветствую!
Скорее нет, чем да. DL все внешние входящие соединения к сетевым каталогам регистрирует у себя под юзером "anonymous" в случае, когда не используется Сервер Безопасности. Для систем без разграничения прав доступа на уровней ресурсов и учетных записей такой подход применим. Как только, положим, ARM1\User1 должен будет иметь доступ только в каталог \ARM2, а ARM1\User 2 в \ARM2 - получится проблема, поскольку обе учетки будут ломиться на ARM2 под анонимусом. Т.е. разграничение реализовать не получится. И регистрация событий, соответственно, тоже будет реализована не корректно, поскольку будут регистрироваться действия сетевого доступа без указания конкретного пользователя.
Впрочем, задачу с полным разграничением и регистрацией на уровне DL (не Windows) приходилось когда-то решать. Но для версии DL8.0-C исключительно. Навскидку, должны совпадать полностью имена учетных записей, зарегистрированных в DL на всех машинах. Но пройдет ли такая схема между DL7.7 и DL8.0 - вопрос, надо пробовать.

01.07.2016 09:21

to Юрий | 64092
по сети эти версии взаимодействовать не будут, можете даже не пробывать. При обращении по сети сначала проверяется наличие DL на удаленной машине. Проверка начинается с опроса TCP порта, так вот в 77 и 80 они разные. Соответственно любые подключения будут считаться анонимными.

Прошло около недели

08.07.2016 12:56

Здравствуйте. Имеется ПК с Dallas Lock 7.7, ОС - Win 7 prof. Проблема в следующем.
Часть пользователей (примерно половина) пререстала управлятся из DL - у них значки, как описано в мануале - данный пользователь заведен только в ОС. Хотя изначально все пользователи были нормально заведены в DL. При этом при загрузке программы DL под админом - выдается ошибка "Запись пользователя повреждена (0)". Учетки этих пользователей невозможно редактировать, выдается сообщение - пользватель с данным именем уже существует.
А одному из пользователей вообще не войти в систему - ошибка Запись пользователя повреждена. Новых пользователей DL создает нормально. Насколько я понямл - произошла "рассинхронизация" DL и ОС/
Поясните, кто в курсу - есть ли способ исправить положение (т.е. как-либо обратно прописать "отвалившихся" пользователей в DL), или надо сносить DL и ставить заново?

Прошло около недели

16.07.2016 11:35

А подскажите, пожалуйста, можно ли на всех компьютерах сети (ну, кроме сервера), находящихся в домене DL использовать одинакового имя пользователя - администратора DL, с одинаковым паролем?
Т.е. Простые пользователи - будут разными, а пользователь с админискими правами будет одинаковым на всех ПК и пароль у него будет одинаковый.
Не отразится ли это на работе DL?
ПС.
Все пользователи имеют равные права доступа к ИС.

17.07.2016 13:28

Компас | 64330
А Вы что устанавливаете DL в домене от имени разных пользователей?

19.07.2016 11:00

Компас
Не в домене - одноранговая сеть.
Имеется ввиду домен безопасности DL.
На каждой машине, где устанавливается DL (кроме серверной) администратором безопасности является учетная запись с логином и паролем, аналогичная тем, что есть на других ПК в сети DL, и с той же ролью.
Т.е. если смотреть ос стороны Сервера безопасности, то для доступа к ПК 1 будет:
Вася пупкин 12345
И для доступа к ПК 2, 3, 4... будет Вася пупкин 12345

Прошла пара недель

01.08.2016 22:55


Опять к вопросу бета-теста и техподдержки за счет клиента...

06.08.2016 07:56

Я вот чего не пойму.
Обновить сборку БЕЗ действующей техподдержки не получится что ли?
Судя по инструкции конфидента - при обновлении необходимо ввести код активации технической поддержки.

06.08.2016 11:46

Если нет кода - сохраняете конфиг установленного Далласа, удаляете его и ставите новую сборку. Вводите только старый серийный номер и применяете старый сохраненный конфиг. Правда, если была настроена ЗПС - она не применится. И вообще, юзать конфиги - моветон. Проще и лучше настроить все заново. Меньше риск получить неизвестные ошибки, связанные с кривизной применения конфигураций...

06.08.2016 12:29

oko
Понятно.
Спасибо.))

08.08.2016 09:14

to Клинт | 64846
Вообще то Конфидент предоставляет бесплатно код тех поддержки для обновления.
to oko | 64847
а что та мза проблема с ЗПС (просто не сталкивался)?

08.08.2016 14:09

to simm
Несколько раз обновляли Даллас8.0С через сохранение конфигураций - удаление - установку - применение конфигураций. Так вот, все пути к файлам, помеченным выполняемыми для ЗПС, почему-то при применении конфигов не восстанавливаются. Мандатка, дискреционка, КЦ, политики Далласа - пожалуйста. А с выполняемыми файлами косяк. Но тут все зависит от метода настройки ЗПС. Кстати о методе. В обновлении, выложенном Конфидентом на своем сайте, есть интересна особенность. В прошлых сборках ЗПС настраивалась через Мягкий (Неактивный) режим. Когда запуск Далласа производится в этом режиме из-под пользователя, в параметрах ФС по умолчанию ставится запрет на исполнение файлов - и пользователь постепенно запускает нужный софт под своей учеткой. Затем идем в журнал, видим кучу запретов запуска ПО. На любом ПО из списка в журнале ставим флаг "разрешить выполнение" и Даллас сам предлагает эту маску применить ко всем объектам в журнале. Операция долгая, зато позволяющая явно указать, какое ПО разрешено к запуску из-под юзера. Так вот, в новой сборке Далла ничего не предлагает применить автоматом. А выставить такой флаг, выделив все строки в журнале, не получается.
Впрочем, ЗПС в Далласе не защищает файл от подмены (если его КС не рассчитывать заранее, разумеется). Т.е. такой метод все-равно не полный с позиции секьюрности.
Сейчас настраиваем иначе - явно указываем корневые каталоги с вложенными каталогами и файлами (к примеру, C:\Windows), в которых разрешен запуск исполняемых файлов для юзеров. Потом убираем лишнее (cmd, taskmgr и т.п.) И запрещаем пользователям писать в эти каталоги и их подкаталоги. Тем самым защищаемся от подмены файлов + от запуска портативного софта, не расположенного в разрешенных каталогах. Тоже не панацея, но уже лучше. И такой метод в "сборке-Далласа-без-уязвимости" работает.

08.08.2016 15:26

Здравствуйте, подскажите, из-за какого параметра DallasLock 8.0K могут не открываться вложения электронной почты Word и Excel? Outlook пишет сбой операции

11.08.2016 05:19

Что я не так сдал?
У меня после установки этой сборки: 8.0.347.4 (DL и сервер СБ)
Начались какие-то косяки с ПК:
1) Не работает командная строка, точнее команды не исполняются:
- ping
- arp
- ipconfig
- shutdown
и т.д.
2) Пропал доступ ко всем узлам в установленном тут же VipNet Client.
3) Доступ к ПК в сети DL (правда на всех клиентах пока старая сборка) имеется - видят все друг друга.
Доступ в интернет через браузер тоже имеется.
------------------------
Для обновления версии я удалил старую сборку и поставил новую.
Только вот при установке Сервера безопасности было сообщение, что настроить Межсетевой экран не удалось поэтому было предложено продолжить без его настройки, что я и выбрал.
Может быть проблема в этом?
Посоветуйте, пожалуйста, что можно сделать (кроме снести все нахрен)?

11.08.2016 05:57

Проблему с cmd я решил путем дописывания:
;C:\Windows\System32
в переменную Path в параметрах среды системы.
Но с VipNet проблема не исчезла.

11.08.2016 06:20

to Клинт
Проблема именно в МЭ, вернее, в работе сетевого драйвера Далласа. Полагаю, конфликт драйвера МЭ в составе Далласа с драйвером МЭ в составе ViPNet. Правильный порядок был бы таким: удалить VipNet, удалить Даллас, проверить, что все работает, поставить Даллас, поставить ViPNet. Подозреваю, что в первый раз, когда ставили еще старые сборки, поступали именно так.
А вообще, зачем обновлялись, ради устранения недавно обнаруженной уязвимости? Проще было бы компенсирующие меры в части ЗПС применить, право слово...

11.08.2016 14:27

to oko
Действительно переустановка в определенном порядке помогла.
Спасибо за подсказку.
Но тут другая хрень возникла.
Прям злость берет.
На одном клиенте (к счастью только на одном)
Удалил старую версию, установил новую.
Пользователи через сервер добавились.
Только эта зараза при попытке зайти под таким пользователем выдает сообщение Доступ запрещен.
Создал на сервере нового тестового юзера - таже фигня.
Подключил к ДЛ встроенного пользователя -Администратор - тоже самое.
Заходит ТОЛЬКО под пользователем под которым ставился ДЛ.
Может кто сталкивался с подобным?
В конце концов, не могли же они так откровенно (ФСТЭК задействован) выложить кривую сборку?

11.08.2016 14:27

to oko
Действительно переустановка в определенном порядке помогла.
Спасибо за подсказку.
Но тут другая хрень возникла.
Прям злость берет.
На одном клиенте (к счастью только на одном)
Удалил старую версию, установил новую.
Пользователи через сервер добавились.
Только эта зараза при попытке зайти под таким пользователем выдает сообщение Доступ запрещен.
Создал на сервере нового тестового юзера - таже фигня.
Подключил к ДЛ встроенного пользователя -Администратор - тоже самое.
Заходит ТОЛЬКО под пользователем под которым ставился ДЛ.
Может кто сталкивался с подобным?
В конце концов, не могли же они так откровенно (ФСТЭК задействован) выложить кривую сборку?

11.08.2016 15:48

Мне кажется, что проблема не со сборкой, раз случай единичный из выборки аналогичных машин с аналогичным дистрибутивом. По журналам (и локальным, и на СБ) поглядите, какую причину пишет Даллас в части "Доступ запрещен". И, кстати, у вас механизмы замкнутой программной среды настроены? Если да, то отключите. Механизмы контроля целостности (как единичных файлов, так и всяческих сред в оснастках Далласа)? Тоже временно отключите. Методом, так сказать, исключения воспользуйтесь...
Еще стоит проверить синхронизацию времени. И, самое банальное, понимаю, корректность паролей и иных ключей (буде такие имеются) доступа.
А в тему "не могли"... увы, могли... ибо все-таки спешка, необходимость повторной сертификации, недовольные клиенты и т.д. и т.п. Несколько странностей новой сборки (без уязвимости) сам ловил. Что ж, поглядим, что дальше будет.

11.08.2016 18:30

Такая же проблема, как в посте 64862, через СБ удаленно развернул Dallas Lock 8.0-С (сборка 347) на клиентском ПК (Win7), без каких-либо настроек, Outlook стал некорректно работать. Письма отправляются/принимаются, входящие вложения открываются нормально, а отправленные вложения (.doc, .xls, .pdf и т.д.) не открываются с ошибкой "Сбой операции".
Подскажите пожалуйста как решить!

11.08.2016 21:38

to Slayper9
Это вам, по всей видимости, в техподдержку Далласа проще обратиться. Скинуть им логи (по возможности) - нехай разбираются. От себя только одно могу сказать - Аутглюком не пользовался и тем более под Далласом...

12.08.2016 05:26

to oko
Источник зла установлен.
Если не включать клиента DL в домен безопасности (т.е. не присоединять его к серверу безопасности DL), то все работает нормально.
Как только установить связь с СБ так начинаются глюки.
При этом СБ настройки посылает на клиента, вновь созданных пользователей посылает, а пароли почему-то нет.
Более того он не посылает пароли и на старые клиенты.

12.08.2016 10:02

Значит, ваш случай уже второй. Несколько страниц назад в этой же теме пытались разобраться с похожей проблемой с тов. Саня. Вопрос, по всей видимости, все еще актуален. У меня, к сожалению, так и не получилось развернуть тестовый стенд (не дошли руки).

16.08.2016 19:54

Клинт
По ошибке "Доступ запрещен". Все довольно просто, проверьте политику интерактивный вход: разрешен в правах пользователя DL. Должно стоять значение "Все".

17.08.2016 13:42

По поводу ошибки, озвученной в посте 64910 ("Сбой операции" при открытии вложений в Outlook).
Ошибка в моем случае характерна для сборки 347.4. Тех. поддержка не отрицает существование данного бага и предлагает обновиться до новой сборки, уже пропатченной, но еще не прошедшей инспекционный контроль. И действительно, для проверки поставил старую 281 сборку, Outlook пока работает нормально.

18.08.2016 19:01

Всем привет! Столкнулся с проблемой печати в dl80c после установки обновления v347.4. Не печатает с уровней выше 0. Пишет ошибка настроек текущего принтера. Автономный комп. Может кто знает что надо сделать. Заранее спасибо

19.08.2016 17:06

to Санек
Совет, снесите все, установите и настройте вручную заново. Вестимо, что-то не подкачалось из старых конфигураций - в такой ситуации вылавливать ошибки - неблагодарное дело...

20.08.2016 15:36

То око
Пробовал все сносить настройки, делал вручную ничего не помогает. Сборка 233 работает нормально — принтер печатает, а на сборе 347.4 нет...

20.08.2016 20:31

to Санек
Попробуйте отключить "Аудит печати" и/или "Аудит устройств". Чисто ради проверки. Если заработает - пишите в техподдержку, что их сборка косячит с вашим принтером (драйверами).

Прошла пара недель

03.09.2016 10:15

Антонио
По ошибке "Доступ запрещен". Все довольно просто, проверьте политику интерактивный вход: разрешен в правах пользователя DL. Должно стоять значение "Все".
----------
Я такой опции не нашел. Увы.
А вообще, после того как обнаружилась очередная ошибка: иногда (после перезагрузки сервер) не запускаются службы СБ. И. соответственно, СБ тоже не запускается.
Решил нафиг снести этот даллас лок и поставить прежнюю версию.

Прошла пара недель

15.09.2016 11:38

Клинт
См. в оболочке Dallas Lock, вкладка "Параметры безопасности" -> "Вход" -> "Интерактивный вход: Разрешен".
Служба СБ привязана к токену, на момент запуска службы токен должен быть подключен к СБ.

19.09.2016 11:33

Непонятно, почему затеяли обновление на эту откровенно сырую сборку. Очень много с какими принтерами не работает в уровнях конфиденциальности выше 0.

20.09.2016 05:17

Антонио
Данный параметр обнаружен в разделе "Права пользователей".
При это в СБ он находится только в параметрах безопасности домена (а не группы).
И здесь у меня выставлено значение - Интерактивный (а так же Удаленный) вход: Разрешен: Все;
Там где "Запрещен" - пусто.
Но это в предыдущей версии. Новую я снес нафиг.

20.09.2016 05:28

У меня еще один вопросик возник - буду благодарен за подсказку.
Решил для пользователей с админискими правами дополнительно настроить считыватели при входе в учетную запись.
Заметил, что при доступе с такой учетной запись через сеть - достаточно только пароля
(речь идет про сохраненные учетные данные в хранилище учетных данных для автоматического входа - control userpasswords2 и т.д.).
Вопросы:
это нормально?
это баг?
или требуются допнастройки?

21.09.2016 17:05

Клинт
Вас смущает что ненужно предъявлять аппаратный идентификатор!?
Приведу такой пример.
Есть ПК1 и ПК2, на каждом из ПК в DL зарегистрирована учетная запись admin и ей на обоих ПК присвоен один и тот же идентификатор. В таком случае при сетевом доступе с ПК1 на ПК2 (папка общего доступа например) аппаратный идентификатор предъявлять не нужно.
В случае если на ПК1 и ПК2 в DL зарегистрирована учетная запись admin, при этом аппаратный идентификатор ей присвоен только на ПК1, то сетевой вход на ПК2 будет невозможен до тех пор пока Вы не присвоете тот же самый идентификатор учетной записи admin на ПК2.
Я так понимаю у Вас именно такая ситуация, поправьте если что не так.

22.09.2016 06:17

Антонио
Ситуация такая, но не совсем:
Я на одном из ПК сети DL (пока эксперимента ради) настроил для пользователя с правами администратора двухфакторную авторизацию: пароль и считыватель.
Расшарил там каталог.
На другом ПК сети DL через диспетчер учетных записей (control userpasswords2) настроил подключение к этому ПК, т.е. указал IP, логин и пароль учетной записи со считывателем.
И всё. Доступ к ресурсом подопытного ПК появился бе всякой двухфакторной авторизации.
Вообще, если говорить подробнее, то мне такая фишка выгодна, но это отдельная тема.
Мне стало интересно - разве это не уязвимость или разработчики ЗАВЕДОМО предусмотрели подобный момент?

22.09.2016 09:52

Клинт
"На другом ПК сети DL через диспетчер учетных записей (control userpasswords2) настроил подключение к этому ПК, т.е. указал IP, логин и пароль учетной записи со считывателем.
И всё. Доступ к ресурсом подопытного ПК появился бе всякой двухфакторной авторизации."
А на этом ПК у Вас в DL есть такая же учетная запись с назначенным идентификатором, как и на первом ПК?

22.09.2016 13:47

Антонио
Считыватель присвоен учетной записи на одном ПК, а на другом для доступа через сеть к первому ПК используется только логин и пароль.
Т.е. для того что бы попасть в определённую учетку на ПК со считывателем, нужно приложить считыватель (это iButton) и набрать пароль.
А если я в ЭТУ же самую учетку захожу с другого ПК (где считыватели даже близко не используются), но по СЕТИ, то достаточно только логина и пароля.
Захожу я не путем создания аналогичной УЗ, а прописывая аутентификационные данные в Диспетчере (control userpasswords2).

22.09.2016 15:58

Клинт
Ясно, вопросов нет.
Интересная ситуация.
Но вот не знаю можно ли это считать уязвимостью.

22.09.2016 19:10

to Клинт
По журналам на машине с Далласом и считывателем посмотрите, кого в итоге авторизует система защиты: учетку, для которой вводились вручную логин+пароль или anonymous? Если "анонимуса", то все закономерно, ибо для них считыватель не предусмотрен вообще. А вот почему "анонимусы" вместо зарегенных юзеров - другой вопрос...
Кстати, вызывает интерес, что значит "для пользователей с админискими правами"? Т.е. только для админских учетных записей? Тогда работать не будет. Либо вообще всем идентификаторы и, соответственно, в оснастках Далласа запретить вход (локальный и удаленный) без идентификаторов, либо никому. В противном случае реализуется нечто вроде "смешанного" входа, когда можно и по идентификатору (iButton, eToken и т.п.) и без него.
Ну а если оба вышестоящих вопроса сняты (т.е. не анонимусы + "вход только по идентификатору"), то на лицо косяк Конфидента - не передают и не запрашивают токен идентификатора при использовании SMB-протокола и иже с ним. На моей памяти из всех чисто программных СЗИ такую фишку использовал только Страж в обязательном порядке (т.е. без идентификатора через сеть не войдешь ни к расшаренным папкам, ни к удаленному рабочему столу, никуда).

24.09.2016 08:39

Применил в полевых условиях - на сервере.
Что имеем:
Есть две учетки с админискими правами.
Одна нужна для входов с других ПК (в том числе, приложений) - 2 учетка, а другая как пользователь с правами администратора, он же Администратор DL, СБ DL и т.д. - 1 учетка
1) Определил Идентификатор в параметрах безопасности DL, который ПОТОМ буду использовать для учетки 1.
2) Зашел в Свойства (Аппаратная идентификация) учетки 2. Никаких определённых идентификаторов в списке не было. Определил ДРУГОЙ идентификатор для ЭТОЙ (2) учетки. Первый же Идентификатор так и остался висеть в Параметрах безопасности DL.
3) Для 1 учетки идентификатор (в свойствах) не определил.
В итоге:
1) В первую учетку я входу без аппаратного идентификатора.
2) Во вторую учетку с паролем и аппаратным идентификатором, но по сети (проверял только в сети DL) только через логин и пароль.
Теперь о журналах.
(отсматриваю их в Администраторе DL сервера)
В Журналах входов и вообще во всех журналах, где отражаются какие-либо сведения о процессах и т.п.
Удаленные подключения фиксируются от пользователей, зарегистрированных в Сервере безопасности DL: Иванов, Петров, Сидоров.
НО!
Если открыть не DL, а Диспетчер задач операционной системы, то процессы, которые запускаю сетевые приложения с других АРМ в сети, запускаются от имени учетки 2 (соответственно на каждом АРМ выполнены настройки через control userpasswords2).
Вот такая вот петрушка.

24.09.2016 08:48

Дополнение:
Т.е. DL фиксирует входы с других ПК, либо как "анонимус" (не проверял, но предполагаю), либо, как зарегистрированных в СБ DL пользователей.
НО!
Настройки операционной системы на сервере (и не только) таковы, что по сети требуется вводить логин и пароль.
Соответственно, если не прописать соответствующие данные в Диспетчере (control userpasswords2), то и войти на удаленных ПК (в данном случае, сервер) не получится (хакерские приемы не рассматриваю).
Так было сделано, т.к. одно сетевое приложение (модель сервер-клиент) требовало прохождение аутентификации при подключении к серверу.

24.09.2016 08:51

Для зарегистрированных в СБ DL пользователей считыватели не установлены (ибо они не админы).

30.09.2016 16:34

Всем привет. Господа, что думаете по вот такому вопросу...
На аттестованной по требованиям ГТ установлен Dallas Lock 8.0-C (сборка 281). Обновились до сборки 8.0.347.4. в связи с ИС ФСТЭК. В АС установлен FineReader 11. После настройки мандатного доступа (разделяемые папки по шаблону), FineReader 11 из-под учетной записи пользователя запускается, но при сканировании выдает ошибку, причем находясь в нулевой сессии. Но суть не в этом.
Позвонил в техподдержку. Они сказали, что о проблеме с FineReader знают, но решения еще у них нет.
Кстати, в предыдущих сборках все работает нормально.
Как вы думаете, лигитимно ли поставить предыдущую сборку (например, 281), где все нормально работает и настроить ЗПС?? или все-таки при любых раскладах нужно обновляться до сборки 8.0.347.4? что вообще думаете по ситуации?

01.10.2016 12:39

to Человек
Приветствую!
Собственно, исходя из описания в bdu.fstec.ru, если сможете реализовать ЗПС и гарантировать отсутствие программ, имеющих прямой доступ к потокам данных файловой системы NTFS - можете использовать и 281 сборку. Главное - указать этот момент в описании техпроцесса и соответствующих протоколах контроля эффективности принятых мер защиты от НСД. В противном случае, только обновление.
Кстати, может стоит попробовать тот же CuneiForm в качестве альтернативы FineReader? Если сканирующее устройство не самое древнее и не самое новомодное - вполне сгодится для типовых нужд. А его уже можно настроить под последней версией Далласа (проверено).

05.10.2016 09:09

Здравствуйте, подскажите, на какие ресурсы необходимо устанавливать дискреционное разграничение доступа при обработке пдн, кроме самих ресурсов, содержащих эти пдн?

Прошло около недели

12.10.2016 16:44

Подтверждаю проблему с Finereader 12 и Windows XP.

13.10.2016 10:05

Здравствуйте. Никто не сталкивался с такой проблемой? При изменения пароля пользователем выходит ошибка - password contains values that are not allowed in passwords.
Стоит Dallas lock 8.0-K сборка № 8.0.347.4.

13.10.2016 10:46

to Валерий
А пароль точно удовлетворяет требованиям сложности, настроенным в Далласе? А то ругается как раз на наличие символов во вводимом пароле, которые запрещены к вводу.

13.10.2016 11:55

Точно удовлетворяет, пробовал разные пароли и не понимаю в чем дело. Если на сервере у пользователя поставить галку сменить пароль при первом входе, то захожу под пользователем и меняю без проблем. Я думаю проблема в групповых политиках на сервере win server 2003, но там смотрел все нормально. В сентябре обновляли Dallas до сборки 8.0.347.4, но проблема вылезла не на днях.

13.10.2016 14:29

Весьма вероятно, что Винда, да...
Кстати, а где вы такое забавное сообщение увидели? Вначале бы желательно журнал Далласа просмотреть, а он-таки на русском языке...

13.10.2016 14:45

Сразу глянул в журнале далласа там такая же ошибка, а вот в логах на сервере ничего. Ладно буду копать :(
Скрин журнала
Скрин ошибки

13.10.2016 20:11

Мне явно не нравится пользователь "LOCAL_SYSTEM" - это же системная уч. запись. Что-то тут явно неверно настроено и, скорее всего, не на уровне Далласа...
Вообще, такие сообщения, что в С версии, что в версии К ни разу не встречал. Попробуйте тех.поддержку подолбить - авось они выйдут из ступора, вызванного лавиной вопросов по новой сборке, и все-таки ответят...
Кстати, товарищи! Кто-нибудь решил проблему связки "DL 8.0-C" в мандатном режиме + "Dr.Web ESS 10 сертиф. ФСТЭК"? А то на днях поймал ошибку - MS Office Word любой версии, начиная с 2007, крашится при запуске в сессии выше 0 (Общедоступно). И, судя по курению Гугла, я не один такой. А тех.поддержка и DL, и Dr.Web вменяемого ответа не дает...

18.10.2016 09:27

для oko | 66239
У меня "DL 8.0-C"+"Dr.Web ESS 10 сертиф. ФСТЭК"+"MS Office 2016 Pro" корректно работал под Win 7 Pro (x64). А вот CDBurnerXP при установленном "Dr.Web ESS 10 сертиф. ФСТЭК" даже под администратором не запускался, причем в сессии 0...

18.10.2016 19:56

to Human
Любопытно... Грешил на установленную ОС. Поставил заново с использованием другого дистрибутива - результат тот же. Замена 10 Веба на 6 (сертиф.вер.) проблему отчасти решила. А так... именно Word и именно при запуске с мандатным уровнем выше 0...
А с CDBurner, возможно, траббла в каталоге /Burn, который в профиле пользователя? Обычно на него "разделяемую папку" ставлю + гриф "0". С другой стороны, под Далласом сторонние утилиты записи CD вообще никогда не использовал...

19.10.2016 19:20

для oko | 66291
"С другой стороны, под Далласом сторонние утилиты записи CD вообще никогда не использовал..."
1) У вас под управлением Dallas Lock 8.0C в сессиях выше 0 работают встроенные средства записи CD (для Windows 7, например)? У меня под Windows 7 не работает. Ошибка выходит при форматировании нового CD средствами Windows. А вот если отформатировать под 0 сессией, а потом записать под сессией выше 0, то все корректно записывает. Именно поэтому использую сторонние программы записи дисков.
2) У меня на днях попался АРМ, где обновили Dallas до последней сборки 347.4 и там в сессиях выше 0 Word 2007 не мог распечатывать документы на МФУ HP. А вот в блокноте, WordPad и даже в Excel печать работала нормально. Настройки мандатного доступа настроены корректно. Техподдержка ничего хорошего посоветовать не смогла и предположила , что это их косяк в новой сборке. Пришлось экспериментировать и проблема решилась только при установке другой версии Office (редакция 2010).
P.S. Кстати, в техподдержке Dallas Lock сказали что у них уже готова новая сборка, но ей предстоит еще пройти процедуру сертификации.... Сказали что это потребует времени. Но сказали что при обращении в техподдержку можно у них попросить эту сборку и они ее дадут.

20.10.2016 00:57

to Human
1. Работает и с первичным форматированием в сессии выше 0. Все дело в каталоге /Burn (разделяемая папка) в профиле каждого пользователя. Впрочем, если без форматирования не пашет - это даже гуд. Т.е. администратор заранее подготавливает некоторое кол-во CD. Их учитывает секретка. А после пользователи записывают на них инфу с грифом. Аналогично СТРАЖу выходит (только там еще учет средствами СЗИ НСД требуется). Полное отслеживание техпроцесса. Как по Инструкции, ага...
2. Скорее всего проблема в "Аудите печати" в глобальных политиках Далласа и "Аудит устройства" в политиках Далласа для конкретного принтера. Были схожие проблемы. Но отключать аудит вообще нельзя, ибо тогда теряется журнал распечатанных листов. Хорошо, что замена Офиса помогла (мне на некоторых ОС - все зависит от дистрибутива, а не от версии Винды, как оказалось, - не помогало).
ЗЫ Про новую сборку они уже месяца 3 говорят. И про ее сертификацию так тем более. А воз и ныне там...

20.10.2016 10:25

С оптическими дисками мы делаем так: записываем на диск скрытый пустой файл, вешаем на диск метку (на пустой диск мандатные атрибуты повесить нельзя). Записываем потом нужные файлы с помощью Small CD-Writer.

Прошла пара недель

07.11.2016 17:11

Добрый день! Подскажите, пожалуйста, кто сталкивался с такой проблемой. Установил DL 8.0-C (Демка от Конфидента сборка 8.0.347.4) на Win 10. После обязательной перезагрузки посыпались ошибки экзешников... (DTAgent.exe, OneDrive.exe, WerFault.exe, runonce.exe, FTErGuid.exe, dllhost.exe... Память не может быть read/written). И если сообщения от Daemon Tools Agent и OneDrive меня не слишком беспокоят, то вот остальные немного напрягают. Пробовал отключить службу регистрации ошибок Windows, но ошибка WerFault выскакивает всё равно. Но самое интересное - перестали запускаться практически все приложения. Работает только Office (в полном объеме - и Word и Excel и Visio и даже Outlook) и Microsoft Edge. Остальные приложения либо выдают ошибку экзешника (ошибка чтения, как я понимаю), либо вообще ничего не происходит! В журнале процессов это выглядит так:
ID Время Пользователь Процесс PID Операция Результат
955 07.11.2016. 17:03.11 User C:\....\chrome.exe 9532 Запуск ОК
954 07.11.2016. 17:03.11 User C:\....\chrome.exe 9532 Завершение ОК
Сам Даллас никаких сообщений о блокировке не выдает. Пробовал включить режим обучения - та же песня. Я так понимаю какая-то проблема с контролем приложений, но, повторюсь, никаких настроек я не производил - ситуация возникла сразу после перезагрузки. Подскажите где копать, с Dallas Lock столкнулся впервые....

07.11.2016 17:21

Попробовал перезагрузиться в неактивном режиме СЗИ - ничего не изменилось....

07.11.2016 17:57

Вспомнил, что при установке в параметрах конфигурации указал "1Г", подумал, что проблема в этом. Нажал "Установить настройки по умолчанию", перезагрузился - не помогло. В правах пользователя добавил свою учетку в поле "Деактивация системы защиты", но удалить Dallas Lock всё равно не могу.... Выдает сообщение: "Ошибка пакета установщика Windows. Непредвиденное завершение программы, являющейся частью установки. Обратитесь в службу поддержки или к поставщику пакета.

07.11.2016 19:23

Сдается мне, что это косяк демоверсии. Видать, в нее поддержку Win10 либо не добавили, либо добавили весьма криво. Попробуйте эту же сборку на Win7 или Win8. Если ошибки повторятся - обратитесь в тех.поддержку разработчиков. Пусть проверят, что они там высылают по заявкам...

07.11.2016 20:34

Меня просто убивает DL8 и его поддержка!! Как можно до сих пор продавать заведомо старую сборку с уязвимостью, вкладывая в коробку с диском лишь буклет, что то что на диске лажа, а вам необходимо еще залезть на сайт и скачать новую сборку без уязвимости, а потом тебе заказчик начинает выговаривать, что вы мне за х... поставили с уязвимостью.... DL совсем испортился, раньше проблем с ним таких не было, а последние траблы с Dr Webом и MS Office вообще добивают... Никогда не знаешь получится тебе его поставить на объекте или нет.

07.11.2016 21:33

Это заговор конкурентов из КБ. Дескать, не они одни продают гно и спешно латают уязвимости в своих продуктах.
в сторону или конкурентов из стана Панциря... Как знать, Питер же не резиновый...

08.11.2016 09:49

Ну в описании вроде есть поддержка Win 10. Я бы с радостью снес эту фигню, но как это сделать? Как я писал выше, DL не дает себя удалить!

08.11.2016 11:12

В общем помог только откат системы до точки восстановления перед установкой DL. Снести его корректно не получилось. Сейчас попробую на виртуалку на Win 7 закатать....

08.11.2016 12:25

Кто-нибудь может подсказать что меняют параметры конфигурации при установки DL? Можно выбрать "Стандартная", "Базовая для 1Г" ну или указать расположения файла раннее созданного конфига. Интересует именно "Базовая для 1Г" - в чём ее отличие от стандартной?
И еще вопрос, если позволите. У КБ есть специальные рекомендации по настройке SN для соответствия тем или иным классам АС (ГИС, УЗ ПДн...), где подробно по пунктам указанно какие настройки нужно применить, что бы система соответствовала определенному классу. Есть ли что-то подобное у Конфидента? Мне вот необходимо настроить СЗИ для соответствия требованиям к ИСПДн УЗ 4. Может быть есть рекомендации или готовые базовые конфиги?

08.11.2016 15:27

to Nox1us
1. Конфигурации предназначены как раз для соответствия определенным классам АС от НСД (читайте руководящий документ на сайте fstec.ru в разделе Техзащита информации).
2. Собственно, тем они и различаются. Стандартный - это ненастроенный профиль (параметры по умолчанию). 1Г - уже проведена некоторая (весьма частная) настройка системы защиты (пароли и т.п.). Imho, лучше настраивать после установки Стандартного. Меньше шансов наткнуться на ерунду, влепленную по дефолту разработчиком. Ибо абсолютно типовых АС не бывает...
3. Шаблонов под ИСПДн и ГИС никто делать не будет. В любом случае решает конечный ТЗИшник, как и почему выставлять те или иные параметры для обеспечения нужной защищенности.
4. А рекомендации Кода Безопасности - еще та шляпа. Чего стоит одно только использование ЗПС. Впрочем, в связи с "недавней" уязвимостью в SN ЗПС как раз оказалась весьма актуальна :)

11.11.2016 15:45

DL8.0, настроеный, не печатает документы (точнее печатает криво - обрезает до 3/4 документа) форматов А4альбомный, А3 и остальные. А4 книжный печатает нормально.
Полдня мучался, оказалось, виновато теневое копирование. Выключаешь его - все в норме. Вот как это связано? Я бы понял, если бы проблема была в штампе (кстати, в SN7 именно в штампе и была аналогичная проблема, пока не разобрался, как его нормально настроить). Но копирование то тут при чем?

13.11.2016 01:23

to Yerdan
Связано через драйвер виртуального принтера в SN или его аналог в DL. Обработка данных из пула печати некорректная. Т.е. в DL он, по всей видимости, заточен под A4-книжный. Любопытно, надо будет потестировать на досуге...
А вообще зачем теневое копирование использовать? Пользы от него кот наплакал, а проблемы - свыше крыши в любом СЗИ...

13.11.2016 23:00

Здравствуйте!
Подскажите пожалуйста, по такому вопросу:
Как проверить "Требование гарантии проектирования" в Dallas lock?
На начальном этапе проектирования КСЗ должна строиться модель защиты,
задающая принцип разграничения доступа и механизм управления доступом. Эта
модель должна содержать:
- непротиворечивые правила изменения ПРД;
- правила работы с устройствами ввода и вывода;
- формальную модель механизма управления доступом.
Должна предлагаться высокоуровневая спецификация части КСЗ, реализующего
механизм управления доступом и его интерфейсов. Эта спецификация должна быть
верифицирована на соответствие заданных принципов разграничения доступа.
Если можно простыми словами, спасибо!

13.11.2016 23:32

to asa
Если проще, то матрица доступа и формализованное описание тех.процесса.
Если еще проще, то представленное в удобной (понятной) форме (возможно, заранее предусмотренной в организации/ведомстве):
- описание защищаемых и ресурсов (устройств, программ, файлов и каталогов и т.п.);
- описание субъектов (персонала, процессов, устройств и т.п.), которым необходимо предоставить доступ к этим ресурсам;
- описание каналов, методов и средств предоставления доступа к этим ресурсам;
- описание принятых моделей доступа (дискреционная, мандатная, ролевая и т.п.)
- описание субъектов, уполномоченных на администрирование КСЗ, и их функций.

14.11.2016 02:58

Благодарю за быстрый ответ и за помощь oko!
конкретно из этих пунктов:
- непротиворечивые правила изменения ПРД ( В документации не описана реализация разграничения доступа,тут как можно проверить непротиворечивость правил доступа?)
- правила работы с устройствами ввода и вывода; (имеется в виду "правила работы" из документации Dallas lock)
Надо проверить DL8.0-C соответствие требованиям РД по 3 классу защищенности от НСД и показать.

14.11.2016 11:01

to asa
Так вот вы о чем... Резонный вопрос, зачем делать повторно чужую работу, коли на DL8.0-C и так выдан сертификат соответствия по СВТ3 (в частности)? А испытания проводили ППШ и Эшелон. Вот к ним и следует обратиться, если так хочется понять структуру подобных испытаний...

Прошло около недели

23.11.2016 18:02

Возникла такая проблема при обновлении Dallas Lock до версии 8.0.347.4, при установке возникает ошибка установки LWF драйвера. Кто нибудь сталкивался с такой проблемой?

24.11.2016 00:30

to VMax
С новой сборкой-без-уязвимостей в DL и без того куча косяков. Причем они различны для каждого конкретного случая. Вами приведенный fail не попадался. Мой совет по опыту обновления - не обновляйте. Сносите к чертям без сохранения настроек, ставьте новую сборку и настраивайте заново. Меньше риск получить огрехи по факту
"подсоса" старых настроек, imho...
ЗЫ Кстати, похоже на конфликт драйвера МЭ в составе DL с драйвером WiFi от Intel. Если WiFi использоваться не будет - снесите его драйвер и попробуйте еще раз. Если не поможет - высылайте отчет и лог-файлы в техподдержку Конфидента. Чувствую, их подход с комбайнерством (НСД+МЭ+СОВ+СДЗ) еще не раз аукнется в будущем...

29.11.2016 16:50

Добрый день. Ни разу не сталкивался с Dallas Lock, подскажите пожалуйста, как настроить доступ пользователя к dvd приводу (полный доступ), по юзером не получается отформатировать диск и пишет "вставьте перезаписываемый диск" , под админом с этим диском все норм. Есть еще под админом програ для записи, но под юзером она тоже не работает.

05.12.2016 11:54

to VMax
У меня такая проблема была при обновлении 8 далласа 131 сборки на 347.4. При этом теперь из винды даллас не удалить и в меня администратора даллас лок не зайти. связывался с конфидентом, говорят попробовать с удаленным антивирусом это сделать - не помогло, потом дали инструкцию по отключению проверки подписи драйверов - тоже не помогло. предложили сделать аварийное удаление, но мне не загрузиться с диска, тк стоит пароль на биос и его не скинуть никакими судьбами. вот хочу попробовать удалить его из командной строки в ручном режиме, но не знаю как отреагирует на этовинда. Обновлял даллас на 2 машинах и на обоих были проблемы. Думаю что на следующих буду удалять и заново настраивать, тк при чистой установке все нормально встает.

07.12.2016 22:50

to VMax
Проблема с LWF драйвером у меня решилась при помощи аварийного удаления далласа, затем чистой установкой. Причем когда загрузил конфиг предыдущей версии все сломалось и пришлось снова переустанавливать, поэтому настраивайте лучше все заново без старых конфигов. Теперь правда принтер печатает пустые листы, надо понять что с этим делать.

Прошла пара недель

26.12.2016 13:44

После установки Dallas Lock 8-с перестала загружать ОС (Windows 10 Pro)

Прошла пара недель

08.01.2017 12:24

Удалось победить проблему падения Microsoft Word 2010 в связке DL 8.0-c + DrWeb 10 + MS Office 2010.
Нужно под каждым пользователем выставить файлу winword.exe режим совместимости с Windows Vista.

08.01.2017 18:13

to Vosiley
Спасибо! Надо будет опробовать такой подход. По идее аналогичная схема будет и с MS Office 2007/2013 (там Word тоже падал) :)
А под какой ОС удалось победить?

09.01.2017 20:50

На будущее: возможно, кому-то пригодится (кто будет гуглить этот форум по ключевым словам, ага).
Если понадобится натянуть последнюю "неуязвимую" сборку DL8.0 (К или С, не важно) на Windows 10 Pro - убедитесь, что при установке ОС использовался режим Legacy BIOS. В противном случае получите постоянный ребут с попыткой автоматического восстановления. Конфидент все обещал добавить полноценную поддержку UEFI, GPT и иже с ним, да, по всей видимости, пока не получает. Как говорится, ждем-с...
Кстати, СТРАЖ-NT 4.0 в ту же степь...

12.01.2017 07:05

to oko
Win 7 pro 64

17.01.2017 11:49

Всем привет.
Коллеги, кому-нибудь удалось решить проблему печати в MS Word 2007 в DLL80-C (сборка 347.4) в сессии отличной от "0" (ОС Windows 7 Pro) ?
Проблема на каждом АРМ в связке: DLL80-C (сборка 347.4)–MS Word 2007–Windows 7 Pro.
Выдает ошибку "Печать невозможна из-за неверной настройки текущего принтера".
После анализа журнала ресурсов видно, что при пуске на печать система пытается записать файлы (например, ne00, ne01...) в директорию \Windows\System32, и конечно же, СЗИ этого делать не дает в сессиях больше "0".

19.01.2017 12:20

to Human
Я в данном случае просто ставил этим файлам максимальный гриф из которого нужно печатать, например 1. Правда у меня доходило только до Ne01.
У коллеги доходило до Ne20 что ли и он всем им назначал нужный уровень.
Насколько я понял это вроде как номер виртуального порта принтера но от чего этот номер зависит неясно.

19.01.2017 13:09

to Несс
В принципе, как вариант. Но это уже "костыль".
Вообще, непонятно откуда проблема... В ранних сборках такой проблемы нет. Да и в последней сборке проблема исчезает, начиная с MS Office 2010...
На днях столкнулся с еще одной проблемой сборки 347.4. Не сканирует документы из-под пользователей даже под уровнем "0" с помощью ПО для МФУ. Проблема оказалась в папке Temp профиля пользователей. Но проблема не типична: если папку Temp делать разделяемой, то не сканирует в сессии "0". Если убрать разделяемость папки Temp, то начинает нормально сканировать в сессии "0" с соответсвующими последствиями для уровней выше "0" . Проблему решить пока не удалось.

Прошел месяц

16.02.2017 22:17

to Hecc
to Human
Как я понял из поведения АРМ и ответов техподдержки, эта ошибка возникает, когда на свежеустановленном далласе из-под пользователя первая печать производится в сессии отличной от 0. Сталкивался пару раз с такой проблемой. Один раз решилась перестановкой винды и всего остального, второй заменой принтера (спасибо запасливому заказчику)

16.02.2017 22:52

to Sergey
Интересное замечание. Могу точно сказать что на том АРМе первая печать проходила в сессии выше 0. То бишь если удалить драйвер и принтер из системы под чистую, затем все заново установить и произвести печать сначала в нулевой сессии, то теоретически должно все работать?

17.02.2017 01:01

Правила "хорошего тона" при настройке любой СЗИ НСД - провести под каждой учетной записью пользователей все необходимые операции (с тестовыми данными) ДО установки СЗИ НСД. Т.е. запуск всех приложений, сохранение, сканирование, вывод на печать и т.д.
Далее установить тот же DL. Поставить нужным каталогам флаг "разделяемая папка" с грифом "Общедоступно" ("0 уровень", ага). Установить грифы конфиденциальности на каталоги, в которых пользователи будут хранить конфиденциальную инфу. Донастроить остальные параметры СЗИ. Перезагрузиться и последовательно под 1-2 пользователями проверить работоспособность вначале в "0" сессии, затем в "1", затем во "2" и т.д.
С принтерами может случиться беда из-за специфики работы их драйверов или, скорее всего, дополнительного ПО. Которое, как в случае с HP, любит спамить темповыми файлами во все возможные места (а также лезть куда-нибудь по сети, ага). В таком случае лучший выход - средствами Win сделать для каждого пользователя (в настройках профиля) перенаправление временных сред в каталог C:\Windows\Temp, которому потом назначить "0 уровень" и метку "разделяемая папка" (предварительно его очистив). Метод далеко не безопасный (в глобальном смысле), но зачастую действенный. Применять советую в случае крайней необходимости (когда другие варианты не помогают)...

Прошла пара недель

03.03.2017 09:18

Здравствуйте, с чем может быть связана ошибка установки драйверов системы защиты на Windows Server 2008? Получилось так, что установка была начата из под учетной записи, не являющейся администратором компьютера, это могло как-то повлиять? На виртуальной машине с такой же системой эту ошибку воспроизвести не удалось.
Версия далласа - 8.0К

Прошла пара недель

16.03.2017 23:44

Друзья, подскажите,есть ли решение по Finereader и DL 8.0 сборки 347.4?
Пробовал 10 и 11 версию, ни одна не работает, либо ошибки, либо когда, как я полагаю, нужную папку делаю разделяемой, то пользователь не может войти в конфиденциальную сессию-идет инициализация до бесконечности.

17.03.2017 08:16

Коллеги, добрый день! Вопрос о работе Adobe Acrobat Reader X на АРМе с установленным Dallas Lock 8C (актуальная сборка).
Подскажите, пожалуйста, какие папки должны быть разделяемыми для работы пользователя с Reader под мандатами выше нулевого. Настройка для MS Office и др. программ (по разделяемым папкам) выполнена, а Reader не работает, поэтому применять типовые шаблоны не хочется, иначе потеряются все наши настройки и их нужно будет вводить вручную.

17.03.2017 11:17

для Александр, Электромера | 69727
Я так и не понял причины, почему вы не хотите применить типовые шаблоны.
А так: ставьте аудит отказов на системный диск. Заходите под пользователем и проводите необходимые операции. Потом под админом смотрите журнал событий...

17.03.2017 11:52

Уточните, пожалуйста, если я загружу типовой шаблон для Adobe Acrobat Reader, то все остальные настройки и все остальные разделяемые папки у меня пропадут? Или новый шаблон просто добавится к остальным?

17.03.2017 12:22

Александр, Электромера | 69731
Новый шаблон просто добавится. Старые настройки останутся.

17.03.2017 18:13

Вообще, если порыться на лицензионном диске DL 8.0-c образца конца 2016 года, то можно увидеть на нем сборку 374.19, в которой устранено много багов. Но остается вопрос в правомерности применения этой сборки.

19.03.2017 00:32

Коллеги, еще вопрос - касается CD/DVD. Имеем Windows 7 64 бит, DL 8, запись осуществляется штатными средствами операционной системы.
Использую режим записи - Как флеш-накопитель USB (установлен по умолчанию).
Возникла (только сейчас) задача записывать пользователями на диски результаты работы под мандатом 1 и выше. У пользователей разрешение есть, но обратил внимание, что диски ("болванки") нужно предварительно зарегистрировать в DL. И сделать это может только администратор безопасности. Это действительно так? Тогда получается, что нужно предварительно зарегистрировать "болванки" для разных мандатов, их хранить как учтенные и выдавать для записи.

19.03.2017 09:06

Александр, да, это действительно так. Имел на эту тему разговор с техподдержкой.

20.03.2017 10:19

для Александр, Электромера | 69754
Болванки регистрировать в DL не нужно .
У вас, скорее всего, возникла проблема форматирования новой болванки (в режиме флеш-накопителя) под уровнем "1" и выше. Это решается просто: нужно предварительно отформатировать болванку под админом либо под пользователем под уровнем "0". А потом уж записывайте штатными средствами под уровнем "1" и выше.

20.03.2017 10:52

Всем привет.
Недавно устроился в огв и тут начал смотреть что есть и чего нету. На первый взгляд все нормально, но зашел и посмотрел сборку DL 8,0-C и ужаснулся. Там стоит сборка 2013 года.
Как грамотно обновить сборку DL?
Где нибудь в документах необходимо отмечать что обновили сборку сзи?

20.03.2017 12:33

to Спец
Запрос в Конфидент - высылают дистрибутив (можно их задолбать просьбами, даже если закончилась техподдержка - обязаны). Либо пошлют скачать исправленный дистрибутив с сайта, снять контрольные суммы и позже пришлют формуляр.
Отметка делается в старом формуляре, если обновили дистрибутив без участия Конфидента (т.е. без получения нового формуляра - так тоже допускается, но это палка о двух концах с позиции регулятора).
Затем акт обновления СЗИ на всех аттестованных/защищенных объектах. В произвольной форме. И номер/дата Акта вносится в Тех.Паспорта аттестованных объектов в графе "Лист регистрации изменений". Затем хорошо бы еще офиц.письмо в орган по аттестации отправить, дескать, произвели обновление СЗИ на таких-то объектах по причине устранения выявленной уязвимости.
to Александр
Не используйте механизм записи болванок в Windows. Он кривой сам по себе. Установите отдельный софт (Nero, CDBurnerXP, InfraRecoder), перенаправьте его конфигурации в C:\Windows\Temp для каждого пользователя, поставьте этому Temp гриф "Открытые данные - разделяемая папка" и убедитесь, что в Windows (в реестре или gpedit.msc) пользователям вообще разрешен доступ на запись CD/DVD. Profit!

20.03.2017 17:09

to oko
Данную возможность - записи на обычную болванку пользователем - убрали начиная со сборки 281. Причем, любым софтом. Говорят, что так все и задумано, и что предотвратили утечку информации и нужно форматировать-регистрировать болванку.

20.03.2017 19:30

to Vosiley, oko
Коллеги! Спасибо за помощь, но все очень странно работает и вопросов еще больше появилось.
Последовательность действий. Диск CD-R инициализирую (форматирую) в режиме USB в режиме администратора безопасности.
Регистрирую диск в DL, указываю по дискр.доступу - всем все можно, по мандатному - 1 (то есть ДСП).
Вхожу в систему под пользователем, под мандатом "1" делаю запись. Потом повторно вхожу под тем же пользователем, но уже запись не выполняется, требуются права администратора. Повторно этот диск регистрирую в DL под администратором, потом пользователь может на него записывать еще файлы.
А несколько дисков удалось инициализировать (форматировать в режиме USB-флешки) из под пользователя под мандатом!
Системы не нашел.
И еще вопрос - если я имею заранее отформатированные и зарегистрированные на одном АРМе болванки CD-R, то подойдут ли они для работы на другом АРМе? Там их нужно будет тоже регистрировать?
Как все это организационно оформить? Я ведь не знаю - на каком из АРМов нужно будет сегодня делать запись, а администратора может на месте и не быть. Сделать пару десятков болванок - но как потом разбираться - на каком из АРМов они были использованы и переданы с сопроводом на сторону, а на каком нет.

20.03.2017 23:09

to Александр
Во-первых, если речь о ГТ (вырезано а если не о ГТ, то зачем тогда Даллас? :) вырезано), то:
1. Финализируйте CD после первой же записи. Использовать его без финализации и тем более в режиме flash - моветон. К тому же далеко не безопасный (особенно относительно тех, кому такой CD будет передан с сопроводом). Вы же при передаче, небось, считаете КС или размер диска в байтах? То-то и оно...
2. Используйте все-таки сторонний "резак дисков". Нативные функции в Windows - еще тот геморрой с точки зрения эксплуатации под СЗИ НСД (SecretNet не предлагать - imho, это не средство, а "визуализация" защиты).
3. Либо запись CD идет под контролем администратора (ибо внутренний нарушитель, ибо CD может быть записан на закрытом АРМ с целью выноса информации на любые другие АРМ), либо пользователем под роспись в журнале регистрации в соответствующей службе/органе (том же РСП). При этом в первом случае вопросов никаких. Во втором - на каждом АРМ нужно предусмотреть собственный набор зарегистрированных CD. И журнал (один на все АРМ). И обязательность росписи сотрудника при получении CD в таком журнале.
в сторону хоть убей, не помню, чтобы в Далласе 8.0 надо было регистрировать CD. Впрочем, как flash никогда их не форматировал по вышеуказанным причинам...

Прошло около недели

30.03.2017 11:23

to Vosiley
А это точно, что запись для юзеров убрали? я просто второй день уже пытаюсь эту запись настроить(
под админом вопросов нет. под юзером в 0 уровне вопросов нет.
чуть другой уровень, какими бы прогами не пробовал, везде ошибка. ашампу выдает запись невозможна.
винда говорит что ошиблась. смолл сд вритер просто висит на 0%..
То есть запись под уровнем отличным от 0, возможна только админом?

30.03.2017 12:08

Да глупости это все, что запись убрали. Для нативных средств Windows, возможно. Юзайте InfraRecoder, в настройках которого для каждого юзера пропишите временный каталог хранения данных как C:\Windows\Temp и поставьте на этот каталог средствами DL8.0-C гриф "Общедоступно"-"Разделяемая папка". Profit!
Лично проверял на последней "неуязвимой" сборке - все работает. Не нужно ни болванку регистрировать, ни иным геморроем заниматься. Конечно, это менее безопасно. чем админ, который каждый диск учитывает в СЗИ НСД. С другой стороны, и при таком подходе вероятность утечки информации сохраняется (ежели инсайдер нацелился инфу вытащить, он ее на зарегистрированную болванку накатает, которую потом "тихо-мирно" воткнет в стороннюю рабочую станцию - и дело в шляпе).

03.04.2017 15:24

Вот иногда мне нравится DL8, иногда так с него материться хочется...
В особенности это касается подсистемы печати. Проблема в следующем: при отправке на печать, принтер может начать печатать через 1 минуту, через 5 минут, через 35 минут, через час после отправки или не начать печатать вовсе. При этом это больше касается именно маленьких документов. Теневое копирование отключено, штамп отключен. Office2010, Win7Pro.
Да, установить DL с установленным DrWeb 11 возможным не оказалось. Веб категорически не желал отключать мониторинг слежения за системой и героически блокировал все попытки СЗИ прописаться в загрузчик.

03.04.2017 18:37

to Strangern, vektor
Да, запись для юзеров убрали для незарегистрированных болванок CD под любым мандатом, большим нуля.
Поэтому мы для каждого АРМа подготовили болванки, учли их, зарегистрировали в DL.

04.04.2017 09:59

для Александр | 70453
Уже не первый раз такое вижу на форуме. Откуда эта информация по поводу записи только для зарегистрированных средствами DL80C CD-дисков? какая сборка DL?
У меня на машинах с DL80C (сборка 347.4) диски записываются средствами Windows под любым уровнем сессии, при условии, что CD-болванка изначально отформатированна под уровнем "0" (речь идет о режиме записи на CD как флеш-накопитель).

04.04.2017 17:12

to Human
Информация такая от техподдержки по телефону.
Если под любым уровнем записывается CD, значит, мандатный режим не настроен либо СЗИ не активно.
Не совсем понятно, что значит CD отформатирован под уровнем "0", сам по себе компакт-диск мандатной информации не несет.

04.04.2017 17:13

Информация от техподдержки, попробуйте позвонить в Конфидент, может, еще что-то скажут интересного.

04.04.2017 17:14

to Strangern
Дико извиняюсь, скопировал Ваш ник в поле "Автор"

04.04.2017 18:11

для Vosiley | 70493
"Если под любым уровнем записывается CD, значит, мандатный режим не настроен либо СЗИ не активно"
Да неужели? Вы очень ошибаетесь.
"Не совсем понятно, что значит CD отформатирован под уровнем "0", сам по себе компакт-диск мандатной информации не несет."
А вы возьмите чистый (читайте "новый") CD-диск и запустите его в среде Windows 7. Система предложит 2 варианта записи диска. Один из них "запись как флеш-накопитель USB". И чтоб записывать этим способом, CD-диск форматируется (единожды при первом запуске). А потом уж можно производить запись данных на диск.
И вот, как раз, это форматирование не проходит должным образом под уровнем большем чем "0".
Так что , прежде чем утверждать, что СЗИ не активно или мандатный режим не настроен, попробуйте сначала проделать то, что я описал выше.

04.04.2017 21:32

По поводу записи на диск.
С XP еще веселее, правда рецепт был уже выдан.
Если мы имеем новый диск, то в сессии 0 мы должны записать на него (в XP мы можем записать только в режиме CD) любой файл (пустой) для инициализации диска. После этого зарегистрировать диск в DL, установить ему мандатный уровень, и только после этого можем записать на него какую либо информацию выше "0".
И да, странно, если DL позволяет вам, используя виндовую функцию записи дисков, записывать данные выше 0 без регистрации диска и назначении ему грифа.
PS. Диски - зло. Записали диск (Win 8.1, DL). Открываем на другом компьютере (Win 8.1, SN) - нет информации на диске. Открываем на другом компьютере (WIn7, SN) - данные в полном порядке.
Записываю другой диск. WIn 8.1, без СЗИ. Открываю на Win 8.1, SN - нет половины записанных данных. Открываю на ПЭВМ WIn7, SN - вообще нет данных. Открываю на ПЭВМ WinXP, SN - все в порядке. Система абсолютно случайна.
PSS. DL выдал вчера. Для ускорения процесса печати выставил ему "печатать сразу на принтер". Зря. Он на каждом последующем листе печатал все листы раздела, причем выборочно строчки. Иногда мог не печатать строчку, иногда мог вместо наложения строчки на задний план отправить ее на передний, и добавить функцию непрозрачности... 75 листов в брак и час работы по выявлению, что же послужило причиной этого (проявилось не сразу).

04.04.2017 23:25

to Yerdan
Сдается мне, что причина бед с CD в разной скорости чтения/записи у резаков под проверенными АРМ. Средства защиты не при чем (вам оно понятно, мне оно понятно, но, думаю, надо тут акцентировать внимание, чтобы больше никто не думал плохого про СЗИ НСД).
Завтра буду ковырять DL8.0-С+Win7x64+DrWebX+какой-то-очень-хитрый-принтер. Отпишусь по результатам. Пока симптомы дикие: в сессии выше "0" печать под пользователем невозможна ("неверная настройка принтера"), хотя конфиг 300 раз проверенный на других АРМ (ну, не 300, но раз 100 точно).
У DL очень кривой обработчик печати. Надо бы сравнить с прошлой "уязвимой" версией. Возможно, всему виной пресловутое обновление, устраняющее уязвимости. Возможно, первичная идея делать драйвер-перехватчик. Я с другого балдею - знают же, что поголовно никто не использует функцию маркировки документов (про параноиков, закрытые институты и проч. узкие места не говорю). Но все-равно делают. Ибо требования сертификации. Которые устарели в части РСБ уже много лет назад...
to Human
Уже писал про режим "Как флеш-накопитель". Это зло, добавленное с Win7 и порочащее саму идею безопасного хранения/передачи данных на CD/DVD. А DL поступает тупо. Файловая система не в режиме Mastered? Значит, перезаписываемый носитель. Значит, нужен серийный номер (причем DL и с CD, и с обычными Flash назначает его самостоятельно на основе информации по форматированию, что не есть гуд). Значит, вначале регистрируем, а потом уже пользуемся.
Правильный вывод - это запрет сторонних ФС, разрешение Mastered и использование спец.ПО для записи CD/DVD. В противном случае будут проблемы либо с СЗИ НСД, либо с чтением записанной информации (за счет типизации режимов и скорости прожига - привет тов. Yerdan!), либо с Виндовыми багами. + такой носитель можно будет перезаписать, что в случае с архивной копией или сопроводительным документом, зачастую, подобно смерти...

05.04.2017 11:29

to Yerdan
С коллегами разобрались со связкой (как и обещал) "DL8.0-С+Win7x64+DrWebX+какой-то-очень-хитрый-принтер". Косяк в сборке. Заказали последнюю версию у Конфидента - все заработало. Включая Dr.Web X (его устанавливали последним).

05.04.2017 14:57

Для oko | 70539
"Заказали последнюю версию у Конфидента - все заработало. Включая Dr.Web X (его устанавливали последним)."
Последняя версия - это сборка 347.20 ?
А вы ее поставили только в качестве эксперимента или аттестовали/собираетесь аттестовать АС с этой сборкой?
А какие у вас обычно проблемы с DL80C в связке с Dr. Web X? Просто у нас обычно проблемы не связаны с САВЗ.

05.04.2017 16:49

to Human
1. Она самая, 347.20.
2. Эксперимент дабы узнать, что работать будет. Дальше - дело заказчика, как он будет вопрос с Конфидентом решать.
3. С Dr.WebX обычно проблемы доступа к Word (остальное ПО из пакета Office при этом работает), а иногда и полный останов системы. Помогает установка Dr.Web после DL, что, в сущности, неверно. И не всегда помогает. Остальное уже рассказывал на форуме в этой же теме страницы 3-4 назад.

06.04.2017 11:03

2 oko
>Помогает установка Dr.Web после DL, что, в сущности, неверно.
Не знаю насколько неверно, но знаю, что лично у меня попытка установить DL на машину, где уже стоит DrWeb 11, не удалась от слова совсем. Этот антивирус категорически не хотел снимать защиту системы, и даже в полностью деактивированном состоянии не давал подменить загрузчик винды.

06.04.2017 12:19

to Yerdan
А вы DL с режимом доверенной загрузки ставили? Просто обычно при установке DL только службы и драйверы прописывает, но в загрузчик не лезет.
К тому же есть принципиальная разница между Dr.Web 11 и сертифицированным комплектом Dr.Web ESS 10. 10 версия ставится и до, и после. Но "до" редко нормально работает, вернее мешает работе других приложений. Причем версия ОС не важна, как показывает практика.

06.04.2017 12:47

для oko
"Помогает установка Dr.Web после DL, что, в сущности, неверно"
Почему неверно, если не секрет?
А вы при установке сертиф. Dr.Web X ставите брендмауэр или нет?
Вот, например, у сертифицированного KES 10 (MR2) в формуляре сказано , что при инсталяции программного изделия нужно выбирать "Стандартная установка". В Dr Web 10 такого не припомню..

06.04.2017 14:41

to Human
1. Неверно, поскольку СЗИ НСД должно "покрывать" остальное ПО на машине. В противном случае, при установке чего-либо "после" СЗИ НСД, его стабильность и целостность гарантировать нельзя. Расписывать долго, уж поверьте на слово...
2. Причем тут брандмауэр? Dr.Web X "до" DL8.0-C можно ставить в любом варианте исполнения (брандмауэр вообще обычно не использую, нет от него ни толка, ни сертификата). Хоть просто антивирус+ядро+модуль обновления. Но это ничего не дает - все равно вероятность ошибки в дальнейшем много больше 0. Проверено не один раз.

07.04.2017 10:46

Уважаемые коллеги, подскажите, пожалуйста, новичку. Как передать вход только СЗД ДЛ (8.0-С), при этом без дальнейшего входа в систему посредством Win (Win 7 Max). Установлена плата без считывателя

14.04.2017 09:02

Jen, не совсем уловил суть, но если хотите чтобы система с винчестера не стартовала, то в биосе отключите загрузку с hdd/
если нужно чтобы система не логинилась автоматом, то в политиках безопасности включите необходимость нажатия ctrl alt del перед логином.

14.04.2017 14:15

Jen | 70672
Прочитать руководство по эксплуатации СДЗ Dallas Lock, там все написано и показано.

Прошла пара недель

04.05.2017 20:26

Доброго времени! Обновились DL 8.0-С до версии 8.0.347.20 :
1. На ПЭВМ с ОС 7 Pro 64 - MSO 2010 приложение Word не запускалось (Exel - нормально) под сессией выше 0 даже под администратором при правильных всех настройках разделяемых папок. Антивирус стоит DR WEB 10. Подскажите куда рыть?
2. На ПЭВМ с XP MSO 2007 Стандартный такой же глюк приложение WORD не стартует начинает перенастраиваться и виснет под сессией выше 0 под всеми пользователями и администратором при всех настройках разделяемых папок.Подскажите кто сталкивался.

04.05.2017 22:28

to Герман Петрович
Воспользуйтесь (хоть раз) поиском по форуму. Эта проблема (MS Office + DrWeb 10 + DL8.0-C) уже обсуждалась. Иногда бывает, иногда нет. Корреляцию установить не удалось. От себя советую:
- либо сменить Офис (например, перейти на LibreOffice);
- либо сменить антивирус (например, на Kaspersky Endpoint Security 10);
- либо сменить СЗИ НСД (например, на СТРАЖ, Аккорд, SN7 и т.п.);
- либо (лучший вариант) задолбать, наконец, Конфидент и DrWeb письмами, чтобы эти черти договорились между собой и выпустили, наконец, сборки, не конфликтующие друг с другом (наша контора уже отправила, но, однозначно, нужно больше давления от потребителей этой продукции).
imho, подозреваю, что идет конфликт драйверов контроля спулера печати Windows (и в DL, и в DrWeb такой драйвер неотделим от сборки). Ради интереса попробуйте что-нибудь распечатать в 0 сессии из-под того же Администратора в приложении Excel. У меня лично ни разу (когда шел "косяк" Word аналогично вашему случаю) печать из-под Excel не проходила тоже...

05.05.2017 13:23

To oko
Обратился в Тех поддержку ждемс....

Прошла пара недель

19.05.2017 16:54

Подскажите пожалуйста, что дает выбор типа учетной записи(внутренний, внешний, системный и т.д.) при ее создании ?

24.05.2017 16:05

Здравствуйте, на Windows Server 2008 R2 Server Standard стоит Dallas Lock 8.0-C, программа дала сбой, при загрузке появляется оболочка далласа, блокирует ос, обходными путями открыл панель управления и через "Программы и компоненты" удалил DL, вышло сообщение что нужно перезагрузиться, после перезагрузки появляется снова та же оболочка далласа, в панели управления -> "Программы и компоненты" далласа нет, папка на диске С осталась, что можно сделать, чтобы снять блокировку?

24.05.2017 17:35

to Artem
Грузитесь с диска Далласа... А дальше либо методом тыка разберетесь (там все понятно), либо читайте мануал по аварийному снятию системы защиты...

24.05.2017 17:56

to Anton
Добавление реквизита “тип учетной записи”(внутренний пользователь, внешний пользователь, системная, приложение, гостевая (анонимная), временная и др.) является согласно методическому документу "Меры защиты информации в ГИС" усилением требования УПД.1 приказа №17 ФСТЭК.

Прошло несколько недель

16.06.2017 12:43

Есть терминальный сервер. На нем ДЛ. К нему соответственно по рдп подключаются клиенты. До установки ДЛ достаточно было ввести логин\пароль в настройках рдп подключения - и сразу попадали на рабочий стол сервера. После установки - еще раз нужно вводить тот же логин\пароль в окне ДЛ...
Есть способ, чтобы ДЛ "подхватывал" сведения от рдп клиента о логин\пароль (на клиентах ДЛ не установлен)?

16.06.2017 15:12

to Андрей
У DL-8 свой механизм ИАФ, так что вначале ИАФ средствами Win, затем повторная средствами DL-8. Вариантов два:
- использовать аппаратные идентификаторы - тогда DL автоматически "подхватит" учетку пользователя, но пароль все равно придется вводить повторно;
- в настройках RDP-подключения 1 раз под нужным пользователем авторизоваться с сохранением пароля - тогда ИАФ средствами Win будет схватывать без уведомлений, а вот ИАФ средствами DL все равно запросит имя и пароль пользователя.
Можно вообще создать фейковую учетку средствами Win, но не регистрировать ее в DL. Этой учетке не менять пароль, но использовать для автоматической ИАФ средствами Win в настройках RDP-подключения. А уже реальную ИАФ проводить в терминальной среде средствами DL-8.

Прошла пара недель

29.06.2017 18:52

Коллеги! Возник вопрос с функционированием ПО "Delphi 10.1 Berlin Professional" (Embarcadero) на АРМе с DL-8C. Проблема в том, что Delphi отказывается работать под любым мандатом, выше нулевого.
Похоже, что механизм разделяемых папок в профиле пользователя я настроил, но Delphi все равно отказывается запускаться - ошибка доступа. Если включить режим обучения, то все работает.
После выключения "режима обучения" в окне "Контроль ресурсов" DL видно, что прописан дискреционный доступ ко многим каталогам (в т.ч. в ProgramData, Program Files, то есть понятно, что программа читает/пишет), но Delphi по прежнему не работает под любым мандатом >0. Проблема, похоже, именно в мандатном доступе, а обучающий режим мандатный доступ не настраивает. Хотя почему в обучающем режиме все работает?
Кто либо сталкивался с данной проблемой? Просьба подсказать, спасибо!!

29.06.2017 22:38

Ищите, в какие каталоги пишет сей софт при повышении мандатной метки сессии. Включайте обучающий режим, проводите операции и потом, под администратором, читайте журнал. Все ошибки доступа - ваши. Думайте, какие ресурсы надо сделать разделяемыми, а какие - не нужный мусор. Иного способа нет...
И, кстати, да. Механизм разделяемых папок - не панацея. Т.е. есть шанс !=0, что все равно это все не заработает...

Прошло около недели

07.07.2017 11:09

Всем доброго дня (и хорошей погоды).
Два вопроса.
1) Кому-нибудь удалось подружить DL8 и FR11? А то нашим конструкторам слишком лень перенабирать от руки 1000 листов документации... А как только настраиваешь разделяемую папку Temp - FR отказывается работать даже под 0 сессией. Почему-то он резко разучивается перемещать файлы.
2) В системе с установленным DL очень долгий вывод информации на принтер. Может до получаса крутить документ в своих недрах, прежде чем отправит его на печать. Замечено, что после перезагрузки некоторое время все работает на порядок быстрее. Попытки разобраться в причинах ничего не дали. Теневого копирования нет, штампа нет.

07.07.2017 12:47

to Yerdan
1. FR 11 вроде работает как надо. Вроде бы даже шаблон для него есть. Если машина с DL и FR попадется (и не забуду) - проверю. Тут другой вопрос: вы как СИРД такое рабочее место аттестовали или у вас электронные документы в растре поступают извне? А то "есть один нюанс" (с)
2. Под DL за все время практики (порядка 100 машин) ни разу проблем с долгим выводом на печать не наблюдалось. Были случаи, когда сканер в составе МФУ запрещаешь для сессий >0, тогда печать вообще могла не пройти. Но так, чтобы задержка... Не DrWeb 10 ли у вас используется совместно с DL? В такой связке (когда еще и MS Office по разрядности не совпадает с MS Windows) возможны любые накладки при печати документов, это да...
+ есть шанс, !=0, что идет клинч между драйвером печати DL и установленным драйвером принтера. На моей памяти было 2-3 раза. Но проблема решаемая долгим реконфигурированием DL по журналу событий (если только ОС не Win10)...

07.07.2017 16:06

2oko
1. Там, конечно, цепочка из нескольких систем, информация между которыми передается через аттестованные совместно с ними флешки, одна из систем СИРД, но что там за нюанс? Просто особое прочтение каких-то документов или где-то прямо что-то написано? А так, рабочее место с FR (точнее, где он должен стоять) не СИРД, но и сканера там пока нет.
Если шаблон DL не применять, то FR в 0 сессии работает нормально. Как только применяешь - все, даже в 0 не работает. Сборка та самая, с "заплаткой".
2. Я, конечно, грешу на принтер, но не полностью. В 7.7 так не тупило, а после установки 8.0 началась такая катавасия. Принтер там (точнее МФУ без сканера) - Kyocera 180. DrWeb 6.0, разрядность офиса и винды совпадает, правда, х64... И да, не Win10, как ее вообще можно на объектах использовать?

07.07.2017 17:10

<Там, конечно, цепочка из нескольких систем, информация между которыми передается через аттестованные совместно с ними флешки, одна из систем СИРД>
При таком подходе нюансов никаких (кроме общих, ага) :)
<Если шаблон DL не применять, то FR в 0 сессии работает нормально. Как только применяешь - все, даже в 0 не работает.>
А вот это странно. Попробую поковырять ради интереса, как доберусь до тестовой машины. В соседней ветке форума уже рассказывал про механизм "разделяемых папок" и особо "вредное" ППО на примере AutoCAD (). Возможно, с FR11 аналогичная ситуация...
<Принтер там (точнее МФУ без сканера) - Kyocera 180. DrWeb 6.0, разрядность офиса и винды совпадает, правда, х64>
Вот это все в совокупности может и шалить. Надо тестировать. Кстати, Dr.Web-то пора менять на 10 версию. С 6 уже сертификат заканчивается и не будет продлеваться. Да и по старым требованиям (без профилей АВЗ) выдан он...
<И да, не Win10, как ее вообще можно на объектах использовать>
Находятся чудаки. Каюсь, грешен, пришлось пару таких под аттестацию подвести. Поскольку формально запрета на нее нет, а заказчикам иногда "ну очень надо"...

07.07.2017 22:37

ПО поводу DL и FR делал запрос в конфидент полгода назад. Техподдержка сказала, что на данный момент не совместимы. Тестировал на версии с заплаткой. Убил на это два дня. Даже под суперадмином в нулевой сессии не работал. Методом проб и ошибок был результат работы в нулевой сессии, но не записал какие папки делал разделяемыми и не получилось повторить и в итоге забил) Пробовал разные FR кстати. А по поводу DrWeb10, 8 DL и office 13 мне на одном объекте помогла установка Dr.web 10 winspace с сертифицированного диска. С ним в сессии выше нуля работало. Когда ставил дистр не winspace-не работал word и установка совместимости с vista не помогала.
ПО поводу печати-сегодня ставил даллас и после него подключил и настроил мфу. в итоге в конфиденциальном режиме не печатало. Помогла только переустановка далласа, так и не понял в чем бага, тк настройки не менял.

08.07.2017 01:02

2hecc
Не работал под суперадмином? Это, честно говоря, фантастика. Под суперадмином DL сам не по себе не работает. Так что под суперадмином работает все и всегда. Кстати, FR прекрасно работает под суперадмином (а ему сессия вообще не важна, они на него не действуют).
Если я правильно понял исходя из логов и того, что я видел, то FR вначале записывает временный файл, полученный со сканера или из открытого документа в папку .../temp/finereader.11/temp, а затем переносит его оттуда в папку /temp/finereader.11, ля дальнейшей работы в FR (распознавания или что там надо). При этом в названии файла фигурируют {} скобки (хотя при открытии картинки, т.е. jpg, вроде не было, но все же ошибка была та же самая). Так вот, FR, из-за какой-то блокировки DL даже под 0 сессией не способен осуществить этот перенос. И, соответственно, не может открыть уже отсканированный файл.
PS.
Подскажите, где скачать официальный cuneiform. Сборки в нашем деле не устраивают.

08.07.2017 12:30

to Yerdan
Попробуйте поставить грифы "разделяемая папка" на все эти каталоги. Т.е. вначале до установки Далласа прогнать работу ФР под юзером, затем каждый каталог пометить "разделяемой папкой", начиная с наивысшего (иначе не примет). Не факт, но, возможно, поможет...
Cuneiform, походу, загнулся. Во всяком случае для Win. Нашел кучу форков и визуализаторов для Linux...
to hecc
Надо попробовать в следующий раз именно Dr.Web Security Space 10. Спасибо!
А бага у вас была в связи с клинчем драйвера МФУ и драйвера поддержки печати в Далласе. Т.е. драйвер МФУ перезаписал нужную Далласу область памяти (возможно, и библиотеки-перехватчики добавил свои). Как факт, всегда вначале ставьте весь нужный софт, а потом уже СЗИ НСД (касается не только Далласа)...

08.07.2017 13:17

to Yerdan
Шутки шутками, но даже под суперадмином не работал. Впрочем как и некоторые другие специальные программы. Но это при установке уже поверх далласа было. До далласа не пробовал, если честно. И проблема с word 2013 тоже под суперадмином возникает. Так что последняя практика показывает, что не все так однозначно. В совокупности в зависимости от версий OS+Office+антивирус+Dallas каких только баг не встречал, и у всех все по разному))
to oko
Да я знаю, что по хорошему надо даллас поверх всего ставить,и на новых машинах это не проблема реализовать.Но бывает, что уже на аттестованных машинах возникает необходимость добавить софт или поменять принтер или мфу. И вот тогда начинаются пляски...
Кстати, ТП говорит что новая сборка, которая совместима с 10 вебом уже проходит инспекционный контроль. Правда на мой запрос ее предоставить для теста, мне так ничего и не ответили.

08.07.2017 16:02

2oko
Не выходит каменный цветок с разделяемыми папками. Ставил, и в автоматическом, и в ручном режиме прописывал - не получается. Дело в том, что FR эти папки каждый раз удаляет и создает заново.

08.07.2017 16:15

to hecc
На уже аттестованных: сохраняете конфиг Далласа, удаляете его, ставите нужное ПО, натягиваете Даллас, применяете конфиг и донастраиваете установленное ПО. Шагов много, но это лучше, чем ловить баги. И потом, иным порядком вы явно нарушаете принцип эксплуатации СЗИ НСД. И в Далласе, и в Страже, и в Аккорде и т.п. везде явно указано, что ПО должно быть установлено, запущено и протестировано на работоспособность до установки СЗИ НСД...
to Yerdan
У вас проблемы с распознаванием PDF? И под меткой 0, и выше 0? А вам нужно в любых метках или только под 1 (2)? Если только под одной - готов поделиться "костылем". Только что протестировал схему - работает (правда, с FR12 ломаным, но, думаю, разницы не будет - да простит меня компания ABBYY за использование кряков для их софта, ага). Костыль, потому что это может создать проблему для другого "особенного софта". Типовой софт (архиваторы, PDF-читалки, Office) + FR12 в такой конфигурации работает. Что будет с AutoCAD, CorelDRAW и т.п. - не рискну предполагать - надо тестировать...
в сторону JPG, кстати, распознается и работает без проблем при любых мандатных сессиях. И тут, кстати, можно доковырять до новой уязвимости в Далласе (некорректно их драйвер считывания меток NTFS работает). Но мне лень...

08.07.2017 16:32

Собственно, для работы FR11-FR12 под какой-то 1 мандатной меткой надо:
1. Запустить FR до установки Далласа под нужным юзером. Остальной софт тоже, разумеется.
2. До установки Далласа в "переменных средах" (которые в доп.параметрах системы) сменить "%USERPROFILE%\AppData\Local\Temp" на "C:\Windows\Temp" и дать средствами Win доступ в этот каталог всем нужным юзерам "по максимуму". Вот один из аспектов "костыля", кстати, зато официальный - один из способов настройки SN в свое время был. Рассуждать о секьюрности такого способа не буду - сами все понимаете, думаю :)
3. Натянуть Даллас, перегрузиться и установить в его настройках:
- применить шаблоны для другого используемого ПО, исключая FR;
- "раздел.папка" на C:\Windows\Temp, дискр.доступ для нужных юзеров со всеми опциями КРОМЕ "выполнение вложенных объектов" (мы же за ЗПС, не так ли?)
- "раздел.папка" на C:\Users\имя_юзера\AppData\Local\Temp СНИМАЕМ! Вместо этого ставим мандатную метку, под которой должен работать FR;
- "раздел.папка" на C:\ProgramData\ABBYY\Finereader.00, дискр.доступ туда всем юзерам БЕЗ "выполнения вложенных объектов";
- "раздел.папка" на C:\Users\имя_юзера\Local\ABBYY\FineReader.00, дискр.доступ туда юзеру-владельцу каталога БЕЗ "выполнения вложенных объектов";
- в "Параметрах ФС по умолчанию" ставим всем юзерам полный доступ БЕЗ "выполнения вложенных объектов";
- на каталоги "C:\Windows", "C:\ProgramData", "C:\ProgramFiles(x86)" и аналогичный для x64 - ставим всем юзерам полный доступ С "выполнением вложенных объектов".
Profit!
Теперь из контекстного меню по любому PDF-файлу в нужной мандатной сессии корректно работает преобразование в Word. Для JPG-файлов теперь тоже работает только в избранной мандатной сессии. + у нас настроена какая-никакая ЗПС (в каталоги, где запуск разрешен, юзеров не пустит Win своими средствами, а из других каталогов запуск ПО запрещен).
ЗЫ Если всего этого не делать, а сделать только перенаправление в C:\Windows\Temp с "раздел.папкой" (или "раздел.папка" на Temp в профиле пользователя, как обычно делается для любого софта), то работать не будет. Прикол в том, что и в случае PDF, и в случае JPG FR создает в C:\Users\имя_юзера\AppData\Local\Temp\FineReader12.00\ те самые каталоги, о которых писал тов. Yerdan. Но при "раздел.папке" на этом "Temp" распознавание JPG-файлов почему-то проходит нормально в любой сессии, а распознавание PDF-файлов не проходит ни при каких условиях. В этом и углядывается косяк Далласа как СЗИ, и косяк ABBYY как разработчика - перенаправление временных сред, заданное в профилях пользователей (в моем примере, в C:\Windows\Temp) должно работать нативно для любого софта, однако ABBYY использует жесткие ссылки (впрочем, при ошибках доступа ругается на C:\Windows\Temp, хотя фактически создает недоступные каталоги все равно в профиле пользователя). Вот такие они, криворукие программисты...

08.07.2017 22:51

2oko
Спасибо за рецепт, попробую, хотя использовать ломаный софт в аттестованной системе...
И да:
1) увы, мне нужно работать минимум в 2 сессиях;
2) У меня и jpg не открывает. Пишет, что такого файла во временных каталогах нет. Хотя, разумеется, немного иначе, чем в случае с pdf;
3) восстановление настроек DL, увы, работает только в ТОЙ ЖЕ САМОЙ системе, где этот DLбыл перед этим установлен. Создать пользователей (даже не профили) эта функция не способна. Когда у тебя 5-10 пользователей - в принципе не слишком важно. Когда у тебя система заточена под 50-70 пользователей...
ЗЫ. А кто читал новый стандарт "специалист по ТЗИ"? Как вам тот факт, что администрирование СЗИ вменено НАЧАЛЬНИКУ ОТДЕЛА ТЗИ?

09.07.2017 13:34

to Yerdan
1. Для jpg - как указал, "раздел.папка" на ProgramData...
2. Восстановление настроек, рекомендованное тов. hecc, и будет в той же системе, так что проблем никаких...
3. В вашем случае софт может быть и с лицензией, не должно быть разницы (вероятность крайне мала, ага). Это у меня под рукой лицензии не оказалось...
4. Профиль настроенного юзера копируется к ненастроенным. Настройки Далласа тоже методом ctrl-c ctrl-v перебиваются. Время будет затрачено, конечно, но в разы меньше, чем при ручном режиме...
5. Стандарты в нашей стране зачастую "чтобы было", а вовсе не "обязательно к применению" (читай, уже не СССР)...

10.07.2017 10:29

to oko
Возьму на заметку, и спасибо за развернутое описание про FR. Надо будет потестить. Вообще всегда старался как можно меньше трогать без надобности и удалять СЗИ от НСД на аттестованных машинах. Только после того как несколько раз наткнулся на баги при обновлении далласа по коду техподдержки стал удалять и заново ставить новую сборку.

13.07.2017 17:40

Win7+Dr.Web6+DL8-С
Подскажите пожалуйста в чем могут быть причины:
- журнал входов, на одном АРМ отображает только вход в текущей сессии (без истории входов за предыдущие периоды), а на другом АРМ пишет ошибку получения журнала, некорректная дата или время (хотя файл журнала в папке DL существует и его размер растет, видимо записи добавляются).

Прошла пара недель

25.07.2017 07:00

Здравствуйте, вновь прошу совета, Windows Server 2008 R2 Server Standard + Dallas Lock 8.0-C, программа дала сбой, при загрузке появляется оболочка далласа, блокирует ОС. Был совет загружаться с диска Далласа, либо по мануалу аварийного снятия системы защиты. При загрузке с диска и выбора пункта "Аварийное восстановление DL 8.0" требуется указать путь к папке Windows, при указывании пути выходит сообщение, что путь не верный, либо DL не был установлен (Возможно потому, что DL был удален ранее). Далее прошелся по мануалу ручного отключения защиты (Переименование и копирование файлов в командной строке (некоторых файлов не было), отключение загрузчика, чистка реестра утилитой), ничего не помогло, так же загружается оболочка Далласа... Какие еще есть методы снятия защиты, или остаётся только переустановка Windows?

25.07.2017 12:46

to Artem
Если <путь не верный, либо DL не был установлен (Возможно потому, что DL был удален ранее)> и DL реально был ранее удален, а уже потом пытались его аварийно снять, то самый правильный выход - это переставить ОС и заново все накатить. Переустановка серверной системы, конечно, болезненный процесс, но альтернативы еще хуже...

28.07.2017 08:14

Доброе утро. Возникала ли у кого ошибка "ошибка при установке драйвера" при удаленной установке с помощью СБ клиентов новой сборки 8.0.436 на Win7. Как ее можно решить?

28.07.2017 16:41

to ГОСТ
Курите в сторону антивирусных средств, брандмауэеров, иных средств защиты (например, программ, поставляемых с материнской платой, которые накатили скопом вместе с драйверами), кривизны ОС (если она в активной эксплуатации уже 2-3 года - не удивительно). Скорее всего, речь о драйвере межсетевого экрана в составе Далласа и ему что-то мешает. Если же ничего из вышеперечисленного не мешает, то пишите в техподдержку Конфидента и сбрасывайте им лог установки.

02.08.2017 13:31

Если вдруг у кого такая же ошибка, то помогло отключение проверки цифровой подписи драйверов в Windows.

03.08.2017 05:40

Добрый день! Есть проблема после установки версии СЗИ Dallas lock - К 8.0.436. Не применяется конфигурация на сервере безопасности предварительно сохраненной конфигурации. Выдает ошибку "файл конфигурации не был применен (bad crc). Контрольные суммы скачанного дистрибутива с формуляром сверены. Кто-нибудь сталкивался с такой ошибкой? Что можно сделать?
Техподдержка без кода техподдержки не отвечает.

03.08.2017 12:26

to Баир
Bad crc - ошибка контрольного суммирования сохраненной конфигурации (в вашем случае). Либо файл конфигураций поврежден, либо 8.0.436 версия вообще не поддерживает формат конфигураций от предыдущих версий...
Как бы то ни было - настраивайте заново вручную. Оно, в целом, и правильно будет, чем старые конфигурации подтягивать пытаться...

04.08.2017 04:07

to oko
Спасибо за ответ. Конфиг свежий, от предыдущей версии 8.0.347.20. В нем настроено всего 20 машин. Так что вряд ли он поврежден, так как после неудачной установки новой версии, вернулся на старую. Конфиг применился. Больше похоже, на второй вариант,что очень расстраивает.

09.08.2017 12:54

Добрый день!
Установили локально на клиентской машине (АРМ-1) Dallas Lock 8.0-C (сборка 436) с модулями МЭ+СОВ.
После установки отключили временно межсетевой экран. Потом установили СБ на другой машине (АРМ-2) и ввели в домен безопасности АРМ-1. После этого на АРМ-1 пропал доступ в интернет. Через СБ пробовали отключить МЭ (до этого он был отключен локально на АРМ-1), но это не помогло. Интернет появляется только если включить неактивный режим на АРМ-1. Подскажите, что-нибудь еще кроме МЭ может блокировать доступ в интернет?

Прошло около недели

17.08.2017 10:40

BVLGARI men's watch personality - OCTO series of watches, heritage BVLGARI extraordinary Italian talent, to break the traditional barriers, bold and creative design, with exquisite geometric imagery to describe the time, the perfect fusion of quality and art, a model.

23.08.2017 08:07

Не могу установить Kaspersky Endpoint Sec. 10 c установленным Dallas Lock 8.0.223.0. Что делать?

23.08.2017 08:46

To lenur7, попробуйте сохранить конфигурацию, удалите DL, установите KES, установите DL и подцепите исходную конфигурацию

Прошла пара месяцев

19.10.2017 16:04

Здравствуйте, хотелось бы вернуться уже к не раз обсуждаемому в данной теме вопросу, а именно записи дисков пользователями при уровне мандатного доступа > "0". В свое время я обращался в тех.поддержку, где в принципе получил исчерпывающий ответ:
Для того чтобы производить запись CD-дисков стандартными средствами ОС в режиме выше "Открытые данные", должны быть выполнены следующие условия:
1. Запись должна осуществляться из папки, которая имеет мандатную метку.
2. Форматировать CD диск.
3. Необходимо назначить на CD диск куда будет производится запись, метку мандатного доступа, такую же как и у папки где лежат файлы для записи.
4. Сделать разделяемыми папки, для ОС Windows 7, 8, 8.1, 10:
C:\Users\<имя пользователя>\AppData\Local\Microsoft\Windows\Burn\Burn
C:\Users\<имя пользователя>\AppData\Local\Temp
Если Вы хотите вести запись с помощью сторонних программ, то разделяемые папки будут другими в зависимости от используемого для записи дисков ПО.
5. Также Необходимые пользователи должны быть добавлены в политику «Низкоуровневый доступ к диску» Dallas Lock.
6. Запись должна быть разрешена средствами ОС.
Из этого следует, что для записи дисков Администратору необходимо отформатировать диск и поставить на него мандатную метку. Форматирование стандартными средствами ОС под win7 приводит к тому, что диск работает как флеш-накопитель (так же можно выбрать в меню при попытке зайти на чистый диск).
И наконец вопрос, правильно ли, то что диск используется как флеш-накопитель? Ведь данные на нем можно изменить\дописать и т.д, в отличие от стандартного метода записи. Как вы записываете диски стандартными средствами ОС или сторонними программами? Спасибо.

19.10.2017 17:37

Для Несчастный администратор
Не вижу оснований для того, чтобы это было не правильно. Диск учитывается в системе, в прочем как и флешка, а также в журнале носителей. Это куда лучше, чем если бы было как раньше, когда можно было записывать все что хочешь, куда хочешь и как хочешь. Теперь за каждый нужно будте отчитаться. Как правило, на объектах всем настраиваю запись стандартными средствами, потому как так меньше возни. Будут интересны другие мнения на сей счет.

19.10.2017 21:32

в сторону форматируйте CD-диск не как флеш-накопитель, кто мешает? А цимес в старой как мир идее "финализации" диска. Чтобы на грифованный носитель, для которого и количество байт считать надо, ага, никакой другой враг (или дебил) не мог позже ничего нового дописать...

19.10.2017 23:41

to Oko
при форматировании CD не как флеш-накопителя запись стандартными средствами ОС не работает в сессии выше 0. И вообще соглашусь с тов. Hecc, что данный способ куда лучше. чем был ранее. Лишь для успокоения хотелось уточнить данный вопрос у гуру форума. Спасибо.

Прошла пара недель

08.11.2017 14:50

Добрый день.
Правильно ли я понимаю, при установленном средстве защиты Dallas Lock 8.0.347.4 программное обеспечение FineReader (любой версии) работать не будет? (На диске имеются шаблоны для данного ПО, но они не помогают).
Разбор ошибок их журнала ресурсов дал малый результат - C:\Users\user1\AppData\Local\Temp\Fine.SSR11\SSR...... - Нарушение совместного доступа.
Заранее, спасибо.

08.11.2017 15:29

to Александр
Поищите в этой же теме - можно заставить FR работать, но там есть сложности. Писал уже об этом страниц 3-4 назад...
to Несчастный администратор
Читайте новые требования, которые вместо СТР скоро вступят в силу, и думайте, что целесообразно, а что нет (в части "как флеш" и "не как флеш")...

Прошла пара недель

22.11.2017 11:38

Из недавнего общения с техподдержкой выяснил, что в Конфиденте спустя год так и не узнали о том, что с Finereader есть какие-то проблемы.

22.11.2017 17:16

to Vosiley
Все они знают, только не хотят палиться. Вы их еще про Dr.Web 10 спросите (понимаю, что боянЪ, но не мог не вспомнить, ага)...

22.11.2017 22:08

И про Касперского

22.11.2017 22:28

to sekira
А в связке с Каспером что не так? Пробовал сертиф.версии KAV6.0, KES8.0 и KES10.0 - никаких нареканий не было. Если, конечно, оставлять только файловый антивирус и мониторинг системы...


Просмотров темы: 84148

Copyright © 2004-2010, ООО "Гротек"

Rambler's Top100 Rambler's Top100


Поделись с друзьями



Рекомендуем посмотреть ещё:



Как установить на компьютер или ноутбук бесплатный антивирус 1с управление торговлей как сделать списание

Как сделать в антивирусе исключение для папки Как сделать в антивирусе исключение для папки Как сделать в антивирусе исключение для папки Как сделать в антивирусе исключение для папки Как сделать в антивирусе исключение для папки Как сделать в антивирусе исключение для папки Как сделать в антивирусе исключение для папки

ШОКИРУЮЩИЕ НОВОСТИ