20 ответов в этой теме

[d.a.panov]

Последовательность действий для воспроизведения проблемы:

 

Установлен Windows 7 x86 (VM на Hyper-V 2012R2), введен в домен, установлены все критические апдейты, установлен Office 2016 Pro Plus, установлен VipNet 3.2.11.19855 (сертификат ФСБ).

В VipNet сделана настройка автоввода пароля из реестра компьютера в окно VipNet при старте системы, 

в VipNet добавлено правило, разрешающее входящие подключения для возможности подключения к машине по RDP. Включен удаленный доступ RDP в Win7.

В силу особенности VipNet данное правило начинает работать только при вводе пароля VipNet.

Конфигурация проверена, работает!

 

Установлен агент DrWeb ESS 10, компоненты Сканер, Guard, Gate, Офисный контроль, Превентивная защита.

До перезапуска системы все работает. Далее начинается "необъяснимое" , - при последующих перезагрузках VipNet начинает стартовать через раз,

через 5-6 перезагрузок вообще перестает стартовать.

При старте системы, когда не стартует VipNet появляется сообщение от VipNet Monitor, что служба IpLirControl не доступна.

Далее появляется стандартное приглашение Ctrl+Alt+Del.

Вводим логин и пароль доменного юзера.

Из оснастки службы вручную запускаем IpLirControl - запускается. Далее стартуем ярлыком VipNet Monitor и все работает как ни в чем не бывало.

 

Для решения проблемы:

 

В сканере сделаны исключения на папки:

C:\ProgramData\InfoTeCS\*

C:\Program Files\InfoTeCS\VipNet Client\*

 

В Guard сделаны исключения

- на папки:

C:\ProgramData\InfoTeCS\*

C:\Program Files\InfoTeCS\VipNet Client\*

- на процессы:

C:\Program Files\InfoTeCS\VipNet Client\ivpsrv.exe

C:\Program Files\InfoTeCS\VipNet Client\Monitor.exe

C:\Program Files\InfoTeCS\VipNet Client\monitsrv.exe

C:\Program Files\InfoTeCS\VipNet Client\vipnetln.exe

 

В превентивной защите разрешено все.

Не помогает.

VipNet 3.2.11.19855 не стартует служба IpLirControl (monitsrv.exe)

 

Прошу помощи.

Очень долгий старт, логи смотреть примерно с 14-45 по 15-15.

Прикрепленные файлы:

•  VIPNET32-01_PanovDA_160616_163516.zip   4Мб   2 Скачано раз

[d.a.panov]

поправка, до VipNet Client 3.2.11.19855 установлен VipNet CSP 4.2

[Kirill Polubelov]

Процессы, если не ошибаюсь. прописываются без указания путей.

 

Ну и вероятней всего, все-таки, превентивная защита, этот vipnet занимается инжектами, всё-таки.

Сообщение было изменено Kirill Polubelov: 16 Июнь 2016 - 13:08

[Kirill Polubelov]

А погодите-ка. Так "не стартует" или "очень долгий старт"?

[d.a.panov]

А погодите-ка. Так "не стартует" или "очень долгий старт"?

очень долгий старт - это относится к появлению приглашения windows ctrl+alt+del )

VipNet не стартует, на черном экране выдает ошибку - не найдена служба IpLirControl и окно по таймауту 20сек закрывается,

далее долго черный экран до старта винды.

[d.a.panov]

Процессы, если не ошибаюсь. прописываются без указания путей.

 

Ну и вероятней всего, все-таки, превентивная защита, этот vipnet занимается инжектами, всё-таки.

в превентивной защите разрешено все.

я так понял она часть агента и её не получится не устанавливать как компонент? и отдельно удалить нельзя?

[Konstantin Yudin]

для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.

Сообщение было изменено Konstantin Yudin: 16 Июнь 2016 - 13:27

[d.a.panov]

Процессы, если не ошибаюсь. прописываются без указания путей.

 

Если задавать исключения напрямую в агенте, то при указании файла он прописывает полный путь, а так же есть 2 галочки не проверять гардом и не проверять гейтом и майлом. При выборе галочек появляются соответсвующие отметки в таблице интерфейса добавления исключений.

 

Если же задавать исключения для первичной группы , в которую входит комп в консоли ess, то на агент клиента "приезжают" полные пути, а вот в колонках таблички исключений в интерфейсе агента галочек уже нет. Так что непонятно исключил агент их или нет.

 

И еще косяк, если в настройках привентивной защиты в консоли еss выставить галочки как надо, но при этом запретить юзеру менять настройки превентивной защиты агента, то на агенте в табличке настроек привентивной защита отображается неактивная настройка, состав которой не соответсвует той, то выставлена на сервере ess для данного клиента. И опять не понятно, что приехало на клиента, то что надо или то что показывает агент.

для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.

Подскажите, плиз, как сделать такие трейсы?

[d.a.panov]

для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.

бутлог сделал, см. лс.

в саппорт подал заявку на создание ЛК, жду пароля )

[Konstantin Yudin]

спасибо. будем разбирать

[basid]

Будете разбираться, не забывайте, что и актуальный билд ViPNet-клиента версии 3.2 - 3.2.12+ и четвёртая версия уже выпущена и сертифицирована.

[d.a.panov]

пытался решить через саппорт, там предположили, что проблема в том, что машина виртуальная.

Проблему со стартом VipNet решил путем установки типа запуска службы IpLirControl на "отложенный".

Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.

[basid]

Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.

Не надо вводить в заблуждение.
Кроме того, ИнфоТеКС проводит "аукцион неслыханной щедрости", согласовав с ФСБ упрощённую процедуру регистрации (бесплатного) CSP 4.2 в качестве сертифицированного СКЗИ.

[d.a.panov]

 

Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.

Не надо вводить в заблуждение.
Кроме того, ИнфоТеКС проводит "аукцион неслыханной щедрости", согласовав с ФСБ упрощённую процедуру регистрации (бесплатного) CSP 4.2 в качестве сертифицированного СКЗИ.

 

 

Блажен, кто верует, особенно если не знает, но уверенно вещает.   

Одного сертификата ФСБ с сайта мало. Сертифицированный ФСБ VipNet Client поставляется с номерным дистрибутивом и формуляром, в котором указан номер дистрибутива, что и подтверждает, что именно эта сборка и является сертифицированным средством защиты персональных данных. Но вам такие мелочи знать видимо ни к чему.

VipNet Client мне поставлялся централизовано в рамках определенного федерального проекта. Соответственно есть тех.требования к версии клиента. Она должна быть 3.2. Саппорт VipNet'а в ответ на запрос мне сказал, что сертификат ФСБ имеет только сборка 3.2.11.19855, которая имеет ряд проблем совместимости и они это признают, но заменить на другую сборку из линейки 3.2 не могут, ибо другие сборки ФСБ не сертифицированы, соответственно мне поставлен номерной дистрибутив этой сборки, формуляр к нему с указанием внутри формуляра номера дистрибутива и сертификат ФСБ. Если вы лично хотите играть в игру "установи другую сборку, отличную от той, что пришла тебе по документам, и получи проблемы с совместимостью при работе с координатором, отказ в саппорте провайдера федеральной программы, проблемы с ФСБ, когда будут проверять то что ты сделал по линии исполнения закона о защите персональных данных", то это ваше ЛИЧНОЕ дело.

Не надо советовать людям, не зная всех нюансов и не разбираясь в предмете, то, за что можно получить по голове, вплоть до уголовной статьи.

[Kirill Polubelov]

Патовая ситуация.

[d.a.panov]

Патовая ситуация.

Да, практически. Пришлось много применять метод научного тыка, пока удалось запустить сабжевую сбору VipNet Client + Win 7 + All critical updates + DrWeb.

Далее немного оффтоп, да простит меня модератор )

В формуляре на сертифицированный ФСБ VipNet Client, сборка 3.2.11.19855 указано, что использование данного СКЗИ допускается только при условии установки ВСЕХ критических обновлений безопасности операционной системы. Финт ушами в виде использования Windows XP не прокатывает, ибо она снята с поддержки производителя. Использовать данную ОС не допустимо.

После установки некоторых обновлений Windows 7 возникает конфликт системы безопасности Win7 и драйвера TLS от VipNet 3.2. Выражается это в том, что при запуске появляется черный экран, и загрузка Win до Ctrl+Alt+Del не происходит. Если использовать ворэраунд саппорта и деактивировать в реестре драйвер TLS от VipNet, то сохраняется проблема с доступом к рабочей станции по RDP, он тупо не работает.

Многие решают данную проблему отключая обновления, но тогда согласно формуляру сертификация ФСБ нарушена и использовать СКЗИ нельзя.

После появления CSP 4.2 появился более адекватный воркэраунд. Клиент лечится с помощью установки CSP 4.2, который при установке заменяет драйвер TLS на свой, совместимый с Win 7, при этом изменений в алгоритмы VipNet клиент не вносится, номер сборки не меняется, т.е. на сертификацию ФСБ не влияет (ответ саппорта). При этом замечу, что это опять же воркэраунд, а не исправление, ибо 3.2 снять с разработки. Я так понял все сборки имееют данную проблему совместимости с 7-кой.

И как уже было написано проблема с DrWeb решилась отложенным запуском службы IpLirControl.

Пользуйтесь данными обходными решениями на свой страх и риск.

[Kirill Polubelov]

Спасибо, а дистра VipNet Client, сборка 3.2.11.19855 в свободном официальном доступе, конечно же, нет?

[d.a.panov]

Спасибо, а дистра VipNet Client, сборка 3.2.11.19855 в свободном официальном доступе, конечно же, нет?

насколько я знаю нет, но думаю что её без проблем может выдать саппорт випнета. Но без формуляра, а без этой бумажки это уже не сертифицированное СКЗИ )))

[basid]

Сертифицированный ФСБ VipNet Client поставляется с номерным дистрибутивом и формуляром ...
Но вам такие мелочи знать видимо ни к чему.

Да, конечно, проводя аттестацию ИСПДН наших рабочих мест мы просто так погулять выходили.

VipNet Client мне поставлялся централизовано в рамках определенного федерального проекта.

Дальше можете не продолжать - обычный организационный геморрой.
Способен возникать на совершенно ровном месте. Сертификация просто усугубляет его.

Не надо советовать людям, не зная всех нюансов и не разбираясь в предмете

Скажите честно - ваше рабочее место прямо в гипервизоре было аттестовано?
 
P.S. ССТУ?

[d.a.panov]

 

Сертифицированный ФСБ VipNet Client поставляется с номерным дистрибутивом и формуляром ...
Но вам такие мелочи знать видимо ни к чему.

Да, конечно, проводя аттестацию ИСПДН наших рабочих мест мы просто так погулять выходили.

VipNet Client мне поставлялся централизовано в рамках определенного федерального проекта.

Дальше можете не продолжать - обычный организационный геморрой.
Способен возникать на совершенно ровном месте. Сертификация просто усугубляет его.

Не надо советовать людям, не зная всех нюансов и не разбираясь в предмете

Скажите честно - ваше рабочее место прямо в гипервизоре было аттестовано?

 

требований к типу железа (реальное или виртуальное) сертификатом ФСБ не предъявляется!

​исполнитель программы ответил, что ему все равно.
 
P.S. ССТУ?

нет, АИС Контингент для обр.учреждений, но с ССТУ тоже сталкивался, там випнет выдавали районной администрации без сертификата ФСБ и без формуляра.