Континент-АП

27 окт 2017 07:48 - 27 окт 2017 08:04 #6059 от Alex67
Alex67 ответил в теме Континент-АП

Alex_04 пишет: Вот только жаль тех работяг, что купили уже новое железо с 10-ой осью - им (и казначеям!) как блин жить-то? Отдельный комп с "правильными" версиями ОС и прочего ПО с СКЗИ под СУФД и госсайты не вариант, причем для многих. :(

У WinX нет сертификата ФСТЭК
Список сертифицированных продуктов майкрософт
ВНИМАНИЕ: Спойлер!

О каком вообще использовании её на работе (и тем более для организации защищённого документооборота) может идти речь?
Вот что пишет сам майкрософт кстати:

Если организация хочет использовать программный продукт, который еще не сертифицирован, то с этим продуктом она должна использовать «наложенное» (стороннее) средство защиты информации, прошедшее сертификацию, и предназначенное для работы с этим продуктом. Использование наложенных средств защиты информации существенно удорожает продукт и зачастую резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными средствами



"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 окт 2017 08:08 #6060 от Виктор Тарасов
Виктор Тарасов ответил в теме Континент-АП

Alex67 пишет:

Alex_04 пишет: Вот только жаль тех работяг, что купили уже новое железо с 10-ой осью - им (и казначеям!) как блин жить-то? Отдельный комп с "правильными" версиями ОС и прочего ПО с СКЗИ под СУФД и госсайты не вариант, причем для многих. :(

У WinX нет сертификата ФСТЭК
Список сертифицированных продуктов майкрософт
ВНИМАНИЕ: Спойлер!

О каком вообще использовании её на работе (и тем более для организации защищённого документооборота) может идти речь?
Вот что пишет сам майкрософт кстати:

Если организация хочет использовать программный продукт, который еще не сертифицирован, то с этим продуктом она должна использовать «наложенное» (стороннее) средство защиты информации, прошедшее сертификацию, и предназначенное для работы с этим продуктом. Использование наложенных средств защиты информации существенно удорожает продукт и зачастую резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными средствами

Не знаю, кто там сертификацией занимается, но он явно опаздывает. Только на 8.1 подготовлена документация. Когда еще до 10-ки руки дойдут... А тем временем, новый компьютер с лицензионной 8-й или 7-й найти практически невозможно. Уже полным ходом 10-ка везде идёт.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 окт 2017 08:30 - 27 окт 2017 08:31 #6061 от Wmffre
Wmffre ответил в теме Континент-АП
Майкрософт там ещё кое-что пишет:

Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:

  • каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
  • Так и представил ситуацию: госорганизация купила компьютер с предустановленной операционной системой Windows 7. Теперь ей надо отдать этот компьютер на сравнение предустановленной Windows 7 тому экземпляру, который прошел проверку?!:silly:

    Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    27 окт 2017 08:42 #6062 от Alex67
    Alex67 ответил в теме Континент-АП

    Wmffre пишет: госорганизация купила компьютер с предустановленной операционной системой Windows 7. Теперь ей надо отдать этот компьютер на сравнение предустановленной Windows 7 тому экземпляру, который прошел проверку?!:silly:

    Аттестация АРМ по требованиям информационной безопасности
    ВНИМАНИЕ: Спойлер!


    "Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    27 окт 2017 08:49 - 27 окт 2017 08:53 #6063 от Wmffre
    Wmffre ответил в теме Континент-АП

    Аттестат соответствия выдается владельцу аттестованного объекта информатизации на 3 года.

    не более 90000 руб - цена аттестации одного компьютера, и потребуется повторять эту процедуру каждые три года.:woohoo:

    Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    27 окт 2017 14:04 #6064 от Alex_04
    Alex_04 ответил в теме Континент-АП
    Итого получается, что бедным советам (и прочим небогатым клиентам) куда не кинь - всюду клин, если жить строго по законам. :( Невольно напрашивается: если столько палок в колеса простым работягам, значит кому-то так нужно... бабло? :sick:


    "Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    30 окт 2017 07:04 #6068 от ilafet
    ilafet ответил в теме Континент-АП
    3.7.2 ставится без ошибок, но эмулятор модема почему-то не ставит.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    30 окт 2017 22:33 - 31 окт 2017 02:46 #6071 от Wmffre
    Wmffre ответил в теме Континент-АП
    Так как у меня нет ЭЦП для подключения Континент-АП к серверу доступа АПКШ Континент и работе в СУФД, то метод, изложенный ниже, требует тестирования. У проверяющего должна быть Windows 10 версии 1709(установленное обновление Fall Creators Update), Континент-АП версий 3.7.3.573 или 3.7.5.474.
    Единственное, что смог проверить без ЭЦП: сетевое соединение при включенном Continent 3 MSE Filter перестаёт блокироваться.


    После установки обновления Fall Creators Update на Windows 10 с установленным Континент-АП (в результате чего Windows10 обновится с версии 1703 до версии 1709) пропадает сетевое подключение.
    Как уже выяснил ранее Виктор Тарасов:
    1. Сетевое подключение возникает снова, если на Панель управления\Сеть и Интернет\Сетевые подключения --> правая кнопка мыши на Ethernet --> выбрать "Свойства" --> убрать галочку "Continent 3 MSE Filter" --> нажать "ОК"
    2. Continent 3 MSE Filter связан со службой c3mse4, которая не запускается и в результате чего при включенном фильтре блокируется сеть.
    После установки обновления Fall Creators Update контроль целостности файлов Континент-АП будет не пройден и поэтому потребуется сначала удалить, а затем установить Континент-АП заново. Для этого:
    1. Отключить все опции Защитника Windows (Контролируемый доступ к папкам, Автоматическая отправка образцов, Защита в режиме реального времени и Облачная защита). После перезагрузки компьютера Защита в реальном времени снова включится и её надо будет снова отключать
    2. Удалить Континент-АП. В конце удаления Континент-АП необходимо выбрать "Нет, я перезагружу ПК позже".
    3. Так как Continent 3 MSE Filter, скорее всего, не удалится, то поэтому его потребуется удалить вручную (выбрать "Continent 3 MSE Filter" и нажать на кнопку "Удалить" в свойствах сетевого адаптера Ethernet)
    4. Перезагрузить компьютер. ВНИМАНИЕ!: Если удалить Континент-АП и затем установить Континент-АП без перезагрузки компьютера, то Континент-АП может установиться не полностью (в особенности когда устанавливается другая версия Континент-АП)
    5. После перезагрузки отключить "Защита в режиме реального времени" Защитника Windows.
    6. Установить Континент-АП. (Все опции Защитника Windows должны быть при этом выключены)
    7. Перезагрузить компьютер.
    8. Если всё правильно, то после перезагруки запустится датчик Код Безопасности CSP с мишенями. Проверить целостность файлов Континент-АП можно также самостоятельно, запустив C:\Program Files\Security Code\Terminal Station\ngc.exe
    9. Отключить "Защита в режиме реального времени" Защитника Windows.

    Настройки службы c3mse4 хранятся в реестре Windows по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\c3mse4
    Если сравнить их на версии 1703 и на версии 1709 после переустановки Континент-АП, то сразу будет заметно, что на версии 1709 будет отсутствовать следующее (указано самое основное):
    1. Параметр NdisMajorVersion =REG_DWORD=6(десятичная)
    2. Параметр NdisMinorVersion =REG_DWORD=70(десятичная)
    3. Раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\c3mse4\Parameters\NdisAdapters\ вместе с подразделами
    Если эти параметры и подразделы указанного выше раздела реестра удалить на версии 1703, то после перезагрузки эти параметры восстановятся - чего не происходит на версии Windows 1709.

    На Windows 10 версии 1703 применяется Network Driver Interface Specification (NDIS) 6.70 , драйвер ndis.sys версии 10.0.15063.608 (версия может отличаться в зависимости от установленных обновлений).
    На Windows 10 версии 1709 применяется Network Driver Interface Specification (NDIS) 6.80 , драйвер ndis.sys версии 10.0.16299.15.
    Поэтому, если заменить на Windows 10 версии 1709 этот драйвер на версию 10.0.15063.608, то после перезагрузки фильтр Continent 3 MSE Filter не будет блокировать сеть.
    Драйвер ndis.sys от версии 1703 после установки Fall Creators Update будет находиться в C:\Windows.old\WINDOWS\System32\drivers.
    Драйвер ndis.sys на Windows 1709 находится в C:\Windows\System32\drivers.
    ВНИМАНИЕ!: Перед заменой необходимо сохранить заменяемый драйвер ndis.sys версии 10.0.16299.15, чтобы в случае возникновения ошибок в работе Континент-АП (или когда будет получена версия Континент-АП для Windows 10 версии 1709) вернуть его обратно.

    Процедура замены драйвера ndis.sys:
    1. Запустить командную строку от имени Администратора
    2. TAKEOWN /F "C:\WINDOWS\System32\drivers\ndis.sys"
    3. ICACLS "C:\WINDOWS\System32\drivers\ndis.sys" /GRANT "<имя пользователя>":F
    4. Скопировать файл ndis.sys версии 10.0.16299.15 куда-нибудь на хранение в качестве резервной копии
    5. Скопировать с заменой файл ndis.sys версии 10.0.15063.608 в C:\WINDOWS\System32\drivers\
    6. ICACLS "C:\WINDOWS\System32\drivers\ndis.sys" /SETOWNER "NT SERVICE\TrustedInstaller"
    7. ICACLS "C:\WINDOWS\System32\drivers\ndis.sys" /RESET
    8. Перезагрузить компьютер - после перезагрузки сетевое соединение уже не должно блокироваться
    ПРИМЕЧАНИЕ: Все опции Защитника Windows отключались на всякий случай. Тестирование на удаление и установку Континент-АП при включенных опциях Защитника Windows мною просто не проводилось.

    Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.
    Спасибо сказали: Alex_04

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    01 нояб 2017 09:23 #6093 от shaburoff
    shaburoff ответил в теме Континент-АП
    Проще наверно сделать даунгрейд с Windows 10 на Windows 7:

    для корпоративных пользователей, существует способ получения Права использования любого выпуска Windows, начиная с Windows 95 и вплоть до актуального. Для этого необходимо, для собранного Вами компьютера, приобрести коробочную, или электронную лицензию на любой выпуск Windows Профессиональной, Бизнес, или Максимальной редакций и, затем, приобрести корпоративную лицензию на обновление до актуальной версии.
    Все корпоративные лицензии имеют Право самого широкого Downgrade. Причём, необходимые для Downgrade дистрибутивы и ключи, можно будет запросить и получить на портале поддержки корпоративных лицензий VLSC. Более подробно о корпоративном лицензировании можно прочесть здесь:
    www.microsoft.com/ru-ru/licensing/default.aspx

    Win 10 для организаций, правильно сказали - зло.
    Спасибо сказали: Acz

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    02 нояб 2017 10:36 #6118 от Шуршунчик
    Шуршунчик ответил в теме Континент-АП
    Проверил, после подмены ndis.sys соединение устанавливается и работает.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    08 нояб 2017 12:07 #6137 от Анонимный
    Анонимный ответил в теме Континент-АП
    добрый день, а где взять "континентовские" корневые сертификаты?

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    08 нояб 2017 12:15 #6138 от Виктор Тарасов
    Виктор Тарасов ответил в теме Континент-АП

    Анонимный пишет: добрый день, а где взять "континентовские" корневые сертификаты?

    Континент при установке соединения сам должен скачать свой корневой и предложить установить.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    08 нояб 2017 12:15 #6139 от and_Rey
    and_Rey ответил в теме Континент-АП

    bravchik пишет: Господа, подскажите, может кто знает.
    Пытаемся тут внедрить СУФД, и столкнулись с такой ерундой.
    Я поставил Континет АП, подключил к нему ключ, установил локально корневой сертификат, который скачал с сайта казначейства, и при попытке войти в систему. после выбора сертификата и сообщения про "сервер не зарегистрирован" появляется сообщение:
    «Сервер отказал в доступе пользователю. Причина отказа: Не найден корневой сертификат».



    далее упоминаются "континентовские" корневые сертификаты.. а где ж их взять ? подскажите, пжл..

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    08 нояб 2017 12:17 #6141 от Виктор Тарасов
    Виктор Тарасов ответил в теме Континент-АП

    Шуршунчик пишет: Проверил, после подмены ndis.sys соединение устанавливается и работает.

    Меня больше интересует будет ли работать СУФД портал и подписываться документы. Кто бы попробовал. Мне пока некогда опять накатывать 1709.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    08 нояб 2017 12:35 - 08 нояб 2017 12:36 #6142 от and_Rey
    and_Rey ответил в теме Континент-АП
    Добрый день, при подключении пишет: Причина отказа: не найден корневой сертификат. (влож.1) В Настройках аутентификации добавился сервер доступа и доверенный центр сертификации, но при попытке открыть этот сертификат пишет "Невозможно открыть сертификат. Сертификат отсутствует в списке довер. корнев. центров авторизации ОС Windows (влож.2). Как решить , подскажите, плз.
    Крипта 4.0.9842, Континент 3.7.2.1184. Новые сертификаты казначейства и головного центра сертификации установил.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.