ПАК «Соболь» и антивирус

При выборе Типового варианта 1 для обеспечения уровня безопасности (КС3) для ЗСПД СЭП (Россия), а также согласно требованиям Формуляра и эксплуатационной документации на СЗИ, требуется наличие на рабочих станциях:

• Сертифицированного ФСБ АПМДЗ ПАК «Соболь»
• Сертифицированного ФСБ и/или ФСТЭК Антивирусного средства

ПАК «Соболь»

Предназначен для решения следующих задач:

• Защита компьютеров от несанкционированного доступа и обеспечение доверенной загрузки.
• Создание доверенной программной среды для повышения класса защиты СКЗИ.

• Идентификация и аутентификация пользователей
• Запрет загрузки с внешних носителей
• Регистрация попыток доступа к компьютеру
• Блокировка доступа к компьютеру при обнаружении попытки отключения ПАК «Соболь»
• Контроль целостности программной среды и реестра Windows
• Контроль аппаратной конфигурации компьютера
• Аппаратный датчик случайных чисел

Обращаем внимание, что эксплуатация ПАК Соболь версий 3.0 и 3.2 на компьютере с ОC Windows 10, скорее всего, потребует переустановки операционной системы Windows 10. Это касается ОC Windows 10, по умолчанию инициализирующую диск в GPT, который ПАК Соболь версий 3.0 и 3.2 не поддерживают.
Рекомендации производителя доступны по ссылке.

Для корректной работы ПАК Соболь версии 3.0 и 3.2 на материнских платах с поддержкой технологии UEFI, операционная система должна быть установлена на диск с Master Boot Record (MBR). Более подробно.

Дополнительно информируем, что ПАК Соболь версии 4 на текущий момент не сертифицирован ФСБ РФ и не может использоваться для организации АРМ по классу защищенности КС3.

Модельный ряд ПАК «Соболь»:

• PCI Express (габариты: 57 х 80 мм). Цена 10 868,00 руб.
• Mini PCI Express (габариты: 50 x 30 мм). Цена 11 498,00 руб.
• Mini PCI Express Half Size (габариты: 26 x 30 мм). Цена 11 603,00 руб.

База знаний

Соболь

4233 — Настройки BIOS для совместной работы с ПАК «Соболь»

Версия: 3.0.1, 3.0.6, 3.0.7, 3.0.8, 3.0.9

Дата изменения: 28.09.2020

28 сентября 2020

Проблема

Настройки BIOS для совместной работы с ПАК «Соболь»

Решение

Ниже собраны параметры BIOS материнских плат, которые могут влиять на работу платы ПАК «Соболь» («всплытие» расширения BIOS платы «Соболь», поддержка USB-идентификаторов). Однако следует отметить, что наличие или отсутствие конкретного параметра и его влияние зависит от типа и версии BIOS Setup.
1. EFI/UEFI.
Для корректной работы платы ПАК «Соболь» в настройках системной BIOS отключить загрузку EFI-Shell (или других приложений стандарта EFI/UEFI) или как минимум поставить его не на первое место (т.е. первой должна загружаться какая-нибудь ОС). При таких настройках необходимо подключить и настроить сторожевой таймер.
1.1. UEFI Boot (Enabled, Disabled). Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Disabled. Иначе возможна загрузка приложений стандарта EFI/UEFI.
2. Настройки USB.
Исследовать настройки USB необходимо лишь в том случае, если планируется использование электронных идентификаторов типа USB, а при текущих настройках возникают ошибки работы в поддержке USB-идентификаторов.
2.1. USB 1.1 Controller (Enabled, Disabled). Опция отвечает за стандартный USB-контроллер чипсета. Значение Enabled позволяет задействовать этот контроллер, Disabled — отключить его. Для возможности включения поддержки USB-идентификаторов в ПАК «Соболь» параметр должен принимать значение Enabled.
2.2. USB 2.0 Controller (Enabled, Disabled). Опция позволяет указать версию спецификации, которую будет использовать USB-контроллер чипсета. При выборе Disabled контроллер будет работать в режиме USB 1.1, значение Enabled позволяет задействовать и современный режим USB 2.0. При выборе значения параметра Disabled пропадет возможность работать с USB-идентификаторами в режиме 2.0.
2.3. USB 2.0 Controller mode (FullSpeed, HiSpeed). Конфигурация USB-контроллера: HiSpeed – 480 Мбит/с (соответствует USB 2.0), FullSpeed – 12 Мбит/с (соответствует USB 1.1). При выборе параметра FullSpeed пропадет возможность работать с USB-идентификаторами в режиме 2.0.
2.4. USB Function (Enabled, Disabled). Enabled — позволяет работать с USB-контроллерами. Disabled — отключает шину USB.
2.5. Legacy USB Support (Auto, Enabled, Disabled). Позволяет поддерживать Legacy USB. Опция Auto запрещает поддержку Legacy, если не подключено USB-устройство. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled.
3. Сетевые настройки.
Перечисленные ниже указания по настройке носят рекомендательный характер. Иногда для того чтобы плата ПАК «Соболь» начала корректно работать, необходимо изменение сразу нескольких параметров BIOS Setup.
3.1. Boot to Network (Enabled, Disabled). Включает загрузку компьютера по сети. На некоторых платах определяет – будет ли инициализироваться устройство типа «сетевая плата». Поэтому если настройка неактивна, то расширение платы ПАК «Соболь» не всплывает. Если поставить Disabled, будет осуществляться загрузка компьютера без «всплытия» платы ПАК «Соболь». Поэтому параметр должен быть выставлен в Enabled.
3.2. Boot from LAN first (Enabled, Disabled). Включает загрузку компьютера по сети. При этом первоначально будет производиться попытка загрузить операционную систему с сервера, используя локальную сеть, и только если это невозможно, будет осуществляться загрузка с дисков компьютера. Выставление этого параметра в Enabled может привести к игнорированию загрузки платы ПАК «Соболь». Однако если мы хотим использовать плату в режиме загрузочного устройства (IPL), следует присвоить параметру значение Enabled.
3.3. PXE boot to LAN (Enabled, Disabled). Включает возможность загрузки с сетевой карты по стандарту PXE. Параметр аналогичен Boot to Network и должен быть выставлен в Enabled (чаще всего имеет значение при использовании платы в режиме загрузочного устройства (IPL)).
3.4. Slot Security (Enabled, Disabled). Состояние слота PCI/PCI-E. Если значение параметра установить в Disabled, то PCI/PCI-E слот будет отключен. Для корректной работы платы ПАК «Соболь» параметр соответствующего слота (в который установлена плата) должен быть выставлен в значение Enabled.
3.5. Launch PXE OpROM (Enabled, Disabled). Параметр аналогичен PXE boot to LAN. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в Enabled.
3.6. PXE Boot Agent (Enabled, Disabled). Если плата ПАК «Соболь» не «всплывает», то изменение данного параметра может восстановить работу платы. Для этого попробуйте выставить данный параметр в значение Disabled для всех сетевых карт, кроме ПАК «Соболь».
3.7. Lan Option ROM (Enabled, Disabled). Эта опция позволяет разрешить (значение Enabled) или запретить (значение Disabled) сетевую загрузку компьютера посредством интегрированного сетевого адаптера. Для корректной работы платы ПАК «Соболь» параметр должен быть выставлен в значение Enabled.
4. Порядок загрузочных устройств.
Для того чтобы использовать плату в режиме загрузочного устройства (IPL*), необходимо определить ее первым загрузочным устройством в BIOS Setup.
4.1. Boot Drive Order. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. В большинстве случаев при выборе этой опции (нажатием на ней клавиши ) вы попадаете в дополнительное меню, где можно уже непосредственно выбрать порядок опроса накопителей.
4.2. Boot Device Select. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.
4.3. Boot Sequence. Определяет порядок опроса накопителей на предмет поиска на них операционной системы. Параметр аналогичен Boot Drive Order.

* Данная возможность доступна начиная с версии 3.0.3 (build141) только при наличии специального джампера на плате PCI-E или с отдельной версией прошивки на плате PCI.

5. Настройки HDD.
5.1. Hard Disk Write Protect (Enabled, Disabled). Включение данной опции (Enabled) запрещает запись на жесткие диски, установленные в компьютере. Достаточно сложно представить себе ситуацию, когда это потребовалось бы (даже операционная система во время своей работы постоянно «сбрасывает» на диск различную информацию), поэтому для корректной работы с шаблонами контроля целостности данная опция должна быть выключена (Disabled). Встречается нечасто.

Соболь, UEFI и BitLocker

Представьте, что вам пришла в голову прекрасная мысль поставить ПАК «Соболь» на компьютер с Windows 10, в котором включен Unified Extensible Firmware Interface (UEFI), а системный диск зашифрован BitLocker’ом. И не просто поставить, а чтобы он еще и работал — контролировал целостность файлов, например. На этом пути вас ждет множество удивительных приключений.

Во-первых, Соболь не дружит с UEFI и GPT. Когда они включены, загрузка просто пролетает мимо, не обращая на Соболь никакого внимания, поэтому для начала вам придется сходить в BIOS компьютера и изменить метод загрузки на Legacy, после чего Соболь радостно предложит инициализировать плату. Только вот Windows загружаться больше не будет, потому что далеко не все Legacy BIOS умеют работать с таблицей разделов GPT. Следующим шагом вам нужно будет конвертировать GPT в MBR и починить загрузчик Windows — это отдельный интересный процесс, но в целом ничего сложного.

И вот — ура! — Соболь при включении машины просит предъявить идентификатор, Windows запускается, вы ставите драйверы Соболя и готовы включить контроль целостности во имя соответствия формуляру! Перегружаетесь, в Соболе идете в меню настроек контроля целостности и задаете ему папку с шаблонами C:\Sobol. А её нет. Ну как же нет? — вот же, только что была. Понятно, в общем-то, что Соболь не умеет читать диски, зашифрованные BitLocker’ом. Ничего страшного, запускаете Windows и пишете в командной строке:

manage-bde -off c:

Тут придется подождать, пока диск расшифруется, но оно того стоит, ведь КЦ гораздо лучше BitLocker’а! По ходу процесса можно проверять готовность диска командой

manage-bde -status c:

Когда статус сменится на «Полностью расшифрован», время доставать шампанское. Но не спешите его открывать, положите пока на лед, потому что Соболь все равно не увидит расшифрованный диск.

Ну вот так. Не увидит. Нет C:\Sobol.

Почему? Говорят, лучшие умы человечества, и, в частности, Кода Безопасности многие годы ломали головы над этой загадкой. А выяснилось вот что: зашифрованный (и впоследствии расшифрованный) раздел с Windows отформатирован в NTFS, но вот в таблице разделов MBR запись о нем содержит ID файловой системы не 0x07, как полагается для NTFS, а 0x0C, как будто там FAT32. Кто меняет FS ID и по каким причинам — науке неизвестно, но получается так, что Соболь верит всему, что на заборе в MBR написано, и пытается NTFS-раздел читать как FAT32, что в целом бесперспективно. Всего-то нужно HEX-редактором для MBR заменить в строке нужного раздела FS ID на правильный (то есть для NTFS исправить 0x0C на 0x07) — и вот тут время открывать шампанское.

Есть, конечно, и секретный уровень: если у вас обычная инсталляция Windows, в которой сначала идет активный загрузочный раздел, потом системный, а потом все остальное, то придется еще немного повозиться с MBR с тем чтобы загрузочный раздел был на первом месте в таблице разделов, а за ним следовал системный, и после этого указать в настройках Соболя папку с шаблонами не C:\Sobol, а D:\Sobol — и все! — чувствуете себя как царь, наблюдая за расчетом контрольных сумм!

Программно-аппаратный комплекс «Соболь»

Сертифицированный аппаратно-программный модуль доверенной загрузки (АПМДЗ).

Актуальная версия продукта, сертифицированного ФСТЭК России: 3.0 М.2.

Актуальная версия продукта, сертифицированного ФСБ России: 3.0.6, 3.1, 3.2.

В реестре отечественного ПО.

• Доверенная загрузка ОС.

ПАК «Соболь» обеспечивает запрет загрузки ОС с внешних носителей, что гарантирует загрузку штатной доверенной операционной системы.

• Использование электронных идентификаторов.

Идентификация и аутентификация пользователей в ПАК «Соболь» обеспечивается до загрузки ОС с помощью ключей iButton, iKey2032, eToken, Rutoken и др.

• Сторожевой таймер.

Модуль сторожевого таймера блокирует доступ к компьютеру при обнаружении попытки отключения электронного замка.

• Сертифицированный ФСТЭК и ФСБ России модуль доверенной загрузки.

ПАК «Соболь» сертифицирован ФСТЭК, ФСБ и Минобороны России, может применяться для защиты ИСПДн до УЗ1 включительно и ГИС до К1 включительно, а также для защиты АСУ ТП до К1 включительно и АС до 1Б (гостайна с грифом «совершенно секретно»). Кроме того, ПАК «Соболь» может применяться для повышения класса защищённости СКЗИ.

Назначение

Электронный замок «Соболь» может быть использован для того, чтобы:

• доступ к информации на компьютере получили только те сотрудники, которые имеют на это право;
• в случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.

• Выбор форматов исполнения.
  • Поддержка платы PCI,
  • Поддержка платы PCI Express,
  • Поддержка платы Mini PCI Express,
  • Поддержка платы Mini PCI Express Half Size,
  • Поддержка платы М.2 type 2230-A-E.
• Аутентификация пользователей.

  Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов. В качестве персональных идентификаторов пользователей могут применяться:

  • iButton (DS1992, DS1993, DS1994, DS1995, DS1996),
  • eToken PRO / eToken PRO (Java),
  • смарт-карта eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2,
  • iKey 2032,
  • Рутокен S / Рутокен S RF.
• Блокировка загрузки ОС со съёмных носителей.
  • После включения питания компьютера, замок «Соболь» перехватывает управление всеми устройствами ввода-вывода и не позволяет загрузиться нештатной ОС.
  • После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается.
  • Запрет распространяется на всех пользователей компьютера, за исключением администратора.
• Контроль целостности программной среды.

  Используемый в комплексе «Соболь» механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жёсткого диска до загрузки операционной системы.

  • Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями.
  • Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности.
  • Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2, EXT3 и EXT4.

  Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.

  Контроль целостности системного реестра Windows.

  Данная возможность позволяет контролировать неизменность системного реестра Windows, что существенно повышает защищённость рабочих станций от несанкционированных действий внутри операционной системы.

  Сторожевой таймер.

  Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь».

  Регистрация попыток доступа к ПЭВМ.

  Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события:

  • факт входа пользователя и имя пользователя;
  • предъявление незарегистрированного идентификатора пользователя;
  • введение неправильного пароля;
  • превышение числа попыток входа в систему;
  • число и дата НСД.
• Контроль конфигурации.

  ПАК «Соболь» позволяет контролировать неизменность конфигурации компьютера – PCI-устройств, ACPI, SMBIOS и оперативной памяти. Данная возможность существенно повышает защиту рабочей станции.

  Платы

  Идентификаторы, доступные к заказу

  Дополнительные устройства

• PCI 50х120 мм (ФСТЭК России);
• PCI Express 65х140 мм (ФСБ России);
• PCI Express 57х80 мм (ФСТЭК и ФСБ России);
• Mini PCI Express 50х30 мм (ФСТЭК и ФСБ России);
• Mini PCI Express Half Size 26х30 мм (ФСТЭК и ФСБ России);
• M.2 А-E 30х22 мм (ФСТЭК России).

• iButton DS1992 (1 Кбит);
• iButton DS1994 (4 Кбит);
• iButton DS1995 (16 Кбит);
• iButton DS1996 (64 Кбит);
• USB-ключи Rutoken S (до уровня «секретно»).

• Дополнительный адаптер для mini PCI-E;
• Дополнительные адаптеры для mini PCI-E Half Size и M.2;
• Устройство блокировки питания;
• Внутренний считыватель;
• Внешний считыватель.