Меры повышения безопасности установленного драйвера аппаратной защиты для операционной системы Windows
В состав дистрибутива платформы «1С:Предприятие» версии 8.3 входит драйвер аппаратной защиты HASP Device Driver. Этот драйвер обеспечивает работу аппаратной защиты продуктов «1С» и состоит из двух частей:
- непосредственно драйвер USB-устройства ключа защиты;
- веб-интерфейс его управления.
Драйвер аппаратной защиты является важным компонентом платформы «1С:Предприятие» и входит в поставку продуктов «1С». Для снижения рисков и повышения безопасности компьютеров пользователей и серверов «1С:Предприятие» рекомендуется следовать следующим принципам:
- обновлять и использовать актуальные версии программных продуктов «1С» и драйвера защиты;
- если пользователи не используют аппаратную защиту, то рекомендуется не выполнять установку драйвера и удалить ранее установленный драйвер защиты;
- если аппаратная защита используется и необходимо использование драйвера защиты, то рекомендуется отключить веб-интерфейс драйвера.
Данная статья содержит описание действий, необходимых для реализации этих принципов и повышения безопасности компьютеров пользователей и серверов «1С:Предприятия». Указанные действия необходимо выполнить администраторам информационной системы на платформе «1С:Предприятие». Подробнее о работе защиты от несанкционированного использования системы «1С:Предприятие» рассказано в документации к системе «1С:Предприятие» (https://its.1c.ru/db/v83doc#bookmark:adm:TI000000262). Описание процесса установки и удаления драйвера аппаратной защиты также приводится в документации (https://its.1c.ru/db/v83doc#bookmark:adm:TI000000282).
При установке платформы «1С:Предприятие» флажок установки драйвера защиты включен по умолчанию. В процессе установки платформы вы можете его выключить, но при установке по умолчанию драйвер будет размещен на компьютере пользователя и сервере «1С:Предприятия», даже если вы не будете его в дальнейшем использовать.
Проверить установку драйвера защиты можно по нескольким признакам. Информацию об установленном драйвере защиты показывает программа его установки из командной строки при вызове с ключом «-info»: » haspdinst.exe -info «. При установке платформы «1С:Предприятие» эта программа размещается в папке » С:\Program Files\1cv8\common\ «:
После запуска команды в первых строках выводится информация о версии установленного драйвера и его компонентов. Ниже на экране отображаются данные для драйвера, входящего в дистрибутив внутри файла haspdinst.exe.
При установке драйвера защиты параметры драйвера записываются в реестр операционной системы в разделе » HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin Knowledge Systems\HASP\Driver\Installer «. Ключ » Version » содержит номер версии установленного драйвера. Эту информацию можно увидеть с помощью редактора реестра, входящего в состав ОС:
Эту же информацию можно получить с помощью интерпретатора командной строки, вызвав команду:
reg query «HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin Knowledge Systems\HASP\Driver\Installer» /v «Version»
При установке драйвера автоматически устанавливается веб-интерфейс для его управления. Веб-интерфейс доступен через веб-браузер на том же компьютере, где установлен драйвер, по адресу: http://localhost:1947/. Если в веб-браузере открывается страница по этому адресу, то это означает, что драйвер защиты установлен и его веб-интерфейс включен.
Работа веб-интерфейса драйвера осуществляется через сервис » Sentinel LDK License Manager «, который не надо путать с сервисом сетевых многопользовательских ключей защиты HASP License Manager. При отключении сервиса » Sentinel LDK License Manager «, веб-интерфейс драйвера защиты отключается и перестает работать. Защита от несанкционированного использования системы «1С:Предприятие» не использует для своей работы веб-интерфейс драйвера защиты, поэтому для повышения безопасности компьютеров пользователей он может быть отключен.
На момент написания данной статьи актуальная версия драйвера защиты – 7.60. Поэтому, если установленная у вас версия драйвера защиты ниже 7.60, то необходимо обновить версию драйвера до 7.60 и выше.
Платформа «1С:Предприятие» версии 8.3 поддерживает большое количество операционных систем, включая Windows XP и Windows Server 2003. С актуальным списком поддерживаемых операционных систем можно ознакомиться на сайте: http://v8.1c.ru/requirements/ Этот список может отличаться от списка поддерживаемых операционных систем производителем драйвера защиты (SafeNet/Gemalto). Список систем, поддерживаемых драйвером, приведен в файле «readme.html» в поставке драйвера. При внутреннем тестировании драйвера защиты 7.60 с операционными системами Windows XP и Windows Server 2003 проблем в работе драйвера не выявлено.
Получить новую версию драйвера можно на сайте обновлений «1С» https://releases.1c.ru/project/AddCompDriverHASP или на сайте производителя драйвера SafeNet/Gemalto https://www.safenet-sentinel.ru/helpdesk/download-space/#tabs-1.
Для операционной системы Windows имеется выбор поставки драйвера для установки через командную строку, или графический интерфейс. Вариант поставки для установки через командную строку включает в себя файл haspdinst.exe , который для установки надо запустить с ключом «-i»: haspdinst.exe -i
В случае установки драйвера через графический интерфейс необходимо запустить файл HASPUserSetup.exe .
Для отключения веб-интерфейса драйвера защиты необходимо остановить и выключить службу » Sentinel LDK License Manager «, которая отвечает за его работу. Это можно сделать вручную через панель управления службами.
Так же веб-интерфейс драйвера можно отключить из интерпретатора командной строки. Для этого необходимо запустить интерпретатор командной строки от имени администратора, а затем выполнить следующую команду:
sc config hasplms start= disabled && sc stop hasplms
Центр загрузки Sentinel
Утилита для записи лицензий в ключи HASP 4 HASPEdit: HASPEDIT.zip
Драйвер для Windows. Версия 4.116 (интерфейс: консоль): HASP4_driver_cmdline.zip
Драйвер для Windows. Версия 8.11 (интерфейс: GUI): Sentinel_LDK_Run-time_setup
Драйвер для Mас OS. Версия 1.91 (интерфейс: GUI): MacOSX.dmg
Драйвер Sentinel HASP для Linux. Версия 8.11: Sentinel_LDK_Run-time_Installer.tar.gz
Менеджер лицензий для Windows. Версия 8.32: HASP_LM_setup.zip
Менеджер лицензий для Linux. Версия 8.3: hasplm_linux_8.30.tgz
Менеджер лицензий для Mac OS. LM_Setup_Mac.dmg
Утилита Aladdin Monitor. Версия 1.4.2: Monitor_Setup.zip
Утилита DiagnostiX. Версия 1.10: Aladdin_Diagnostix.zip
Драйвер ключа Hardlock под платформы Win32/Win64: cpcpci.zip
Драйверы для ключей Hardlock internal PCI и Hardlock Server internal PCI: pcicard.zip
Драйверы для ключей Hardlock PCMCIA: pcmcia.zip
Утилита для установки HL-Server: hlsw32_inst.zip
Утилита для установки комплекса программ Hardlock Bistro. Версия 2.5: bistro32_inst.zip
Утилита DiagnostiX. Версия 1.10: Aladdin_Diagnostix.zip
Драйвер Sentinel HASP для Windows. Версия 8.11 (интерфейс: GUI): Sentinel_LDK_Run-time_setup.zip
Драйвер Sentinel HASP для Windows. Версия 8.11 (интерфейс: консоль): Sentinel_LDK_Run-time_cmd_line.zip
Драйвер для MAC OS. Версия 8.11 (интерфейс: GUI): Sentinel_LDK_RTE_Installer.dmg
Менеджер лицензий для Windows. Версия 8.32: HASP_LM_setup.zip
Менеджер лицензий для Linux. Версия 8.3: hasplm_linux_8.30.tgz
Менеджер лицензий для Mac OS. Версия 8.3: LM_Setup_Mac.dmg
Утилита Aladdin Monitor. Версия 1.4.2: Monitor_Setup.zip
Утилита DiagnostiX. Версия 1.10: Aladdin_Diagnostix.zip
Внимание, комплект разработчика Sentinel HASP 5.12 является устаревшем. Рекомендуем вам использовать его только для перехода на Sentinel LDK c более старых версий.
Драйвер Sentinel HASP для Windows. Версия 8.11 (интерфейс: GUI): Sentinel_LDK_Run-time_setup.zip
Драйвер Sentinel HASP для Windows. Версия 8.11 (интерфейс: консоль): Sentinel_LDK_Run-time_cmd_line.zip
Драйвер Sentinel HASP для Linux. Версия 8.11: Sentinel_LDK_Run-time_linux.zip
Драйвер Sentinel HASP для Mac OS X. Версия 8.11: Sentinel_LDK_RTE_Installer.dmg
Определение причин блокировки Sentinel SL из-за смены оборудования : C2V Decoder
Обновление USB-ключей HASP HL до функциональности HASP SRM с помощью файла V2C: HASP_HL_Firmware_Update_v2c.zip
Обновление USB-ключей HASP HL до функциональности HASP SRM с помощью утилиты Firmware Update: HASP_HL_Firmware_Update.zip
Руководство к Sentinel LDK на русском языке: скачать
«Быстрый старт» к Sentinel LDK на русском языке: скачать
Обзор возможностей Sentinel EMS Web Service API на русском языке: скачать
Драйвер для ключей Sentinel SuperPro, Sentinel UltraPro и SHK для Microsoft Windows. Версия 7.5.7: Sentinel System Driver Installer 7.5.7.zip
Драйвер для ключей Sentinel SuperPro, Sentinel UltraPro и SHK для Linux. Версия 7.5.6: sntl-sud-v7.5.6.tar
Драйвер для ключей Sentinel SuperPro, Sentinel UltraPro и SHK для MacOS. Версия 1.3.1: SKPI131.zip
Утилита диагностики для проверки системы и создания файла отчета (Sentinel Advanced Medic) для Microsoft Windows: SAM131.exe
Утилита для удаления Sentinel System Driver: SSDCleanup_1.2.0.5.zip
1C типичные проблемы при работе с HASP
Это все было касаемо серверной части, т.е. применяется на том компе куда воткнут ключик HASP4, на клиенте же, нужно в папке \\192.168.1.103\c$\Program Files (x86)\1cv82\conf\ поправить файл nethasp.ini
Сделать запись
[NH_TCPIP]NH_SERVER_ADDR = 192.168.1.103, 192.168.1.3, 192.168.1.250, 192.168.1.99
NH_TCPIP_METHOD = TCP
NH_SERVER_NAME = admiral, it_progr, srvprss, it
тут указаны имена серваков и их ipадреса. Имена с учетом того как они описывались в файлах nhsrv.ini на серверах (см. выше).
1C типичные проблемы при работе с HASP
Для защиты своих продуктов фирма «1C» использует аппаратный ключ защиты HASP4, присоединяемый к USB или LPT-порту компьютера. Для установки ключа HASP4 на операционные системы Microsoft Windows 98, ME, NT4, 2000, XP(x86/x64), 2003 Server(x86/x64), 2008 Server(x86/x64) или Vista (x86/x64) вам необходимо скачать и установить драйвер версии 4.116. Если вы планируете работать под управлением Windows 7(x86/x64), то рекомендуется использовать драйвер 5.90. Для успешной установки драйвера вам потребуются привилегии локального администратора, рекомендуется отключить любое защитное ПО (антивирус, брандмауэр).
Драйверы устанавливаются в консольном режиме, для этого необходимо запустить драйвер с параметром «-i». В случае, если на этом компьютере уже использовались ключи HASP, рекомендуется удалить предыдущую версию драйвера, запустив инсталляцию с ключом «-r».
Ключи защиты для 1С подразделяются на:
1. Однопользовательские (обязательно должны физически быть подключены к компьютеру, на котором запускается 1С)
модель HASP HL Basic (синего цвета), данный ключ имеет маркировку H4 M1 ORGL8, не имеет встроенной памяти и персонального ID, не хранит в себе никаких параметров и настроек. Поставляется продуктами имеющими лицензию на одно рабочее место.
2. Многопользовательские (ключ находится в сети, 1С может запускаться на любых компьютера в пределах локальной сети или домена)
Сетевые клиентские ключи включают серию HASP HL Net (красного цвета). Имеют внутреннюю память, в которой хранится количество лицензий, и уникальный ID. Существуют разновидности на 5, 10, 20, 50 и 100 пользователей. Имеет маркировку NETXX ORGL8, где ХX — количество лицензий (например NET5 ORGL8). Существуют также ключи на 300 и 500 пользователей которые имеют маркировку NET250+ ORG8A и NET250+ ORG8B. Поставляются с продуктами имеющими лицензию на 5 рабочих мест, а также отдельно, в виде дополнительных клиентских лицензий.
3. Серверные (обязательно должны физически быть подключены локально к компьютеру, на котором установлен и работает сервер агента 1С Предприятие)
Ключи для сервера 1С Предприятие бывают только локальные. 32-битная версия имеет ключ защиты HASP HL Pro (фиолетового цвета), который имеет внутреннюю память и уникальный ID. Имеет маркировку ENSR8, поставляется вместе с лицензией на сервер 1С Предприятие.
! Для 64-битного сервера используется ключ HASP HL Max (зеленого цвета) с внутренней памятью и уникальным ID. Имеет маркировку EN8SA и поддерживает также 32-битный сервер. Т.е. имея лицензию на 64-битный сервер можно, не меняя ключа, использовать 32-битную версию, но не наоборот.
Для работы однопользовательского и серверного ключа достаточно установить драйвер ключа защиты на локальной машине и вставить ключ защиты в локальный USB порт.
Для многопользовательского (сетевого) ключа защиты необходимо:
1. Установить драйвер ключа защиты на одну из машины в сети, которая будет являться сервером ключа — HASP4_driver_setup.zip
2. Установить сервер (службу) ключа защиты на эту же машину — HASP_LM_setup.zip
3. Вставить ключ защиты в сервер в USB порт
4. Установить 1С на клиентские машины
Если во время установки драйверов возникли проблемы, выполните следующую последовательность действий.
• Удалите все компоненты HASP через «Панель управления — Установка/удаление программ».
• Остановите все службы, которые содержат в названии «Hasp» или «HLServer».
• Удалите все файлы aks*.*, «hardlock.sys» и «haspnt.sys» из папки c:\windows\system32\drivers» (если они не используются другими приложениями).
• Изменение драйверов в «Диспетчере устройств»:
зайдите в «Панель управления» \ «Система»;
перейдите на вкладку «Оборудование» и откройте «Диспетчер устройств»;
выберите в меню «Показать скрытые устройства»;
раскройте пункт «Драйверы устройств не Plug and Play»;
удалите каждый из следующих пунктов, если они присутствуют: «Hardlock», « Haspnt», «HASP fridge.
• Попробуйте еще раз удалить драйверы с помощью команды «haspdinst –purge», а затем установить с помощью «haspdinst –i».
При включении / перезагрузке компьютера под управлением Windows XP из автозагрузки не загружается Сервер защиты с сообщением об ошибке: HASP Device Driver not installed (-100).
Возможная причина: Драйвер защиты загружается медленнее, чем Сервер защиты из автозагрузки. Решение: Вместо Сервера защиты (NHSRVW32.EXE) использовать Менеджер лицензий LMSETUP, устанавливаемый в качестве службы (Service) Windows. Менеджер лицензий LMSETUP доступен по адресу: http://www.aladdin.com/support/hasp/enduser.asp Подробности установки можно найти по адресу: http://v8.1c.ru/overview/release_13/
Работа с ключами по сети
Для работы с сетевыми ключами, помимо установки драйверов, вам еще потребуется установить License Manager (Менеджер лицензий) для каждого сетевого ключа. Менеджер лицензий — это утилита, которая служит связующим звеном между сетевым ключом и «1C», запускаемой на удаленной машине.
Для работы защищенного приложения на удаленной рабочей станции необходимо обеспечить беспрепятственный проход UDP- и TCP-пакетов по 475 порту в обе стороны. Также должны проходить и broadcast-пакеты. Если последнее требование по каким-либо причинам не выполняется, необходима настройка приложения через файл nethasp.ini (должен находиться в одной директории с исполняемым файлом) с целью отключения broadcast-механизма поиска ключа и явного указания
IP-адреса машины, обслуживающей ключ.
Пример файла nethasp.ini:
NH_SERVER_ADDR = 168.192.1.10 // ip-адрес компьютера, где расположен Менеджер лицензий.
Если часть маршрута между запускаемой программой и ключами HASP проходит через Интернет или на ключе более 100 лицензий, могут возникнуть проблемы с тайм-аутами при доставке пакетов. Время ожидания ответа можно регулировать с помощью параметров NH_SESSION и NH_SEND_RCV. По умолчанию они закомментированы, и их значение составляет 30 и 5 секунд соответственно. Таким образом, делается 6 попыток найти ключ по 5 секунд каждая. При необходимости вы можете увеличить эти параметры.
Менеджер лицензий не рекомендуется устанавливать его на компьютер с 2-мя и более сетевыми интерфейсами, так как это может вызвать некорректное функционирование Менеджера. Для решения данной проблемы следует:
• Перенести Менеджер лицензий на другую машину в сети.
• Отключить остальные сетевые интерфейсы.
• Также можно попробовать изменить метрики в свойствах протокола TCP/IP (первым будет использован интерфейс с меньшей метрикой), но результат в данном случае гарантировать нельзя.
Два и более менеджеров лицензий (License Manager) в сети
При наличии двух и более сетевых ключей не всегда достаточно разнести их по разным компьютерам. Следует выполнить настройку менеджеров лицензий. Каждый менеджер лицензий должен иметь уникальное имя, которое следует явным образом сообщить защищаемой программе. Рекомендуется выполнить аналогичную настройку и в случае использования сервера терминалов, даже при одном сетевом ключе.
На машине где установлен ключ находим файл nhsrv.ini в папке с менеджером лицензий. За имя сервера лицензий отвечает параметр NHS_SERVERNAMES, оно может состоять из латинских букв и цифр и содержать не более 7 символов.
После чего на клиентских машинах желательно отредактировать файл nethasp.ini, явным образом указав адреса и имена менеджеров лицензий:
NH_SERVER_ADDR = 192.168.0.10, 192.168.0.11
NH_SERVER_NAME = NAME1, NAME2
Утилита Aladdin Monitor разработана для осуществления централизованного администрирования приложений HASP License Manager и ключей сетевых ключей HASP.
Aladdin Monitor позволяет:
• Проверять наличие и свойства ключей HASP4 Net в сети.
• Отслеживать наличие и свойства Менеджеров лицензий в сети.
• Останавливать и запускать локальный Менеджер лицензий.
• Отслеживать лицензии, которые используются в данный момент.
Стоит учитывать, что сам по себе Aladdin Monitor может показать только наличие Менеджера лицензий на том или ином адресе. Ключ он сможет увидеть только после того, как защищенное приложение успешно откроет хотя бы одну сессию с ключом. Кроме того, Aladdin Monitor работает только по протоколу UDP, порт 475. Таким образом, отсутствие данных о ключе в мониторе еще не означает, что ключ недоступен для приложения.
Утилита HASP Admin Control Center (устанавливается вместе с драйверами ключей Sentinel HASP v.5.*) не предназначена для работы с ключами, которые использует «1С», поэтому они ей в ней отображаться не будут – воспользуйтесь утилитой Aladdin Monitor.
Утилита Aladdin DiagnostiX реализует механизм обратной связи. Ее главная задача — диагностика работоспособности локальных и сетевых ключей, работающих в системе. Кроме того, она позволяет настраивать конфигурацию для сетевых ключей HASP и генерировать отчеты, включающие всю информацию, связанную с устройствами Aladdin. При обращении в службу технической поддержки рекомендуется прикреплять подобный отчет, это поможет сформировать более полную картину сложившийся проблемы.