Как отключить vipnet safeboot при загрузке windows

рабочая директория vipnet safeboot не найдена или повреждена. ошибка 09 Устанавливали win 7, после перезагрузки такое сообщение и дальше только перезагрузка. Можно ли как-то отключить проверку vipnet safeboot? В Биос не войти

13 часов назад, Seliest сказал:

Может быть подскажите тогда что делать если есть и флеш диск и диск для SafeBoot?

В документации на продукт сказано довольно чётко:

«Возможные неполадки и способы их устранения
По всем вопросам, связанным с неполадками и возникающими ошибками необходимо обращаться к уполномоченному администратору

Если Вы не являетесь этим самым уполномоченным администратором, то возможно в этот самым момент Вы нарушаете либо приказ начальства, либо распоряженние руководства, либо политику ИБ организации, со всеми вытекающими из этого последствиями.

 Но если Вы осознаете все риски и согласны их принять, то следующим действием должен быть запрос в ТП производителя за рекомендациями по устранению проблемы.

Как правило восстановление для подобных случаев выглядит следующим образом:

Для сохранения работоспособности SafeBoot, необходимо будет после установки ОС восстановить каталог EFIInfotecs и его содержимое на ESP разделе диска. Подразумевается, что Вы заблаговременно сделали диск аварийного восстановления для конкретного ПК, на котором переустанавливаете ОС.

Для этого рекомендуем действовать следующим образом:

 1. На отформатированный в fat32 USB-накопитель скопировать каталог EFIInfotecs и его содержимое;

 2. Выполнить переустановку ОС*;

 3. Подключить к платформе USB-накопитель (с сохраненным рабочим каталогом) и выполнить перезагрузку;

 4. Дождаться появления сообщения об отсутствии рабочего каталога. Согласиться с переопределением рабочего каталога;

 5. Загрузить ОС или Shell и скопировать каталог EFIInfotecs и его содержимое с USB-накопителя на ESP раздел диска.

 6. Отключить USB-накопитель;

 7. После перезагрузки повторить п.4.

*Перед началом установки ОС, установите в меню Параметры загрузки — «Использовать параметры загрузки BIOS«. В таком случае после аутентификации в SafeBoot управление будет передаваться загрузчику в соответствии с настройками в BIOS Setup.

Если диска аварийного восстановления нет, то действия будут немного посложнее:

В зависимости от свободного места в микросхеме BIOS, как правило, выполняются следующие варианты установки SafeBoot на платформу:
 1) В BIOS размещены все модули SafeBoot, на ESP разделе(системный раздел формата FAT32) диска находится рабочий каталог;
 2) В BIOS размещен базовый набор модулей SafeBoot + драйвер файловой системы, на ESP разделе диска находится рабочий каталог и остальные модули;
 3) В BIOS размещен базовый набор модулей SafeBoot, на ESP разделе диска находится рабочий каталог и остальные модули.
Для восстановления работоспособности SafeBoot, необходимо на ESP разделе диска восстановить рабочий каталог EFIInfotecs и его содержимое, согласно используемому варианту установки.
Какой вариант установки был выполнен на Вашей платформе известно только уполномоченному администратору, а это скорее всего не Вы,  поэтому по очереди необходимо пробовать все варианты до восстановления рабочего состояния SafeBoot.

Для варианта установки №1 порядок действий будет следующим:
1. На отформатированный в fat32 USB-накопитель сохранить в корневую директорию рабочий каталог EFIInfotecs и его содержимое (рекомендуем скопировать с диска из комплекта поставки, находится в каталоге Software). В каталоге EFIInfotecs должны присутствовать каталоги log , confdb , etalons и softtoken_pkcs11;
2. Подключить к платформе USB-накопитель (с сохраненным рабочим каталогом) и выполнить перезагрузку;
3. Дождаться появления сообщения об отсутствии рабочего каталога. Согласиться с переопределением рабочего каталога;
4. Загрузить ОС или Shell и скопировать каталог EFIInfotecs и его содержимое с USB-накопителя на ESP раздел диска. Или создать на жестком диске отдельный раздел FAT32 размером 100Мб и скопировать папку EFI с вложенной папкой Infotecs.
5. Отключить USB-накопитель;
6. После перезагрузки повторить п.3.

Для варианта установки №2 порядок действий аналогичный, но в рабочий каталог, в директорию Infotecs должны быть скопированы модули: ItAuth.efi, ItCheckHive.efi, ItCheckLog.efi, ItGraph.efi, ItGuardantIdDxe.efi, ItIntegrMgr.efi, ItJaCartaPkiDxe.efi, ItLdap.efi, ItNetCfg.efi, ItRecovery.efi, ItRutokenEcpDxe.efi, ItScAuth.efi, ItSettings.efi, ItUpdater.efi, SoftToken.efi, WinBootInfo.efi (находятся в архиве vipnet_safeboot-x64-r-ХХХХХХХХХХХ.zip из комплекта поставки, по адресу itinstallmodulesefi).

Для варианта установки №3 в рабочий каталог копируются модули аналогично варианту №2 и дополнительно модуль ExtNtfs.efi.

Приемы работы с удаленными системами через PowerShell

Я часто работаю с командами на удаленных системах через PowerShell как во время пентестов, так и при решении повседневных задач. Запуска удаленных команд происходит через протокол WinRM (Windows Remote Management), который, насколько мне известно, поддерживается в Windows Vista SP 1, Windows 7, Windows Server 2008 и Windows Server 2012.

image

Автор: Scott Sutherland

Я часто работаю с командами на удаленных системах через PowerShell как во время пентестов, так и при решении повседневных задач. Запуска удаленных команд происходит через протокол WinRM (Windows Remote Management), который, насколько мне известно, поддерживается в Windows Vista SP 1, Windows 7, Windows Server 2008 и Windows Server 2012.

Первоначальные настройки

Перед тем как начать работу с удаленной системой, необходимо выполнить настройку.

1. Запустите консоль PowerShell от имени администратора и выполните следующую команду:

Команда выше разрешает запуск команд на удаленных системах. Если у вас возникли проблемы, используйте команды ниже:

2. Убедитесь в том, что служба WinRM запускается автоматически.

# Устанавливаем нужный режим

Set-Service WinRM -StartMode Automatic

# Проверяем, что служба запущена

Get-WmiObject -Class win32_service | Where-Object

3. Устанавливаем у всех хостов статус «достоверный» (можно сделать позже).

# Доверяем всем хостам

Set-Item WSMan:localhostclienttrustedhosts -value *

# Проверяем настройку достоверных хостов

Примеры работы с удаленными системами

Перед ознакомлением с примерами рекомендую вам прочитать прекрасную статью, посвященную работе с удаленными командами в PowerShell.

Запуск одиночной команды на удаленной системе

Команда «Invoke-Command» предназначена для запуска команд на удаленных системах. Можно работать от имени текущего пользователя, либо использовать стороннюю учетную запись, если вы работаете в системе, которая не является частью домена:

Invoke-Command –ComputerName MyServer1 -ScriptBlock
Invoke-Command –ComputerName MyServer1 -Credentials demoserveradmin -ScriptBlock

Если установлен модуль для работы с ActiveDirectory, становится возможным запуск команд на множестве систем при помощи каналов (pipeline):

Иногда на удаленной системе требуется запустить скрипт, хранящийся локально:

Invoke-Command -ComputerName MyServer1 -FilePath C:pentestInvoke-Mimikatz.ps1
Invoke-Command -ComputerName MyServer1 -FilePath C:pentestInvoke-Mimikatz.ps1 -Credentials demoserveradmin

Если вы генерируете команды или функции динамически, которые затем передаются на удаленную систему можно использовать связку команд invoke-expression и invoke-command:

$MyCommand = «hostname»
$MyFunction = «function evil ;evil»
invoke-command -ComputerName MyServer1 -Credentials demoserveradmin -ScriptBlock
-ArgumentList $MyFunction

Организация интерактивной консоли на удаленной системе

Организовать интерактивную консоль в PowerShell на удаленной системе можно при помощи команды «Enter-PsSession» (немного похожа на SSH). Команда «Enter-PsSession» также запускается либо от имени текущего пользователя, либо при помощи альтернативной учетной записи:

Enter-PsSession –ComputerName server1.domain.com
Enter-PsSession –ComputerName server1.domain.com –Credentials domainserveradmin

Закрытие сессии выполняется при помощи команды «Exit-PsSession»:

Создание фоновых сессий

Еще одна полезная возможность позволяет создавать фоновые сессии (команда «New-PsSession»). Фоновые сессии могут оказаться полезны при запуске множества команд во множестве систем. Как и предыдущие команды, команда «New-PsSession» запускается от имени текущего пользователя, либо при помощи альтернативной учетной записи:

New-PSSession -ComputerName server1.domain.com
New-PSSession –ComputerName server1.domain.com –Credentials domainserveradmin

Если установлен модуль для работы с ActiveDirectory, становится возможным единовременное создание фоновых сессий для множества систем (этот трюк можно выполнить различными способами). Ниже показан пример создания фоновых сессий для всех систем, входящих в домен. В примере создание сессий происходит в системе, не входящей в домен, при помощи альтернативной учетной записи домена.

New-PSDrive -PSProvider ActiveDirectory -Name RemoteADS -Root »
» -Server a.b.c.d -credential domainuser
cd RemoteADS:
Get-ADComputer -Filter * -Properties name | select @>
| New-PSSession

Вывод перечня фоновых сессий

Как только создано несколько фоновых сессий, можно просмотреть их перечень при помощи команды «Get-PsSession».

Взаимодействие с фоновыми сессиями

Первое время у меня было ощущение схожее с тем, как я работал с сессиями в MetaSploit. Однако фоновые сессии в PowerShell чуть более стабильны. Ниже показан пример взаимодействия при помощи идентификатора сессии:

Enter-PsSession –id 3

Для выхода из сессии используйте команду «Exit-PsSession». Сессия перейдет обратно в фоновый режим.

Запуск команд через фоновые сессии

Если вы хотите выполнить команду во всех активных сессиях, используйте связку команд «Invoke-Command» и «Get-PsSession».

Invoke-Command -Session (Get-PSSession) -ScriptBlock

Удаление фоновых сессий

Для удаления всех активных сессий используйте команду «Disconnect-PsSession»

Удаленные команды в PowerShell открывают огромные возможности, как для администраторов, так и для пентестеров. Вне зависимости от ситуации, как вы будете работать с удаленными системами, все сводится к следующему:

Добавление, удаление и восстановление компонентов VipNet CSP

При необходимости вы можете установить или удалить компоненты СКЗИ ViPNet CSP, а также восстановить программу при обнаружении повреждений.

Перед добавлением, удалением и восстановлением компонентов рекомендуется создать точку восстановления системы.

Для установки, удаления компонентов или для восстановления программы ViPNet CSP выполните следующие действия:

1. Перейдите в меню Пуск → Все программы → VipNet → VipNet CSP и запустите файл Установка VipNet CSP (или повторно запустите установочный файл). Дождитесь завершения подготовки к установке компонентов VipNet CSP.

2. В окне Изменение установленных компонентов выберите нужный пункт:

  • для установки или удаления компонентов выберите Добавить или удалить компоненты;
  • для восстановления установленных компонентов программы выберите Восстановить;
  • для удаления всех компонентов программы выберите Удалить все компоненты.

Для того чтобы после завершения установки компьютер перезагрузился автоматически, установите флажок Автоматически перезагрузить компьютер после завершения. Затем нажмите кнопку Продолжить.

3. Если Вы устанавливаете или удаляете компоненты программы, на странице выбора компонентов укажите те, которые необходимо добавить или удалить. Затем нажмите кнопку Продолжить.

4. Дождитесь завершения процедуры.

5. Если ранее на странице Изменение установленных компонентов Вы установили флажок Автоматически перезагрузить компьютер после завершения, по окончании установки компьютер перезагрузится автоматически. В противном случае по окончании установки программа предложит перезагрузить компьютер. В окне сообщения о перезагрузке нажмите кнопку Да.

Обзор программного модуля доверенной загрузки уровня UEFI BIOS ViPNet SafeBoot

Аватар пользователя Роман Жуков

Мы протестировали ViPNet SafeBoot — сертифицированный ФСТЭК России программный модуль доверенной загрузки (МДЗ), устанавливаемый в UEFI BIOS различных производителей. Продукт предназначен для идентификации и аутентификации пользователей, разграничения доступа на основе ролей, а также организации доверенной загрузки операционной системы. В статье расскажем о системных требованиях и функциональных возможностях продукта, рассмотрим процесс инициализации и конфигурирования, а также поделимся результатами реального тестирования на двух операционных системах — Windows 10 и Ubuntu 17.

Сертификат AM Test Lab

Номер сертификата: 219

Дата выдачи: 19.03.2018

Срок действия: 19.03.2023

  1. 5.1. Раздел «Параметры загрузки операционной системы»
  2. 5.2. Раздел «Контроль целостности»
  3. 5.3. Раздел «Пользователи»
  4. 5.4. Раздел «Журнал событий»
  5. 5.5. Разделы «Другие настройки»

Введение

В ходе создания комплексных систем защиты информации на этапе проектирования и моделирования угроз безопасности обычно основное внимание уделяется таким типам атак и нарушений, как взлом сетевого периметра, вирусные заражения файлов, утечка информации, хакерские и DDoS-атаки. Соответственно, в первую очередь речь идет о применении традиционных средств защиты, таких как антивирус, комплексные решения обеспечения сетевой безопасности (UTM), средства контроля внутренних потоков. Однако любые, даже самые навороченные next-generation-решения могут спасовать, когда злоумышленник осуществляет заражение на уровне BIOS или просто запускает вредоносную программу в обход штатной загрузки операционной системы компьютера, ноутбука или сервера. В наше время, когда новости о выявлении уязвимостей на аппаратном и микропрограммном уровнях появляются с завидной регулярностью (достаточно вспомнить нашумевшую историю с meltdown и spectre, обнаруженных в процессорах Intel и ARM, которые позволяют получить несанкционированный доступ к особым областям памяти), угрозы, связанные с недоверенной загрузкой, становятся особенно актуальными. Стоит отметить, что отечественному рынку модулей доверенной загрузки уже более 20 лет, однако большинство распространенных решений имеют исключительно аппаратное исполнение, что накладывает разного рода ограничения по их использованию. В этой связи перспективным направлением развития продуктов данного класса является программное исполнение, позволяющее интегрироваться непосредственно в BIOS. Именно к такому классу решений и относится ViPNet SafeBoot производства ОАО «ИнфоТеКС», обзору которого и посвящена данная публикация. Компания ИнфоТеКС — отечественный разработчик и производитель программных и программно-аппаратных средств защиты информации, один из лидеров рынка информационной безопасности в стране. Продукты ИнфоТеКС регулярно проходят сертификацию в ФСБ России и ФСТЭК России, а также в отраслевых системах сертификации, а сама компания имеет все необходимые лицензии ФСБ России, ФСТЭК России и Министерства обороны России.

Системные требования к ViPNet SafeBoot и соответствие нормативным требованиям

Программный комплекс ViPNet SafeBoot не может быть установлен обычным пользователем, его необходимо инсталлировать непосредственно в BIOS с помощью специально подготовленных сервисных инженеров, в качестве которых готовы выступить и непосредственно сотрудники компании-производителя.

К компьютеру, предназначенному для установки ViPNet SafeBoot, предъявляются следующие требования:

  • процессор — X86-совместимый с поддержкой режима x86-64 (AMD64/Intel64), частота от 500 MГц, полный список поддерживаемых моделей процессоров приведен в документации на продукт;
  • материнская плата — практически любая, совместимая с процессором, BIOS которой соответствует спецификации UEFI версий: 2.3.1, 2.4, 2.5, 2.6;
  • видеокарта –– дискретная или встроенная;
  • оперативная память — объем не менее 1 Гбайт;
  • жесткий диск –– объем диска определяется требованиями установленной операционной системы.

Таким образом, ViPNet SafeBoot возможно установить практически на любой современный компьютер или сервер, при этом не нарушая аппаратную конфигурацию и без необходимости дополнительных вмешательств в операционную систему.

ViPNet SafeBoot сертифицирован ФСТЭК России на соответствие требованиям руководящих документов к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса, что позволяет легитимно использовать продукт для построения ИСПДн до УЗ1 включительно, ГИС до 1 класса защищенности включительно, АСУ ТП до 1 класса защищенности включительно. Применение ViPNet SafeBoot также обеспечивает выполнение соответствующего набора требований приказов ФСТЭК №17 по защите государственных информационных систем, №21 по защите информационных систем персональных данных, №31 по защите автоматизированных систем управления технологическим процессом.

Установка ViPNet SafeBoot и комплект поставки

Еще раз подчеркнем, что МДЗ ViPNet SafeBoot — не коробочный продукт, его установку в UEFI BIOS компьютера или сервера рекомендуется выполнять, обратившись непосредственно к производителю — ОАО «ИнфоТЕКС», инженеры которого готовы произвести указанные работы. Также установку могут произвести специалисты компаний-партнеров, которые активно набирают в свой штат таких специалистов. В комплект поставки ViPNet SafeBoot помимо самого модуля входят:

  • формуляр установленного образца с голограммой ФСТЭК России;
  • копия сертификата соответствия ФСТЭК России;
  • руководство пользователя и администратора в формате pdf.

Функциональные возможности ViPNet SafeBoot

С учетом современного ландшафта угроз информационной безопасности защита для компьютеров и серверов должна действовать с момента их включения, причем время до старта операционной системы является ключевым для доверия к информационной системе в целом. На самых ранних этапах загрузки существуют риски передачи управления нештатному загрузчику, эксплуатации вредоносного кода в BIOS, перехвата данных, отключения защитных механизмов. Все это может привести к обходу подключаемых позже средств защиты и краже данных. Защита от описанных выше угроз обеспечивается за счет следующих функциональных возможностей:

  • строгой двухфакторной аутентификации пользователя. Осуществляется с помощью токена с сертификатом формата x.509, пароля или их сочетания. Поддерживаются популярные аппаратные идентификаторы: JaCarta PKI, Rutoken ЭЦП, Rutoken ЭЦП 2.0, Rutoken Lite, Guardant ID;
  • реализации мандатной модели доступа с применением следующих ролей: пользователь, администратор, аудитор;
  • осуществления контроля целостности следующих компонентов: всех ключевых модулей UEFI BIOS, загрузочных секторов жесткого диска, таблиц ACPI, SMBIOS, карты распределения памяти, файлов на дисках с различными файловыми системами независимо от операционки (поддерживаются FAT32, NTFS, EXT2, EXT3, EXT4), ресурсов конфигурационного пространства PCI/PCe, CMOS (содержимого энергонезависимой памяти), завершенности транзакций в файловых системах NTFS, EXT3, EXT4;
  • ведения журнала событий безопасности — для удобства предусмотрены несколько режимов ведения журнала с разным уровнем детализации;
  • настройки шаблонов администрирования, МДЗ поддерживает импорт и экспорт конфигураций, что ускоряет процессы настройки;
  • реализации механизма самотестирования, МДЗ контролирует свое состояние и исключает возможность его обхода с целью несанкционированного доступа к системе, если его целостность нарушена;
  • поддержки обновлений — имеется возможность доверенного обновления МДЗ администратором системы по мере их выпуска производителем;
  • механизма запрета загрузки с внешних и нештатных носителей.

Учитывая богатый набор функций, встраивание модуля доверенной загрузки ViPNet SafeBoot непосредственно в BIOS позволяет повысить уровень доверия к системе за счет:

  • авторизации на уровне BIOS, до загрузки основных компонентов операционной системы;
  • контроля целостности BIOS, защищаемых компонентов операционной системы и аппаратного обеспечения;
  • блокировки загрузки нештатной копии операционной системы, в том числе при подмене загрузочного носителя.

Работа с продуктом ViPNet SafeBoot

Для тестирования функциональности ViPNet SafeBoot производитель предоставил нам образ с предустановленным МДЗ в BIOS виртуальной машины. Поскольку вендор заявляет поддержку любых операционных систем, мы решили проверить это утверждение на практике, установив по очереди Windows 10 и Ubuntu 17. Сразу отметим, что обе операционные системы установились корректно и работали в обычном для пользователей режиме без нареканий, однако в процессе установки пришлось попотеть, постоянно меняя загрузочные области и пересчитывая контрольные суммы. Что ж, не такая уж это и высокая цена за должный уровень безопасности.

Запустив машину, первым делом предприняли попытку зайти в настройки BIOS штатным способом (клавиша F2 или Delete), однако отобразилось сообщение о запрете данного действия. Это говорит о том, что ViPNet SafeBoot начинает работу действительно сразу после нажатия кнопки включения. Забегая вперед, войти в стандартный BIOS Setup все-таки возможно, но пройдя успешную авторизацию в МДЗ в роли Администратора и выбрав в настройках соответствующую опцию «Разрешить однократный вход в BIOS Setup при следующей перезагрузке». Пользователю такая возможность не предоставляется.

Рисунок 1. Запрет доступа к настройкам BIOS традиционным способом

Запрет доступа к настройкам BIOS традиционным способом

Далее ViPNet SafeBoot предлагает осуществить идентификацию и аутентификацию.

Рисунок 2. Вход в систему ViPNet SafeBoot

Вход в систему ViPNet SafeBoot

После корректного ввода учетных данных доступен режим настройки по нажатию F2, в противном случае происходит загрузка штатной операционной системы.

Кажущийся устаревшим интерфейс конфигурирования ViPNet SafeBoot предоставляет весьма широкие возможности по настройке продукта. Отметим, что в ближайшее время производитель планирует реализовать новый user friendly интерфейс.

Рисунок 3. Интерфейс настроек ViPNet SafeBoot

Интерфейс настроек ViPNet SafeBoot

Раздел «Параметры загрузки операционной системы»

Наиболее важной опцией в этом разделе является жесткая установка устройства загрузки операционной системы, вплоть до указания физического адреса раздела диска, без какой-либо возможности изменения в ходе загрузки (например, по нажатию F10, F11 или F12, как это принято в большинстве современных BIOS). Именно этот параметр и обеспечивает важнейшую функциональность продукта — невозможность обхода запуска установленной штатной операционной системы.

Рисунок 4. Раздел «Параметры загрузки операционной системы» в ViPNet SafeBoot

Раздел «Параметры загрузки операционной системы» в ViPNet SafeBoot

Раздел «Контроль целостности»

Важно отметить, что ViPNet SafeBoot способен контролировать целостность не только файлов на диске (кстати, полезная опция «Автоопределение компонентов загрузки ОС» для постановки на контроль целостности доступна только для систем семейства Windows), но и отдельных низкоуровневых компонентов, таких как CMOS, таблицы ACPI и SMBIOS, карта распределения памяти и других. В качестве приятного бонуса — присутствует режим обучения, позволяющий исключить из контроля целостности отдельные элементы компонентов, изменяемых при нормальном функционировании системы (например, при контроле CMOS). Элементы, не прошедшие проверку целостности, снимаются с контроля целостности, что позволяет адаптировать систему к контролю определенного набора элементов. Кстати, еще одна отличительная особенность продукта — возможность хранения эталонов не только на диске, но и во внутренней базе данных МДЗ, расположенной в NVRAM.

Рисунок 5. Раздел «Параметры загрузки операционной системы» в ViPNet SafeBoot

Раздел «Параметры загрузки операционной системы» в ViPNet SafeBoot

Раздел «Пользователи»

В ViPNet SafeBoot реализована ролевая модель разграничения доступа, что позволяет ограничить избыточные функции конфигурирования при входе в качестве Пользователя только его персональными настройками, а при входе в роли Аудитора — дополнительно открывать Журнал событий в режиме «Только чтение». Примечательно, что среди способов аутентификации присутствует возможность доменной авторизации при настройке соответствующей синхронизации с LDAP.

Рисунок 6. Раздел «Пользователи» в ViPNet SafeBoot

Раздел «Пользователи» в ViPNet SafeBoot

Раздел «Журнал событий»

В ViPNet SafeBoot история событий привычно хранится в соответствующем журнале, интерфейс которого не выделяется оригинальностью. Для наглядности критичные инциденты помечаются красным. Эти сведения можно экспортировать, а также настроить гибкое хранение, разрешив при переполнении памяти NVRAM в BIOS записывать события на диск.

Рисунок 7. Раздел «Журнал событий» в ViPNet SafeBoot

Раздел «Журнал событий» в ViPNet SafeBoot

Раздел «Другие настройки»

В этом разделе стоит отметить возможность разрешения однократного входа в штатный BIOS Setup, а также очень полезную функцию — импорт и экспорт настроек, что позволяет не только легко осуществлять настройку продукта на нескольких типовых машинах, но и восстанавливать конфигурацию, соответствующую принятым в организации политикам.

Рисунок 8. Раздел «Другие настройки» в ViPNet SafeBoot

Раздел «Другие настройки» в ViPNet SafeBoot

Остальные разделы конфигурирования ViPNet SafeBoot представляют собой интуитивно понятные инструменты для настройки корневых сертификатов сети и, что приятно удивило, обновлений комплекса.

Выводы

В обзоре мы протестировали работу программного модуля доверенной загрузки ViPNet SafeBoot от отечественного производителя — компании ИнфоТеКС, одного из немногих на сегодняшний день продуктов на российском рынке в этом классе. Он позволяет защищать информационные системы, предназначенные для обработки информации ограниченного доступа, путем обеспечения доверенной загрузки операционной системы через установку непосредственно в UEFI BIOS. В ходе практического тестирования оказалось, что даже попасть в настройки BIOS штатными способами невозможно. Обе запланированные нами к установке операционные системы Windows 10 и Ubuntu 17 установились и функционировали без видимых проблем, абсолютно прозрачно для пользователей.

ИнфоТеКС пополняет свой портфель перспективными решениями, стремясь занять соседние продуктовые ниши, что гармонично укладывается в общее стратегическое развитие компании как отечественного вендора средств обеспечения информационной безопасности. На сегодняшний день вопросы доверия при загрузке операционных систем компьютеров и серверов не кажутся приоритетными при построении комплексных систем информационной безопасности, однако их игнорирование может привести к компрометации всего последующего выстроенного эшелона защиты от киберугроз.

Предлагаем заглянуть под капот программного модуля доверенной загрузки ViPNet SafeBoot. Сегодня мы расскажем о его архитектуре, технических возможностях, процессе установки.


Общая информация

Важной задачей при построении любой доверенной системы является необходимость передать управление на доверенную ОС, являющуюся ядром данной системы, убедившись в ее целостности — т.е. только на то верифицированное исполняемое окружение, в рамках которого будет выполняться целевое ПО доверенной системы. Не выполнив данной задачи нельзя с полной ответственностью говорить о том, что в процессе загрузки ОС не могут быть подменены компоненты ОС, а исполняемое окружение останется доверенным.

ViPNet SafeBoot предназначен для решения следующих основных задач:

  • доверенная загрузка ОС с контролем целостности программной и аппаратной исполняемой среды;

  • ранняя аутентификация пользователей (для ограничения доступа к конфигурации доверенной загрузки, в частности).

ViPNet SafeBoot — исключительно программное средство, которое функционирует в окружении UEFI, имеет модульную структуру и встраивается в UEFI BIOS платформ, закрепляясь для старта на достаточно ранней стадии загрузки системного кода платформы.

ViPNet SafeBoot — наложенное средство защиты, это означает, что для его работы не нужно иметь специализированное исполняемое окружение (свой UEFI BIOS), а достаточно оригинального UEFI BIOS платформы (в специализированных исполнениях может требоваться доверенный UEFI BIOS платформы, но это не касается напрямую самого ViPNet SafeBoot). Отметим, что установка ViPNet SafeBoot возможна не только на этапе производства платформы, но и на различных фазах работы с целевой платформой (например, администратором в удобном для него окружении) — это интересное и важное преимущество программного МДЗ опишем подробнее ниже.

Исполняемое окружение

Изначально ViPNet SafeBoot разрабатывался для архитектуры процессоров x64 (Intel, AMD), в дальнейшем мы поддержали архитектуру процессоров aarch64/arm64 (например, Байкал-М, которые мы поддержали на нескольких типах материнских плат). Отметим, что по нашему опыту, для платформ с firmware на базе UEFI, поддержка новых процессорных архитектур в ViPNet SafeBoot (сборка, подготовка инсталлятора и прочее) не является такой уж серьезной проблемой и занимает обозримое время.

ViPNet SafeBoot может функционировать в различных средах — на реальном оборудовании, в виртуальных средах (VMware, VirtualBox, QEMU), в эмуляторах (Nt32 из состава edk2).

В качестве реального оборудования могут выступать рабочие станции, сервера, тонкие клиенты, ноутбуки, планшеты, встраиваемое оборудование. Со списком официально поддерживаемых (и неподдерживаемых тоже) платформ можно ознакомиться по ссылке. На самом деле, в реальности, список поддерживаемых платформ с firmware на базе UEFI существенно шире, так как мы добавляем в список поддерживаемых платформ только то, что проверено нами.

Кроме систем на базе нативного UEFI-окружения нами исследуется возможность работы в системах на базе coreboot (в рамках UEFI payload) и U-Boot (в рамках его UEFI-окружения).

Механизм действия

Модули ViPNet SafeBoot встраиваются в UEFI BIOS, а именно в один из исполняемых Firmware Volume (BIOS region), что обеспечивает достаточно ранний старт первой фазы исполнения на стадии DXE dispatch (вызываемой средствами системного DXE-диспетчера). Часть модулей может располагаться на диске в рабочей директории ViPNet SafeBoot на системном разделе ESP в директории EFIInfotecs — таким образом поддерживается сценарий установки в условиях недостаточного свободного места в UEFI BIOS, когда в UEFI BIOS встраивается только базовый набор модулей, загружающий в доверенном режиме основной набор модулей с диска. Доверенная загрузка модулей с диска происходит с верификацией подписи каждого модуля и проверкой на вхождение модуля в замкнутое исполняемое окружение.

ViPNet SafeBoot функционирует на следующих фазах работы системы:

  • DXE dispatch — точка старта базового набора модулей, регистрация обработчиков основных фаз исполнения;

  • EndOfDxe — выполнение раннего функционала защиты (выставление защиты UEFI BIOS после S3, блокировка PCI Option ROM и т.д.);

  • ReadyToBoot — основная фаза исполнения;

  • ExitBootServices — завершающая фаза исполнения: включение защиты UEFI BIOS, включение эмуляции NVRAM, очистка памяти (модулей и динамической) и т.д.;

  • Runtime — эмуляция NVRAM;

  • SMM — функции самозащиты: фильтрация Software SMI, контроль целостности runtime-модулей.

Рисунок 1. Временная диаграмма загрузки UEFI-совместимых платформ

Рисунок 1. Временная диаграмма загрузки UEFI-совместимых платформ

ViPNet SafeBoot использует в своей основной работе стандартные программные интерфейсы, предоставляемые окружением UEFI: сервисы системных таблиц (EFI_BOOT_SERVICES, EFI_RUNTIME_SERVICES и EFI_MM_SYSTEM_TABLE) и стандартные UEFI/SMM-протоколы. Для выполнения специальных задач, например, по блокировке функционала встроенных средств обновления BIOS, используются вендор-специфичные UEFI-протоколы (в данном случае — их перехват/блокировка).

Установка ViPNet SafeBoot

Основными задачами при установке ViPNet SafeBoot на целевую платформу являются:

  • встраивание модулей в UEFI BIOS;

  • разворачивание рабочей директории на диске;

  • задание стартовой конфигурации.

Предполагаются следующие сценарии установки ViPNet SafeBoot (встраивания модулей в UEFI BIOS) на целевые платформы:

  • программная установка (инсталлятором) — своими средствами или при взаимодействии с производителем платформы;

  • установка на производстве (программатором) — своими средствами или при взаимодействии с производителем платформы.

Программная установка

Как основной сценарий, мы рассматриваем именно программную установку своими средствами: таким образом обеспечивается автономность от производителя платформы (часто данный процесс имеет свойство затягиваться по времени), упрощается инструментарий установки, повышается гибкость в выборе времени установки (при отсутствии специального инструментария установки на нужной фазе установки).

На данный момент программная установка производится из окружения EFI Shell — это не только объединяет сценарии по установке и обновлению, но и исключает влияние ПО уровня ОС на протяжении данного процесса.

Сценарий программной установки довольно прост и удобен:

  • подключение USB-диска с инсталлятором;

  • запуск EFI Shell с USB-диска из BIOS Setup;

  • автоматический запуск инсталлятора;

  • выполнение инсталлятором всех операций по установке.

Вместе с тем, при программной установке своими средствами могут возникать следующие типовые проблемы:

  • Включенная защита UEFI BIOS на уровне аппаратных средств типа регистров чипсета BIOS_CNTL и PRx — препятствие в виде блокировки записи UEFI BIOS программными средствами.
    Варианты решения:

o   Отключение защиты через изменение системных NVRAM-переменных или некоторыми другими способами.

o   Использование альтернативных программных средств установки.

o   Взаимодействие с производителем платформы (разработчиком UEFI BIOS).

  • Включенная защита UEFI BIOS на уровне аппаратных средств типа Intel BootGuard (или как вариант — программного средства подобного направления) — препятствие в виде верификации UEFI BIOS при каждом старте системы.

Варианты решения:

o   Поиск и встраивание модулей ViPNet SafeBoot в другой исполняемый Firmware Volume, не покрытый контролем Intel BootGuard (и аналогов).

o   Взаимодействие с производителем платформы (разработчиком UEFI BIOS).

Безусловно сложнейшей задачей при установке ViPNet SafeBoot является встраивание модулей в UEFI BIOS — она включает в себя (в стандартном сценарии):

  • считывание образа UEFI BIOS из микросхемы SPI Flash платформы;

  • встраивание одного из набора модулей (в зависимости от настроек) в считанный образ UEFI BIOS;

  • запись модифицированного образа UEFI BIOS в микросхему SPI Flash платформы.

Для работы с микросхемами SPI Flash для платформ Intel мы используем стандартные средства, находящиеся в открытом доступе, а для платформ AMD предлагаем средства собственной разработки. Кроме того, доступна возможность использования специальных средств, специфичных для конкретных платформ (AMI AFU, flashrom и т.д.).

Для работы с образами UEFI BIOS мы используем средства собственной разработки — данные инструменты позволяют выполнять множество операций по модификации образов UEFI BIOS: добавление/удаление модулей в определенный Firmware Volume, замена секций существующих модулей, управление NVRAM-переменными и многое другое.

Для снятия риска возникновения необратимых (или трудозатратных) последствий, например, при записи поврежденного образа UEFI BIOS в микросхему SPI Flash, в инсталляторе ViPNet SafeBoot реализован специальный режим съема диагностической информации, анализ результатов которой мы готовы проводить по запросу, подтверждая возможность установки на данной платформе.

Диагностику необходимо запускать перед установкой, затем отправлять диагностическую информацию нам для анализа и ждать подтверждения возможности установки.

В инсталляторе ViPNet SafeBoot реализован механизм расширений (аналог плагинов), которые предполагается использовать при наличии каких-то специфических особенностей платформы — таким образом обеспечивается неизменность основной части инсталлятора, находящейся под контролем целостности, и упрощается (формализуется) процесс настройки инсталлятора под конкретную платформу.

Расширения инсталлятора позволяют выполнять специфические для данной платформы действия на разных фазах установки и решать следующие задачи:

  • управление средствами защиты UEFI BIOS перед установкой (сценарий снятия защиты UEFI BIOS);

  • задание образа UEFI BIOS, отличного от текущего (сценарий обновления версии UEFI BIOS);

  • управление встраиванием модулей в UEFI BIOS (сценарий недостаточного свободного места в UEFI BIOS);

  • задание сторонних средств работы с микросхемами SPI Flash (сценарий отсутствия поддержки работы с микросхемой SPI Flash стандартными средствами инсталлятора);

  • многое другое.

Например, при определенной комбинации стандартных расширений инсталлятора можно собрать расширение, которое позволит в автоматическом режиме (запускаемом из настроек ViPNet SafeBoot) обновить версию UEFI BIOS с сохранением установленного ViPNet SafeBoot и его данных.

Установка на производстве

При установке на производстве, конечно, не исключается и программный сценарий установки (описанный выше), но все же основным сценарием является установка либо с помощью аппаратного программатора, либо с помощью специальных программных средств — для обеспечения массового производства платформ со встроенным ViPNet SafeBoot в UEFI BIOS.

Взаимодействие с производителями платформ (разработчиком UEFI BIOS)

На данный момент налажено взаимодействие (включающее в себя встраивание модулей ViPNet SafeBoot и подпись полученного образа UEFI BIOS или установку ViPNet SafeBoot на этапе производства платформ) со следующими производителями платформ:

  • отечественные производители: Аквариус, Depo, iRU, ICL, РАМЕК-ВС;

  • зарубежные производители: Lenovo, ASUS

Режим неактивности

В ViPNet SafeBoot поддерживается сценарий установки в неактивном режиме. Это серьезное преимущество, и оно может быть интересно в случае, когда производитель платформ захочет выпускать или устанавливать единый образ UEFI BIOS на большую партию платформ, а включать ViPNet SafeBoot будет администратор на необходимом ему подмножестве платформ этой партии. Таким образом, процесс взаимодействия с производителями платформ может сильно упроститься, а объем их работ и издержки значительно уменьшатся.

Функции ViPNet SafeBoot

Проведем обзор с точечным, более детальным описанием основных функций и возможностей ViPNet SafeBoot.

Хранение журнала и БД

Важнейшей задачей при разработке ViPNet SafeBoot является обеспечение доверенного хранения его данных — в первую очередь, журнала событий и БД (настроек). По историческим причинам они хранятся в независимых и отдельных структурных единицах.

Поддерживаются 2 основных режима хранения:

  • внутренний – в NVRAM (в UEFI BIOS);

  • внешний – в файлах (в рабочей директории на диске).

Внутренний режим хранения

Внутреннее хранение данных позволяет уйти от зависимости от внешних хранилищ (дисков) — что обеспечивает, в частности, возможность поддерживать сценарий работы на бездисковых рабочих станциях, и в перспективе реализовать полноценный Zero Client на произвольном оборудовании.

При использовании внутреннего режима хранения данные сохраняются в индексированном списке NVRAM-переменных, оформленном в специальном формате для предотвращения проблем при разрыве списка в случае прерывания по сбросу питания и т.д.

Для предотвращения стороннего доступа к внутренним хранилищам данных используется целый ряд мер, подробнее описанных ниже — от эмуляции NVRAM, до защиты UEFI BIOS (на чтение и запись).

Основным минусом и ограничением внутреннего режима хранения данных является относительно небольшой объем свободного пространства в NVRAM — на современных системах это около 100 Кб, чего, например, явно недостаточно для хранения полных списков контроля целостности компонентов системы. Для закрытия этого ограничения мы ведем исследование по возможности организации автономного от NVRAM внутреннего хранилища и уже есть определенные практические результаты в этом направлении.

Внешний режим хранения

При использовании внешнего режима хранения все данные хранятся в виде файлов в рабочей директории, в формате, предотвращающем сторонний доступ к ним:

  • в зашифрованном виде (журнал, БД) — для предотвращения чтения данных;

  • в подписанном виде (журнал, БД, списки эталонов КЦ) — для предотвращения модификации данных (преднамеренной и непреднамеренной);

  • в привязанном к внутренней БД виде (журнал, БД, списки эталонов КЦ) — для предотвращения атак отката.

Во внутреннем хранилище в данном режиме хранится лишь базовая конфигурация — например, ключи контроля целостности внешних данных.

Доверенная загрузка ОС

Ключевой задачей ViPNet SafeBoot является организация доверенной загрузки ОС.

Поддерживаются следующие типы доверенной загрузки ОС:

  • legacy ОС;

  • UEFI ОС;

  • по сети (UEFI).

Для ViPNet SafeBoot нет явных ограничений по поддержке локально загружаемых ОС —  единственным препятствием может служить только использование в ОС разделов с неподдерживаемыми типами ФС (для контроля целостности их содержимого).

Организация доверенной загрузки ОС в ViPNet SafeBoot серьезно отличается от стандарта де-факто Secure Boot и основывается на следующих принципах:

  • контроль целостности заданных файлов ОС (цепочки загрузки ОС);

  • явная передача управления на заданный загрузчик ОС (или загрузочное устройство в случае legacy ОС).

Контроль целостности заданных файлов ОС

Перед передачей управления на загрузчик ОС необходимо верифицировать его целостность и целостность цепочки загрузки ОС (т.е. других исполняемых и конфигурационных файлов ОС, следуемых и используемых в процессе загрузки за загрузчиком ОС).

Для этого необходимо поставить на контроль целостности всю цепочку загрузки ОС. Для распространенных дистрибутивов версий ОС Windows и Linux реализован автоматический режим, но есть и возможность ручной конфигурации в настройках контроля целостности ViPNet SafeBoot.

Передача управления на заданный загрузчик ОС

Для передачи управления на заданный загрузчик ОС (или загрузочное устройство в случае legacy ОС) необходимо указать его в настройках загрузки ViPNet SafeBoot, предварительно выбрав тип загрузки.

Передача управления на заданный загрузчик ОС происходит средствами самого ViPNet SafeBoot — с использованием сервисов LoadImage/StartImage системной таблицы EFI_BOOT_SERVICES, т.е. без передачи управления UEFI Boot Manager и манипуляции его параметрами (BootOrder и т.д.). Таким образом упрощается контроль за управлением загрузкой ОС.

Загрузка ОС по сети

Поддерживаются сценарии загрузки UEFI ОС по сети по протоколам PXE и HttpBoot.

При этом на данный момент есть возможность контроля адреса сервера PXE/HttpBoot и контроля целостности загрузчика ОС.

Контроль целостности

Контролируемые компоненты

Для обеспечения контроля исполняемой среды поддерживается контроль целостности следующих программных и аппаратных компонентов системы:

  • файлов на диске (на разделах с ФС FAT*, NTFS, ext2/3/4);

  • реестра Windows (на уровне ключей/значений);

  • CMOS (на уровне регистров);

  • конфигурационных пространств PCI;

  • таблиц ACPI;

  • структур SMBIOS (DMI);

  • карты распределения памяти;

  • модулей UEFI BIOS;

  • загрузочных секторов диска (загрузочного);

  • переменных NVRAM (с релиза 3.1);

  • системных таблиц UEFI (с релиза 3.1).

Для каждого компонента ведется свой список элементов (хранимый либо в файле на диске, либо во внутреннем хранилище NVRAM), контролируемых отдельно. Например, элементами компонента «Файлы» будут конкретные файлы (с указанием их путей), а элементами компонента «Модули UEFI BIOS» — как это ни странно :) , модули UEFI BIOS (с указанием их в формате <fv_id>:<guid>).

Схема контроля целостности

Для каждого компонента применяется следующая схема контроля целостности («схема каталогов»):

  • по каждому контролируемому элементу компонента рассчитывается хэш — так называемый эталонный хэш;

  • формируется список в текстовом виде, каждая строка которого идентифицирует контролируемый элемент с его эталонными хэшем в виде: <hash> <element_id>;

  • список сохраняется в файле в рабочей директории или в БД;

  • при сохранении в файле — список подписывается на ключе защиты данных, подпись сохраняется в открепленном виде рядом с файлом списка;

o   ключ защиты данных хранится в БД в защищенном виде и его можно изменить из настроек ViPNet SafeBoot;

  • при сохранении в файле — в БД фиксируется привязка к сохраняемому на диске файлу (на основе хэша) для предотвращения атак отката.

Данная схема обеспечивает целостность и аутентичность (т.е. невозможность модификации злоумышленником без знания закрытого ключа подписи) контролируемых данных, исключает необходимость в подписи каждого элемента отдельно (т.е. ускоряет процесс контроля целостности) и применяется при контроле целостности программных и аппаратных компонентов системы, запросов удаленного управления, а также пакетов обновлений.

Криптографический базис

В качестве криптографических алгоритмов используются алгоритмы семейства ГОСТ:

  • ГОСТ 34.10-2018 — для подписи и верификации подписи;

  • ГОСТ 34.11-2018 — для расчета хэша и HMAC;

  • ГОСТ 34.12-2018/ГОСТ 34.13-2018 — для шифрования и расчета имитовставки.

В качестве криптографической библиотеки в ViPNet SafeBoot используется криптографическое ядро, разрабатываемое в ИнфоТеКС, и являющееся криптографическим базисом многих других продуктов ИнфоТеКС. Кроме того, для поддержки работы с сертификатами и других подсистем применяется OpenSSL с нашим engine, использующим данное криптографическое ядро.

Аутентификация

Другой важной задачей ViPNet SafeBoot является аутентификация пользователей (разграничение доступа). Аутентификация позволяет заблокировать доступ сторонних пользователей к системе (в частности, к загрузке ОС), а также ограничить возможности по управлению настройками ViPNet SafeBoot со стороны низкопривилегированных пользователей.

В ViPNet SafeBoot используется следующая ролевая модель:

  • администратор — имеет все права на изменение настроек;

  • аудитор — имеет права на чтение и экспорт журнала и на изменение своего пароля (пролонгации его срока действия);

  • пользователь — имеет права только на изменение своего пароля (пролонгации его срока действия).

Одновременно может быть заведено до 32 пользователей всех типов (всего).

Кроме того, может быть задано расписание доступа (графика работы) пользователей — для более гибкого управления аутентификацией пользователей.

Поддерживаются следующие типы аутентификации:

  • по паролю — с верификацией введенного пароля по хэшу от пароля с солью, сохраненным в БД;

  • по сертификату на смарт-карте/токене — на основе протокола аутентификации, описанного ниже;

  • по паролю и по сертификату на смарт-карте/токене — комбинированный режим с последовательным запуском процедуры аутентификации по паролю, а затем по сертификату на смарт-карте/токене;

  • по паролю на смарт-карте/токене — с верификацией пароля, сохраненного в специальном закрытом файле смарт-карты/токена, по хэшу от пароля с солью, сохраненным в БД;

  • по LDAP — на основе bind на удаленный LDAP-сервер (Microsoft AD, Astra ALD Pro), с поддержкой ограничения списка разрешенных к аутентификации пользователей через задание белого списка пользователей.

Поддерживаются следующие смарт-карты/токены: Рутокен ЭЦП 2, Рутокен Lite, Рутокен S, JaCarta-2 ГОСТ, JaCarta PKI, JaCarta LT, Guardant ID (и некоторые другие). Драйвера смарт-карт/токенов разрабатываются самостоятельно.

Аутентификация по сертификату на смарт-карте/токене

Аутентификация по сертификату на смарт-карте/токене требует предварительной подготовки смарт-карты/токена со стороны администратора средствами либо ViPNet CSP, либо вендор-специфичного ПО, а именно:

  • генерации закрытого ключа (неизвлекаемого или в формате программного контейнера закрытого ключа ViPNet CSP) на смарт-карте/токене;

  • выпуска и сохранения на смарт-карте/токене сертификата пользователя.

Важным требованием при аутентификации по сертификату на смарт-карте/токене является обеспечение невозможности дупликации смарт-карты/токена — полноценно это доступно на смарт-картах/токенах с неизвлекаемыми ключами, на других смарт-картах/токенах это доступно частично (с ограничением знания PIN злоумышленником).

Протокол аутентификации на смарт-карте/токене с неизвлекаемым ключом выглядит следующим образом (см. рис.2):

  • запрашивается ввод PIN смарт-карты/токена (для доступа к ключу);

  • производится аутентификация на смарт-карте/токене по введенному PIN;

  • на ПДСЧ (программном датчике случайных чисел) генерируется вектор определенной длины;

  • вектор аппаратно подписывается на неизвлекаемом ключе смарт-карты/токена;

  • подпись вектора программно верифицируется на сертификате пользователя (сохраненном как на смарт-карте/токене, так и в БД);

  • при успешном результате верификации можно говорить о том, что смарт-карта/токен соответствует сертификату пользователя и является аутентичной/аутентичным;

o   при этом за счет программной верификации подписи исключается возможность подмены/эмуляции аппаратной составляющей (смарт-карты/токена), которая могла бы фиктивно верифицировать подпись аппаратным способом;

  • происходит верификация цепочки сертификатов (от сертификата пользователя до корневого сертификата) — этим самым проверяется существование всей цепочки сертификатов, сроков действия всех сертификатов в цепочке, а также отсутствие сертификата пользователя в списке отзыва (CRL).

Рисунок 2. Диаграмма аутентификации по сертификату на смарт-карте/токене

Рисунок 2. Диаграмма аутентификации по сертификату на смарт-карте/токене

Аутентификация в режиме Single Sign-On

Для удобства прохождения множественной аутентификации (в ViPNet SafeBoot, в ОС/СЗИ) реализована поддержка механизма Single Sign-On со сквозной аутентификацией пользователя в ОС/СЗИ. Для аутентификации в режиме Single Sign-On на стороне ОС требуется установка провайдера аутентификации, реализованного на данный момент для ОС Windows и Linux. Кроме того, поддержка аутентификации в режиме Single Sign-On реализована в СЗИ ViPNet SafePoint.

Аутентификационная информация пользователя передается в защищенном виде через эмулятор NVRAM (через память) и имеет минимальное время жизни.

Средства защиты и самозащиты

Средства защиты и самозащиты являются с некоторой точки зрения вспомогательными компонентами, но в то же время без которых о безопасности ViPNet SafeBoot говорить можно было бы лишь условно. Они позволяют противостоять атакам по подмене настроек (конфигурации доверенной загрузки ОС, в частности) и по удалению/отключению ViPNet SafeBoot — в первую очередь с уровня ОС, т.е. со стороны произвольного, даже высокоприоритетного, пользователя ОС.

Далее будут рассмотрены конкретные средства защиты и самозащиты, реализованные в ViPNet SafeBoot.

Защита UEFI BIOS

Для предотвращения возможности перезаписи UEFI BIOS (как в сценарии целенаправленной атаки, так и в сценарии легального обновления UEFI BIOS со стороны ОС, которое просто «удалит» установленный ViPNet SafeBoot) применяется следующий подход:

  • Intel: на весь BIOS region микросхемы SPI Flash устанавливается защита регионов SPI Flash на уровне регистров чипсета PRx (защита уровня PRx является предпочтительнее защиты уровня BIOS_CNTL, т.к. опирается только на аппаратную составляющую, т.е. имеет большую защищенность — например, в случае совершения атак на SMM);

  • AMD: блокируются SPI-команды записи и стирания микросхемы SPI Flash (с реализацией части кода на уровне SMM, ввиду специфики AMD);

  • Байкал-М: на уровне ARM TF (части firmware вне UEFI) реализуется перехват сервисов SMC записи в микросхему SPI Flash.

После включения данная защита обеспечивает невозможность ее отключения до последующей перезагрузки системы (аппаратными средствами для Intel и AMD), которая в свою очередь находится под контролем ViPNet SafeBoot — при последующей загрузке системы защита будет вновь активирована.

Нельзя не обратить внимание на восстановление параметров защиты после выхода из режима сна (S3) — ввиду специфики современных платформ Intel/AMD, на которых после S3 происходит «укороченная» переинициализация конфигурации системы (и регистров чипсета, в частности), ViPNet SafeBoot поддерживает задание параметров защиты в сценариях выхода из S3.

Поскольку со стороны ОС могут быть легальные запросы на чтение-запись NVRAM-переменных, а NVRAM находится в защищаемом регионе UEFI BIOS, при включенной защите UEFI BIOS предполагается дополнительно включать эмуляцию NVRAM (описана ниже).

Эмуляция NVRAM

Эмуляция NVRAM решает сразу несколько задач:

  • предотвращение доступа к NVRAM-переменным ViPNet SafeBoot;

  • поддержка легальных запросов на чтение-запись NVRAM-переменных со стороны ОС в случае включенной защиты UEFI BIOS на чтение-запись;

  • предотвращение атак на реализацию NVRAM со стороны ОС.

При включенной эмуляций NVRAM происходит дупликация содержимого NVRAM в эмулируемый пул памяти и перехватываются сервисы системной таблицы EFI_RUNTIME_SERVICES, отвечающие за работу с NVRAM-переменными, с перенаправлением на эмулятор NVRAM.

Следует отметить, что даже при отключенном режиме эмуляции NVRAM происходит блокировка (фильтрация) доступа к NVRAM-переменным ViPNet SafeBoot для стороннего кода (с уровня ОС).

Контроль (фильтрация) Software SMI

Для предотвращения обновления UEFI BIOS с помощью вендор-специфичных средств (например, AMI AFU), функционирующих по протоколу на уровне SMI (с взаимодействием с SMM-кодом) в отличие от прямой работы с SPI-контроллером, реализован контроль (фильтрация) Software SMI с реализацией своего фильтра на уровне SMM с блокировкой явно опасных SMI, используемых в протоколе взаимодействия. База правил, блокируемых SMI, может дополнительно расширяться/уточняться при установке/обновлении ViPNet SafeBoot.

Блокировка встроенных средств обновления UEFI BIOS

Для предотвращения обновления UEFI BIOS со стороны специальных вендор-специфичных режимов уровня UEFI реализована защита, основанная на перехвате сервисов UEFI-протоколов обновления с последующей блокировкой их выполнения.

Поддерживается блокировка UEFI-протоколов обновления UEFI BIOS от основных производителей платформ (OEM). Реализована формализованная система правил описания перехватываемых UEFI-протоколов для расширения и сопровождения списка.

Контроль runtime-кода

Для контроля неизменности runtime-кода ViPNet SafeBoot (и SMM включительно) реализована защита, функционирующая на уровне SMM, выполняющая периодическую верификацию целостности кода на основе эталонных хэшей модулей и блокирующая доступ к системе в случае нарушения их целостности.

Блокировка входа в специальные режимы настроек

Для предотвращения доступа в специальные режимы настроек, например, в BIOS Setup, реализована блокировка (фильтрация) явно опасных комбинаций клавиш на ранней стадии загрузки системы. База блокируемых комбинаций клавиш может дополнительно расширяться/уточняться администратором (при нашей поддержке) при установке/обновлении ViPNet SafeBoot.

Средства защиты от malware

В последнее время очень активно развиваются инструменты для атаки на системы со встраиванием компонентов malware в firmware на базе UEFI. Причем встраивание malware может проходить как на достаточно длительном цикле цепочки поставок, так и в процессе эксплуатации систем.

Большинство malware уровня UEFI BIOS позволяет автоматически заражать ОС даже после ее переустановки (либо в файловом, либо в бесфайловом режимах). Собственно, для этой цели, а также для обеспечения более раннего старта, malware и встраивается в UEFI BIOS. Основные вектора атак, используемые UEFI malware, указаны на рис.3.

Рисунок 3. Основные вектора атак UEFI malware

Рисунок 3. Основные вектора атак UEFI malware

Средства защиты от malware в ViPNet SafeBoot отвечают в первую очередь за блокировку (полную изоляцию) основного функционала уже находящегося в UEFI BIOS вредоносного (или потенциально вредоносного) кода, например, в условиях, когда ViPNet SafeBoot устанавливается в уже зараженный (или потенциально зараженный) UEFI BIOS. В случае установленного ViPNet SafeBoot встраивание malware в UEFI BIOS будет блокироваться средствами защиты UEFI BIOS ViPNet SafeBoot.

Далее будут рассмотрены конкретные средства защиты от malware, реализованные в ViPNet SafeBoot.

Блокировка ACPI WPBT

Для предотвращения записи потенциально вредоносных исполняемых файлов в системные разделы ОС и их запуска со стороны ОС, реализована блокировка механизма специальных ACPI-таблиц WPBT.

Примеры блокируемых malware: Absolute Software Computrace/LoJack.

Защита дисков от записи

Для предотвращения записи потенциально вредоносных исполняемых и конфигурационных файлов в системные разделы ОС, реализован механизм блокировки записи на диск в файловом и блочном/секторном режимах. Механизм основан на перехвате системных UEFI-протоколов SimpleFileSystem, BlockIo, DiskIo с последующим контролем вызывающего кода.

При включении данного механизма возможность доступа к диску на запись будет только у компонентов ViPNet SafeBoot.

Примеры блокируемых malware: Hacking Team’s UEFI Rootkit, Absolute Software Computrace/LoJack, LoJax, MosaicRegressor.

Защита системных таблиц UEFI

Для предотвращения перехвата сервисов системных таблиц UEFI EFI_BOOT_SERVICES и EFI_RUNTIME_SERVICES реализован механизм виртуализации/локализации системных таблиц UEFI для каждого исполняемого модуля, что приводит при перехвате сервисов к модификации только локальной копии системной таблицы вредоносного (или потенциально вредоносного) модуля — при этом системные таблицы, используемые непосредственно в процессе загрузки ОС, остаются неизменными.

Примеры блокируемых malware: EfiGuard, CosmicStrand.

Блокировка загрузки PCI Option ROM

Для предотвращения запуска потенциально вредоносного кода с подключаемых PCI-устройств из исполняемых PCI Option ROM реализован механизм перехвата и блокировки старта исполняемого кода из PCI Option ROM посредством затирания его памяти.

Таким образом, вследствие достаточно раннего старта ViPNet SafeBoot имеется возможность блокировать даже функционал АПМДЗ (примеры приводить не станем J).

Удаленное управление

Для удобной эксплуатации ViPNet SafeBoot, реализован механизм удаленного управления.

В качестве ПО, реализующего функции удаленного управления на стороне ОС, может выступать ViPNet SafeBoot MC или ViPNet EPP. Данное ПО имеет клиент-серверную структуру с возможностью управления агентами (клиентами), функционирующими на ОС Windows и Linux основных версий и дистрибутивов.

Механизм удаленного управления позволяет считывать журналы событий, изменять настройки, а также обновлять версии ViPNet SafeBoot на всем парке управляемых машин.

Механизм удаленного управления функционирует следующим образом (см. рис. 4):

  • ViPNet SafeBoot передает журнал и БД в канал удаленного управления (на стороне UEFI);

  • после загрузки ОС ПО удаленного управления получает доступ к журналу и БД из канала удаленного управления (на стороне ОС);

  • при необходимости изменения настроек ViPNet SafeBoot (на стороне ОС):

o   ПО удаленного управления вносит соответствующие изменения настроек в полученную БД;

o   ПО удаленного управления формирует так называемый запрос удаленного управления на основе измененной БД и передает его в канал удаленного управления;

  • после перезагрузки ОС при наличии запроса удаленного управления в канале удаленного управления (на стороне UEFI):

o   ViPNet SafeBoot верифицирует запрос удаленного управления;

o   ViPNet SafeBoot вносит изменения в настройках в БД;

o   при наличии в запросе удаленного управления обновления ViPNet SafeBoot — запускает процесс обновления.

Рисунок 4. Диаграмма сеанса удаленного управления (УУ)

Рисунок 4. Диаграмма сеанса удаленного управления (УУ)

Каналом удаленного управления является файловый механизм хранения данных в рабочей директории. Т.е. все исходные и измененные данные, а также служебные структуры, реализующие, в частности, их контроль целостности, представляются в виде файлов — все это вместе и называется запросом удаленного управления. Для ограничения доступа со стороны сторонних пользователей, журнал и БД в канале удаленного управления передаются в зашифрованном виде.

Для подтверждения (аутентификации) запросов удаленного управления применяется механизм подписи всех данных, входящих в запрос. Подпись производится на ключе, сертификат от которого задается в настройках ViPNet SafeBoot. Таким образом обеспечивается защита от формирования или модификации запросов удаленного управления со стороны злоумышленника. Кроме того, реализован механизм защиты от атак повтора, основанный на наличии привязки (генерируемого при каждой загрузке идентификатора сессии удаленного управления), сохраняемой в БД и в БД в канале удаленного управления, и проверяемой на этапе верификации запроса удаленного управления.

Обновление

В ViPNet SafeBoot поддерживается механизм обновления — из настроек (локально) и по запросу удаленного управления.

Обновление возможно на старшую или текущую версию (последнее бывает нужно в некоторых сценариях, например, при обновлении версии UEFI BIOS с сохранением текущей версии ViPNet SafeBoot и его данных).

Обновление представляет из себя набор файлов и директорий, включающий в себя модули новой версии ViPNet SafeBoot, а также служебные файлы и исполняемые модули, и разворачивается:

  • на USB-диске — при обновлении из настроек;

  • на разделе ESP — при обновлении по запросу удаленного управления.

Все файлы пакета обновления находятся под контролем целостности (по стандартной схеме, описанной выше), процесс верификации запускается непосредственно перед обновлением. Таким образом обеспечивается защита от преднамеренной и непреднамеренной модификации модулей обновляемой версии, а также сценариев их встраивания в UEFI BIOS.

Структурно пакет обновления совпадает с инсталлятором, единственным отличием может быть различная конфигурация пакета обновления и инсталлятора, например, при обновлении часто может требоваться сохранение БД и журнала от предыдущей версии, что в свою очередь требует задания специального параметра конфигурации инсталлятора/обновления.

Для обновления (как и для установки) позволяется задавать основную и расширенную конфигурацию:

  • основной конфигурацией является возможность управления сохранением БД, журнала, списков эталонов контроля целостности, модулей ViPNet SafeBoot;

  • расширенной конфигурацией является возможность управления более тонкими параметрами, такими как задание разрешения экрана для графического интерфейса, встраивание модулей ViPNet SafeBoot в нестандартный Firmware Volume, задание специального профиля установки и т.д.

Режимы восстановления

Для обеспечения возможности выхода из различных нештатных ситуаций, а также при неаккуратном управлении ViPNet SafeBoot со стороны администраторов, в ViPNet SafeBoot поддерживаются несколько режимов восстановления. Поскольку ViPNet SafeBoot работает на ранней стадии загрузки системы, при этом блокируя возможности по обходу своего функционала, вопрос о механизме штатного восстановления сложно недооценить.

Большая часть режимов восстановления построена на использовании диска восстановления. Диск восстановления представляет из себя USB-диск (с ФС FAT*) с наличием в корне файла со сгенерированным на ДСЧ ключом восстановления достаточно большой длины. Сгенерировать ключ восстановления возможно с помощью специального ПО уровня ОС или из настроек ViPNet SafeBoot.

Для того, чтобы обеспечить связывание конкретной платформы с ViPNet SafeBoot с конкретным диском восстановления (для целей безопасности – чтобы злоумышленник не мог воспользоваться единым диском восстановления на любой машине с ViPNet SafeBoot), проводится операция привязки диска восстановления. Привязка к диску восстановления возможна:

  • при установке — при этом хэш от ключа восстановления сохраняется в Firmware Volume рядом с модулями ViPNet SafeBoot (ключ восстановления располагается на диске установки);

  • при вызове из настройки — при этом хэш от ключа восстановления сохраняется в БД ViPNet SafeBoot (ключ восстановления располагается на произвольном USB-диске).

Привязка к диску восстановления на стадии установки является предпочтительной, так как позволяет пережить сброс настроек ViPNet SafeBoot (и NVRAM в целом).
Привязка же при вызове из настроек удобнее логистически, так как позволяет возложить ответственность по подготовке диска восстановления на администратора без необходимости хранения и передачи копий дисков восстановления с фазы производства (если применяется сценарий установки с централизованным производством).

Диск восстановления следует хранить в специальных условиях с ограничением доступа к нему посторонних лиц.

Следует отметить, что использование единого USB-диска для хранения данных установки/обновления и восстановления (диск установки и диск восстановления одновременно) возможно.

При запросе одного из режимов восстановления происходит:

  • поиск USB-диска с ключом восстановления;

  • верификация структуры и целостности ключа восстановления;

  • расчет хэша по ключу восстановления;

  • сопоставление рассчитанного хэша с привязанным хэшем (сохраненным в Firmware Volume или БД);

  • при совпадении — передается управление на конкретный режим восстановления.

Режим PassThrough

Режим PassThrough позволяет однократно отключить основной функционал ViPNet SafeBoot при возникновении каких-либо нештатных ситуаций. Активизируется с помощью комбинации клавиш Ctrl+x на ранней стадии загрузки ViPNet SafeBoot.

Режим PassThrough требует подключения диска восстановления.

Режим восстановления профиля администратора по умолчанию

Режим восстановления профиля администратора по умолчанию позволяет восстановить (выставить в значения по умолчанию) настройки профиля администратора по умолчанию при утере его пароля, истечении срока действия его пароля, утрате смарт-карты/токена, истечении срока действия сертификата на смарт-карте/токене и т.д. Активизируется с помощью комбинации клавиш Ctrl+r на ранней стадии загрузки ViPNet SafeBoot.

Режим восстановления профиля администратора по умолчанию требует подключения диска восстановления.

Режим восстановления рабочей директории

Режим восстановления рабочей директории может потребоваться при переустановке ОС с форматированием раздела ESP, ручном удалении содержимого на разделе ESP пользователями ОС и т.д.

Начиная с релиза 2.1.2 реализована возможность автоматического восстановления в двух сценариях:

  • без требования подключения USB-диска установки — в случае встраивания в UEFI BIOS полного набора модулей ViPNet SafeBoot;

  • с требованием подключения USB-диска установки — в случае встраивания в UEFI BIOS базового набора модулей ViPNet SafeBoot.

Режим восстановления рабочей директории не требует подключения диска восстановления (с соответствующей привязкой к текущим настройкам ViPNet SafeBoot) — достаточно подключения произвольного USB-диска установки с развернутым на нем инсталлятором текущей версии ViPNet SafeBoot. Это упрощает процесс восстановления, не прибегая к получению диска восстановления из специального хранилища.

Пользовательский интерфейс

Для эффективного и удобного управления настройками в различных сценариях в ViPNet SafeBoot реализовано два независимых типа пользовательских интерфейса — графический и псевдографический.

Графический пользовательский интерфейс

Графический интерфейс является основным и реализован на графической библиотеке собственной разработки — это позволяет более гибко подходить к требованиям окружения UEFI.

В графическом пользовательском интерфейсе кроме клавиатуры дополнительно доступно использование мыши, тачпэда и тачскрина для взаимодействия с ViPNet SafeBoot. Для поддержки сценария работы на бесклавиатурных платформах (планшетах) реализована возможность пользовательского ввода через виртуальную клавиатуру (с использованием тачскрина), являющуюся составной частью графического интерфейса ViPNet SafeBoot.

Псевдографический пользовательский интерфейс

Псевдографический интерфейс является вспомогательным режимом и может использоваться в сценарии, когда на платформе физически нет видеовыхода и предполагается взаимодействие через консоль по последовательному порту (Serial Port Console Redirection).

В псевдографическом пользовательском режиме необходимо подключение внешней клавиатуры для взаимодействия с ViPNet SafeBoot.

Выпуск релизов

Отдельно хотелось бы сказать о циклах выпуска релизов, т.к. именно с выходом очередного релиза добавляются новые возможности, улучшаются сценарии использования, исправляются ошибки и уязвимости продукта.

В основном при выпуске релизов мы стараемся придерживаться режима «один релиз в год» —  исходя из специфики и накладных расходов по сертификации релизов по требованиям различных регуляторов (ФСТЭК, ФСБ). Обычно процесс сертификации после выпуска релиза занимает от полугода до года.

На данный момент ситуация по релизам следующая:

Релиз

Актуальность

Сертификация

Архитектура

1.1

неактуален

сертифицирован (ФСТЭК)

x64

1.3

неактуален

сертифицирован (ФСТЭК)

x64

1.4

неактуален

сертифицирован (ФСТЭК)

x64

2.0

неактуален

сертифицирован (ФСТЭК)

x64

2.1.2

актуален

сертифицирован (ФСТЭК)

x64

3.0.1

актуален

на сертификации (ФСТЭК, ФСБ)

x64, aarch64

3.1

в разработке (ожидается выпуск в первом квартале 2023 г.)

будет передан на сертификацию (ФСТЭК, ФСБ)

x64, aarch64

Сравнение ViPNet SafeBoot с альтернативными решениями

Сравнение с программно-аппаратными средствами доверенной загрузки

На российском рынке использование программно-аппаратных средств доверенной загрузки (АПДМЗ) де-факто является стандартом обеспечения безопасности физических серверов и конечных узлов информационных систем.

Принцип действия АПДМЗ заключается в старте кода уровня системы в виде PCI Option ROM с PCI-совместимой платы, подключаемой к целевой платформе. В целом, возможности подобных средств потенциально могут быть сопоставимы с ViPNet SafeBoot.

Так ли удобны и функционально сравнимы АПМДЗ с чисто программными средствами (а именно — с ViPNet SafeBoot)?

Преимущества ViPNet SafeBoot по сравнению АПМДЗ:

  • возможность установки в платформы, в которых отсутствуют свободные аппаратные разъемы для подключения АПДМЗ (например, в мобильные платформы);

  • ранняя точка старта;

  • простота доверенной доставки/активации;

  • скорость появления новых версий не зависит от аппаратной составляющей;

  • возможность работы на отличных от x64 процессорных архитектурах;

  • стоимость.

Недостатки ViPNet SafeBoot по сравнению АПМДЗ:

  • отсутствие аппаратного watchdog-таймера, подключаемого в разрыв цепи питания целевой платформы (на самом деле далеко не на каждой платформе можно подключить такой watchdog-таймер, что обычно сводится к тому, что на этот вопрос на практике просто закрывают глаза);

  • отсутствие возможности реализовать полностью автономное хранилище информации (решается средствами защиты доступа к стандартному хранилищу или реализацией автономного хранилища программными средствами, что описано выше).

Сравнение с Secure Boot (и его расширениями)

Стандартом де-факто (базовым) по доверенной загрузке ОС является технология Secure Boot.

Принцип действия Secure Boot заключается в верификации подписи (или сравнении хэшей) загружаемых с диска модулей (драйверов, утилит, загрузчиков ОС) на сертификатах, установленных в служебных NVRAM-переменных PK, KEK, db, dbx (при верификации подписи). Непосредственная передача управления загрузчику ОС не входит в прямую зону ответственности Secure Boot.

Достаточно ли возможностей Secure Boot, чтобы закрыть вопрос доверенной загрузки ОС в рамках заявленной функциональности?

Преимущества ViPNet SafeBoot по сравнению с Secure Boot:

  • возможность гибкой настройки контроля целостности загружаемой исполняемой среды — с возможностью постановки на контроль целостности всех необходимых исполняемых файлов ОС, без необходимости переподписи исполняемых файлов при смене ключа и т.д.;

  • автоматизация процесса постановки на контроль целостности (процесс управления ключами контроля целостности в Secure Boot достаточно сложный);

  • использование ГОСТ-криптографии для контроля целостности;

  • наличие собственных средств защиты от обхода разных уровней (по сравнению с простой и потенциально нулевой защитой на базе пароля на вход в BIOS Setup в Secure Boot).

Недостатки ViPNet SafeBoot по сравнению с Secure Boot:

  • необходимость в дополнительной установке;

  • требуются новые знания по методам работы с ViPNet SafeBoot.

Заключение

Мы попытались представить наш продукт ViPNet SafeBoot с технической точки зрения. Готовы к обратной связи, у нас много планов по развитию ViPNet SafeBoot! Мы открыты к предложениям и ждем комментариев от тех, кто уже эксплуатирует наш продукт и от тех, кто только узнал о его существовании.

Содержание

  1. ViPNet контроль приложений отключить
  2. Как отключить Контроль приложений ViPNet
  3. Как отключить автоматическую загрузку ViPNet Монитор до появления окна логина в операционную систему?
  4. ViPNet контроль приложений отключить
  5. Как отключить Контроль приложений ViPNet
  6. Wiki по СКЗИ ViPNet
  7. Известные проблемы и их решения
  8. Дистрибутивы ПО ViPNet
  9. Обращения в ГАУ РК ЦИТ

ViPNet контроль приложений отключить

ПО ViPNet Client в своем составе имеет так называемый Контроль приложений — приложение, которое представляет собой небольшую программу, запускаемую автоматически вместе с Windows после авторизации в ViPNet и контролирующее все программы, установленные на компьютере. Безусловно, вопросов по работе этой программы не имеется. Но в некоторых случаях ее необходимо отключить. Посмотрим, как можно быстро и навсегда отключить Контроль приложений ViPNet.

Как отключить Контроль приложений ViPNet

Необходимость отключения возникает вследствие постоянно всплывающих окон с предложением Разрешить или Запретить работу программ с сетью, что вызывает опредленные неудобства при работе за компьютером.

Чтобы отключить Контроль приложений ViPNet, откройте окно настроек, выберите меню Настройка. В правой части снимите флажок Автоматически запускать после авторизации в ViPNet при старте Windows.

Здесь же — в разделе Политика безопасности в строке При сетевой активности приложения выберите Разрешить работу с сетью. В строке Контролировать изменения в приложенияхНе контролировать. Нажмите Применить. Закройте Контроль приложений, нажав правой кнопкой на значке в системном трее. Больше он не запускается.

Как отключить автоматическую загрузку ViPNet Монитор до появления окна логина в операционную систему?

Пользователи сети ViPNet могут выполнять расширенные настройки программного обеспечения ViPNet, установленного на их сетевых узлах. Для входа в режим расширенных настроек введите пароль администратора сетевого узла ViPNet. При работе в этом режиме все ограничения, накладываемые уровнем полномочий пользователя, снимаются. Для получения индивидуального пароля администратора для сетевого узла (из сети 4337) обратитесь в службу технической поддержки. После получения пароля войдите в режим администратора: «Сервис» => «Настройка параметров безопасности» => «Администратор» => «Вход в режим администратора» и выполните следующие действия:

    Установите флажки «Не активизировать защиту IP-трафика при загрузке операционной системы» и «Не запускать монитор после входа в операционную систему». В этом случае при загрузке Windows не будет выполняться аутентификация пользователя ViPNet, а также будет невозможен доступ к домену, контроллер которого является защищённым или туннелируемым.

Автоматическое подключение к сетевым защищённым или туннелируемым ресурсам также станет невозможным. Однако вы сможете восстановить подключение к защищённым ресурсам вручную после запуска программы ViPNet Монитор и прохождения аутентификации, после чего будет активирована защита IP-трафика.

  • В режиме пользователя можно отключить защиту компьютера с помощью ViPNet. Для этого откройте программу ViPNet Client Монитор, выберите: «Файл» => «Конфигурации» => «Отключить защиту» и перезагрузите ПК. При необходимости аналогичным способом включите защиту.
  • ViPNet контроль приложений отключить

    ПО ViPNet Client в своем составе имеет так называемый Контроль приложений — приложение, которое представляет собой небольшую программу, запускаемую автоматически вместе с Windows после авторизации в ViPNet и контролирующее все программы, установленные на компьютере. Безусловно, вопросов по работе этой программы не имеется. Но в некоторых случаях ее необходимо отключить. Посмотрим, как можно быстро и навсегда отключить Контроль приложений ViPNet.

    Как отключить Контроль приложений ViPNet

    Необходимость отключения возникает вследствие постоянно всплывающих окон с предложением Разрешить или Запретить работу программ с сетью, что вызывает опредленные неудобства при работе за компьютером.

    Чтобы отключить Контроль приложений ViPNet, откройте окно настроек, выберите меню Настройка. В правой части снимите флажок Автоматически запускать после авторизации в ViPNet при старте Windows.

    Здесь же — в разделе Политика безопасности в строке При сетевой активности приложения выберите Разрешить работу с сетью. В строке Контролировать изменения в приложенияхНе контролировать. Нажмите Применить. Закройте Контроль приложений, нажав правой кнопкой на значке в системном трее. Больше он не запускается.

    Wiki по СКЗИ ViPNet

    Известные проблемы и их решения

    Для удаления ViPNet в данном случае вам необходимо выполнить следующее:

    1. Выполнить запуск Операционной Системы в безопасном режиме(клавиша F8).
    2. Запустите редактор реестра: Пуск — Выполнить, укажите regedit.exe и нажмите ОК
    3. В реестре найдите слева ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal
    4. В этой ветке создайте раздел с названием MSIServer (путь должен получиться HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMSIServer)
    5. Откройте этот раздел. Справа дважды щелкните по «(По умолчанию)»
    6. Введите значение service и нажмите на ОК.
    7. Запустите Пуск — Все выполнить , укажите services.msc и нажмите на ОК
    8. Найдите службу Установщик Windows, щелкните правой кнопкой и запустите ее.
    9. Теперь можно удалить ViPNet через Установку и удаление программ в Панели управления.

    Некорректно удалилась предыдущая версия программы ViPNet

    1. Нажмите на Пуск -> Выполнить (или на клавиатуре Win+R)
    2. В появившемся окне введите regedit.exe и нажмите на ОК
    3. Открыть папку HKEY_LOCAL_MACHINESoftwareInfoTecsSetupProducts
      1. Если в ней есть папка Infotecs-Client, переименовать ее в -Infotecs-Client(поставить вначале -)
    4. Открыть папку HKEY_LOCAL_MACHINESoftwareWow6432NodeInfoTecsSetupProducts (если есть)
      1. Если в ней есть папка Infotecs-Client, переименовать ее в -Infotecs-Client(поставить вначале -)
    5. Установить ViPNet

    Недостаточно места на диске C

    На диске C: должно быть не менее 10 ГБ свободного места. Удалите (перенесите) лишние файлы с этого диска и заного Установите ViPNet в программе обновления.

    Отключена служба Брандмауэр Windows

    При этом в логе C:ProgramDataInfoTeCSInstallerDataViPNet ClientLogsSetup.msi_XXX можно увидеть строчку вида

    Failed to start service MpsSvc. Error code = 1058, (0x422) — Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.

    1. Откройте Пуск -> Панель управления -> (проверьте что справа-вверху стоит вид «Мелкие значки» или «Крупные значки») -> Администрирование
    2. Запустите Службы
    3. Найдите службу Брандмауэр Windows. Дважды кликните на ней, зайдя в свойства.
    4. В окне свойств убедитесь, что Тип запуска отличен от «Отключено». Если установлено «Отключено», выберите вариант «Автоматически» и нажмите на ОК.
    5. Попробуйте переустановить ViPNet

    Проблемы с антивирусным ПО

    Выключите антивирус полностью и попробуйте установить ViPNet снова, возможно потребуется удаление антивируса.

    Отсутствуют обновления ОС

    Работает только на лицензионной Windows!

    Установите все последние обновления ОС

    Проблемы с установкой драйвера ViPNet (что-то, вероятнее всего драйвера, блокирует изменение одной ветки реестра)

    Также эту проблему (0x80070005) можно увидеть в логе C:ProgramDataInfoTeCSInstallerDataDrvInstallInstallIpLirim.log :

    2017/11/17 14:59:58 — Installing component «IplirLwf»
    2017/11/17 15:00:01 — INetCfgClassSetup::Install successful
    2017/11/17 15:00:01 — Successfully installed, apply the changes
    2017/11/17 15:00:01 — Operation failed with error 0x80070005.

    Установку ViPNet необходимо производить в безопасном режиме с загрузкой сетевых драйверов (решение для Windows 7):

    1. Перезагрузитесь и в начале загрузки жмите много раз F8
    2. Выберите вариант загрузки Безопасный режим с загрузкой сетевых драйверов
    3. Загрузитесь до рабочего стола, ошибки Secret Net игнорируйте
    4. Запустите редактор реестра: Пуск — Выполнить, укажите regedit.exe и нажмите ОК
    5. В реестре найдите слева ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork
    6. В этой ветке создайте раздел («папку») с названием MSIServer (путь должен получиться HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkMSIServer)
    7. Откройте этот раздел. Справа дважды щелкните по «(По умолчанию)«
    8. Введите значение service и нажмите на ОК.
    9. Запустите Пуск — Все выполнить , укажите services.msc и нажмите на ОК
    10. Найдите службу Установщик Windows, щелкните правой кнопкой и запустите ее.
    11. Запустите установку ViPNet снова.

    Неверные настройка даты, времени и часового пояса.
    Проверьте настройки даты и времени. Должно быть точное московское время. Максимальная допустимая раница 2 часа.

    Не запустилась служба ViPNet.

    1. Зайдите в ViPNet под администратором.
    2. Файл — Конфигурации — Отключить защиту.
    3. Файл — Конфигурации — Включить защиту.
    4. Проверьте доступность узлов.

    Блокирует трафик от ViPNet клиента

    1. Проверьте наличие ПО, которое может блокировать трафик. Это может быть любой Firewall или Антивирус.
    2. Если вы используете прокси, то необходимо разрешить прохождение пакетов от ViPNet, добавить необходимы адреса в исключение.
    3. Попробуйте подключить ПК к другой сети. Если узлы стали доступны, то возможно трафик блокируется сетевым оборудованием.

    Проблемы с ОС или сетевыми драйверами

    1. Попробуйте установить ViPNet с этой ключевой на другой ПК. Если все узлы доступны, то скорее всего проблема в ПК.
    2. Удалите ViPNet клиент, и полностью переустановить сетевые драйвера. Установите клиент повторно.

    Проблемы с самой ключевой информацией

    Вы использовали старую ключевую при установке. ( Важно! Ключевая могла быть удалена или возвращена. Для уточнения подобной информации необходимо направить обращение в «ЦИТ») Необходимо переинициализировать клиент свежей ключевой. Ключевую можно запросить в ГАУ РК «ЦИТ» обычным обращением.

    Ничего не помогло, вы ипользовали свежую ключевую, у вас в сети ничего не блокируется и на соседнем ПК все работает, а переустановка не помогает.

    В данном случае потребуется переустановка ОС.

    Проверьте наличие прокси. Необходимо добавить адрес системы в исключение.

    Прокси нет, а в браузере вы видите ошибку DNS.

    • В инструкции по установке ViPNet есть пункт настройка DNS. Выполните настройку DNS.
    • Можно добавить адрес в файл host, в виде IP адрес DNS имя. В файле host есть примеры добавления.

    В данном случае велика вероятность того, что MFTP на данном узле сломан.
    Для проверки на наличие ошибок необходимо сделать следующее:

    1. Открыть ViPNet Монитор
    2. Нажать кнопку приложения и выбрать транспортный модуль.
    3. В появившемся окне нажать несколько раз кнопку опросить.
    4. Если в текстовом окне ниже вы видете сообщение Connection is already established with (номер координатора), то MFTP на данном узле работает.
    5. Если вы видете ошибку Error (текст ошибки), то ваш узел не может соединиться с координатором, для получения почты и обновлений. В данном случае необходимо переинициализировать ViPNet клиент или переустановить его. Для этого необходимо использовать свежую ключевую.

    Для проверки доступа в сеть Интернет можно отключить ViPNet клиент. Для этого необходимо:

    1. Зайдите в ViPNet под администратором.
    2. Файл — Конфигурации — Отключить защиту.

    Если при отключении защиты ViPNet, доступ в сеть Интернет есть, то фильтры открытой сети были настроены неверно или не настраивались. Необходимо настроить фильтры открытой сети на доступ в сеть Интернет.

    Если при откллючении защиты ViPNet, Доступ в сеть Интернет не появился, значит проблема не связанна с клиентом ViPNet. Рекомендуется проверить сеть в организации и настройки сети на рабочем месте. Возможно стоит обновить сетевые драйвера.

    Отключить обрабуотку прикладного протокола DNS.

    1. Зайти в режим администратора.
    2. Сервис.
    3. Настройка приложения.
    4. Прикладные протоколы.
    5. Двойной клик по строке «Система доменных имен (DNS)»
    6. Снять галочки с используемых портов и нажать ОК.
    7. Нажать кнопку применить.

    Настройте фильтры открытой сети по инструкции.

    Добавление фильтра открытой сети открывающего весь трафик.

    1. Выполнить вход администратора.
    2. Сетевые Фильтры — Фильтры открытой сети.
    3. Кнопка Создать.
    4. В появившемся окне введите имя правила (произвольное).
    5. Установите гплочку напротив пункта пропускать трафик.
    6. Нажмите ОК.
    7. Нажмите кнопку Применить и согласитесь на изменнения.

    Есть 2 способа устранить данную проблему.

    1. Переинициализировать ViPNet клиент свежей ключевой. Для получени нового файла ключевой информации ViPNet, необходимо сделать обращение в ГАУ РК ЦИТ. Пример обращения на получение ключевой информации можно найти ниже.
    2. Запросить обновления справочников и ключей. Для этого необходимо сделать обращение в ГАУ РК ЦИТ. Пример обращения на рассылку справочников и ключей можно найти ниже. Данный способ поможет устранить проблему только, если ваш ViPNet клиент обновлен до версии 4 и работает исправно.

    О статусе письма можно узнать в справке приложения Деловая почта.

    1. Справка — Контекстная справка.

    Не рекомендуется устанавливать ViPNet клиент и Континент АП на одно рабочее место. Это приведёт к конфликту между двумя программами и вы не сможете получить доступ к информационным системам.

    Для получения доступа к системе СУФД через ViPNet, необходимо оформить обращение в ГАУ РК ЦИТ с просьбой открыть доступ и настроить рабочее место.

    Необходимо будет настроить файл hosts. По умолчнию файл находится тут: «Системный диск:WindowsSystem32driversetc «. Файл hosts необходимо открыть в любом текстовом редакторе с правами администратора и добавить следующие строки:
    10.136.7.36 s0700w03.ufk07.roskazna.local
    10.136.7.36 sufd.s0700w03.ufk07.roskazna.local

    Как удалить ViPNet, если вы не можете пройти авторизацию после запуска ПК?
    Показывается ошибка Не удается установить ViPNet или ViPNet не устанавливается.
    Недоступны все узлы в защищённой сети ViPNet
    Ping до информационной системы есть, но страница в браузереРДП не работают
    Не работает FTP
    1. Зайдите в ViPNet под администратором.
    2. Сервис — Настройка приложения.
    3. Прикладные протоколы.
    4. Выберите протокол Передача файлов FTP и снимите галочку с tcp 21.
    Узел не получает обновления и деловую почту, но узлы доступны.
    Не работает Интернет
    Ошибки ключей. Не найден ключ для сетевого узла.
    Ошибка «Не найден действующий список отозванных сертификатов» Для устранения данной проблемы необходимо создать обращение в ГАУ РК ЦИТ
    Статусы писем в Деловой почте
    ViPNet клиент и Континент АП (СУФД)
    Совместимость ViPNet клиент с иным ПО Проблемы с совместимостью ViPNet клиент наблюдаются со следующим списком ПО:

    • Континент АП или иные клиенты VPN
    • Антивирус Dr.Web
    • Программные межсетевые экраны

    Дистрибутивы ПО ViPNet

    Обращения в ГАУ РК ЦИТ

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента, ключевая которого вам нужна.
    2. ID узла ViPNet клиента, на Деловую почту которого вам будет направлена данная ключевая.

    Можно указать список из ID узлов ViPNet.

    Важно! Убедитесь в том, что вы указываете именно ID узла (в 3 версии ViPNet клиента Номер АП), а не ID пользователя. Они очень похожи друг на друга. У некоторых узлов эти значения могут быть одинаковыми. Инструкцию Как узнать ID узла? можно посмотреть тут.

    Важно! Убедитесь в том, что узел, который вы указываете в качестве получателя может получить письмо по Деловой почте. Он должен быть рабочим, а узел ЦИТ_S_B_Сыктывк_Коммун-я 8;Core доступен.

    Пример:

    Просьба выслать ключевую информацию для узла *ID узла (1)* по Деловой почте на узел *ID узла (2)*.

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента на который необходимо выслать обновления.
    2. Описать проблему. Рекомендуется приложить скриншот с ошибкой.

    Важно! Узел, который вы указываете в качестве получателя может быть сломан, и обновления до узла не дойдут. В данном случае поможет только переинициализация ключей или переустановка клиента.

    Пример:

    Просьба выслать обновление справочников и ключей для узла *ID узла (1)* , так как Описание проблемы(2).

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента которому необходимо открыть доступ.
    2. IP адрес, DNS имя и наименование системы, к которой необходимо открыть доступ.

    Важно! Рекомендуется указывать как можно больше информации о системе. Если вы укажите только название информационной системы, есть вероятность того, что мы будем запрашивать у вас дополнительную информацию.

    Важно! Мы можем открыть доступ только к системам, которые сопровождает ГАУ РК ЦИТ. Доступ к другим системам, например ФРДО, Промед или ТФОМС открывают администраторы соответствующих сетей. Со своей стороны ГАУ РК ЦИТ может только сделать связь между вашим узлом и узлом чужой сети, поэтому открытие доступа к таким системам может занять значительно больше времени.

    Пример:

    Просьба открыть доступ для узла *ID узла (1)* к Информация о системе(2).

    Adblock
    detector

    Обращение на получения ключевой информации ViPNet (файл формата .dst, необходимый для инициализации ViPNet клиента).
    Обращение на получения обновления справочников и ключей.
    Обрашение на открытие доступа к системе.

    Предложите, как улучшить StudyLib

    (Для жалоб на нарушения авторских прав, используйте

    другую форму
    )

    Ваш е-мэйл

    Заполните, если хотите получить ответ

    Оцените наш проект

    1

    2

    3

    4

    5

    Содержание

    1. Как отключить криптопровайдер в Vipnet Client.
    2. Как отключить криптопровайдер в Vipnet Client 3.2
    3. Как отключить криптопровайдер в Vipnet Client 4.3
    4. Как отключить криптопровайдер в Vipnet Client.: 4 комментария
    5. Обзор программного модуля доверенной загрузки уровня UEFI BIOS ViPNet SafeBoot
    6. Введение
    7. Системные требования к ViPNet SafeBoot и соответствие нормативным требованиям
    8. Установка ViPNet SafeBoot и комплект поставки
    9. Функциональные возможности ViPNet SafeBoot
    10. Работа с продуктом ViPNet SafeBoot
    11. Раздел «Параметры загрузки операционной системы»
    12. Раздел «Контроль целостности»
    13. Раздел «Пользователи»
    14. Раздел «Журнал событий»
    15. Раздел «Другие настройки»
    16. Выводы
    17. Подробнее о VipNet – возможности и влияние, способы удаления
    18. Что такое VipNet
    19. Возможности VipNet для построения VPN
    20. Влияние ViPNet на производительность системы
    21. Установка ViPNet Client
    22. Инициализация ViPNet
    23. Настройка ViPNet
    24. Деинсталляция ViPNet Client
    25. Как удалить VipNet
    26. Деинсталляция криптопровайдера CSP
    27. Шаг 1: Резервное копирование
    28. Деинсталляция ViPNet LSS
    29. Шаг 2: Создание точки восстановления Windows
    30. Шаг 3: Деинсталляция CSP
    31. Деинсталляция VipNet Client
    32. Работа с набором ключей dst
    33. Деинсталляция в Безопасном режиме
    34. Вопросы и ответы: ViPNet Client for Windows
    35. Вопросы и ответы: ViPNet Client for Windows
    36. При установке ViPNet Client 4-х совместно с ПО Secret Net Studio 8 возникают проблемы при работе ПК (периодически пропадает сеть, появляется «Синий экран» BSOD).
    37. После запуска ViPNet Client появляется окно: «Истек срок действия ключа электронной подписи текущего сертификата подписи».
    38. Если требуется перенести ViPNet Client с одного компьютера на другой с сохранением конфигурации.
    39. При установке ViPNet Client 4-х на ноутбук HP с ОС Windows 10 выходит сообщение «Не удалось установить ViPNet Client».
    40. В сертифицированной версии 4.5.1-57252 отсутствует «Приложения/Транспортный модуль».
    41. В списке защищенных узлов ПО ViPNet Client все клиенты при проверке связи с ними отображают статус «Недоступен».
    42. На ПК не доставляются обновления ПО ViPNet Client, а также большие по размеру письма в почте.
    43. В ПО ViPNet Client 4-ой версии не удается войти в режим администратора посредством «Файл/Войти в режим администратора», появляется сообщение: «Неверный пароль. Пожалуйста, повторите ввод».
    44. Установка ПО ViPNet Client 4-ой версии оканчивается возвращением системы на исходное состояние и сообщением о необходимости обратиться к администратору сети ViPNet.
    45. При совместном использовании ПО ViPNet Client и Kaspersky Endpoint Security версии 11.0.0.6499 происходит аварийная перезагрузка ОС (BSOD).
    46. Срок действия лицензии на программу заканчивается или закончился.
    47. Программа ViPNet не позволяет войти в систему Windows.
    48. SIP-клиент Zoiper сбрасывает входящие звонки.
    49. Невозможно запустить службу MSSQLSERVER.
    50. Невозможно работать в Windows с правами администратора.
    51. Невозможно установить соединение по протоколу PPPoE.
    52. Медленное соединение с ресурсами в интернете.
    53. Невозможно сохранить пароль.
    54. Ошибка при повторном разворачивании DST.
    55. Не найдены ключи пользователя или неверный пароль.
    56. Невозможно произвести авторизацию пользователя ViPNet.
    57. Программа ViPNet Client не запускается после загрузки Windows.
    58. Невозможно установить или обновить программу ViPNet Client.

    Как отключить криптопровайдер в Vipnet Client.

    Отключение криптопровайдера в Vipnet Client помогает избавится от ряда проблем в эксплуатации компьютера. Список в каких случаях это может помочь:

    Возникают эти ошибки в следствии того, что «VipNet Client» после установки выступает в качестве криптопровайдера «по умолчанию» и с помощью него производят шифрование программы использующие Microsoft Crypto API.

    Как отключить криптопровайдер в Vipnet Client 3.2

    Для того, чтобы отключить криптропровайдер в Vipnet Client 3.2:

    Как отключить криптопровайдер в Vipnet Client 4.3

    По умолчанию криптопровайдер в VipNet Client 4.3 отключен. Но, на всякий случай, рассмотрим как его отключить.

    Как отключить криптопровайдер в Vipnet Client.: 4 комментария

    Добрый день! Я не могу войти в свой компьютер так как программа VipNet клиент (vjybnjh) требует пароль

    Здравствуйте,Алена!
    Для входа с использованием VipNet Client, вам потребуется парольная фраза (обычно состоит из 3-х слов). Передается такой пароль обычно вместе с файлами настройки *.dst. Вполне возможно, что вы получали эти ключи централизованно, тогда Вам потребуется найти администратора VipNet координатора, т.к. могут они генерировать эти парольные фразы с файлами настроек, либо вышестоящая организация.

    Здравствуйте! Не могу удалить программу vipnet CSP. Ничего не работает в нооутбуке кроме Яндекс браузера. Как удалить?

    В открывшемся окне «Настройка параметров безопасности» необходимо перейти на вкладку «Криптопровайдер» и нажать на кнопку «Выключить» в поле «Поддержка работы VipNet CSP через MS Crypto API включена» ( Рисунок 3 ).

    Источник

    Обзор программного модуля доверенной загрузки уровня UEFI BIOS ViPNet SafeBoot

    picture 107133 1515669351

    safeboot field

    Мы протестировали ViPNet SafeBoot — сертифицированный ФСТЭК России программный модуль доверенной загрузки (МДЗ), устанавливаемый в UEFI BIOS различных производителей. Продукт предназначен для идентификации и аутентификации пользователей, разграничения доступа на основе ролей, а также организации доверенной загрузки операционной системы. В статье расскажем о системных требованиях и функциональных возможностях продукта, рассмотрим процесс инициализации и конфигурирования, а также поделимся результатами реального тестирования на двух операционных системах — Windows 10 и Ubuntu 17.

    219

    Сертификат AM Test Lab

    Номер сертификата: 219

    Дата выдачи: 19.03.2018

    Срок действия: 19.03.2023

    Введение

    Системные требования к ViPNet SafeBoot и соответствие нормативным требованиям

    Программный комплекс ViPNet SafeBoot не может быть установлен обычным пользователем, его необходимо инсталлировать непосредственно в BIOS с помощью специально подготовленных сервисных инженеров, в качестве которых готовы выступить и непосредственно сотрудники компании-производителя.

    К компьютеру, предназначенному для установки ViPNet SafeBoot, предъявляются следующие требования:

    Таким образом, ViPNet SafeBoot возможно установить практически на любой современный компьютер или сервер, при этом не нарушая аппаратную конфигурацию и без необходимости дополнительных вмешательств в операционную систему.

    ViPNet SafeBoot сертифицирован ФСТЭК России на соответствие требованиям руководящих документов к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса, что позволяет легитимно использовать продукт для построения ИСПДн до УЗ1 включительно, ГИС до 1 класса защищенности включительно, АСУ ТП до 1 класса защищенности включительно. Применение ViPNet SafeBoot также обеспечивает выполнение соответствующего набора требований приказов ФСТЭК №17 по защите государственных информационных систем, №21 по защите информационных систем персональных данных, №31 по защите автоматизированных систем управления технологическим процессом.

    Установка ViPNet SafeBoot и комплект поставки

    Еще раз подчеркнем, что МДЗ ViPNet SafeBoot — не коробочный продукт, его установку в UEFI BIOS компьютера или сервера рекомендуется выполнять, обратившись непосредственно к производителю — ОАО «ИнфоТЕКС», инженеры которого готовы произвести указанные работы. Также установку могут произвести специалисты компаний-партнеров, которые активно набирают в свой штат таких специалистов. В комплект поставки ViPNet SafeBoot помимо самого модуля входят:

    Функциональные возможности ViPNet SafeBoot

    С учетом современного ландшафта угроз информационной безопасности защита для компьютеров и серверов должна действовать с момента их включения, причем время до старта операционной системы является ключевым для доверия к информационной системе в целом. На самых ранних этапах загрузки существуют риски передачи управления нештатному загрузчику, эксплуатации вредоносного кода в BIOS, перехвата данных, отключения защитных механизмов. Все это может привести к обходу подключаемых позже средств защиты и краже данных. Защита от описанных выше угроз обеспечивается за счет следующих функциональных возможностей:

    Учитывая богатый набор функций, встраивание модуля доверенной загрузки ViPNet SafeBoot непосредственно в BIOS позволяет повысить уровень доверия к системе за счет:

    Работа с продуктом ViPNet SafeBoot

    Для тестирования функциональности ViPNet SafeBoot производитель предоставил нам образ с предустановленным МДЗ в BIOS виртуальной машины. Поскольку вендор заявляет поддержку любых операционных систем, мы решили проверить это утверждение на практике, установив по очереди Windows 10 и Ubuntu 17. Сразу отметим, что обе операционные системы установились корректно и работали в обычном для пользователей режиме без нареканий, однако в процессе установки пришлось попотеть, постоянно меняя загрузочные области и пересчитывая контрольные суммы. Что ж, не такая уж это и высокая цена за должный уровень безопасности.

    Запустив машину, первым делом предприняли попытку зайти в настройки BIOS штатным способом (клавиша F2 или Delete), однако отобразилось сообщение о запрете данного действия. Это говорит о том, что ViPNet SafeBoot начинает работу действительно сразу после нажатия кнопки включения. Забегая вперед, войти в стандартный BIOS Setup все-таки возможно, но пройдя успешную авторизацию в МДЗ в роли Администратора и выбрав в настройках соответствующую опцию «Разрешить однократный вход в BIOS Setup при следующей перезагрузке». Пользователю такая возможность не предоставляется.

    Рисунок 1. Запрет доступа к настройкам BIOS традиционным способом

    1

    Далее ViPNet SafeBoot предлагает осуществить идентификацию и аутентификацию.

    Рисунок 2. Вход в систему ViPNet SafeBoot

    2

    После корректного ввода учетных данных доступен режим настройки по нажатию F2, в противном случае происходит загрузка штатной операционной системы.

    Кажущийся устаревшим интерфейс конфигурирования ViPNet SafeBoot предоставляет весьма широкие возможности по настройке продукта. Отметим, что в ближайшее время производитель планирует реализовать новый user friendly интерфейс.

    Рисунок 3. Интерфейс настроек ViPNet SafeBoot

    3

    Раздел «Параметры загрузки операционной системы»

    Наиболее важной опцией в этом разделе является жесткая установка устройства загрузки операционной системы, вплоть до указания физического адреса раздела диска, без какой-либо возможности изменения в ходе загрузки (например, по нажатию F10, F11 или F12, как это принято в большинстве современных BIOS). Именно этот параметр и обеспечивает важнейшую функциональность продукта — невозможность обхода запуска установленной штатной операционной системы.

    Рисунок 4. Раздел «Параметры загрузки операционной системы» в ViPNet SafeBoot

    4

    Раздел «Контроль целостности»

    Важно отметить, что ViPNet SafeBoot способен контролировать целостность не только файлов на диске (кстати, полезная опция «Автоопределение компонентов загрузки ОС» для постановки на контроль целостности доступна только для систем семейства Windows), но и отдельных низкоуровневых компонентов, таких как CMOS, таблицы ACPI и SMBIOS, карта распределения памяти и других. В качестве приятного бонуса — присутствует режим обучения, позволяющий исключить из контроля целостности отдельные элементы компонентов, изменяемых при нормальном функционировании системы (например, при контроле CMOS). Элементы, не прошедшие проверку целостности, снимаются с контроля целостности, что позволяет адаптировать систему к контролю определенного набора элементов. Кстати, еще одна отличительная особенность продукта — возможность хранения эталонов не только на диске, но и во внутренней базе данных МДЗ, расположенной в NVRAM.

    Рисунок 5. Раздел «Параметры загрузки операционной системы» в ViPNet SafeBoot

    5

    Раздел «Пользователи»

    В ViPNet SafeBoot реализована ролевая модель разграничения доступа, что позволяет ограничить избыточные функции конфигурирования при входе в качестве Пользователя только его персональными настройками, а при входе в роли Аудитора — дополнительно открывать Журнал событий в режиме «Только чтение». Примечательно, что среди способов аутентификации присутствует возможность доменной авторизации при настройке соответствующей синхронизации с LDAP.

    Рисунок 6. Раздел «Пользователи» в ViPNet SafeBoot

    6

    Раздел «Журнал событий»

    В ViPNet SafeBoot история событий привычно хранится в соответствующем журнале, интерфейс которого не выделяется оригинальностью. Для наглядности критичные инциденты помечаются красным. Эти сведения можно экспортировать, а также настроить гибкое хранение, разрешив при переполнении памяти NVRAM в BIOS записывать события на диск.

    Рисунок 7. Раздел «Журнал событий» в ViPNet SafeBoot

    7

    Раздел «Другие настройки»

    В этом разделе стоит отметить возможность разрешения однократного входа в штатный BIOS Setup, а также очень полезную функцию — импорт и экспорт настроек, что позволяет не только легко осуществлять настройку продукта на нескольких типовых машинах, но и восстанавливать конфигурацию, соответствующую принятым в организации политикам.

    Рисунок 8. Раздел «Другие настройки» в ViPNet SafeBoot

    8

    Остальные разделы конфигурирования ViPNet SafeBoot представляют собой интуитивно понятные инструменты для настройки корневых сертификатов сети и, что приятно удивило, обновлений комплекса.

    Выводы

    В обзоре мы протестировали работу программного модуля доверенной загрузки ViPNet SafeBoot от отечественного производителя — компании ИнфоТеКС, одного из немногих на сегодняшний день продуктов на российском рынке в этом классе. Он позволяет защищать информационные системы, предназначенные для обработки информации ограниченного доступа, путем обеспечения доверенной загрузки операционной системы через установку непосредственно в UEFI BIOS. В ходе практического тестирования оказалось, что даже попасть в настройки BIOS штатными способами невозможно. Обе запланированные нами к установке операционные системы Windows 10 и Ubuntu 17 установились и функционировали без видимых проблем, абсолютно прозрачно для пользователей.

    ИнфоТеКС пополняет свой портфель перспективными решениями, стремясь занять соседние продуктовые ниши, что гармонично укладывается в общее стратегическое развитие компании как отечественного вендора средств обеспечения информационной безопасности. На сегодняшний день вопросы доверия при загрузке операционных систем компьютеров и серверов не кажутся приоритетными при построении комплексных систем информационной безопасности, однако их игнорирование может привести к компрометации всего последующего выстроенного эшелона защиты от киберугроз.

    Преимущества

    Недостатки

    Источник

    Подробнее о VipNet – возможности и влияние, способы удаления

    Информация – один из наиболее важных ресурсов в наши дни. Для повышения уровня защиты и сетевой безопасности девелоперы из разных стран предлагают различные программы, способные сделать коннект более защищённым. Компания ИнфоТеКС, занимающая одно из лидирующих мест на отечественном рынке, предлагает свою личную разработку – ViPNet.

    vip net kak udalit

    Что такое VipNet

    VipNet (ВипНет) – комплект программного и аппаратного обеспечения, предлагающий гибкие VPN-решения для защищённой передачи информации.

    При разработке ИнфоТеКС предусматривал решение нескольких ключевых задач, а именно:

    Сегодня ViPNet включает более десяти продуктов, среди которых наиболее востребованные: Administrator, Coordinator и Client. Именно эти модули являются основой для создания VPN и ИОК.

    Для максимально продуктивного функционирования наиболее оптимально использовать операционные системы Виндовс 98SE, Me, 2000, XP, Server 2003.

    Возможности VipNet для построения VPN

    Основная функция ViPNet – создание межсетевого экрана для надёжного соединения, работы почтовой службы, системы обнаружения вторжений (IDS) и IM-клиента.

    Для сети ViPNet не нужно покупать дополнительное оборудование. Также нет надобности в изменении существующей сети. Программа использует схему с автоматическим распределением, симметричными ключами шифрования и их обновлением.

    Каждый пакет шифрует информацию, используя особенный производительный ключ, без любых процедур интеграции в сеть. Благодаря этому обеспечивается надёжная передача данных даже по небезопасным каналам, характеризующимся значительными потерями трафика.

    ViPNet обеспечивает постоянную работу свойств безопасного соединения благодаря постоянной зашифровке всего IP-пакета, непрерывного обеспечения имитозащиты пакета, невозможности зашифровать определённую часть трафика, идущего в направлении защищенного узла. Софт использует протокол, обеспечивающий защиту даже через устройства NAT/PAT.

    Пиринговые соединения оповещают объединённые узлы друг к другу автоматически. С помощью этой технологии появилась возможность реализовывать схему Client-to-Client, подразумевающую, что вне зависимости от точки подключения к сети и определённой VPN можно объединять компьютеры между собой.

    Влияние ViPNet на производительность системы

    ViPNet имеет минимальное влияние на KPI системы. При реальной скорости в 88 Мбит в секунду (с пропускной способностью 100 Мбит/с) после установки программы скорость может уменьшиться до 80 Мбит/с. Аппаратная платформа непосредственно влияет на скорость зашифровки трафика.

    Установка ViPNet Client

    ViPNet Client — модуль обеспечения, разработанный с целью обезопасить рабочее пространство пользователя или сервера, где установлено прикладное программное обеспечение. Программа сортирует весь входящий и исходящий поток.

    Установка ViPNet Client не составит трудностей. Непосредственно перед установкой нужно проверить сетевые настройки, наличие подсоединения к интернету, дату, время и месторасположение.

    Также важно перепроверить, открыт ли порт UDP 55777 на всех сетевых устройствах.

    ВипНет Клиент может некорректно работать с антивирусами, перед установкой его лучше удалить. Программа создаёт личный межсетевой экран ViPNet Firewall.

    ustanovka vep net

    Инициализация ViPNet

    Весь процесс установки занимает не более 10 минут:

    После завершения установки перезапустите компьютер. На этом этапе программа не готова к работе, так как не установлен ключевой набор. Его можно получить у администратора сети.

    Настройка ViPNet

    ВипНет Клиент настраивает администратор, используя программу Manager. В данной ситуации надобности в мануальных изменениях нет. Конфигурация Client применяется при изменении физического подключения.

    nastroiki vip net

    Если же используется статическая трансляция адресов, меняют настройки на файерволе.

    Первое, что нужно сделать — настроить сервер IP-адресов (определить адрес и выбрать сам сервер). Дальше, если есть необходимость соединения с другими узлами сети, зайдите в «Настройки», где нужно установить определённые параметры. Выполнив необходимые изменения, перейдите назад и из списка сетевых узлов кликните на нужный сервер. Перепроверьте наличие соединения. Если всё сделано корректно, выскочит сообщение о присоединении к серверу IP- адресов. В случае если ничего не появилось, перепроверьте настройки ещё раз.

    Если установлено соединение с IP адресом, другие настройки будут выполнены автоматически.

    Деинсталляция ViPNet Client

    Удаление VipNet CSP – несложный процесс. Рассмотрим подробнее:

    Как только процесс удаления завершится, перегрузите компьютер.

    Программа имеет ряд преимуществ, как технического, так и коммерческого характера. Кроме стандартных VPN-решений, компания ИнфоТеКС предлагает ряд дополнительных возможностей, среди которых чат, видеосвязь, собственная защищённая электронная почта и многое другое. Разработчик постоянно проводит различные курсы по подготовке администраторов и совершенствует собственный софт. ViPNet VPN – это самодостаточный продукт, не нуждающийся в дополнительных элементах и предлагающий оптимальную защиту для компаний. Пользуетесь ли Вы ViPNet? Поделитесь Вашим мнением в комментариях.

    Источник

    Как удалить VipNet

    Программный комплекс ViPNet Client, разработанный специально для Windows OS, позволяет пользователям подключаться к удаленному серверу при помощи VPN-клиента. К сожалению, данное программное решение несовместимо с другим ПО, функционирующим на базе стандарта IPSec: может потребоваться полностью удалить Vipnet для перехода на программу, поддерживающую более усовершенствованный набор межсетевых протоколов.

    kak udalit vipnet

    Деинсталляция криптопровайдера CSP

    Процесс удаления приложения криптографической защиты информации VipNet CSP включает в себя следующие этапы:

    kak udalit vipnet 1

    Рассмотрим каждый шаг в отдельности.

    Шаг 1: Резервное копирование

    Перед тем как полностью удалить VipNet CSP, необходимо сохранить резервные копии контейнеров, содержащих ключи шифрования. Для создания резервной копии любого из сохраненных ключей в CSP нужно для начала понимать, есть ли в базе 1С заявление на подключение фирмы к БД 1С-Отчетность или нет.

    Если копия key расположена в файловой системе компьютера и при этом в информационной базе присутствует заявление на подключение указанной компании к базам 1С-Отчетности, то первым делом потребуется узнать директорию расположения объекта и скопировать его на компьютер – следовать инструкции, представленной ниже. Если заявление на подключение отсутствует, то следует опустить первые шага инструкции:

    kak udalit vipnet 5

    Для восстановления закрытых ключей в ВипНете из созданной резервной копии:

    kak udalit vipnet 7

    Деинсталляция ViPNet LSS

    ViPNet LSS – специальное приложение, созданное для работы с электронными подписями. Прежде чем удалить Vipnet Local Signature Service с ПК, нужно перенести сохраненные сертификаты на другой ПК или съемный носитель. Для этого обязательно нужно экспортировать файлы в контейнере закрытого ключа:

    Обратите внимание! Не стоит пытаться сохранить certificate.cer через закладку «Сертификаты», расположенную на верхней панели инструментов Випнет, выбирать нужный тип сертификата из вкладок «Личные», «Корневые», «Промежуточные» и использовать опцию «Копировать в файл…», после чего сохранять файл в формате «certificate.cer». Если сохранить сертификат без контейнера ключа, то вернуть его обратно в приложение будет невозможно, так как программа выдаст ошибку «25257». При этом создать контейнер для неправильно сохраненного сертификата невозможно: такой объект можно удалить и забыть.

    kak udalit vipnet 8

    Шаг 2: Создание точки восстановления Windows

    Вторым шагом процесса удаления VipNet CSP с компьютера, который позволит полностью обезопасить систему от непредвиденных сбоев, является создание точки отката системы.

    Для этого пользователю потребуется выполнить следующие действия:

    kak udalit vipnet 9

    Шаг 3: Деинсталляция CSP

    После того как приготовления завершены, пользователь сможет спокойно удалить VipNet CSP с компьютера. Для выполнения операции необходимо:

    kak udalit vipnet 10

    После того как компоненты программы деинсталлированы, нужно заняться очисткой файловой системы и реестра от мусорных файлов. Для этого:

    kak udalit vipnet 12

    Деинсталляция VipNet Client

    Прежде чем полностью удалить Vipnet Client, необходимо зайти на ПК под учетной записью Админа:

    kak udalit vipnet 14

    Обратите внимание! После входа с аккаунта Admin’а нужно завершить все процессы exe, которые имеют отношение к клиенту ВипНет, т. е. «Контроль приложений», «Монитор», а также «Деловая почта». Программы находятся в системном трее – в правой части панели инструментов Виндовс. Для закрытия того или иного приложения кликнуть по нему правой кнопкой мыши и выбрать опцию «Выход».

    Теперь можно удалить VipNet Client полностью с Windows 7. С данной задачей отлично справятся сторонние утилиты, такие как Revo Uninstaller или CCleaner. Например, чтобы удалить приложение при помощи CCleaner, понадобится:

    Дополнительно чистить реестр после завершения работы в CCleaner пользователю не придется: деинсталлятор выполнил задачу за него.

    kak udalit vipnet 16

    Работа с набором ключей dst

    В ViPNеt 3.2 и более поздних версиях для того чтобы установить личный набор ключей, достаточно дважды тапнуть клавишей мышки по dst-архиву. Но если данный способ не работает, то юзеру необходимо выполнить следующие шаги:

    kak udalit vipnet 17

    Деинсталляция в Безопасном режиме

    Если пользователь столкнулся с проблемой деинсталляции программ в защищенном режиме после установки драйвера USB-ключа либо по любой другой причине, но ему нужно срочно удалить VipNet Client, тогда на помощь придет встроенный режим «Windows Safe Mode»:

    Источник

    Вопросы и ответы: ViPNet Client for Windows

    Вопросы и ответы: ViPNet Client for Windows

    При установке ViPNet Client 4-х совместно с ПО Secret Net Studio 8 возникают проблемы при работе ПК (периодически пропадает сеть, появляется «Синий экран» BSOD).

    После запуска ViPNet Client появляется окно: «Истек срок действия ключа электронной подписи текущего сертификата подписи».

    Данное сообщение не является ошибкой, это информационное сообщение. Работоспособность сети не нарушается, пропадает только возможность подписывать письма текущим сертификатом. Для получения нового ключа необходимо обращаться к администратору вашей защищенной сети ViPNet.

    Если требуется перенести ViPNet Client с одного компьютера на другой с сохранением конфигурации.

    Перенос возможен только в рамках одной разрядности операционной системы (с 32 бит на 32 бит, с 64 бит на 64 бит).

    Завершите работу ViPNet Client на исходном компьютере, скопируйте полностью папку «ViPNet Client», поместите данную папку на другой компьютер по тому же пути, по которому он был установлен на исходном. Запустите инсталлятор ViPNet Client той же версии на новом компьютере, при установке укажите путь к данной папке ViPNet Client.

    После успешной установки повторное разворачивание ключей не требуется.

    При установке ViPNet Client 4-х на ноутбук HP с ОС Windows 10 выходит сообщение «Не удалось установить ViPNet Client».

    Проверьте на ноутбуке наличие встроенной утилиты HP Velocity. Если данное ПО установлено, его необходимо удалить. Также рекомендуется установить последние драйвера для всех устройств.

    Особенно это касается драйвера сетевой карты. Если установить ViPNet Client после всех действий не удалось, обратитесь в службу технического сопровождения компании «ИнфоТеКС».

    В сертифицированной версии 4.5.1-57252 отсутствует «Приложения/Транспортный модуль».

    В ПО ViPNet Client 4.5 переработан транспортный модуль ViPNet MFTP.

    Программа ViPNet MFTP была заменена кроссплатформенной службой «Транспортный модуль ViPNet MFTP». Служба имеет оптимальные параметры по умолчанию и, как правило, не нуждается в настройке. Указать нестандартные параметры транспортного модуля вы можете с помощью конфигурационного файла.

    В списке защищенных узлов ПО ViPNet Client все клиенты при проверке связи с ними отображают статус «Недоступен».

    Одной из возможных причин является расхождение времени на ПК со временем в сети ViPNet. Проверьте дату, время, часовой пояс и скорректируйте данные, если это требуется. Проверьте доступность узлов.

    В актуальные версии ПО ViPNet Client начиная с 4.5.2 добавлен функционал «Автоматическая синхронизация времени на вашем компьютере с временем в сети ViPNet».

    Если время на вашем компьютере отличается от времени в сети ViPNet, работа в защищенной сети невозможна. Чтобы не отслеживать время самостоятельно, вы можете в настройках программы ViPNet установить автоматическую синхронизацию времени на вашем компьютере с временем в сети ViPNet.

    На ПК не доставляются обновления ПО ViPNet Client, а также большие по размеру письма в почте.

    Если перейти в главном меню ПО ViPNet Client: «Приложения/Транспортный модуль», можно наблюдать, что соединение с координатором устанавливается и начинается процесс загрузки конвертов, но впоследствии загрузка обрывается, процесс зацикливается.

    Если при работе с некоторыми устройствами NAT не проходит передача длинных пакетов, перейдите в подраздел «Защищенная сеть> Дополнительные параметры» и уменьшите значение MSS (максимальный размер сегмента) на величину от 20 до 200 байт.

    В ПО ViPNet Client 4-ой версии не удается войти в режим администратора посредством «Файл/Войти в режим администратора», появляется сообщение: «Неверный пароль. Пожалуйста, повторите ввод».

    Необходимо выполнить вход в режим администратора, посредством «Сервис/Настройка параметров безопасности/Администратор/Войти в режим администратора. ». Если возникает предупреждение «Истек пароль администратора сетевого узла, обратитесь к администратору Вашей сети ViPNet», необходимо обратиться к администратору сети ViPNet, для того чтобы он актуализировал информацию и выслал справочники на узел. После применения справочников на узле доступ в режим администратора должен появиться.

    Установка ПО ViPNet Client 4-ой версии оканчивается возвращением системы на исходное состояние и сообщением о необходимости обратиться к администратору сети ViPNet.

    Если ранее на ПК была установлена и удалена версия ViPNet Client 3-ей версии, необходимо удалить ветки реестра, предварительно создав точку восстановления ОС:

    Выполнить повторную установку ПО ViPNet Client 4-ой версии

    При совместном использовании ПО ViPNet Client и Kaspersky Endpoint Security версии 11.0.0.6499 происходит аварийная перезагрузка ОС (BSOD).

    Срок действия лицензии на программу заканчивается или закончился.

    Программа ViPNet не позволяет войти в систему Windows.

    Проблемы входа в систему Windows могут возникнуть при сбоях в работе программы ViPNet Client или в случае конфликтов компонентов программы с уже установленным ПО. Если другие способы восстановления входа неприменимы, удалите программу ViPNet Client в безопасном режиме Windows.

    Для этого выполните следующие действия:

    SIP-клиент Zoiper сбрасывает входящие звонки.

    Если на компьютере с ПО ViPNet также установлена программа Zoiper, в настройках которой задано использование протокола TCP, то входящие звонки сбрасываются через 30 секунд после принятия вызова.

    Для устранения этой проблемы в настройках программы Zoiper включите использование протокола UDP вместо протокола TCP.

    Невозможно запустить службу MSSQLSERVER.

    Возможно, причиной неполадки является сбой одного из компонентов программы ViPNet Client.

    Для решения данной проблемы выполните следующие действия:

    Невозможно работать в Windows с правами администратора.

    Если вы используете Windows 7 или Server 2008 R2, после обновления программы ViPNet Client возможно нарушение работы в ОС с правами администратора.

    При запуске какой-либо программы или команды от имени администратора появляется сообщение об ошибке, программа или команда не выполняется.

    Для исправления проблемы скачайте с сайта Microsoft (https://www.microsoft.com/ru-ru/download/) обновление KB2533623 отдельно или в составе накопительного пакета обновлений, затем установите обновление на вашем компьютере.

    Невозможно установить соединение по протоколу PPPoE.

    Соединение по протоколу PPPoE может быть заблокировано программой ViPNet Монитор. Для решения данной проблемы выполните следующие действия:

    Медленное соединение с ресурсами в интернете.

    Если вы используете ПО Kaspersky и после установки программы ViPNet Client соединение с сайтами в интернете происходит очень медленно, выполните следующие настройки:

    Невозможно сохранить пароль.

    Сохранение пароля в реестре может противоречить регламенту безопасности вашей организации. Эта возможность определяется настройками программы ViPNet:

    – в режиме работы администратора программы ViPNet Монитор (см. «Дополнительные настройки параметров безопасности»);

    – в программе ViPNet Administrator.

    Если вам необходимо сохранить пароль, обратитесь к администратору сетевого узла или администратору сети ViPNet.

    Ошибка при повторном разворачивании DST.

    Если пароль для входа в программу ViPNet Client сохранен в реестре, после установки нового дистрибутива ключей при запуске программы может появиться сообщение об ошибке.

    В этом случае для первого входа в программу введите пароль. При последующих запусках программы ввод пароля не потребуется.

    Не найдены ключи пользователя или неверный пароль.

    В этом случае в окне ввода пароля щелкните значок справа от кнопки «Настройка», в меню выберите пункт «Папка ключей пользователя» и укажите путь к папке ключей пользователя.

    Если операционная система еще не загружена, в окне ввода пароля ViPNet нажмите кнопку «Отмена». После загрузки операционной системы запустите ViPNet Монитор и укажите путь к папке ключей пользователя.

    Невозможно произвести авторизацию пользователя ViPNet.

    При появлении такой ошибки выполните следующие действия:

    После восстановления программы запустите компьютер в обычном режиме.

    Если приведенные действия не помогли войти в программу ViPNet, обратитесь в службу технического сопровождения компании «ИнфоТеКС».

    Программа ViPNet Client не запускается после загрузки Windows.

    Если на вашем компьютере работает несколько пользователей и компьютер находится не в домене, после входа в Windows программа ViPNet Client может не запускаться автоматически.

    Для исправления проблемы выполните следующие настройки:

    Невозможно установить или обновить программу ViPNet Client.

    Если у вас установлен антивирус Касперского, установка или обновление ViPNet Client может быть заблокировано самозащитой антивируса. Для установки программы:

    Источник

    Пользователи сети ViPNet могут выполнять расширенные настройки программного обеспечения ViPNet, установленного на их сетевых узлах. Для входа в режим расширенных настроек введите пароль администратора сетевого узла ViPNet. При работе в этом режиме все ограничения, накладываемые уровнем полномочий пользователя, снимаются. Для получения индивидуального пароля администратора для сетевого узла (из сети 4337) обратитесь в службу технической поддержки. После получения пароля войдите в режим администратора: «Сервис» => «Настройка параметров безопасности» => «Администратор» => «Вход в режим администратора» и выполните следующие действия:

    1. Установите флажки «Не активизировать защиту IP-трафика при загрузке операционной системы» и «Не запускать монитор после входа в операционную систему». В этом случае при загрузке Windows не будет выполняться аутентификация пользователя ViPNet, а также будет невозможен доступ к домену, контроллер которого является защищённым или туннелируемым.

      Автоматическое подключение к сетевым защищённым или туннелируемым ресурсам также станет невозможным. Однако вы сможете восстановить подключение к защищённым ресурсам вручную после запуска программы ViPNet Монитор и прохождения аутентификации, после чего будет активирована защита IP-трафика.

    2. В режиме пользователя можно отключить защиту компьютера с помощью ViPNet. Для этого откройте программу ViPNet Client Монитор, выберите: «Файл» => «Конфигурации» => «Отключить защиту» и перезагрузите ПК. При необходимости аналогичным способом включите защиту.
    Открыть папку HKEY_LOCAL_MACHINESoftwareInfoTecsSetupProducts

    1. Если в ней есть папка Infotecs-Client, переименовать ее в -Infotecs-Client(поставить вначале -)
    1. Если в ней есть папка Infotecs-Client, переименовать ее в -Infotecs-Client(поставить вначале -)

    Недостаточно места на диске C

    На диске C: должно быть не менее 10 ГБ свободного места. Удалите (перенесите) лишние файлы с этого диска и заного Установите ViPNet в программе обновления.

    Отключена служба Брандмауэр Windows

    При этом в логе C:ProgramDataInfoTeCSInstallerDataViPNet ClientLogsSetup.msi_XXX можно увидеть строчку вида

    Failed to start service MpsSvc. Error code = 1058, (0x422) — Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.

    1. Откройте Пуск -> Панель управления -> (проверьте что справа-вверху стоит вид «Мелкие значки» или «Крупные значки») -> Администрирование
    2. Запустите Службы
    3. Найдите службу Брандмауэр Windows. Дважды кликните на ней, зайдя в свойства.
    4. В окне свойств убедитесь, что Тип запуска отличен от «Отключено». Если установлено «Отключено», выберите вариант «Автоматически» и нажмите на ОК.
    5. Попробуйте переустановить ViPNet

    Проблемы с антивирусным ПО

    Выключите антивирус полностью и попробуйте установить ViPNet снова, возможно потребуется удаление антивируса.

    Отсутствуют обновления ОС

    Работает только на лицензионной Windows!

    Установите все последние обновления ОС

    Проблемы с установкой драйвера ViPNet (что-то, вероятнее всего драйвера, блокирует изменение одной ветки реестра)

    Также эту проблему (0x80070005) можно увидеть в логе C:ProgramDataInfoTeCSInstallerDataDrvInstallInstallIpLirim.log :

    2017/11/17 14:59:58 — Installing component «IplirLwf»
    2017/11/17 15:00:01 — INetCfgClassSetup::Install successful
    2017/11/17 15:00:01 — Successfully installed, apply the changes
    2017/11/17 15:00:01 — Operation failed with error 0x80070005.

    Установку ViPNet необходимо производить в безопасном режиме с загрузкой сетевых драйверов (решение для Windows 7):

    1. Перезагрузитесь и в начале загрузки жмите много раз F8
    2. Выберите вариант загрузки Безопасный режим с загрузкой сетевых драйверов
    3. Загрузитесь до рабочего стола, ошибки Secret Net игнорируйте
    4. Запустите редактор реестра: Пуск — Выполнить, укажите regedit.exe и нажмите ОК
    5. В реестре найдите слева ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork
    6. В этой ветке создайте раздел («папку») с названием MSIServer (путь должен получиться HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkMSIServer)
    7. Откройте этот раздел. Справа дважды щелкните по «(По умолчанию)«
    8. Введите значение service и нажмите на ОК.
    9. Запустите Пуск — Все выполнить , укажите services.msc и нажмите на ОК
    10. Найдите службу Установщик Windows, щелкните правой кнопкой и запустите ее.
    11. Запустите установку ViPNet снова.

    Неверные настройка даты, времени и часового пояса.
    Проверьте настройки даты и времени. Должно быть точное московское время. Максимальная допустимая раница 2 часа.

    Не запустилась служба ViPNet.

    1. Зайдите в ViPNet под администратором.
    2. Файл — Конфигурации — Отключить защиту.
    3. Файл — Конфигурации — Включить защиту.
    4. Проверьте доступность узлов.

    Блокирует трафик от ViPNet клиента

    1. Проверьте наличие ПО, которое может блокировать трафик. Это может быть любой Firewall или Антивирус.
    2. Если вы используете прокси, то необходимо разрешить прохождение пакетов от ViPNet, добавить необходимы адреса в исключение.
    3. Попробуйте подключить ПК к другой сети. Если узлы стали доступны, то возможно трафик блокируется сетевым оборудованием.

    Проблемы с ОС или сетевыми драйверами

    1. Попробуйте установить ViPNet с этой ключевой на другой ПК. Если все узлы доступны, то скорее всего проблема в ПК.
    2. Удалите ViPNet клиент, и полностью переустановить сетевые драйвера. Установите клиент повторно.

    Проблемы с самой ключевой информацией

    Ничего не помогло, вы ипользовали свежую ключевую, у вас в сети ничего не блокируется и на соседнем ПК все работает, а переустановка не помогает.

    В данном случае потребуется переустановка ОС.

    Проверьте наличие прокси. Необходимо добавить адрес системы в исключение.

    Прокси нет, а в браузере вы видите ошибку DNS.

    • В инструкции по установке ViPNet есть пункт настройка DNS. Выполните настройку DNS.
    • Можно добавить адрес в файл host, в виде IP адрес DNS имя. В файле host есть примеры добавления.
    1. Зайдите в ViPNet под администратором.
    2. Сервис — Настройка приложения.
    3. Прикладные протоколы.
    4. Выберите протокол Передача файлов FTP и снимите галочку с tcp 21.

    В данном случае велика вероятность того, что MFTP на данном узле сломан.
    Для проверки на наличие ошибок необходимо сделать следующее:

    Для проверки доступа в сеть Интернет можно отключить ViPNet клиент. Для этого необходимо:

    1. Зайдите в ViPNet под администратором.
    2. Файл — Конфигурации — Отключить защиту.

    Если при отключении защиты ViPNet, доступ в сеть Интернет есть, то фильтры открытой сети были настроены неверно или не настраивались. Необходимо настроить фильтры открытой сети на доступ в сеть Интернет.

    Если при откллючении защиты ViPNet, Доступ в сеть Интернет не появился, значит проблема не связанна с клиентом ViPNet. Рекомендуется проверить сеть в организации и настройки сети на рабочем месте. Возможно стоит обновить сетевые драйвера.

    Отключить обрабуотку прикладного протокола DNS.

    1. Зайти в режим администратора.
    2. Сервис.
    3. Настройка приложения.
    4. Прикладные протоколы.
    5. Двойной клик по строке «Система доменных имен (DNS)»
    6. Снять галочки с используемых портов и нажать ОК.
    7. Нажать кнопку применить.

    Настройте фильтры открытой сети по инструкции.

    Добавление фильтра открытой сети открывающего весь трафик.

    Есть 2 способа устранить данную проблему.

    1. Переинициализировать ViPNet клиент свежей ключевой. Для получени нового файла ключевой информации ViPNet, необходимо сделать обращение в ГАУ РК ЦИТ. Пример обращения на получение ключевой информации можно найти ниже.
    2. Запросить обновления справочников и ключей. Для этого необходимо сделать обращение в ГАУ РК ЦИТ. Пример обращения на рассылку справочников и ключей можно найти ниже. Данный способ поможет устранить проблему только, если ваш ViPNet клиент обновлен до версии 4 и работает исправно.

    О статусе письма можно узнать в справке приложения Деловая почта.

    Не рекомендуется устанавливать ViPNet клиент и Континент АП на одно рабочее место. Это приведёт к конфликту между двумя программами и вы не сможете получить доступ к информационным системам.

    Для получения доступа к системе СУФД через ViPNet, необходимо оформить обращение в ГАУ РК ЦИТ с просьбой открыть доступ и настроить рабочее место.

    Необходимо будет настроить файл hosts. По умолчнию файл находится тут: «Системный диск:WindowsSystem32driversetc «. Файл hosts необходимо открыть в любом текстовом редакторе с правами администратора и добавить следующие строки:
    10.136.7.36 s0700w03.ufk07.roskazna.local
    10.136.7.36 sufd.s0700w03.ufk07.roskazna.local

    • Континент АП или иные клиенты VPN
    • Антивирус Dr.Web
    • Программные межсетевые экраны

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента, ключевая которого вам нужна.
    2. ID узла ViPNet клиента, на Деловую почту которого вам будет направлена данная ключевая.

    Можно указать список из ID узлов ViPNet.

    Важно! Убедитесь в том, что вы указываете именно ID узла (в 3 версии ViPNet клиента Номер АП), а не ID пользователя. Они очень похожи друг на друга. У некоторых узлов эти значения могут быть одинаковыми. Инструкцию Как узнать ID узла? можно посмотреть тут.

    Важно! Убедитесь в том, что узел, который вы указываете в качестве получателя может получить письмо по Деловой почте. Он должен быть рабочим, а узел ЦИТ_S_B_Сыктывк_Коммун-я 8;Core доступен.

    Просьба выслать ключевую информацию для узла *ID узла (1)* по Деловой почте на узел *ID узла (2)*.

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента на который необходимо выслать обновления.
    2. Описать проблему. Рекомендуется приложить скриншот с ошибкой.

    Важно! Узел, который вы указываете в качестве получателя может быть сломан, и обновления до узла не дойдут. В данном случае поможет только переинициализация ключей или переустановка клиента.

    Просьба выслать обновление справочников и ключей для узла *ID узла (1)* , так как Описание проблемы(2).

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента которому необходимо открыть доступ.
    2. IP адрес, DNS имя и наименование системы, к которой необходимо открыть доступ.

    Важно! Рекомендуется указывать как можно больше информации о системе. Если вы укажите только название информационной системы, есть вероятность того, что мы будем запрашивать у вас дополнительную информацию.

    Важно! Мы можем открыть доступ только к системам, которые сопровождает ГАУ РК ЦИТ. Доступ к другим системам, например ФРДО, Промед или ТФОМС открывают администраторы соответствующих сетей. Со своей стороны ГАУ РК ЦИТ может только сделать связь между вашим узлом и узлом чужой сети, поэтому открытие доступа к таким системам может занять значительно больше времени.

    Просьба открыть доступ для узла *ID узла (1)* к Информация о системе(2).

    Программный комплекс ViPNet Client, разработанный специально для Windows OS, позволяет пользователям подключаться к удаленному серверу при помощи VPN-клиента. К сожалению, данное программное решение несовместимо с другим ПО, функционирующим на базе стандарта IPSec: может потребоваться полностью удалить Vipnet для перехода на программу, поддерживающую более усовершенствованный набор межсетевых протоколов.

    Как удалить VipNet

    Удаление сертификатов встроенными средствами Windows

    Если потребовалось все же удалить данные ЭЦП, осуществить это можно не только через специализированное ПО, но и с помощью встроенных средств вашего ПО. Существуют два пути удаления данных: через менеджер сертификатов или через встроенный браузер Internet Explorer.

    Менеджер сертификатов позволяет удалить ЭЦП безвозвратно и подходит в том случае, если вы желаете очистить свой компьютер от личных данных. Для этого в строке «выполнить» меню «Пуск» нужно ввести certmgr.exe или набрать «Управление сертификатами пользователя» ( для Windows 10). Вам откроется список, открываем «Личное» и переходим в «Сертификаты», выбираем нужные вам ЭЦП. На нужной строке кликните правой кнопкой мыши и нажмите «удалить» в выпадающем меню, а после подтвердите выбранное действие.

    Удаление сертификатов через Internet Explorer позволяет удалить только общедоступные данные электронной подписи, а личные данные контейнера останутся на изначальном носителе. Общедоступную часть электронной подписи можно будет восстановить при обращении в организацию, где вы получали ЭЦП. Для удаления части ключа из открытого доступа в браузере войдите в категорию «Сервис» и перейдите в раздел «Свойства браузера». Найдите в этом разделе вкладку «Содержание», выберите в ней пункт «Сертификаты». Найдите нужные данные и нажмите «Удалить».

    Бесплатно

    • 1 бесплатный вопрос
    • Консультация специалиста
    • Ответ в течении 3х рабочих дней
    • Доступ к лицензионным обновлениям программы
    • 1 консультация в месяц
    • Подключение сервиса «1С:ЭДО»

    Инициализация ViPNet

    Весь процесс установки занимает не более 10 минут:

    1. Откройте установщик, начинающийся с Client_RUSxxx, используя учётную запись администратора. Изначально пройдёт проверка наличия компонентов и их установка.
    2. Ознакомитесь с лицензионным соглашением, отметьте галочкой и нажмите «Продолжить».
    3. Высветится окно «Способы установки», нажимаем «Установить сейчас».
    4. В окне с запросом установить ключи выбирайте «Нет».

    После завершения установки перезапустите компьютер. На этом этапе программа не готова к работе, так как не установлен ключевой набор. Его можно получить у администратора сети.

    ViPNet не работает

    ViPNet не запускается

    Иногда пользователи ViPNet Client сталкиваются с проблемой, при которой ViPNet не работает, не запускается, соответственно к сети нет доступа. При попытке запустить программу всплывает окно с предложением войти в режим администратора либо выйти из программы. Что делать в этом случае, как возобновить работу приложения!?

    Возможно существуют и другие решения, более простые, например, при возникновении ошибки IpLirControl служба не найдена.

    А далее, подробно рассмотрим каждый этап по восстановлению работоспособности ViPNet с помощью его переустановки.

    Пошаговая инструкция как решить ошибку отправки отчета в ПФР

    Полное удаление программы СКЗИ

    Шаг 1. Защитите от удаления электронные подписи в реестре

    По инструкции мы будем удалять все следы программы шифрования ViPNet CSP, поэтому обезопасьте себя от случайного удаления действующих электронных подписей. Для этого скопируйте их в другую папку вручную или через ViPNet CSP.

    Копирование ключа вручную

    1. Откройте папку с ЭП. По умолчанию электронные подписи записываются по адресу: C:Users*Имя пользователя*AppDataLocalInfotecsContainers .
    2. Скопируйте электронные ключи в другую папку. Единственное условие, папка не должна содержать наименования «Infotecs» и «Contaiters». В противном случае программа Reg Organizer их удалит.

    Если электронные подписи хранятся в другой папке, и вы не знаете в какой, копируйте подписи с помощью штатных средств ViPNet CSP.

    Копирование ключа ViPNet CSP

    1. Откройте программу VipNet
    2. Откройте электронную подпись для копирования
    3. Выберете место копирования электронной подписи
    4. Скопируйте электронную подпись

    Посмотрите подробную инструкцию «Как скопировать электронную подпись, используя программу ViPNet CSP ».

    После копирования всех ключей, переходите на следующий шаг – загрузка программы Reg Organizer.

    Шаг 2. Загрузите программу Reg Organizer

    Найдите программу Reg Organizer и нажмите на кнопку «Скачать» .

    Рис. 1. Скачивание программы Reg Organizer

    Откроется окно с автоматической загрузкой программы. Чтобы запустить загрузку, нажмите на кнопку «Сохранить файл» .

    После загрузки программы, установите ее.

    Шаг 2. Установите программу

    Запустите загруженный дистрибутив, откроется Мастер установки Reg Organizer. Нажмите «Далее» для начала установки.

    Рис. 4. Мастер установки программы

    Примите условия лицензионного соглашения по использованию программного обеспечения, нажмите «Далее» .

    Рис. 5. Лицензионное соглашение

    В следующем окне выберете папки установки и нажмите «Далее» .

    Рис. 6. Выбор папки установки

    Начнется копирование и распаковку файлов. Дождитесь завершения процессов.

    Рис. 7. Копирование и распаковка файлов

    Завершите установку кнопкой «Завершить» . Не снимайте галочку в пункте «Запустить Reg Organizer» .

    Рис. 8. Завершение установки

    После завершения, программа Reg Organizer откроется автоматически.

    Шаг 3. Удалите ViPNet CSP с помощью программы Reg Organizer

    В левой части окна программы Reg Organizer, выберите пункт «Удаление программ» .

    Рис. 9. Удаление программы

    В разделе «Удаление программ» начните вводить название программы ViPNet CSP, чтобы отфильтровать из списка ненужные программы.

    Выделите программу ViPNet CSP курсором и нажмите на панели кнопку «Удалить программу» .

    Система запросит выбор параметров для изменения компонентов. Выберите пункт «Удалить все компоненты» и нажмите «Продолжить» .

    Рис. 10. Выбор параметров для изменения компонентов

    Запустится стандартное удаление программы. Нажмите на кнопку «Удалить» .

    Рис. 11. Удаление продукта

    Дождитесь завершения удаления, нажмите «Закрыть» .

    Если удаление штатным механизмом завершилось неудачей, не переживайте, это лишь удаление штатным способом. Далее система удалит все его компоненты принудительно.

    Рис. 12. Завершение удаления

    После штатного способа удаления, система предложит перезагрузить систему. Откажитесь, нажав кнопку «Нет» .

    Рис. 13. Отказ от перезагрузки

    После стандартного удаления программа Reg Organizer предложит найти следы удаленной программы. Нажмите «Найти» для начала поиска.

    Рис. 14. Поиск следов программы

    Программа Reg Organizer обнаружит следы VipNet и предложит их удалить. Нажмите на кнопку «Удалить» .

    Рис. 15. Удаление следов VipNet CSP

    Нажмите кнопку «Готово» для завершения удаления.

    Рис. 16. Завершение полного удаления программы

    Сейчас осталось зачистить реестр операционной системы от программы VipNet CSP

    Шаг 4. Зачистите реестр операционной системы с помощью Reg Organizer

    Для очистки реестра, в левой части окна программы Reg Organizer выберите пункт «Редактор реестра» .

    В открытом окне редактора найдите следы программы в реестре. Для этого введите в поиск infotecs и нажмите кнопку «Начать поиск» .

    Рис. 17. Редактор реестра

    После завершения поиска данных, нажмите кнопку «Пометить все» и «Удалить записи» .

    Дождитесь завершения удаления и повторите те же действия с записью в поиске vipnet.

    На этом этапе из системы полностью удалены записи о программе шифрования ViPNet CSP. В качестве заключительного этапа перезагрузите компьютер и может приступать к установке программы криптопровайдера ViPNet CSP.

    Повторная установка программы на компьютер

    Шаг 1. Загрузите средство шифрования ViPNet CSP

    Рис. 19. Выбор версии

    В следующем окне выберите продукт «ViPNet CSP» .

    Рис. 20. Выбор продукта

    На следующей странице выберете версию дистрибутива для загрузки.

    Если у вас Windows 10, в разделе «Бета-версии» доступен только дистрибутив версии 4.2.

    Если операционная система ниже Windows 10, в разделе «Бесплатные продукты» рекомендуем выбирать дистрибутив версии 4.0.

    Рис. 21. Версии ViPNet CSP

    Для загрузки дистрибутива укажите контактные данные: Ф.И.О. и электронную почту. Согласитесь с условиями EULA и введите символы с картинки. Нажмите кнопку «Отправить заявку» .

    Рис. 22. Заявка на загрузку дистрибутива

    Рис. 23. Письмо от webmaster

    Шаг 2. Установите программу

    Откройте загруженный архив и запустите установочный файл. Откроется матер установки ViPNet CSP.

    Рис. 25. Лицензионное соглашение

    Установите курсор в пункт «Я принимаю это соглашение» и нажмите «Продолжить» .

    В следующем окне нажмите на кнопку «Установить сейчас» .

    Рис. 26. Установка ViPNet CSP

    Дождитесь завершения установки программы. По завершении система предложит завершить установку, нажмите на кнопку «Закрыть» .

    Рис. 27. Завершение установки

    Шаг 3. Перезагрузите компьютер

    После закрытия окна установки, система предложит перезагрузить компьютер. Перезагрузите компьютер.

    После перезагрузки компьютера запустите программу ViPNet CSP с ярлыка на рабочем столе.

    Шаг 4. Зарегистрируйте программу

    После перезагрузки компьютера, программа ViPNet CSP предложит зарегистрировать ее официально, в противном случае она проработает в деморежиме 14 дней.

    Если версию ViPNet CSP 4.2 – пункт «Запустить ViPNet CSP» , а после закройте окно программы. И перенаправьте отчет в ПФР.

    Если вы установили версию ViPNet CSP 4.0, выберите пункт «Зарегистрировать ViPNet CSP» и нажмите «Далее» .

    Рис. 28. Регистрация программы

    В следующем окне выберите пункт регистрации «Через интернет (online)» , а затем нажмите «Далее» .

    Рис. 29. Способ запроса на регистрацию

    В следующем окне обязательно укажите электронную почту и серийный номер (указан в письме). Остальные поля заполнять необязательно.

    Рис. 30. Регистрационные данные

    Система зарегистрирует продукт и уведомит об этом. Нажмите «Готово» для завершения.

    Рис. 31. Завершение регистрации

    Теперь выполните переотправку отчета в ПФР.

    Если решить проблему не удалось, обратитесь в техническую поддержку.

    Всё, описанное ниже, подходит для Vipnet Client как версии 3.2, так и версии 4.3. Принцип одинаковый.

    В зависимости от причин переноса и требований к нему можно выбрать один из двух способов:

    1. «Чистая» установка Vipnet на новый компьютер, с последующей загрузкой ключевого дистрибутива (*.dst), который использовался на старом компьютере;
    2. Установка Vipnet на новый компьютер, с предварительным копированием файлов конфигурации и архива писем программы со старого компьютера.

    Содержание

    1. Как удалить VipNet
    2. Деинсталляция криптопровайдера CSP
    3. Шаг 1: Резервное копирование
    4. Деинсталляция ViPNet LSS
    5. Шаг 2: Создание точки восстановления Windows
    6. Шаг 3: Деинсталляция CSP
    7. Деинсталляция VipNet Client
    8. Работа с набором ключей dst
    9. Деинсталляция в Безопасном режиме
    10. Как удалить VipNet
    11. Деинсталляция криптопровайдера CSP
    12. Шаг 1: Резервное копирование
    13. Деинсталляция ViPNet LSS
    14. Шаг 2: Создание точки восстановления Windows
    15. Шаг 3: Деинсталляция CSP
    16. Деинсталляция VipNet Client
    17. Работа с набором ключей dst
    18. Деинсталляция в Безопасном режиме
    19. Wiki по СКЗИ ViPNet
    20. Известные проблемы и их решения
    21. Дистрибутивы ПО ViPNet
    22. Обращения в ГАУ РК ЦИТ
    23. Удаление VipNet
    24. 1. Подготовка перед удалением VipNet
    25. 2. Работа с программой Revo Uninstaller
    26. Подробнее о VipNet – возможности и влияние, способы удаления
    27. Что такое VipNet
    28. Возможности VipNet для построения VPN
    29. Влияние ViPNet на производительность системы
    30. Установка ViPNet Client
    31. Инициализация ViPNet
    32. Настройка ViPNet
    33. Деинсталляция ViPNet Client

    Как удалить VipNet

    Программный комплекс ViPNet Client, разработанный специально для Windows OS, позволяет пользователям подключаться к удаленному серверу при помощи VPN-клиента. К сожалению, данное программное решение несовместимо с другим ПО, функционирующим на базе стандарта IPSec: может потребоваться полностью удалить Vipnet для перехода на программу, поддерживающую более усовершенствованный набор межсетевых протоколов.

    felap5za

    Деинсталляция криптопровайдера CSP

    Процесс удаления приложения криптографической защиты информации VipNet CSP включает в себя следующие этапы:

    j20pgvuh

    Рассмотрим каждый шаг в отдельности.

    Шаг 1: Резервное копирование

    Перед тем как полностью удалить VipNet CSP, необходимо сохранить резервные копии контейнеров, содержащих ключи шифрования. Для создания резервной копии любого из сохраненных ключей в CSP нужно для начала понимать, есть ли в базе 1С заявление на подключение фирмы к БД 1С-Отчетность или нет.

    Если копия key расположена в файловой системе компьютера и при этом в информационной базе присутствует заявление на подключение указанной компании к базам 1С-Отчетности, то первым делом потребуется узнать директорию расположения объекта и скопировать его на компьютер – следовать инструкции, представленной ниже. Если заявление на подключение отсутствует, то следует опустить первые шага инструкции:

    w0rw3q5e

    Для восстановления закрытых ключей в ВипНете из созданной резервной копии:

    4o4vj2qg

    Деинсталляция ViPNet LSS

    ViPNet LSS – специальное приложение, созданное для работы с электронными подписями. Прежде чем удалить Vipnet Local Signature Service с ПК, нужно перенести сохраненные сертификаты на другой ПК или съемный носитель. Для этого обязательно нужно экспортировать файлы в контейнере закрытого ключа:

    Обратите внимание! Не стоит пытаться сохранить certificate.cer через закладку «Сертификаты», расположенную на верхней панели инструментов Випнет, выбирать нужный тип сертификата из вкладок «Личные», «Корневые», «Промежуточные» и использовать опцию «Копировать в файл…», после чего сохранять файл в формате «certificate.cer». Если сохранить сертификат без контейнера ключа, то вернуть его обратно в приложение будет невозможно, так как программа выдаст ошибку «25257». При этом создать контейнер для неправильно сохраненного сертификата невозможно: такой объект можно удалить и забыть.

    pqfgmze4

    Шаг 2: Создание точки восстановления Windows

    Вторым шагом процесса удаления VipNet CSP с компьютера, который позволит полностью обезопасить систему от непредвиденных сбоев, является создание точки отката системы.

    Для этого пользователю потребуется выполнить следующие действия:

    a2qn5ctu

    Шаг 3: Деинсталляция CSP

    После того как приготовления завершены, пользователь сможет спокойно удалить VipNet CSP с компьютера. Для выполнения операции необходимо:

    После того как компоненты программы деинсталлированы, нужно заняться очисткой файловой системы и реестра от мусорных файлов. Для этого:

    i1hwyrm0

    Деинсталляция VipNet Client

    Прежде чем полностью удалить Vipnet Client, необходимо зайти на ПК под учетной записью Админа:

    Обратите внимание! После входа с аккаунта Admin’а нужно завершить все процессы exe, которые имеют отношение к клиенту ВипНет, т. е. «Контроль приложений», «Монитор», а также «Деловая почта». Программы находятся в системном трее – в правой части панели инструментов Виндовс. Для закрытия того или иного приложения кликнуть по нему правой кнопкой мыши и выбрать опцию «Выход».

    Теперь можно удалить VipNet Client полностью с Windows 7. С данной задачей отлично справятся сторонние утилиты, такие как Revo Uninstaller или CCleaner. Например, чтобы удалить приложение при помощи CCleaner, понадобится:

    Дополнительно чистить реестр после завершения работы в CCleaner пользователю не придется: деинсталлятор выполнил задачу за него.

    5yodq1tq

    Работа с набором ключей dst

    В ViPNеt 3.2 и более поздних версиях для того чтобы установить личный набор ключей, достаточно дважды тапнуть клавишей мышки по dst-архиву. Но если данный способ не работает, то юзеру необходимо выполнить следующие шаги:

    Деинсталляция в Безопасном режиме

    Если пользователь столкнулся с проблемой деинсталляции программ в защищенном режиме после установки драйвера USB-ключа либо по любой другой причине, но ему нужно срочно удалить VipNet Client, тогда на помощь придет встроенный режим «Windows Safe Mode»:

    Источник

    Как удалить VipNet

    Программный комплекс ViPNet Client, разработанный специально для Windows OS, позволяет пользователям подключаться к удаленному серверу при помощи VPN-клиента. К сожалению, данное программное решение несовместимо с другим ПО, функционирующим на базе стандарта IPSec: может потребоваться полностью удалить Vipnet для перехода на программу, поддерживающую более усовершенствованный набор межсетевых протоколов.

    kak udalit vipnet

    Деинсталляция криптопровайдера CSP

    Процесс удаления приложения криптографической защиты информации VipNet CSP включает в себя следующие этапы:

    kak udalit vipnet 1

    Рассмотрим каждый шаг в отдельности.

    Шаг 1: Резервное копирование

    Перед тем как полностью удалить VipNet CSP, необходимо сохранить резервные копии контейнеров, содержащих ключи шифрования. Для создания резервной копии любого из сохраненных ключей в CSP нужно для начала понимать, есть ли в базе 1С заявление на подключение фирмы к БД 1С-Отчетность или нет.

    Если копия key расположена в файловой системе компьютера и при этом в информационной базе присутствует заявление на подключение указанной компании к базам 1С-Отчетности, то первым делом потребуется узнать директорию расположения объекта и скопировать его на компьютер – следовать инструкции, представленной ниже. Если заявление на подключение отсутствует, то следует опустить первые шага инструкции:

    kak udalit vipnet 5

    Для восстановления закрытых ключей в ВипНете из созданной резервной копии:

    kak udalit vipnet 7

    Деинсталляция ViPNet LSS

    ViPNet LSS – специальное приложение, созданное для работы с электронными подписями. Прежде чем удалить Vipnet Local Signature Service с ПК, нужно перенести сохраненные сертификаты на другой ПК или съемный носитель. Для этого обязательно нужно экспортировать файлы в контейнере закрытого ключа:

    Обратите внимание! Не стоит пытаться сохранить certificate.cer через закладку «Сертификаты», расположенную на верхней панели инструментов Випнет, выбирать нужный тип сертификата из вкладок «Личные», «Корневые», «Промежуточные» и использовать опцию «Копировать в файл…», после чего сохранять файл в формате «certificate.cer». Если сохранить сертификат без контейнера ключа, то вернуть его обратно в приложение будет невозможно, так как программа выдаст ошибку «25257». При этом создать контейнер для неправильно сохраненного сертификата невозможно: такой объект можно удалить и забыть.

    kak udalit vipnet 8

    Шаг 2: Создание точки восстановления Windows

    Вторым шагом процесса удаления VipNet CSP с компьютера, который позволит полностью обезопасить систему от непредвиденных сбоев, является создание точки отката системы.

    Для этого пользователю потребуется выполнить следующие действия:

    kak udalit vipnet 9

    Шаг 3: Деинсталляция CSP

    После того как приготовления завершены, пользователь сможет спокойно удалить VipNet CSP с компьютера. Для выполнения операции необходимо:

    kak udalit vipnet 10

    После того как компоненты программы деинсталлированы, нужно заняться очисткой файловой системы и реестра от мусорных файлов. Для этого:

    kak udalit vipnet 12

    Деинсталляция VipNet Client

    Прежде чем полностью удалить Vipnet Client, необходимо зайти на ПК под учетной записью Админа:

    kak udalit vipnet 14

    Обратите внимание! После входа с аккаунта Admin’а нужно завершить все процессы exe, которые имеют отношение к клиенту ВипНет, т. е. «Контроль приложений», «Монитор», а также «Деловая почта». Программы находятся в системном трее – в правой части панели инструментов Виндовс. Для закрытия того или иного приложения кликнуть по нему правой кнопкой мыши и выбрать опцию «Выход».

    Теперь можно удалить VipNet Client полностью с Windows 7. С данной задачей отлично справятся сторонние утилиты, такие как Revo Uninstaller или CCleaner. Например, чтобы удалить приложение при помощи CCleaner, понадобится:

    Дополнительно чистить реестр после завершения работы в CCleaner пользователю не придется: деинсталлятор выполнил задачу за него.

    kak udalit vipnet 16

    Работа с набором ключей dst

    В ViPNеt 3.2 и более поздних версиях для того чтобы установить личный набор ключей, достаточно дважды тапнуть клавишей мышки по dst-архиву. Но если данный способ не работает, то юзеру необходимо выполнить следующие шаги:

    kak udalit vipnet 17

    Деинсталляция в Безопасном режиме

    Если пользователь столкнулся с проблемой деинсталляции программ в защищенном режиме после установки драйвера USB-ключа либо по любой другой причине, но ему нужно срочно удалить VipNet Client, тогда на помощь придет встроенный режим «Windows Safe Mode»:

    Источник

    Wiki по СКЗИ ViPNet

    Известные проблемы и их решения

    Для удаления ViPNet в данном случае вам необходимо выполнить следующее:

    Некорректно удалилась предыдущая версия программы ViPNet

    Недостаточно места на диске C

    На диске C: должно быть не менее 10 ГБ свободного места. Удалите (перенесите) лишние файлы с этого диска и заного Установите ViPNet в программе обновления.

    Отключена служба Брандмауэр Windows

    При этом в логе C:ProgramDataInfoTeCSInstallerDataViPNet ClientLogsSetup.msi_XXX можно увидеть строчку вида

    Проблемы с антивирусным ПО

    Выключите антивирус полностью и попробуйте установить ViPNet снова, возможно потребуется удаление антивируса.

    Отсутствуют обновления ОС

    Работает только на лицензионной Windows!

    Установите все последние обновления ОС

    Проблемы с установкой драйвера ViPNet (что-то, вероятнее всего драйвера, блокирует изменение одной ветки реестра)

    Также эту проблему (0x80070005) можно увидеть в логе C:ProgramDataInfoTeCSInstallerDataDrvInstallInstallIpLirim.log :

    Установку ViPNet необходимо производить в безопасном режиме с загрузкой сетевых драйверов (решение для Windows 7):

    Неверные настройка даты, времени и часового пояса.
    Проверьте настройки даты и времени. Должно быть точное московское время. Максимальная допустимая раница 2 часа.

    Не запустилась служба ViPNet.

    Блокирует трафик от ViPNet клиента

    Проблемы с ОС или сетевыми драйверами

    Проблемы с самой ключевой информацией

    Вы использовали старую ключевую при установке. ( Важно! Ключевая могла быть удалена или возвращена. Для уточнения подобной информации необходимо направить обращение в «ЦИТ») Необходимо переинициализировать клиент свежей ключевой. Ключевую можно запросить в ГАУ РК «ЦИТ» обычным обращением.

    Ничего не помогло, вы ипользовали свежую ключевую, у вас в сети ничего не блокируется и на соседнем ПК все работает, а переустановка не помогает.

    В данном случае потребуется переустановка ОС.

    Проверьте наличие прокси. Необходимо добавить адрес системы в исключение.

    Прокси нет, а в браузере вы видите ошибку DNS.

    В данном случае велика вероятность того, что MFTP на данном узле сломан.
    Для проверки на наличие ошибок необходимо сделать следующее:

    Для проверки доступа в сеть Интернет можно отключить ViPNet клиент. Для этого необходимо:

    Если при отключении защиты ViPNet, доступ в сеть Интернет есть, то фильтры открытой сети были настроены неверно или не настраивались. Необходимо настроить фильтры открытой сети на доступ в сеть Интернет.

    Если при откллючении защиты ViPNet, Доступ в сеть Интернет не появился, значит проблема не связанна с клиентом ViPNet. Рекомендуется проверить сеть в организации и настройки сети на рабочем месте. Возможно стоит обновить сетевые драйвера.

    Отключить обрабуотку прикладного протокола DNS.

    Настройте фильтры открытой сети по инструкции.

    Добавление фильтра открытой сети открывающего весь трафик.

    Есть 2 способа устранить данную проблему.

    О статусе письма можно узнать в справке приложения Деловая почта.

    %D0%A1%D1%82%D0%B0%D1%82%D1%83%D1%81%D1%8B%20%D0%BF%D0%B8%D1%81%D0%B5%D0%BC

    Не рекомендуется устанавливать ViPNet клиент и Континент АП на одно рабочее место. Это приведёт к конфликту между двумя программами и вы не сможете получить доступ к информационным системам.

    Для получения доступа к системе СУФД через ViPNet, необходимо оформить обращение в ГАУ РК ЦИТ с просьбой открыть доступ и настроить рабочее место.

    Необходимо будет настроить файл hosts. По умолчнию файл находится тут: «Системный диск:WindowsSystem32driversetc «. Файл hosts необходимо открыть в любом текстовом редакторе с правами администратора и добавить следующие строки:
    10.136.7.36 s0700w03.ufk07.roskazna.local
    10.136.7.36 sufd.s0700w03.ufk07.roskazna.local

    Дистрибутивы ПО ViPNet

    Обращения в ГАУ РК ЦИТ

    В обращении необходимо указать следующую информацию:

    Можно указать список из ID узлов ViPNet.

    Важно! Убедитесь в том, что вы указываете именно ID узла (в 3 версии ViPNet клиента Номер АП), а не ID пользователя. Они очень похожи друг на друга. У некоторых узлов эти значения могут быть одинаковыми. Инструкцию Как узнать ID узла? можно посмотреть тут.

    Важно! Убедитесь в том, что узел, который вы указываете в качестве получателя может получить письмо по Деловой почте. Он должен быть рабочим, а узел ЦИТ_S_B_Сыктывк_Коммун-я 8;Core доступен.

    Пример:

    Просьба выслать ключевую информацию для узла *ID узла (1)* по Деловой почте на узел *ID узла (2)*.

    В обращении необходимо указать следующую информацию:

    Важно! Узел, который вы указываете в качестве получателя может быть сломан, и обновления до узла не дойдут. В данном случае поможет только переинициализация ключей или переустановка клиента.

    Пример:

    В обращении необходимо указать следующую информацию:

    Важно! Рекомендуется указывать как можно больше информации о системе. Если вы укажите только название информационной системы, есть вероятность того, что мы будем запрашивать у вас дополнительную информацию.

    Важно! Мы можем открыть доступ только к системам, которые сопровождает ГАУ РК ЦИТ. Доступ к другим системам, например ФРДО, Промед или ТФОМС открывают администраторы соответствующих сетей. Со своей стороны ГАУ РК ЦИТ может только сделать связь между вашим узлом и узлом чужой сети, поэтому открытие доступа к таким системам может занять значительно больше времени.

    Пример:

    Просьба открыть доступ для узла *ID узла (1)* к Информация о системе(2).

    Источник

    Удаление VipNet

    1. Подготовка перед удалением VipNet

    Перед удалением ПО СКЗИ VipNet CSP ОБЯЗАТЕЛЬНО сделайте резервную копию ваших контейнеров закрытых ключей и завершите все процессы VipNet CSP.

    VipNet удаляем при помощи программы Revo Uninstaller, которая применяется для качественного удаления программы и ее остатков из системы, производит полное сканирование удаляемой программы. Удаление выполняется максимально полно, предотвращая частое появление сообщения о необходимости ручного удаления остаточных файлов и папок в случае использования стандартного деинсталлятора программ или операционной системы. В результате освобождается место, занимаемое такими компонентами, чистится системный реестр и, как следствие, не снижается производительность компьютера.

    Скачивание программы Revo Uninstalle осуществляется с официального сайта производителя ПО.

    image1

    Загрузка начнется автоматически после нажатия на «Скачать бесплатно».

    image2

    Запускаем процесс установки деинсталлятора программ. На первом шаге выбираем язык и нажимаем «Ок».

    image3

    Принимаем условия лицензионного соглашение и жмем «Далее».

    image4

    Указываем папку, куда необходимо установить программу Revo Uninstaller и нажимаем «Далее».

    image5

    Проверяем условия для установки (папка, создание значка на рабочем столе) и нажимаем «Установить». При необходимости внести корректировки нажимаем «Назад», чтобы откатиться к предыдущим этапам установки.

    image6

    Окно завершения установки программы выглядит следующим образом:

    image7

    2. Работа с программой Revo Uninstaller

    Теперь перейдем непосредственно к работе с программой и удалению VipNet. Запускаем, выбираем криптопровайдер VipNet CSP. Нажатием на «Удалить» для запуска деинсталляции.

    image8

    Выполнение первоначального анализа и удаления:

    image9

    Процесс удаления VipNet CSP запустится автоматически. Ставим отметку возле «Удалить все компоненты» и нажимаем «Продолжить».

    image10

    Подтверждаем удаление нажатием на «Удалить».

    image11

    Процесс удаления VipNet CSP:

    image12

    Сообщение об успешном удалении криптопровайдера VipNet CSP:

    image13

    После удаления VipNet CSP система сообщит о необходимости перезагрузить компьютер. При нажатии на «Нет» потребуется отложенная ручная перезагрузка. При нажатии на «Да» начнется перезагрузка.

    image14

    После удаления VipNet CSP (до перезагрузки компьютера) нажимаем «Сканировать».

    Выбираем самый последний элемент и нажимаем «Удалить». Элементы, выделенные красным шрифтом, НЕ помечаем для удаления. После удаления оставшихся записей в реестре нажимаем «Далее».

    image16

    Выделяем все оставшиеся файлы и папки VipNet CSP нажимаем «Удалить».

    image17

    Подтверждаем удаление папок нажатием на «Да».

    image18

    После выполнения данного шага нажимаем «Готово» и… Вуаля! Криптопровайдер VipNet удален.

    Источник

    Подробнее о VipNet – возможности и влияние, способы удаления

    Информация – один из наиболее важных ресурсов в наши дни. Для повышения уровня защиты и сетевой безопасности девелоперы из разных стран предлагают различные программы, способные сделать коннект более защищённым. Компания ИнфоТеКС, занимающая одно из лидирующих мест на отечественном рынке, предлагает свою личную разработку – ViPNet.

    vip net kak udalit

    Что такое VipNet

    VipNet (ВипНет) – комплект программного и аппаратного обеспечения, предлагающий гибкие VPN-решения для защищённой передачи информации.

    При разработке ИнфоТеКС предусматривал решение нескольких ключевых задач, а именно:

    Сегодня ViPNet включает более десяти продуктов, среди которых наиболее востребованные: Administrator, Coordinator и Client. Именно эти модули являются основой для создания VPN и ИОК.

    Для максимально продуктивного функционирования наиболее оптимально использовать операционные системы Виндовс 98SE, Me, 2000, XP, Server 2003.

    Возможности VipNet для построения VPN

    Основная функция ViPNet – создание межсетевого экрана для надёжного соединения, работы почтовой службы, системы обнаружения вторжений (IDS) и IM-клиента.

    Для сети ViPNet не нужно покупать дополнительное оборудование. Также нет надобности в изменении существующей сети. Программа использует схему с автоматическим распределением, симметричными ключами шифрования и их обновлением.

    Каждый пакет шифрует информацию, используя особенный производительный ключ, без любых процедур интеграции в сеть. Благодаря этому обеспечивается надёжная передача данных даже по небезопасным каналам, характеризующимся значительными потерями трафика.

    ViPNet обеспечивает постоянную работу свойств безопасного соединения благодаря постоянной зашифровке всего IP-пакета, непрерывного обеспечения имитозащиты пакета, невозможности зашифровать определённую часть трафика, идущего в направлении защищенного узла. Софт использует протокол, обеспечивающий защиту даже через устройства NAT/PAT.

    Пиринговые соединения оповещают объединённые узлы друг к другу автоматически. С помощью этой технологии появилась возможность реализовывать схему Client-to-Client, подразумевающую, что вне зависимости от точки подключения к сети и определённой VPN можно объединять компьютеры между собой.

    Влияние ViPNet на производительность системы

    ViPNet имеет минимальное влияние на KPI системы. При реальной скорости в 88 Мбит в секунду (с пропускной способностью 100 Мбит/с) после установки программы скорость может уменьшиться до 80 Мбит/с. Аппаратная платформа непосредственно влияет на скорость зашифровки трафика.

    Установка ViPNet Client

    ViPNet Client — модуль обеспечения, разработанный с целью обезопасить рабочее пространство пользователя или сервера, где установлено прикладное программное обеспечение. Программа сортирует весь входящий и исходящий поток.

    Установка ViPNet Client не составит трудностей. Непосредственно перед установкой нужно проверить сетевые настройки, наличие подсоединения к интернету, дату, время и месторасположение.

    Также важно перепроверить, открыт ли порт UDP 55777 на всех сетевых устройствах.

    ВипНет Клиент может некорректно работать с антивирусами, перед установкой его лучше удалить. Программа создаёт личный межсетевой экран ViPNet Firewall.

    ustanovka vep net

    Инициализация ViPNet

    Весь процесс установки занимает не более 10 минут:

    После завершения установки перезапустите компьютер. На этом этапе программа не готова к работе, так как не установлен ключевой набор. Его можно получить у администратора сети.

    Настройка ViPNet

    ВипНет Клиент настраивает администратор, используя программу Manager. В данной ситуации надобности в мануальных изменениях нет. Конфигурация Client применяется при изменении физического подключения.

    nastroiki vip net

    Если же используется статическая трансляция адресов, меняют настройки на файерволе.

    Первое, что нужно сделать — настроить сервер IP-адресов (определить адрес и выбрать сам сервер). Дальше, если есть необходимость соединения с другими узлами сети, зайдите в «Настройки», где нужно установить определённые параметры. Выполнив необходимые изменения, перейдите назад и из списка сетевых узлов кликните на нужный сервер. Перепроверьте наличие соединения. Если всё сделано корректно, выскочит сообщение о присоединении к серверу IP- адресов. В случае если ничего не появилось, перепроверьте настройки ещё раз.

    Если установлено соединение с IP адресом, другие настройки будут выполнены автоматически.

    Деинсталляция ViPNet Client

    Удаление VipNet CSP – несложный процесс. Рассмотрим подробнее:

    Как только процесс удаления завершится, перегрузите компьютер.

    Программа имеет ряд преимуществ, как технического, так и коммерческого характера. Кроме стандартных VPN-решений, компания ИнфоТеКС предлагает ряд дополнительных возможностей, среди которых чат, видеосвязь, собственная защищённая электронная почта и многое другое. Разработчик постоянно проводит различные курсы по подготовке администраторов и совершенствует собственный софт. ViPNet VPN – это самодостаточный продукт, не нуждающийся в дополнительных элементах и предлагающий оптимальную защиту для компаний. Пользуетесь ли Вы ViPNet? Поделитесь Вашим мнением в комментариях.

    Источник

    Adblock
    detector

    Как удалить ViPNet, если вы не можете пройти авторизацию после запуска ПК?
    Ping до информационной системы есть, но страница в браузереРДП не работают

    Like this post? Please share to your friends:
  • Как отключить vipnet client при загрузке windows
  • Как отключить uac в windows 10 через реестр
  • Как отключить uac в windows 10 без прав администратора
  • Как отключить uac windows 10 навсегда
  • Как отключить turbo boost на ноутбуке windows 10