Settings - вкладка для задания настроек управляемого VPN устройства (Рисунок 454).
Рисунок 454
Область Syslog settings содержит информацию о настройках протоколирования и имеет поля:
• Server IP address - адрес компьютера, на который будут посылаться cообщения о протоколируемых событиях. Значение по умолчанию - 127.0.0.1 означает, что сообщения посылаются на локальный хост.
• Severity - задание общего уровня протоколирования. Содержит выпадающий список значений:
• emerg - аварийные сообщения;
• alert - тревожные сообщения;
• crit - критические сообщения;
• err - сообщения об ошибках;
• warning - предупреждения;
• notice - извещения;
• info - информационные сообщения;
• debug - отладочные сообщения.
Значение по умолчанию - info.
• Facility - источник выдаваемых сообщений (local0, local1, local2, local3, local4, local5, local6, local7). Значение по умолчанию - local7.
• Duplicate log to file system - (доступно только для С-Терра Клиент 4.3) установка флажка активирует режим записи лога в локальную файловую систему управляемого VPN устройства с С-Терра Клиент 4.3.
Область Default policy содержит информацию о политике безопасности по умолчанию и имеет поля:
• Default driver policy (DDP) - политика драйвера по умолчанию:
• pass all - пропускать весь трафик, значение по умолчанию;
• pass dhcp - пропускать пакеты только по протоколу DHCP;
• drop all - не пропускать трафик.
Политика DDP, которая задается администратором, загружается в следующих случаях:
• при ошибке загрузки конфигурации,
• до старта VPN Service,
• при остановке VPN Service.
• Log-out policy - специальная политика безопасности, которая задается администратором при подготовке инсталляционного пакета, и служит для безопасности работы пользователя, при которой управляемое VPN устройство не может создавать защищенных соединений. Эта политика работает по одному из двух правил:
• default driver policy (DDP) - политика драйвера по умолчанию;
• pass dhcp - пропускать пакеты только по протоколу DHCP. Будут уничтожаться все пакеты, кроме исходящих UDP-пакетов на порт 67 и входящих UDP-пакетов на порт 68.
Политика Log-out policy загружается автоматически в следующих случаях:
• до тех пор, пока пользователь не ввел свой пароль,
• при вводе неверного пароля три раза,
• при отказе от регистрации (login), если нажать кнопку Cancel,
• при выходе пользователя из системы,
• при смене пользователя,
• если при загрузке конфигурации обнаружены ошибки (если была ранее загружена Log-out policy).
Область Login доступна только для С-Терра Клиент и содержит сведения о логине пользователя в VPN-продукт.
• Use non-interactive user login - при установке этого флажка С-Терра Клиент будет использовать неинтерактивный режим логина, а при снятии - интерактивный режим логина:
• Неинтерактивный режим - при входе пользователя в систему производится попытка логина в VPN-продукт С-Терра Клиент с пустым паролем (в качестве пароля используется пустая строка). При таком успешном логине окно с запросом пароля не выводится. При неуспешном логине - VPN продукт ведет себя как при интерактивном режиме.
• Интерактивный режим - выдается окно запроса пароля для регистрации в VPN продукте С-Терра Клиент. Этот режим используется по умолчанию.
В случае неинтерактивного логина Log-off policy при старте не загружается.
• Allow IPSec protection beforeuser login - при установке этого флажка включает функциональность по защите до логина в ОС. По умолчанию защита включена.
Область Management policy содержит сведения о локальном управлении VPN-продуктом.
• Enable local management - при установке этого флажка включается возможность изменять настройки Продукта С-Терра Клиент конечным пользователем. По умолчанию эта возможность отключена (пользователь может: менять пароль, уровень логирования, добавлять CRL и сертификаты партнеров, перезагружать локальную политику безопасности, остальные действия, выполняемые утилитами, ему недоступны).
• Disable autostart - при установке этого флажка выключается автоматический запуск vpn-сервиса при перезагрузке устройства (С-Терра Шлюз/С-Терра Юнит). При этом, после применения обновления администратору необходимо будет вручную запустить vpn-сервис на С-Терра Шлюз командой start из административной консоли, либо подготовить специальный файл для С-Терра Юнит, используя форму Manual-start data. По умолчанию автостарт включен.
Область Installing доступна только для С-Терра Клиент и предназначена для задания дополнительных параметров запуска Windows Installer. В поле Additional msiexec parameters можно установить параметры:
Эти параметры можно посмотреть по ссылке http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line_options.asp
• /l* C:\Client\install_log_file.txt - протоколирование событий в файл C:\Client\install_log_file.txt при установке С-Терра Клиент (рекомендуется при режиме silent).
• INSTALLDIR=директория установки продукта - переопределение директории. Указание директории, недоступной на компьютере пользователя, приведет к ошибке установки.
• Можно часть текста заключить в символы % (процент) и она будет рассматриваться как имя переменной окружения. И эта часть текста будет заменяться на значение переменной окружения (значения переменных окружения можно просмотреть командой set). Если переменная окружения отсутствует, в команде остается исходный текст.
Поддерживается специальная переменная окружения SfxDir - полный путь к директории, в которую распакованы данные. Таким образом, последовательность символов %SfxDir% заменяется на полный путь к директории, в которую распакованы данные.
• REBOOT=F - обязательно запрашивать перезагрузку системы в конце установки, даже если она не инициируется инсталлятором.
• REBOOT=S - отключить запрос на перезагрузку системы в конце установки. Не блокировать перезагрузку в случае ForceReboot action.
• REBOOT=R - полностью отключить все запросы на перезагрузку системы, включая ForceReboot action. Используется для установки нескольких продуктов и/или выполнения дополнительных действий после установки. После этого перезапустить систему вручную или с помощью сторонних инструментальных средств.
• MAX_SERVICE_START_TIMEOUT= … - время (в секундах) ожидания старта VPN сервиса (vpnsvc). Максимальное значение - 600 секунд. Значение по умолчанию - 30. Можно использовать для предотвращения появления сообщений об ошибке связи с сервисом на этапе логина для медленных и/или находящихся под сильной нагрузкой систем
• AGENT_DB_REMOVE=1 - автоматически (без дополнительных запросов) будет удаляться база локальных настроек при установке или при удалении VPN продукта. Рекомендуется использовать для режима инсталляции silent
• AGENT_DB_REMOVE=0 - база локальных настроек удаляться не будет, запросы пользователю выдаваться не будут. По умолчанию (параметр пустой) - пользователю выдается запрос на удаление базы локальных настроек.
• DISABLE_ANTIVIRUS_WARNING=1 - при установке не будет показываться предупреждение 25036 (о необходимости отключения антивирусных программ).
Внимание! |
Пользователь должен знать о необходимости отключения антивируса, иначе данный параметр использовать не следует. |
• REBOOT_REQUIRED=1 - принудительно инициировать запрос на перезагрузку системы в конце установки. Параметр обычно выставляется автоматически (при необходимости).
• DISABLE_CALL_LOGIN=1 - в конце установки логин не запустится. Устанавливать параметр имеет смысл только для интерактивного логина (NON_INTERACTIVE_LOGIN=0) на Windows Vista и более поздних версиях.
• GUI_BIO_RNG=1 - в настройках СКЗИ будет прописан GUI-вариант «биологической» инициализации ДСЧ (при инициализации ДСЧ надо будет нажимать на круг, меняющий свое местоположение на экране). По умолчанию - консольный вариант (нужно нажимать запрашиваемые клавиши).
• VPNPROXY_DEFAULT_TCP_PORT - параметр DefaultTCPPort секции [Internal NAT] файла vpnproxy.ini. Допустимые значения - от 1 до 65535. Значение по умолчанию - 8080.
Внимание! |
Для успешного создания TCP-соединения партнёр должен слушать указанный TCP-порт. Для этого на стороне партнера в файле vpnproxy.ini, в секции HTTP должен быть задан параметр LocalPort, совпадающий с параметром DefaultTCPPort. |
• TOKEN_TYPE=etoken или rutoken - настройка типа токена.
• TOKEN_LIB_PATH= полный путь к библиотеке токена.
Внимание! |
Обязательно требуется выставлять оба параметра вместе (если выставить только один, он игнорируется). Данные настройки изменяют содержимое файлов skzi.conf и s_tknskills.ini в корневой папке Продукта. |
Внимание! |
Начальные настройки для работы с токенами могут быть выполнены при изготовлении установочного дистрибутива в окне Get packages. Рекомендуется использовать параметры TOKEN_TYPE и TOKEN_LIB_PATH только при необходимости изменения начальных настроек, т.е. при обновлении. |
• IKECFG_COUNT - количество создаваемых IKECFG-интерфейсов (ikecfgif). По умолчанию - 1. Значение не может быть 0.
Установка флажка Driver settings активирует область для изменения настроек работы IPsec-драйвера, установленных по умолчанию. Эти настройки активны только для тех VPN продуктов, в составе которых присутствует утилита drv_mgr.
Modify… - нажатие этой кнопки доступно при выделенной переменной и вызывает окно Driver settings description (Рисунок 455) для редактирования значения переменной.
Add… - открывает окно Driver settings description (Рисунок 455) для выбора переменной и задания ей значения. Содержит:
• Variable name - выпадающий список с именами переменных, отвечающих за настройку работы IPsec-драйвера. Более подробное описание данных переменных приведено в разделе описания утилиты drv_mgr, см. документацию на управляемый VPN продукт. Наборы переменных для разных VPN продуктов могут отличаться.
• Value - поле для задания значения выбранной переменной.
Внимание! |
Если настройки IPsec драйвера были заданы, но флажок Driver settings снят (область неактивна), то при следующем обновлении или сохранении профиля управляемого VPN устройства все данные будут удалены. |
Remove - удаляет выделенную запись.
Рисунок 455