рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
220
1 Выполните вход в программу в режиме администратора
(на стр. 215).
2 На панели навигации выберите раздел Администратор.
3 В группе Взаимодействие со средством антивирусной защиты установите флажок
Блокировать IP-трафик, если на компьютере обнаружен вирус.
Нажмите кнопку Применить.
Примечание. Если флажок Блокировать IP-трафик, если на компьютере обнаружен
вирус принимает затененный вид
, значит в данный момент отсутствует связь с модулем расширенной фильтрации. Попробуйте выполнить настройки позднее.
Теперь, при обнаружении вируса, программа ViPNet Client автоматически заблокирует весь трафик.
Для продолжения работы:
1 Выполните рекомендации, предлагаемые программой-антивирусом по устранению угрозы.
2 Отключите блокировку трафика. Для этого в окне программы ViPNet Монитор в меню Файл выберите Конфигурации > Разрешить IP-трафик.
Дополнительные настройки параметров безопасности
Помимо дополнительных параметров настройки в разделе Администратор, во время работы в режиме администратора сетевого узла (см.
Работа в программе в режиме администратора на стр. 215) доступны следующие параметры на вкладке Администратор в окне Настройка
параметров безопасности:
 Разрешить сохранение пароля в реестре — позволяет пользователю сетевого узла установить флажок Сохранить пароль при входе в программу ViPNet Монитор. Если этот флажок установлен, пароль пользователя хранится в реестре Windows и автоматически подставляется в поле ввода пароля при запуске программы ViPNet Монитор.
Примечание. Данный параметр задается администратором сети ViPNet в программе ViPNet Administrator и передается на узел в составе дистрибутива ключей или в составе обновления справочников и ключей. Администратор сетевого узла может изменить состояние флажка Разрешить сохранение пароля в
реестре, это изменение будет действительно до следующего обновления справочников и ключей. После следующего обновления состояние флажка будет соответствовать настройкам, заданным администратором сети ViPNet.
 Автоматически входить в ViPNet — позволяет выполнять вход в ПО ViPNet Монитор без необходимости подтверждения пароля пользователя ViPNet в окне входа в программу. Если флажок установлен, при запуске программы на текущем сетевом узле окно входа в программу не появляется и вход в ПО ViPNet Монитор выполняется автоматически. Это происходит в следующих случаях:

ViPNet Client 4. Руководство пользователя |
221 o при использовании способа аутентификации Пароль — если пароль сохранен в реестре, то есть установлен флажок Разрешить сохранение пароля в реестре, а в окне входа в программу указан верный пароль и установлен флажок Сохранить пароль; o при использовании способов аутентификации Пароль на устройстве и Устройство — если внешнее устройство подключено к компьютеру и в окне входа в программу указан верный
ПИН-код и установлен флажок Сохранить ПИН-код.
 Pазрешить использование сертификатов из хранилища ОС — позволяет использовать сертификаты не только из личного хранилища (хранилища программы), но также из хранилища операционной системы. Это может понадобиться в том случае, если в ПО ViPNet предполагается использовать криптопровайдер другого производителя (например,
КриптоПро), а также сертификаты, изданные внешними Удостоверяющими центрами (вне сети
ViPNet).
 Доверять только сертификатам администраторов УЦ ViPNet — если этот флажок снят, при проверке сертификата поиск корневого сертификата выполняется не только во внутреннем хранилище ПО ViPNet, но и в системных хранилищах Доверенные корневые центры
сертификации и Промежуточные центры сертификации.
 Игнорировать отсутствие списков аннулированных сертификатов — этот флажок следует установить, если в системе используются сертификаты, изданные внешними удостоверяющими центрами, так как в таких сертификатах информация о списках аннулированных сертификатов может отсутствовать.
Изменение способа аутентификации пользователя
Способ аутентификации определяет, какие данные должен предоставить пользователь для входа в программу. Чтобы изменить способ аутентификации:
1 Выполните вход в программу в режиме администратора (см.
Работа в программе в режиме администратора на стр. 215).
2 В окне Настройка параметров безопасности на вкладке Ключи нажмите кнопку Изменить.
3 В окне Способ аутентификации выберите один из способов аутентификации. Описание возможных способов аутентификации пользователя приведено в разделе
Способы аутентификации пользователя
(на стр. 70).
Примечание. Способ Пароль на устройстве выбрать нельзя, поскольку он перестал отвечать требованиям безопасности.
При выборе способа аутентификации по сертификату подключите внешнее устройство и укажите нужный сертификат в списке сертификатов, обнаруженных на устройстве. При возникновении затруднений в выборе сертификата см. раздел
Не удается выполнить аутентификацию с помощью сертификата
(на стр. 274).

ViPNet Client 4. Руководство пользователя |
222
При выборе способа аутентификации по персональному ключу подключите внешнее устройство для сохранения на нем персонального ключа пользователя (см.
Симметричные ключи в ПО ViPNet на стр. 327). Если вы выбрали способ аутентификации по персональному ключу, также необходимо перенести на это же внешнее устройство ключи подписи пользователя (
контейнер ключей
(см. глоссарий, стр. 383)). Контейнер ключей можно также перенести из текущей папки в другую папку на диске, но в этом случае каждый раз при подписании и шифровании в стороннем приложении вам потребуется вводить пароль.
Внимание! Если при использовании способа аутентификации Устройство внешнее устройство будет отключено, компьютер может быть автоматически заблокирован
— в соответствии с настройками, заданными в режиме администратора
(см.
Параметры защиты трафика на стр. 218). Для продолжения работы необходимо вновь подключить это внешнее устройство. При необходимости параметры автоматической блокировки компьютера и IP-трафика могут быть изменены.
4 Нажмите кнопку OK.
На вкладке Ключи в группе Аутентификация значения полей Способ аутентификации и Тип
носителя изменятся в соответствии с выбранным режимом.
В сетях ViPNet, управляемых с помощью ПО ViPNet Administrator, способ аутентификации также может изменить администратор сети в программе ViPNet Удостоверяющий и ключевой центр. Если администратор назначает пользователю способ аутентификации по сертификату, то пользователь в данном случае должен предоставить администратору внешнее устройство с сертификатом и закрытым ключом для регистрации. При этом должны быть соблюдены условия, описанные в примечании в разделе
Устройство
(на стр. 73). После назначения пользователю нового способа аутентификации администратор вышлет обновление ключей узла. Приняв данное обновление ключей, пользователь сможет выполнить аутентификацию на узле только выбранным способом.
Просмотр журнала событий
В журнале событий регистрируются действия по изменению настроек программы ViPNet Client:
 Изменение сетевых фильтров.
 Вход пользователя в программу и его выход.
 Вход в режиме администратора.
 Смена конфигурации.
 Другие события.
Данная информация позволяет администратору контролировать действия пользователя, отслеживать неисправности и попытки нарушения регламента безопасности.
Для просмотра журнала событий:

ViPNet Client 4. Руководство пользователя |
223
1 Выполните вход в программу в режиме администратора (см.
Работа в программе в режиме администратора на стр. 215).
2 В разделе Администратор нажмите кнопку Журнал событий.
Рисунок 106. Просмотр журнала событий
3 Чтобы отобразить в журнале события определенной даты, связанные с выбранным пользователем или события одного вида, установите флажок Использовать фильтр. Затем укажите один или несколько нужных параметров и нажмите кнопку Обновить.
4 Для просмотра журнала событий в формате HTML или XLS в окне Журнал событий щелкните любую строку правой кнопкой мыши и в контекстном меню выберите Просмотр в
веб-браузере или Просмотр в Excel (для просмотра журнала в формате XLS на компьютере должна быть установлена программа Microsoft Excel).
Для понимания информации, которая записывается в журнале событий, ознакомьтесь с таблицей.
Таблица 6. События, фиксируемые в журнале
Столбец
Описание
Дата и время
Когда произошло событие.
Имя
пользователя
Кто являлся инициатором события.
Событие
Расшифровка событий:

Вход в систему.

Выход из системы.

Режим администратора — при входе в программу с паролем администратора.

Попытка входа в систему отвергнута (имя пользователя не установлено) — появляется в случае трехкратного неверного ввода пароля пользователя.

Попытка входа администратора в систему отвергнута (имя пользователя не установлено) — появляется в случае трехкратного

ViPNet Client 4. Руководство пользователя |
224 неверного ввода пароля администратора.

Технологический перезапуск — перезагрузка программы после принятия файлов обновления.

Технологический перезапуск — перезагрузка программы после аварийного завершения.

Смена пользователя — вход в программу другого пользователя, зарегистрированного на данном сетевом узле.

Смена конфигурации — смена конфигурации программы в разделе
Конфигурации.

Изменение фильтра — любые действия по созданию, редактированию или удалению фильтров.

Отключение защиты трафика.

Включение функции блокирование всего трафика.

Разрешение прохождения трафика.

Включение или выключение опции «Блокировать все протоколы кроме IPv4, ARP» — устанавливается в окне Настройка в разделе
Управление трафиком.

Включение или выключение функции «Блокировать компьютер» — устанавливается в окне Настройка в разделе Общие > Запуск и аварийное
завершение.

Просмотр журнала событий.
Настройка параметров записи событий в журнал Windows
Если в вашей сети ViPNet развернут программный комплекс ViPNet StateWatcher, вы можете разрешить ПК ViPNet StateWatcher собирать и анализировать дополнительную информацию о событиях на вашем защищенном сетевом узле. В этом случае необходимо включить запись событий, происходящих на сетевом узле ViPNet, в журнал Windows Приложений, так как ПК ViPNet
StateWatcher при сборе информации о сетевом узле обращается к журналам событий Windows.
Примечание. Чтобы пользователи ПК ViPNet StateWatcher могли получать оповещения об этих событиях, администратору необходимо создать правило анализа, указав в качестве источника события программное обеспечение ViPNet Client. Подробнее см. в документе «Программный комплекс мониторинга защищенных сетей ViPNet StateWatcher.
АРМ мониторинга. Руководство администратора».
В программе ViPNet Client предусмотрена запись в журнал Windows блокированных IP-пакетов
(см.
Блокированные IP-пакеты на стр. 332).
Чтобы включить запись событий в журнал Windows:
1 Войдите в программу в режиме администратора (см.
Общие сведения на стр. 215).

ViPNet Client 4. Руководство пользователя |
225
2 В разделе Администратор в группе Журнал событий Windows установите флажок
Дублировать записи о блокированных IP-пакетах.
3 Нажмите кнопку Применить.
События начнут записываться в журнал Windows и в журнал программы ViPNet Client.
Рисунок 107. Событие узла ViPNet, сохраненное в журнале Windows Приложение
Внимание! В случае если количество записанных событий будет слишком большим и возникнет угроза переполнения журнала Windows, вы можете увеличить его объем с помощью стандартных настроек журнала.

ViPNet Client 4. Руководство пользователя |
226
Настройка параметров запуска программы ViPNet Client
Для настройки параметров запуска программы:
1 В меню Сервис выберите пункт Настройка приложения.
2 В окне Настройка на панели навигации выберите раздел Общие > Запуск и аварийное
завершение.
Рисунок 108. Настройка параметров запуска и аварийного завершения работы программы
3 Чтобы при запуске программы не выбирать конфигурацию (см.
Управление конфигурациями программы на стр. 199), снимите флажок Вызывать окно выбора конфигурации. При этом запуск программы будет происходить в той конфигурации, которая использовалась в последнем сеансе работы.
Если в программе настроена только одна конфигурация, окно выбора появляться не будет независимо от установки флажка.
4 Чтобы при запуске программы блокировать доступ к рабочему столу компьютера, установите флажок Блокировать компьютер. Для разблокирования компьютера введите пароль пользователя Windows.
Данная функция полезна для предотвращения несанкционированной работы с компьютером после его перезагрузки, если настроен автоматический вход пользователя Windows в операционную систему. При этом программа ViPNet Монитор выполняет все функции по защите компьютера.

ViPNet Client 4. Руководство пользователя |
227
11
Настройка параметров безопасности
Смена пароля пользователя
228
Настройка параметров криптопровайдера ViPNet CSP
229

ViPNet Client 4. Руководство пользователя |
228
Смена пароля пользователя
Пароль пользователя рекомендуется менять раз в 3 месяца. Как правило, частота смены пароля пользователя определяется регламентом безопасности организации.
Смена текущего пароля пользователя требуется в следующих случаях:
 По истечении срока действия текущего пароля (в случае, если этот срок действия ограничен).
 Если из программы ViPNet Удостоверяющий и ключевой центр отправлено обновление с оповещением о смене пароля. В этом случае при входе в программу появится сообщение
«Рекомендуется сменить пароль пользователя», при этом пароль необходимо сменить вручную.
 Если контейнер ключей защищен с использованием персонального ключа пользователя, пароль к контейнеру ключей будет совпадать с паролем пользователя. Поэтому при смене пароля к контейнеру ключей (см.
Смена пароля к контейнеру на стр. 261), следует сменить пароль пользователя.
Кроме того, рекомендуется менять пароль пользователя при первом входе в программу после установки справочников и ключей. Это повысит надежность пароля, поскольку он не будет известен администратору.
Для того чтобы сменить пароль пользователя:
1 В окне Настройка параметров безопасности откройте вкладку Пароль.
2 В группе Тип пароля выберите тот тип, которому должен соответствовать новый пароль: o
Собственный — пароль, определяемый пользователем; o
Случайный на основе парольной фразы — пароль, формируемый автоматически на основе парольной фразы по заданным параметрам; o
Случайный цифровой — пароль, формируемый автоматически из заданного числа цифр.
3 Нажмите кнопку Сменить пароль. В зависимости от выбранного типа пароля, выполните одно из действий: o
Если был выбран тип пароля Собственный, задайте и подтвердите пароль. o
Если был выбран тип пароля Случайный на основе парольной фразы или Случайный
цифровой, появится автоматически сформированный пароль с парольной фразой или случайный цифровой пароль. При необходимости вы можете создать новый случайный пароль с помощью кнопки Другой пароль.
4 Чтобы ограничить срок действия нового пароля установите флажок Ограничить срок действия
пароля и укажите срок действия.
5 Нажмите кнопку ОК.

ViPNet Client 4. Руководство пользователя |
229
Настройка параметров криптопровайдера ViPNet CSP
В состав ViPNet Client включена программа ViPNet CSP. Это криптопровайдер, который позволяет использовать российские криптографические алгоритмы в приложениях Microsoft и других программах, использующих интерфейс Microsoft CryptoAPI 2.0. Кроме этого, ViPNet CSP обеспечивает работу с контейнерами ключей
(см. глоссарий, стр. 383) и поддержку различных внешних устройств хранения ключей (см.
Внешние устройства на стр. 345).
Чтобы настроить программу ViPNet CSP:
1 В окне Настройка параметров безопасности откройте вкладку Криптопровайдер.
Рисунок 109. Настройка параметров криптопровайдера ViPNet CSP
2 Нажмите кнопку Настройка ViPNet CSP. Откроется окно ViPNet CSP, в котором вы можете: o
Задать необходимые параметры криптопровайдера ViPNet CSP. o
Выполнить операции с контейнерами ключей. o
Настроить параметры использования внешних устройств — задать типы устройств, которые могут использоваться, выполнить инициализацию или изменить ПИН-код.
Подробнее см. документ «ViPNet CSP. Руководство пользователя».