1 апреля, среда 07:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от rvroman Посмотреть сообщение

    Всё написано в руководстве по установке и настройке КБР-Н. Детальные настройки есть в рекомендациях по настройке на сайте МЦИ.
    То что там написано, для меня как филькина грамота. Я уже 3й день читаю и не понимаю. Написано сделать пользователей (в группу пользователи) и установить, но с какой учетки запускать установку. Если эти 3 учетки будут не админы, а админ будет только локальный пользователь.

    1.1.1.1 Каждому представителю эксплуатационного персонала, который будет работать с ПК АРМ КБР-Н, необходимо перед установкой ПК создать учётную запись в ОС, принадлежащую группе «Пользователи». Так как разные представители эксплуатационного персонала ПК АРМ КБР-Н могут иметь разные права на объекты ОС данного компьютера, то для облегчения задач администрирования допускается создание в ОС локальных групп пользователей «Администраторы», «Администраторы информационной безопасности», «Операторы», в которые можно включать соответствующие учетные записи представителей эксплуатационного персонала ПК АРМ КБР-Н.

    Для работы ПК АРМ КБР-Н представитель эксплуатационного персонала, имеющий административные привилегии, должен в ОС создать учётные записи (в случае их отсутствия) представителей эксплуатационного персонала с функциональными ролями «Администратор», «Администратор информационной безопасности» и «Оператор».

    1.1.1.1 Установочный комплект ПК АРМ КБР-Н содержит файлы oevSetup.exe и oevReadme.htm.

    1.1.1.2 Установка выполняется путем запуска файла oevSetup.exe представителем эксплуатационного персонала, имеющим административные привилегии в ОС. Рекомендуется устанавливать ПК на диск с файловой системой NTFS.

    Комментарий


    • Вроде все понятно написано, на машине должна быть одна или более учетная запись с административными правами, например Администратор машины, с помощью неё:
      1. Делаем три учетки с пользовательскими правами:
      - Оператор
      - Администратор
      - Администратор ИБ
      2. Запускаем Администратором машины установку АРМ КБР-Н
      Далее по инструкции.

      Комментарий


      • Сообщение от w32stator Посмотреть сообщение

        То что там написано, для меня как филькина грамота. Я уже 3й день читаю и не понимаю. Написано сделать пользователей (в группу пользователи) и установить, но с какой учетки запускать установку. Если эти 3 учетки будут не админы, а админ будет только локальный пользователь.

        1.1.1.1 Каждому представителю эксплуатационного персонала, который будет работать с ПК АРМ КБР-Н, необходимо перед установкой ПК создать учётную запись в ОС, принадлежащую группе «Пользователи». Так как разные представители эксплуатационного персонала ПК АРМ КБР-Н могут иметь разные права на объекты ОС данного компьютера, то для облегчения задач администрирования допускается создание в ОС локальных групп пользователей «Администраторы», «Администраторы информационной безопасности», «Операторы», в которые можно включать соответствующие учетные записи представителей эксплуатационного персонала ПК АРМ КБР-Н.

        Для работы ПК АРМ КБР-Н представитель эксплуатационного персонала, имеющий административные привилегии, должен в ОС создать учётные записи (в случае их отсутствия) представителей эксплуатационного персонала с функциональными ролями «Администратор», «Администратор информационной безопасности» и «Оператор».

        1.1.1.1 Установочный комплект ПК АРМ КБР-Н содержит файлы oevSetup.exe и oevReadme.htm.

        1.1.1.2 Установка выполняется путем запуска файла oevSetup.exe представителем эксплуатационного персонала, имеющим административные привилегии в ОС. Рекомендуется устанавливать ПК на диск с файловой системой NTFS.
        Установку запускать от учётки с административными правами, эта учётка пользователем КБР-Н не будет. При первом запуске от учётки без административных прав, этот пользователь автоматом станет Администратором КБР-Н, он сможет добавить в КБР-Н новую учётку, она станет АИБ и ещё одну без привязки к роли. Далее под учёткой АИБ можно третьей учётке назначить роль Оператор. Всё у вас есть все учётки КБР-Н. Далее под Администратором КБР-Н делаем настройки, под Оператором (у которого должен быть настроен профиль Сигнатуры) запускаем сам КБР-Н и работаем.

        Комментарий


        • Всем спасибо, поставить поставил, пользователей ввел. А дальше буду звонить в цб. Что где и как прописывать. Очень нравятся инструкции где одна вода. То что позволяет админу ввести данные и так понятно, а какие данные, вот это да. С головы взять наверно.))))) Да и хотим настроить без уты. Через Cisco AnyConnect. Но пока не понятно как будет выкачиваться файлы птк псд.

          Комментарий


          • Добрый день, коллеги.
            Тестируем КБР-Н, может нам кто-нибудь в тестовом контуре прислать несколько документов.
            БИК 045853729

            Комментарий


            • Сообщение от kbvlb Посмотреть сообщение
              Добрый день, коллеги. Тестируем КБР-Н, может нам кто-нибудь в тестовом контуре прислать несколько документов. БИК 045853729
              Коллеги, отправьте кто-нибудь! И напишите об отправке, очень надо!!!
              Можем в ответ отправить на Вас...

              Комментарий


              • Коллеги, пришло письмо из ЦБ о необходимости установки КБР-СПФС, проведения тестирования на стенде и в бое. СПФСом не пользуемся и не планируем. Отдельную машину, которая будет простаивать после тестирования, делать не хочется. Вопрос. Кто-нибудь пробовал установить этот АРМ на машину с боевым КБР-Н? Есть ли какие-то препятствия (технические, нормативные и т.п.)?

                Комментарий


                • kbvlb
                  Отправил. Проверяйте. Дата документов 06/04/2019.

                  Комментарий


                  • Сообщение от Ermak Посмотреть сообщение
                    Отправил. Проверяйте. Дата документов 06/04/2019.
                    Получили. Огромное, человеческое спасибо !!!

                    Комментарий


                    • Всем добрый день. Очень много вопросов и мало ответов. С ЦБ тоже ответов не вытянуть, одна надежда на форум.
                      1) По запросу в ЦБ получили канальные и прикладные учетки для теста и пром отправки сообщений. Выдали на IP адреса для РТК для выделенной VPN услуги.
                      2) Отправили в РТК полученные данные для создания VPN
                      3) В КБР АРМ-Н ввел УИС и OID. Начал настраивать точку обмена.
                      4) В точке обмена - Шлюз. Ас клиента - файловая система, Интерфейс с ЦОИ - СВК.HTTP. С IP адресами приёма и отправки из инструкции по настройки.172.*.*.211.
                      5) СВК/ТШ КБР - парам. подключения. Протокол - HTTP. Маркер формата - XMLEPD. С IP адресами приёма и отправки из инструкции по настройки.172.*.*.211. В аутентификации логин и пароль прикладной аутентификации. А вот что писать в сетевой аутентификации не знаю.

                      В итоге: не знаю какие настройки из 3 пунктов инструкции ТШ КБР использовать. HTTP или менеджер очередей, или Cisco AnyConnect. Кто и как настраивал у себя?

                      Я так понимаю УТА и ПТК ПСД канут в лету в июне. А вопросы по получению и передаче файлов открыт.

                      Комментарий


                      • Сообщение от w32stator Посмотреть сообщение
                        В итоге: не знаю какие настройки из 3 пунктов инструкции ТШ КБР использовать. HTTP или менеджер очередей, или Cisco AnyConnect. Кто и как настраивал у себя?
                        менеджер очередей только если будете использовать протокол передачи MQ.
                        anyconnect - канальный VPN. к протоколу передачи отношения не имеет. соединение настраивать в любом случае надо
                        Сообщение от w32stator Посмотреть сообщение
                        Я так понимаю УТА и ПТК ПСД канут в лету в июне. А вопросы по получению и передаче файлов открыт.
                        не верно. канут в лету региональные сегменты СВК. И будет это не в июне.
                        На сколько я понял из общения с нашим ТУ в планах (пока отдаленных) похороны СВК и перевод всех платежей на ТШ а отчетности на ЛК

                        Комментарий


                        • Коллеги! Добрый вечер! Ну дошли мои руки до АРМ КБР Н) .Пока тестовый начинаю поднимать. Вопрос. Запросил я значит тестовые ключи. А мне прислали только ARMKBRN100 и CONTROL100. Я так понимаю что Processing ключи не используем? (Просто в рекомендациях по настройке прям сразу написано , что необходимо иметь следующий комплект ключей : Processing, Control, ArmKbrN). Уточните. Спасибо!

                          Комментарий


                          • Сообщение от puz27 Посмотреть сообщение
                            Коллеги! Добрый вечер! Ну дошли мои руки до АРМ КБР Н) .Пока тестовый начинаю поднимать. Вопрос. Запросил я значит тестовые ключи. А мне прислали только ARMKBRN100 и CONTROL100. Я так понимаю что Processing ключи не используем? (Просто в рекомендациях по настройке прям сразу написано , что необходимо иметь следующий комплект ключей : Processing, Control, ArmKbrN). Уточните. Спасибо!
                            Processing используем для ЗК, Control для КА, ArmKbrN для шифрования. В профиль ключа ArmKbrN надо добавить сертификаты Processing и Control иначе будет браковать исходящие, т.к. он перед шифрованием проверяет на них ЗК/КА.

                            Комментарий


                            • Сообщение от rvroman Посмотреть сообщение
                              Processing используем для ЗК, Control для КА, ArmKbrN для шифрования.
                              Спасибо! Это я все знаю. По поводу Processing - получается мне не все ключи прислали? Спасибо!

                              Комментарий


                              • image_53705.pdf - микроинструкция по установке

                                PHP код:
                                ###  АРМ КБР-Н

                                #### Установка АРМ КБР-Н

                                1. Удаляете папку  *C:\oev*
                                2. Заводите трех пользователей без права локального админа
                                n_adm
                                n_ibn_oper
                                2.1 заходите поочередно под ними
                                2.2 у n_oper 
                                настраиваете ```сигнатуру``` для ключа шифрования (добавив в него все известные вам сертификаты)
                                3. под локальным админом создаете папку *C:\oev*
                                4. дать права на полный доступ пользователям на папку *C:\oev*
                                5. устанавливаете oevSetup.exe
                                6. 
                                **Обязательно копируете подпапку Log в надежное место**
                                7. по shift+ПКМ на oev.exe заходим под n_adm
                                добавляем по очереди пользователей n_ib
                                n_oper
                                заполняем поля EDAuthor
                                OID шифрованияuic:Fromправим номер арм в uic:To
                                Вкладка Сигнатура уже заполнена правильно
                                Выходим
                                8. по shift
                                +ПКМ на oev.exe заходим под n_ib
                                назначаем  n_oper роль опера
                                Выходим
                                9. по shift
                                +ПКМ на oev.exe заходим под n_oper все должно работать

                                >>>Если у Вас порушилось ПВО уничтожаем  папку Log (аэродром)
                                и меняем его запасным аэродромом сохраненным в надежном месте (см пп.6)

                                ##### Команды из командной строки для АРМ КБР-Н
                                Завершить (не убить!!!)
                                ```
                                taskkill /IM oev.exe```
                                попытаться востановить ПВО **под администратором ИБ**
                                ```
                                oev logrecovery```


                                ##### Вопрос № 1
                                >*ошибка При установке постоянно вылезает*
                                Действие:    procInstall
                                Ошибка инициализации журнала
                                :Ошибка инициализации протокола
                                Вывод сообщений в файл 
                                :C:\Users\Администратор\AppData\Local\Temp\oevCrashLog201903281643.log

                                ###### Ответ:
                                перед выполнением пп 5 не выполнили условие из пп2.2
                                у n_oper 
                                настраиваете ```сигнатуру``` для ключа шифрования (добавив в него все известные вам сертификаты)
                                Если бы открыли свой протокол с ошибками

                                >>29.03.2019 09:45:16 InfoКонфигурация System.TypeInitializationExceptionИнициализатор типа "uarm.Cfg.uarmSec" выдал исключение. ---> System.DllNotFoundExceptionНе удается загрузить DLL **"spki1.dll"**: Не найден указанный модуль. (Исключение из HRESULT0x8007007E)


                                ##### Вопрос № 2
                                >*Почему не запускатеся АРМ КБР-Н под ролью оператор (Справочник сертификатов запускается)?.*
                                в логе  ПВО есть строки
                                >>Error 29.03.2019 11:42:42.43 WIN-7LTRUBKKNE8 n_oper uarmCommon.Sign:Void Init() Не удается найти указанный файл  
                                 
                                (код0x2)
                                   
                                в uarm.Common.Sign.SignProxy.Init()
                                   
                                в uarm.Common.Sign.uarmSign.Init()
                                   
                                в uarm.uarmCore.SignStart()
                                   
                                в uarm.uarmCore.Init(String arg)


                                ###### Ответ:
                                у роли n_oper  в справочнике сертификатов  должен быть рабочий ключ шифрования ARMKBRN:
                                >
                                Info 28.03.2019 16:40:27.10 W5200BANK-TEST n_oper ИнициализацияСертификат ARMKBRN001 проверен по OIDразрешенному для загрузки ключаOID1.3.6.1.4.1.3670.5.10.120 
                                Вложения
                                Последний раз редактировалось badik; 04.04.2019, 20:14.

                                Комментарий


                                • Коллеги, доброе утро! А какой файл выплевывает КБР-Н после обработки для отправки. У меня вывалилось файлы DAT. То есть он не просто шифрует файлы, как это делал кбр старый, а еще меняет разрешение? Просто УТА не хочеть отправлять эти файлы. Спасибо!

                                  А все нашел, файлы в ERR вываливаются , буду смотреть.
                                  Последний раз редактировалось puz27; 05.04.2019, 09:17.

                                  Комментарий


                                  • badik

                                    Если не помогает oev logrecovery, помогает переустановка КБР-Н в тот же каталог (все настройки сохранятся).

                                    Логи крайне желательно куда-то копировать (по 382-П мы их должны хранить).

                                    Комментарий


                                    • Коллеги, здравствуйте! На зонд поставили ЗК, потом проставил КА, потом гружу зонд в тестовый АРМ КБР Н. Ругается : Файл недопустимого типа. Ожидается сообщение в служебном конверте. Ну соответственно КБР выплюнул мне ED 997. Потом почистил все ошибки , загрузил заново.
                                      1.Пишет проверка КА сертификат не найден. Это все таки больше неправильно настроен КБР или неправильно проставлена КА?
                                      2.И еще запрашивал тестовые ключи, так мне КА и ШИФРОВАНИЯ ключи прислали новые , а вот ЗК прислали от декабря 2018 - сказали можете ими пользоваться. Я вот теперь не знаю куда думать - то ли это ключи, то ли это настройки.

                                      Комментарий


                                      • Сообщение от Zauberer Посмотреть сообщение
                                        Коллеги, пришло письмо из ЦБ о необходимости установки КБР-СПФС, проведения тестирования на стенде и в бое. СПФСом не пользуемся и не планируем. Отдельную машину, которая будет простаивать после тестирования, делать не хочется. Вопрос. Кто-нибудь пробовал установить этот АРМ на машину с боевым КБР-Н? Есть ли какие-то препятствия (технические, нормативные и т.п.)?
                                        Чисто технически - вполне себе ставится на ту же машину, что и АРМ КБР-Н. (экспериментировал по своей инициативе на тестовой машинке)
                                        Идеология программки такая же как у КБР-Н
                                        Для АРМ СПФС нужен свой отдельный ключ! (причём, тестовый ключ СПФС мне просто так не выдали, как ни странно) на этом я и остановился пока (ещё в марте).
                                        И надо заключать доп.соглашение к договору об обмене...

                                        Комментарий


                                        • Сообщение от puz27 Посмотреть сообщение
                                          Коллеги, здравствуйте! На зонд поставили ЗК, потом проставил КА, потом гружу зонд в тестовый АРМ КБР Н. Ругается : Файл недопустимого типа. Ожидается сообщение в служебном конверте. Ну соответственно КБР выплюнул мне ED 997. Потом почистил все ошибки , загрузил заново.
                                          1.Пишет проверка КА сертификат не найден. Это все таки больше неправильно настроен КБР или неправильно проставлена КА?
                                          2.И еще запрашивал тестовые ключи, так мне КА и ШИФРОВАНИЯ ключи прислали новые , а вот ЗК прислали от декабря 2018 - сказали можете ими пользоваться. Я вот теперь не знаю куда думать - то ли это ключи, то ли это настройки.
                                          для ключа шифрования в его справочник необходимо добавить все известные Вам сертификаты с ЗК и КА
                                          КБРы в начале ищут в ЭП номер сертификата. Потом сам сертификат в справочнике. Его актуальность по цепочке. И в последнюю очередь проверяется хэш подписи

                                          МЦОИ обращает внимание УО о необходимости импортировать в локальный справочник сертификатов пользователя ПК АРМ КБР-Н, выполняющего функции шифрования, сертификаты оператора, контролера УО, сертификаты ЦОИ (для расшифрования и проверки ЗК/КА).

                                          Возьмите старый ключ шифрования добавте в него все сертификаты полученные из цб на свои ключи.
                                          Сделайте рабочим ключ армкбрн и у вас будет готовый справочник со всеми сертификатами.


                                          Последний раз редактировалось badik; 05.04.2019, 12:59.

                                          Комментарий


                                          • gptashkin
                                            Спасибо. Нам прислали план перехода на использование АРМ СПФС (13 пунктов), там есть и про доп. соглашение, и про ключи, и про новый "акт о готовности арм". Если ТУ разрешит, то буду ставить на тот же комп, где КБР-Н.

                                            Комментарий


                                            • Сообщение от badik Посмотреть сообщение
                                              для ключа шифрования в его справочник необходимо добавить все известные Вам сертификаты с ЗК и КА КБРы в начале ищут в ЭП номер сертификата. Потом сам сертификат в справочнике. Его актуальность по цепочке. И в последнюю очередь проверяется хэш подписи МЦОИ обращает внимание УО о необходимости импортировать в локальный справочник сертификатов пользователя ПК АРМ КБР-Н, выполняющего функции шифрования, сертификаты оператора, контролера УО, сертификаты ЦОИ (для расшифрования и проверки ЗК/КА). Возьмите старый ключ шифрования добавте в него все сертификаты полученные из цб на свои ключи. Сделайте рабочим ключ армкбрн и у вас будет готовый справочник со всеми сертификатами.
                                              Спасибо! Вроде все так настроено. Еще ругается "Файл недопустимого типа. Ожидается сообщение в служебном конверте" . Я правильно понимаю, что мало просто взять ED999 проставить ЗК+КА, нужно еще преобразовать в определенный формат, который съест КБР. Я же просто беру ЗОНД , проставляю ЗК+КА и подкладываю в КБРН. Это неправильно?

                                              Комментарий


                                              • Сообщение от puz27 Посмотреть сообщение

                                                Спасибо! Вроде все так настроено. Еще ругается "Файл недопустимого типа. Ожидается сообщение в служебном конверте" . Я правильно понимаю, что мало просто взять ED999 проставить ЗК+КА, нужно еще преобразовать в определенный формат, который съест КБР. Я же просто беру ЗОНД , проставляю ЗК+КА и подкладываю в КБРН. Это неправильно?
                                                КБР-Н ожидает на входе конверт КА (SigEnvelope).

                                                Комментарий


                                                • puz27:
                                                  Надо на КБР отключить шифрование
                                                  на отправке ЭС надо снять галки у контролера и оператора
                                                  вы берете файл с 11 выхода уже шифрованный в транспортном пакете
                                                  А надо перехватывать файл с 8 выхода (Формирование КА)

                                                  Комментарий


                                                  • Сообщение от rvroman Посмотреть сообщение
                                                    КБР-Н ожидает на входе конверт КА (SigEnvelope).
                                                    Да, так и есть.

                                                    Сообщение от badik Посмотреть сообщение
                                                    Надо на КБР отключить шифрование на отправке ЭС надо снять галки у контролера и оператора вы берете файл с 11 выхода уже шифрованный в транспортном пакете А надо перехватывать файл с 8 выхода (Формирование КА)
                                                    Я так понимаю - это вариант простановки ЗК+КА через старый КБР.

                                                    Всем спасибо! Попробую - отпишусь.
                                                    П.С. Без пол бутылки водки - не разберешься!

                                                    Комментарий


                                                    • Вот, что я подсовываю. Неужели это не SigEnvelope? КБРН ну никак не хочет есть его.

                                                      Код:
                                                      <?xml version="1.0" encoding="windows-1251"?>
                                                      <sen:SigEnvelope xmlns:sen="urn:cbr-ru:dsig:env:v1.1">
                                                        <sen:SigContainer>
                                                          <dsig:MACValue xmlns:dsig="urn:cbr-ru:dsig:v1.1">MIIBYAcZc=</dsig:MACValue>
                                                        </sen:SigContainer>
                                                        <sen:Object>PD94bWwgdm28rYnJFKzNGeUgrRHJtRzdldFpYTk1ZTmhNPTwvZHNpZzpTaWdWYWx1ZT48L2VkOkVEOTk5Pg==</sen:Object>
                                                      </sen:SigEnvelope>

                                                      Комментарий


                                                      • Сообщение от puz27 Посмотреть сообщение
                                                        Вот, что я подсовываю. Неужели это не SigEnvelope? КБРН ну никак не хочет есть его.

                                                        Код:
                                                        <?xml version="1.0" encoding="windows-1251"?>
                                                        <sen:SigEnvelope xmlns:sen="urn:cbr-ru:dsig:env:v1.1">
                                                        <sen:SigContainer>
                                                        <dsig:MACValue xmlns:dsig="urn:cbr-ru:dsig:v1.1">MIIBYAcZc=</dsig:MACValue>
                                                        </sen:SigContainer>
                                                        <sen:Object>PD94bWwgdm28rYnJFKzNGeUgrRHJtRzdldFpYTk1ZTmhNPTwvZHNpZzpTaWdWYWx1ZT48L2VkOkVEOTk5Pg==</sen:Object>
                                                        </sen:SigEnvelope>
                                                        Ага, это оно. Странно. А вы его куда, в Exg\cli кладёте?

                                                        Комментарий


                                                        • Сообщение от rvroman Посмотреть сообщение
                                                          Ага, это оно. Странно. А вы его куда, в Exg\cli кладёте?
                                                          Именно туда. Я уже весь форум перелопатил. Ну все же так настроил. Все должно работать. Ладно буду разбираться! Спасибо!

                                                          Комментарий


                                                          • puz27
                                                            Попробовал снять КА с вашего примера получил нечитаемую чушь
                                                            Целью тестирования является работа КБР-Н или проверка своей программы по простановке КА/ЗК?

                                                            если последнее то найдите на форуме поиском мои примеры (book_ufebs.zip)

                                                            Комментарий


                                                            • видимо часть base64 вырезал для краткости, потому как и сам объект и подпись битые

                                                              Комментарий

                                                              Обработка...
                                                              X