Средство доверенной загрузки SafeNode System Loader (СДЗ) представляет собой программно-техническое средство, встраиваемое в UEFI BIOS, обеспечивающее защиту от несанкционированного доступа к рабочим станциям и серверам с момента их включения до момента старта операционной системы.

Решаемые задачи

• Защита от несанкционированного доступа на этапе загрузки устройства.
• Обеспечение целостности загружаемых операционных систем и наложенных средств защиты.
• Обеспечение блокировки загрузки нештатных операционных систем.
• Выполнение требований приказов ФСТЭК России:
• №17 по защите государственных информационных систем (ГИС);
• №21 по защите информационных систем персональных данных (ИСПДн);
• №31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП);
• №239 по защите значимых объектов критической информационной инфраструктуры (КИИ).
• Обеспечение доверенной загрузки в автоматизированных системах, обрабатывающих государственную тайну.

Преимущества продукта

• Возможность установки в UEFI BIOS различных производителей.
• Программная установка без вскрытия корпуса ПК.
• Централизованная установка, управление и сбор аудита с передачей в SIEM при использовании сервера «Блокхост-Сеть 4».
• Контроль неизменности UEFI методом проверки целостности состава его модулей, а также целостности системных таблиц UEFI.
• Двухфакторная аутентификация до загрузки операционной системы.
• Контроль работоспособности ОЗУ.
• Контроль целостности любых файлов в системе до загрузки ОС.
• Контроль изменения аппаратной конфигурации компьютера.
• Неизвлекаемость.
• Низкая стоимость владения.

Сертификация
SafeNode System Loader соответствует требованиям руководящих документов ФСТЭК России к средствам доверенной загрузки уровня базовой системы ввода-вывода 2 класса и может использоваться для построения:

• автоматизированных систем, обрабатывающих сведения, составляющие государственную тайну, до класса защищённости 2А включительно;
• автоматизированных систем, не обрабатывающих сведения, составляющие государственную тайну, до класса защищенности 1Г включительно;
• государственных информационных систем до класса защищенности К1 включительно;
• информационных систем персональных данных до 1 уровня защищенности включительно;
• автоматизированных систем технологическими процессами до 1 класса защищенности включительно;
• значимых объектов критической информационной инфраструктуры до 1 категории включительно.

Программное обеспечение SafeNode System Loader имеет следующие основные функциональные возможности:

Защита BIOS Setup от несанкционированного входа пользователей и модификации

• Разграничение доступа входа пользователей, контроль целостности UEFI BIOS и его защиту от изменений настроек.
• Блокировка загрузки нештатной операционной системы, в том числе с внешних устройств.
• Защита BIOS Setup от несанкционированной модификации.
• Защита от доступа пользователей в BIOS Setup.

Защита от заражения руткитами, червями и вирусами на уровне UEFI, потери управления физическим доступом к ресурсам и информации хранящейся на компьютере
Пользователи компьютеров часто недооценивают опасность заражения встроенного ПО. На практике угрозу трудно обнаружить и удалить. Для очистки устройства от пораженных компонентов на уровне UEFI недостаточно даже переустановить операционную систему и заменить жесткий диск.
Требуется полная очистка встроенного ПО, в особых случаях, единственной альтернативой становится замена материнской платы зараженного устройства.

Усиленная двухфакторная аутентификация пользователей

• Идентификация пользователей на уровне BIOS до загрузки компонентов операционной системы с использованием персональных идентификаторов и уникальных PIN-кодов
• Хранение информации об удаленных пользователях в течении 3-х лет с момента удаления;
• Поддержка работы со следующими носителями: JaCarta PKI, JaCarta ГОСТ (USB-носитель и смарт-карта), JaCarta PKI/ГОСТ, JaCarta-2 ГОСТ (USB-носитель и смарт-карта), Рутокен ЭЦП, Рутокен ЭЦП 2.0 (USB-носитель и смарт-карта), Рутокен ЭЦП 3.0 (USB-носитель и смарт-карта), Рутокен Lite, Рутокен 2151, Рутокен ЭЦП PKI (смарт-карта), eToken Pro Java, SafeNet eToken 5100, SafeNet eToken 5105, SafeNet eToken 5200, SafeNet eToken 5205, Guardant ID 2.0.

Удаленная авторизация пользователей в LDAP/AD

• Позволяет использовать службы каталогов MS AD, FreeIPA, ALD Pro, Samba AD в качестве баз данных учётных записей пользователей.
• Аутентификация пользователей доменов: MS AD, FreeIPA по сертификатам, выданных MSCA и Dogtag.

Блокировка загрузки пользователями нештатных копий операционной системы

• Блокировка возможности обхода процесса доверенной загрузки с помощью внешних органов управления.
• Блокировка доверенной загрузки операционной системы при нарушении пользователями установленных политик безопасности (нарушения политик контроля целостности, аутентификации).
• Отслеживание попыток перехвата и передачи управления модулями СДЗ по другому пути выполнения.

Контроль целостности файлов, аппаратного обеспечения в процессе доверенной загрузки ОС и восстановление ПО СДЗ в случае нарушения

• Контроль целостность файлов операционных систем и наложенных средств защиты, контроль целостности объектов реестра для операционной системы семейства Microsoft Windows, завершенности журналов транзакций файловых систем, параметров среды UEFI, загрузочных секторов устройств хранения данных.
• Надежное восстановление после критических сбоев.
• Контроль исполнения программного кода собственных модулей в однозначно определенном порядке с помощью механизма динамического контроля.
• Возможность восстановления доступа учетной записи администратора к СДЗ с помощью мастер-ключа на аппаратном носителе.
• Надежное восстановление в автоматическом режиме модулей ПО СДЗ после обнаружения нарушений целостности модулей.

Централизованное развёртывание, администрирование и сбор аудита с сервера управления СЗИ от НСД «Блокхост-Сеть 4»

• Возможность использования универсальных политик для настройки учетных записей пользователей, аутентификации пользователей и контроля целостности объектов.
• Централизованная настройка двухфакторной аутентификации.
• Возможность удалённой разблокировки пользователей.
• Позволяет централизованно собирать журналы аудита со всех защищаемых устройств, в том числе, факты аутентификации пользователей, включения/выключения СВТ, историю действий пользователей, изменения аппаратной составляющей и т. д.
• Доступен удалённый доступ к журналам в режиме реального времени.
• Выгрузка событий происходит как до загрузки ОС, в среде UEFI, так и после, в операционной системе.