» Aladdin Secret Disk Server NG

Интересный монолог...

Цитата:

теперь бьюсь с ложными срабатываниями тревожной кнопки

Вот и спрашивается, за что деньги уплочены

Цитата:

теперь бьюсь с ложными срабатываниями тревожной кнопки

Поподробнее можно, а то покупать собрался.

Цитата:

теперь бьюсь с ложными срабатываниями тревожной кнопки

Кнопка аппаратная? Можно попробовать увеличить таймаут в настройках утилиты аларм.


Цитата:

на ХП СП2 у меня тревожная кнопка не срабатывает - как ни извращался - хоть мя компа, хоть полное, хоть краткое, хоть ип, хот локалхост - ни в какую...

Есть переведенная инструкция для этой проблемы. Проблема с подачей сигнала тревоги появилась после SP2 для WinXP.

Инструкшн:

Цитата:

По умолчанию в Windows XP SP2 запрещаются все анонимные TCP/IP соединения. Именно эти соединения используются для подачи сигнала «Тревога».

Поэтому для Windows XP SP2 нужно использовать другой тип соединений - именованные каналы. Для использования именованных каналов произведите следующие настройки (если параметров в реестре не существует, то их необходимо создать):

1.
Настройка протокола взаимодействия "аларм"-сеанса на серверной стороне.
Ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\Secret Disk NG\
Параметр: "AlarmProtocol", REG_SZ

Значения параметра:
"ncacn_ip_tcp" - используется по умолчанию
"ncacn_np" - это значение нужно указать для решения проблемы с Windows XP SP2

При указании неправильного значения служба не запускается.


2.
Настройка протокола взаимодействия "аларм"-сеанса на стороне клиента.
Ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\Alarm\Plugins\SDNotifier\Parameters\
Параметр: "SDNGSrvProtocol", REG_SZ

Значения параметра:
"ncacn_ip_tcp" - используется по умолчанию
"ncacn_np" - это значение нужно указать для решения проблемы с Windows XP SP2


После установки данных параметров перезапустите службы Secret Disk Server NG и Aladdin Alarm Service.



Также на серверном компьютере необходимо проверить значения следующий параметров реестра:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\EnableAuthEpResolution=1, (DWORD)
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\RestrictRemoteClients=0, (DWORD)



3. Настройте в групповых политиках(gpedit.msc) именованные каналы, к которым можно обращаться анонимно.
Добавьте в список sdng\sdsrv_alarm. Не забудьте применить политику (gpupdate /force).
Эта политика должна примениться к серверу.

У меня после этой инструкции всё заработало. Вообще, похоже что в любой чистой XP SP2 по-умолчанию тревога не подается.
Да, забыл совсем. Если и консоль админа, и сам сервер установлены на одной машине, то получается, что машина является и клиентом и сервером, соответственно, инструкция должна применятся полностью к этой машине.

подскажите, завожу нового пользователя в Secret Disk, просит создать сертификат, создаю, сертификат создается успешно.
Но когда я его выбираю, вылазит окошко : "Выбранный сертификат хранится в eToken и не содержит лицензии пользователя"
подскажите что можно сделать?

чет, похоже, переборщили тут с возможностями этого "секрет диска":


Цитата:

Когда необходим Secret Disk NG?

* Конфиденциальная информация обрабатывается и хранится на ноутбуке, и есть риск его кражи.
.........................
* При хранении и обработке конфиденциальной информации на компьютере, подключенном к локальной сети, необходимо заблокировать доступ к этой информации всем, включая системного администратора (нужна «защита от системного администратора»).
........................

имхо, не бывает такого, если есть носитель, значит можно скопировать, не важно какими методами (в обход ОСи ч\з порты контроллера или др.), другой вопрос, насколько это имеет смысл...
но тут, имхо, вопрос устойчивости самого криптоалгоритма...

olegkram
сертификат сохраняете в ключ, не содержащий лицензии на продукт. Может, вы отформатировали ключ.
Или, если у вас серверная версия, вы сохраняете сертификат на ключ с лицензией сервера, а не администратора. Скорее всего так...

perdun
Ну да Скопировать что угодно можно (ну почти, закрый ключ из памяти того же етокена или аналогов - анрыл), только вот сколько лет на кластерных системах будут расшифровывать диск, зашифрованный тем же AES-256 или twofish

скачаны с сайта RTE_3.66_signed.msi и sdngServer-3.2.2.324.exe
RTE установлен, сервер перезагружен
при установке sdngServer-3.2.2.324.exe ругается что необходим RTE версии 3.00.116
косяк какой то

Добавлено:
а RTE не ставится мотивируя тем что уже установлен

Добавлено:

Цитата:

ETT
Ну да Скопировать что угодно можно (ну почти, закрый ключ из памяти того же етокена или аналогов - анрыл), только вот сколько лет на кластерных системах будут расшифровывать диск, зашифрованный тем же AES-256 или twofish

как у меня знакомый сказал:

Цитата:

терморектальный криптоанализ еще никто не отменял

WarlockNT
Это очень давний боянистый аргумент к тому, что данные защитить от несанкционированного доступа на 100% невозможно))
Им пестрят все форумы, включая этот. Но в принципе, главное - чтоб владелец паяльника не знал, к кому надо применять терморектальный криптоанализ

Вышеуказанная проблема связана скорее всего с тем, что вы:
1) На самом деле ставите какую-то устаревшую версию серверного сикрет диска.
2) Либо в результате установок-удалений куча мусора в реестре.

Попробуйте всё к чертям удалять, почистить реестр, особенно ветку HKLM\Software\Aladdin
При удалении сикретдиска сохраните защищенное хранилище (будет запрос такой в процессе удаления.)
Потом уже ставьте RTE 3.65, затем SDS 3.2.2.324

PS: Не понял, зачем вам RTE 3.66 - в нем вся разница в сравнении с RTE 3.65 - поддержка висты. Да и русспака к этому драйверу пока нет.

PSS: На виртуалке глянул - чистая w2003 SP2 R2 Rus EE x86, SDS 3.2.2.324 спокойно ставиться на RTE 3.66...

Цитата:

Это очень давний боянистый аргумент к тому, что данные защитить от несанкционированного доступа на 100% невозможно))
Им пестрят все форумы, включая этот. Но в принципе, главное - чтоб владелец паяльника не знал, к кому надо применять терморектальный криптоанализ

согласен, просто не удержался от очередного цитирования

а по поводу проблемы, я разобрался: просто снес и снова поставил тоже самое и заработало, странно, конечно, но заработало

и еще проблема, ставлю из RDP сессии - локальный ключ в сервере не виден, удаляю и ставлю локально - все начинает видется, но тоже уже не проблема

сейчас проблема в другом
диск зашифрован, в настройках стоит "доступ по сети - разрешен"
создаю шару, раздаю права
но по сети попасть не могу, шару вижу
пытаюсь в нее попасть - говорит недостаточно прав для доступа к ресурсу
и приписка "недостаточно памяти сервера для обработки команды"

WarlockNT
А смарт-карта (вообще любая) и не будет видна в терминальном режиме, если подключена к серверу. Это фича терминальных служб Майкрософта. Смарт-карту надо подключить локально к терминальному клиенту и включить в настройках проброс данных смарт-карт в сессию.

По поводу шар:
- Наверное, следует проверить ещё раз ntfs-разрешения (permissions).
- Посмотреть значение ключа autodisconnect тут HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
По-умолчанию должно быть равно 15. Главное, чтоб не бесконечность (0xffffffff).

Цитата:

А смарт-карта (вообще любая) и не будет видна в терминальном режиме, если подключена к серверу. Это фича терминальных служб Майкрософта. Смарт-карту надо подключить локально к терминальному клиенту и включить в настройках проброс данных смарт-карт в сессию.

это включено, просто после установки RTE в терминальном режиме, даже локально ключи не видятся, приходится РАдмином ставить поновой


Цитата:

По поводу шар:
- Наверное, следует проверить ещё раз ntfs-разрешения (permissions).
- Посмотреть значение ключа autodisconnect тут HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
По-умолчанию должно быть равно 15. Главное, чтоб не бесконечность (0xffffffff).

в том то и дело что с правами все в порядке
перепроверил, и проблема тока с шарами на зашифрованном разделе
на нешифрованном все работает нормально
права на доступ давал даже гостю, один фиг не пускает

У меня вопрос по поводу использования Secret Disk 4 для ХР\2000.
Так вот этим продуктом зашифрованы все разделы жесткого диска (включая и системный). Винда на этом компе проглючила и теперь постоянно начинает перезагружаться. Опишу подробнее после инициализации eToken и ввода PIN появляется окно с выбором варианта загрузки. После выбора режима загрузки сразу наступает перезагрузка системы и так по кругу. Соответственно ни безопасный ни какой другой режим не помогают загрузиться. Сразу воспользоваться например LiveCD или дистрибутивом ХР для лечения не могу так как диски то хоть и видны но все зашифрованы.
Теперь соответственно вопрос как находясь в окне выбора режима загрузки (или вообще до него) при данных условия произвести смену загрузки на CD или USB, так чтобы системный диск уже был расшифрован???. Или что вообще можно предпринять в данной ситуации? (соответственно кроме снятия жесткого и расшифровки его на другой машине)

Отвечу на свой вопрос
Но сначала небольшое отступление: если что то и случается нехорошее, так это под вечер, под конец недели или на выходных. В один из таких моментов описанная выше проблема и произошла.
Так вот оказывается "выдумывать велосипед" не надо, разработчики учли такую ситуация, но по понятным причинам нигде о ней не распространяются (ни в одном из мануалов или описаний ПО не встречал этого). Так вот есть специальный BootCD (прошу не путать с тем образом, который после установки программы присутствует в папке, где установлено ПО), с которого можно загрузиться и произвести расшифровку системного диска. Причем оказывается расшифровать системный диск можно только с такого CD простой перенос жесткого на другой комп с утстановленным ПО и с наличием всех необходимых сертификатов, ключей и тд для расшифровки, ни какого результата не даст.
Все данный момент профиксил и плохое и неполное продумывания всех ситуаций, связанных с использование данного ПО осознал.

Ka1n1
этот неафишируемый диск ещё на стадии тестирования и релиза не было. По каким, интересно, вам "понятным причинам", разрабы его не выкладывают?))
Забыли, кстати, указать, что для расшифровки _системного раздела_ необходимо ввести вручную ключ шифрования.

Вообще, решение правильно, ведь с ОСью может что угодно случиться - кривые руки, кривой софт...

Хотя в конечном счёте я всем давно советую TrueCrypt, жаль, его в организации не поставишь частенько - сертификации соответствующей нет.