Для обеспечения удаленного доступа от абонентского пункта (отдельной ПЭВМ) к ресурсам информационной системы (ИС) по открытым каналам связи ООО «АМИКОН» предлагает использовать высокоэффективную технологию VPN, реализуемую при взаимодействии комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент».

Комплекс «ФПСУ-IP/Клиент» имеет сертификаты ФСБ (версия 4.7 – СФ/124-3165, версия 5.0 – СФ/124-3058) по классам КС1/КС2 и может быть использован для построения защищенных соединений, а также является удаленной частью распределенного межсетевого экрана «ФПСУ-IP» (сертификат ФСТЭК № 1091 от 31.10.2014 г.).

Данная программно-аппаратная система обеспечивает безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом «ФПСУ-IP» сетью через открытые сети передачи данных. Комплекс «ФПСУ-IP/Клиент» устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции – защищенные сервера». Тем самым обеспечивается аутентифицированный и безопасный доступ к серверам, защищаемым комплексом «ФПСУ-IP», за счет создания VPN-соединения между рабочей станцией и центральным комплексом «ФПСУ-IP». Административное управление, контроль и аудит всех VPN-соединений осуществляется централизованно с использованием АРМ «Удаленного управления», при этом может одновременно использоваться до 12-ти АРМ, наделенных соответствующими полномочиями, что предопределяет высокую устойчивость и надежность управления с возможностью осуществления перекрестного аудита управления.
Комплекс «ФПСУ-IP/Клиент» состоит из программного обеспечения пользователя, устанавливаемого на ПЭВМ, и интеллектуального USB-устройства «VPN-key/Клиент», хранящего уникальный идентификатор клиента, ключевую и служебную информацию и являющегося, по существу, микро-ЭВМ.

После этого комплексы «ФПСУ-IP/Клиент» и «ФПСУ-IP» (содержащий соответствующую подсистему обслуживания комплексов «ФПСУ-IP/Клиент») выполняют аутентификацию и авторизацию пользователя и устанавливают защищенное соединение. Аутентификация происходит при создании VPN-туннеля между комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP». После аутентификации комплексом «ФПСУ-IP» выполняется авторизация клиента. Одновременно обеспечивается трансляция реального IP-адреса клиента в IP-адрес защищаемой сети.

В процессе взаимодействия комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP» выполняется фильтрация и передача данных в зашифрованном виде по VPN-каналу от РС пользователя до комплекса «ФПСУ-IP». Дополнительно может осуществляться проходное сжатие передаваемых данных, что существенно уменьшает объем передаваемой информации и повышает скорость взаимодействия.

Разрыв соединения происходит либо по запросу пользователя, либо при отключении устройства «VPN–key/Клиент» от USB-порта ПЭВМ.

Особенностью технологии «ФПСУ-IP/Клиент» является возможность работы пользователя из произвольного места размещения РС в сети, т.е. не требуется привязка к определенному IP-адресу. При этом обеспечивается строгая двухсторонняя аутентификация всех взаимодействий РС и ФПСУ-IP. Идентификация пользователя осуществляется по четырехзначному цифровому PIN-коду пользователя, количество попыток ввода которого ограничено (с дальнейшим переходом на необходимость использования 10-ти значного PUK-кода). Авторизация и аутентификация пользователей обеспечивается средствами комплекса «ФПСУ-IP».

Система удаленного администрирования и мониторинга комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент» обеспечивает полное управление и наблюдение за защищаемой сетью. Возможности системы аудита позволяют выполнять раздельный подсчет объемов передаваемых данных между конкретными РС и комплексами «ФПСУ-IP», что позволяет организовать четкий контроль за работой абонентов.

Комплекс «ФПСУ-IP/Клиент» абсолютно прозрачен для всех стандартных Интернет протоколов и может использоваться совместно с любым программным обеспечением, обеспечивающим доступ к ресурсам информационных систем.

Для обеспечения большей защищенности имеется возможность административно (удаленно или локально) ограничивать доступ пользователям «ФПСУ-IP/Клиент» к открытым сегментам сети при работе с защищаемыми ресурсами, вплоть до полного запрета.

За счет аппаратной реализации комплекса и интуитивно понятного интерфейса управления использование системы «ФПСУ-IP/Клиент» удобно для пользователя и не требует значительных дополнительных накладных расходов на обучение.

«ФПСУ-IP/Клиент» совместно с «ФПСУ-IP» обеспечивает:

• безопасный доступ по открытым сетям удаленных клиентов к серверам, расположенным в защищенной сети;
• двухстороннюю аутентификацию клиентов и серверов;
• авторизацию клиентов;
• назначения прав доступа клиентов к защищаемой сети по совокупности критериев (по имени пользователя, по IP адресу, по разрешенным протоколам, по времени работы и т.д.);
• сокрытие реальных адресов, сервисов и протоколов при доступе к защищаемым серверам;
• сжатие трафика;
• защиту от подмены, просмотра и навязывания ложной информации;
• фильтрацию трафика;
• мониторинг и аудит;
• централизованное управление политикой безопасности;
• централизованную поддержку модернизации ПО комплексов (режим дистанционного update ПО).

МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Доступность и непрерывность функционирования обеспечивается за счет возможности кластеризации комплексов и работы ФПСУ-IP/Клиента с основным или резервным ФПСУ-IP. Количество клиентов, обслуживаемых одним комплексом ФПСУ-IP – до 128000. Максимальная пропускная способность комплексов ФПСУ-IP/Клиента на современной аппаратной платформе (Intel Core i7) – не менее 250 Мбит/с.

При работе с клиентской стороны допускаются следующие типы сетевых подключений: LAN, DialUP, прямое подключение/выделенная линия, IR-порт и др. Взаимодействие с внешней сетью может осуществляться как непосредственно (маршрутизатор, модем и др.), так и через прокси-сервер или межсетевой экран.

На настоящий момент комплексы эксплуатируются в крупных защищенных ИС, общее количество внедрений – более 400 000 комплексов «ФПСУ-IP/Клиент».

Хранение ключевых контейнеров СКЗИ КриптоПро (до 4 контейнеров)

Функции смарт-карты для хранения сертификатов и аутентификации в домене Microsoft.

Амикон фпсу ip клиент сбербанк windows 10

Текущая версия ПО «ФПСУ-IP/Клиент» :

Архив AmiVPN_5_6_for_Windows.zip содержит 4 файла:

Файл дистрибутива(AmiVPN_5_6_for_Windows.exe) и модуль расчета и проверки целостности (WinFPSUHash.exe) подписаны цифровой подписью ООО «АМИКОН», которую следует проверить перед установкой программы.

Данные сертификата ООО «АМИКОН»:

Кроме того, с помощью модуля WinFPSUHash.exe необходимо убедиться в целостности дистрибутива. Для этого запустите пакетный файл filehash.cmd и сравните полученное значение HASH с представленным ниже:

Для получения новой версии ПО «ФПСУ-IP/Клиент», заполните все поля.

Клиент-банк Сбербанка (СБ РФ), ФПСУ-IP/Клиент Амикон и ISA Server – как заставить “это” работать, не трогая клиентские workstation

Итак, дело минувших дней, но всё-таки. Решил привести летопись тех военных действий. Задача: заставить работать клиент-банк СБ РФ с рабочей станции пользователя, при этом не открывая с машины клиента VPN соединения. Избавимся также от принудительной блокировки TCP и UDP соединений. В этой статье опишу решение с установкой фильтра на ISA хост, в отдельной статье опишу процесс установки на отдельный специализированный сервер-маршрутизатор. Читайте дальше, и станет понятна логика.

Сразу оговорюсь – если ищите информацию о том, как избавиться от принудительной блокировки TCP и UDP соединений – читайте сюда, особенно комментарии после статьи. Здесь речь пойдёт об установке и ФПСУ IP/Клиента.

Поясню подход. С моей точки зрения, за обеспечение сеансового, и тем более транспортного уровня (с точки зрения OSI) должен отвечать не клиент, а маршрутизатор. В нашем случае – ISA Server (да, у нас всё ещё MS ISA). Для клиента всё должно быть просто и прозрачно – открываем сеанс и используем тот протокол сервера, который нам необходим. Что при этом происходит на сеансовом и транспортном уровне – не проблема клиента. Кто, где и что будет перехватывать, “заворачивать”, кодировать, подписывать – не должно волновать ни клиента, ни даже сервер. Другими словами, ни о каких VPN на рабочих станциях и задумываться не следует — и не безопасно, да и софт ставить, ключи выдавать сотрудниками, а в случае падения workstation – всё это долго переставлять… Я постараюсь привести решение с минимальными проблемами для администраторов.

Что нам говорит FAQ (мы так делать не будем :-)):

6) Возможна ли совместная работа Microsoft ISA Client и ФПСУ-IP/Клиент?
В связи с тем , что Microsoft ISA Client использует инкапсуляцию пользовательских пакетов для отправки их через Microsoft ISA Server, для работы Приложений через ФПСУ-IP/Клиент необходимо проделать следующее:
1. Установить на рабочую станцию Microsoft ISA Client и ФПСУ-IP/Клиент (версия 142 и выше), при помощи специальной утилиты деинсталлировать LSP-драйвер ФПСУ-IP/Клиента
2. Настроить на Microsoft ISA Server прохождение во внешний сегмент UDP 87 (прописать отдельное правило в Protocol Rules (предварительно создав описание в Protocol Definitions «UDP 87 , SEND RECEIVE»))
3. На Microsoft ISA Server в настройках Microsoft ISA Client необходимо указать имя Приложения (имя исполняемого файла без расширения) , для которого Microsoft ISA Client действовать не будет (например, указать имя «opera» или «explorer»). (Возможно, в настройках Microsoft ISA Client потребуется
нажать кнопку «Update now» для активизации сделанных на Microsoft ISA Server изменений).
4. Из-за деинсталлированного LSP-драйвера могут возникнуть проблемы с передачей файлов по FTP при использовании NAT-трансляции на ФПСУ. В этом случае, поля собственного IP- адреса рабочей станции должны быть больше (или равны) полям NAT-адреса (Пример : 1. Собственный IP : 10.10.10.10 , NAT-адрес: 10..9.10.10 — работать не будет. Пример : 2. Собственный IP : 100.100.200.10 , NAT-адрес: 200.200.100.99 — работать будет).

СБ РФ от нас требует организовать защищённый канал до их сервера посредством ФПСУ-IP/Клиента и МСЭ (межсетевого экрана) на их стороне, что логично. Другими словами, ни клиент-банк, ни сервер не задумываются о том, кто, что, и как (и где) их защищает, что и логично. Но ставить при этом ФПСУ-IP/Клиента на рабочие станции – это не для нас.

Схема взаимодействия представлена на сайте Амикона: хотя и не сильно прозрачная.

Автоматическое определение MTU через ICMP ФПСУ-IP/Клиент явно выполнить не в состоянии. За MTU в нашем случае ответит операционная система с поддержкой автоматического определения “чёрных дыр” (на них наткнулся при организации VPN канала с другим банком – ISA не умеет заворачивать ICMP трафик в созданный RRAS исходящий VNP канал, но это тема другой статьи).

Проверю сразу версию на сайте http://amicon.ru/forum/viewtopic.php?t=615. На момент написания статьи на сайте версия 3.1.2, и в этой статье речь пойдёт именно об этой версии. (Сейчас ссылка на новую версию доступна со страницы http://amicon.ru).

Судя по описанию, следует «бояться» следующего: Клиент устанавливает фильтрацию TCP UDP соединений (точнее – может устанавливать). Но, так как он реализован как фильтр, блокировать соединения он будет только на тех интерфейсах, к которым привязан (bindings). Об этом следует помнить в случае сетевых проблем.

Для шифрования используется решение СКЗИ «Туннель/клиент», оно встроено в ФПСУ IP клиент. Итак,

Устанавливаем ФПСУ-IP/Клиент

Устанавливаем клиента на ISA Server.

Однако, из терминальной сессии ставиться клиент отказался напрочь. Так что будем пробовать ставить, сидя за консолью. А не хотел так ставиться по одной причине — RDP отваливается во время установки, так как устанавливается драйвер сетевого уровня.

Локальная установка прошла штатно. После этого, естественно, потребовалось на ISA Server описать IP packet filter, разрешающий UDP (dynamic) -> UDP (87) send receive.

После установки поднимается сервис: “Amicon FPSU-IP/Client service” (Amicon FPSU-IP/Client service for Amicon FPSU-IP) («C:Program FilesAmiconClient FPSU-IPip-client.exe» RunAsService). Запуск — автоматический. Именно этот сервис отслеживает «появление» ключа в USB, и пытается сразу установить соединение.

Может ли «ФПСУ-IP/Клиент» восстанавливать соединение при использовании Dial-Up? Да, начиная с версии 1.42. И речь не только о dial-up. При переподключении сетевого интерфейса тоже всё в ажуре.
Начиная с версии 1.42 доступна возможность соединиться и рассоединиться при помощи командной строки: ip-client connect и ip-client disconnect (программа уже должна быть запущена).

Видим новый сетевой фильтр в стеке протоколов (справа). Напоминаю, на внешнем интерфейсе этот фильтр должен быть привязан (на картинке видно, что галка стоит), и TCP/IP также. Всё остальное – отвязываем. А на внутренних интерфейсах фильтр Amicon NDIS IM Filter Driver отвязываем. P.S. Позднее мы вообще отвяжем фильтр от всех интерфейсов, которые нам необходимы для функционирования нашей сетевой инфраструктуры и оставим его привязанным только к специально созданному ради Амикона интерфейсу, но об этом позднее.

Запускаем службу, затем ПО (через меню Амикон). Получаем в результате нечто в system tray. Активируем приложение.

Подробно на настройке останавливаться не буду, в документации подробно. Только на особенностях.

Итак, в локальных настройках обязательно ставим галку “Помнить введённый PIN код, пока VNP-key не отсоединён”. Мы же не собираемся постоянно руками “поднимать” канал, воткнули ключ и забыли про сервер.

Далее нам потребуется Ip адрес ФПСУ-IP экрана (со стороны СБ) (должен быть указан на пакете ключа) (в нашем случае — 213.148.164.72) и Ip адрес сервера за экраном (со стороны СБ) — 213.148.164.75. Вводим PIN код пользователя (PIN, не PIN2, последний потребуется, если Вы выберите Расширенные настройки) и получаем окно параметров клиента.

Нас будут интересовать две страницы: ФПСУ и хосты. Именно в этом диалоге и прописываем (если они уже не прописаны) полученные адреса межсетевого экрана (ФПСУ) и серверов за ним (хосты). Физический смысл данных настроек следующий. Фильтр Amicon NDIS IM Filter Driver “ловит” все пакеты, направленные в адреса, прописанные на странице “хосты”. Именно “хосты”, а не “ФПСУ”. То есть наш клиент-банк с рабочей станции открывает ftp соединение напрямую с сервером (хостом), не задумываясь о межсетевом экране. А фильтр Amicon NDIS IM Filter Driver на ISA Server перехватывает пакеты этого соединения. О том, что он (фильтр) с ними делает – позднее.

IP packet rule для ISA можно и ужесточить- разрешим UDP (dynamic) -> UDP (87) send receive только на 213.148.164.72 (адрес МСЭ, “ФПСУ”).

Разъединились и соединились успешно. Пробуем пинговать «хост» 213.148.164.75 – всё в порядке.

Настраиваем ISA Server

Как уже писал выше, требуется для начала IP packet rule для ISA — разрешим UDP (dynamic) -> UDP (87) send receive только на адрес “ФПСУ”.

Но это не всё. Судя по логам firewall, клиент СБ РФ пытается использовать ftp на 20+21 портах, а также порт 1024. Итак, мы должны также прописать разрешающие правила на протоколы клиента в том числе! Одна из прелестей предлагаемого решения в том, что всё взаимодействие клиент-банка с банком в логах ISA будет!
При написании правил на протоколы клиента следует учесть, что fwc для этого трафика у нас будет отключен. Поэтому правила на протоколы клиента должны быть либо без авторизации, либо с авторизацией по ip адресам. Авторизация по учётным записям здесь недопустима!

Что ещё интересно:

Сверху — клиент отключен, снизу — включен. Отсюда видно, что ICMP трафик, в том числе и с локальной машины при ФПСУ клиенте, установленном на isa, замечательно заворачивается в туннель (маршрут становится короче, ведь трафик “пролетает” ряд маршрутизаторов сети по туннелю, для него этот туннель – один hop).

Icmp трафик, судя по всему, успешно заворачивается в туннель.

Сам клиент связывается успешно (ФПСУ ip клиент), то есть с 87udp проблем нет.

Видимо, проблемы с tcp трафиком. Причём — после упаковки fwc клиентом. Отсюда: нужно экспериментировать с fwc клиентом, ftp командлетой и разрешающими правилами на isa.

Настраиваем FWC

Пожалуй, именно здесь и есть ключевой момент для понимания того, что происходит. IP пакеты должны идти напрямую от workstation в адрес сервера (хоста). То есть, если они и проходят по пути какие-либо туннели, то они должны выйти из этих туннелей до фильтра Amicon NDIS IM Filter Driver, иначе последний их просто “не поймает”.

Что же нам может помешать? А помешать нам может FWC – firewall client for ISA. Вспомним, как он себя ведёт. Для того, чтобы обеспечить авторизацию трафика на ISA firewall service, он также “заворачивает” пакеты клиента, отправляемые за пределы LAT. Если мы не исключим FWC в нашем случае, ISA firewall service безусловно “развернёт” туннель FWC, и пакеты “уйдут” через внешний интерфейс ISA, однако при этом они минуют фильтр Amicon NDIS IM Filter Driver (возможно, связано с порядком применения фильтров, ведь firewall client тоже не просто так сбоку стоит). И, соответственно, не пройдут межсетевой экран банка. Итак, FWC нам необходимо исключить для трафика клиент-банка.

P.S. Можно было бы и не избегать, если бы мы поставили ФПСУ-IP/Клиент на маршрутизатор за ISA сервером (скажем – на внешний ISA firewall, уже за DMZ), при этом на внутреннем (до DMZ) никакого ФПСУ-IP/Клиента. В этой конфигурации и FWC можно было бы в покое оставить.

Смотрим настройки FWC (application.ini) и дописываем исключение для клиент-банка:

Обращаю внимание. Настройки могут быть как глобальными (через mspclnt) так и специфичными для приложения (wspcfg.ini в каталоге программы). Порядок и приоритеты:

The Firewall Client software looks for a Wspcfg.ini file in the folder in which the client WinSock program is installed. If this file is found, Firewall Client looks for a [WSP_Client_App] section, where WSP_Client_App is the name of the WinSock program without the .exe file name extension. If this section does not exist, Firewall Client looks for the [Common Configuration] section. If this section also does not exist, Firewall Client looks for the same sections in the Mspclnt.ini file. Firewall Client uses only the first section that it finds during this search to apply the program-specific configuration settings.

Сейчас создал файл wspcfg.ini с указанным выше содержимым в каталоге клиент-банка рядом с исполняемым файлом. Перезапустил клиент-банк. Пробуем связь. Неуспешно. Потому как “клиент” в данном случае – в system32. Поэтому такой вариант конфигурации использовать не будем. Будем пробовать глобальную конфигурацию.

Внёс изменения непосредственно в консоли ISA. После этого перезапустил клиент файрвола (FWC) на машине, сеанс связи клиент-банка — и всё идёт.

Но при этом абсолютно все пакеты (и tcp1024, и tcp21) я вижу в логах Firewall service на ISA.

Дополнительные материалы

• Подробная статья о конфигурировании и ФПСУ IP/Клиент, и клиента СБ РФ на рабочей станции: Установка клиент-банка Сбербанка (фпсу-ip/клиент) + ISA.
• Неплохой обзор различных решений для защищённых туннелей http://bor.mail333.su/vpn/index5.html.
• Информация о реестре клиента: http://www.amicon.ru/forum/viewtopic.php?t=452.
• Как заставить работать туннели к нескольким ФПСУ одновременно – читаем здесь.

Резюме

Итак, мы обеспечили функционирование клиент-банка СБ РФ через ФПСУ-IP/Клиента Амикон и ISA Server, при этом не устанавливая VPN соединения с машины, а возложив все сетевые тонкости на ISA хост, что и требовалось.

Послесловие

История на этом не закончилась… Об очередных кознях СБ РФ читаем здесь.

17.06.11 | Раздел публикации: Сбербанк России

Инструкция по установке

Подготовка к полной установке

Комплект файлов, необходимый для полной установки Следует поместить в одну папку.

Список файлов, необходимых для полной установки следующий:

Находятся на диске в папке «Distrib».

• wCLNT*.IST – файл дистрибутива;
• CLIENTSB.CBP – текстовый файл настроек АРМ “Клиент” АС “Клиент-Сбербанк”
• PUBL9999.DDT – файл открытых ключей банка;
• SPR.DDF – справочник банков БИК;
• SWIFT.DDF – справочник банков SWIFT;
• wCLNT_07.XXX.XX.exe – установочный файл

Находятся на диске.

• KL*.KEY – компонент сетевого ключа;
• KL*.NKL – компонент сетевого ключа.

Для клиентов с интернет доступом.

• С диска с пометкой АМИКОН скопировать файл (AmiVPN vX.XX.XX для Windows – Установка.exe) драйверов для вашей операционной системы.(для соединения по интернет)

Так же требуется подготовить транспортную ЭЦП для этого с установочного диска из папки «Транспортная ЭЦП» скопировать все файлы publ.ddtи sign.keyна дискету.

В файле Код ЭЦП.txtуказан пароль.

Полная установка

В процессе подготовки к полной установке системы следует определить следующую информацию:

· Папка установки – каталог, в котором будут размещены файлы системы;

· Папка в меню Пуск – папка в меню Пуск, в которую будут помещены ярлыки программы;

· Папка базы данных – каталог, в котором будет размещена база данных системы.

Следует учитывать, что перед полной установкой все указанные каталоги не должны существовать, т.к. в противном случае установка может не выполниться нормально.

Полная установка системы выполняется следующим образом:

1. Запускаем инсталлятор wCLNT_07.XXX.XXX.exe из дистрибутива, подготовленного ранее.
2. На экране появляется следующее приглашение. В котором следует нажать Далее >.

В диалоговом окне выбора папки установки системы следует выбрать каталог размещения системы, после чего нажать кнопку Далее >. Если указанная папка существует, то система выведет соответствующий запрос о продолжении действий. Не рекомендуется устанавливать программу в уже существующую ранее папку.

В диалоговом окне выбора папки в меню “Пуск” следует указать папку в меню Пуск, в которую будут помещены ярлыки программы, после чего следует нажать Далее >.

В диалоговом окне выбора папки базы данных следует нажать Далее >.

В диалоговом окне выбора вида соединения с банком следует указать вид соединения с банком, после чего необходимо нажать Далее >. В случае выбора ФПСУ-IP/Клиент – будет выполнена попытка установки ФПСУ-IP/Клиент, для чего будет отображено соответствующее диалоговое окно. В случае выбора DialUp, в процессе установки будут выполнены этапы необходимые для создания и проверки удалённого соединения.

В случае если был выбран режим соединения с банком посредством ФПСУ-IP/Клиент, на экран выводится диалоговое окно выбора дистрибутивного файла ФПСУ-IP/Клиент (AmiVPN vX.XX.XX для Windows), после того, как данный файл указан необходимо нажать Далее >. Если файл не указан, то установка ФПСУ-IP/Клиент осуществляться не будет.

В диалоговом окне выбора каталога настроек следует указать каталог, в котором размещаются файлы, которые были подготовлены для установки, после чего необходимо нажать Далее >. Если в каталоге присутствует файл CLIENTSB.CBP, то считается, что данная установка полная, в противном случае – частичная.

В диалоговом окне выбора параметров первичной установки следует указать все необходимые действия, которые будут выполнены в процессе установки, а затем нажать Далее >.

Убрать галочку с пункта «Установка службы сервиса параметров» (Выбор этого параметра необходим если у пользователя нет прав локального администратора и АРМ «Клиент» устанавливается на этот компьютер первый раз).

Возможные параметры установки:

• Создание/Копирование существующего главного ключа на носитель – в случае, если в каталоге инсталлятора присутствуют файлы главного ключа (GK.DB3, UZ.DB3), то система в процессе установки копирует данные файлы на носитель пользователя, если же данные файлы отсутствуют, то производится создание нового Главного ключа;
• Выполнение автоматической конфигурации Клиент-Сбербанк – производится загрузка параметров системы из файла CLIENTSB.CBP(в случае его наличия);
• Копирование справочников в каталог базы данных – выполняется копирование справочников банков (SPR.DDF, SWIFT.DDF) из каталога инсталлятора в каталог базы данных программы;
• Установка службы сервиса параметров компьютера – производить установку службы сервиса параметров компьютера. В случае, если при установке пользователь отказался от установки службы, то её можно установить позднее;
• Создание комплекта ЭЦП – выполнить создание ЭЦП в процессе установки программы;
• Установка дистрибутива ФПСУ-IP/Клиент – выполнить установку дистрибутива ФПСУ-IP/Клиент;
• Копирование IST-файла в каталог программы – скопировать IST файл в каталог размещения программы.

10.В диалоговом окне готовности к установки следует ознакомиться с выбранными параметрами установки, после чего нажать Установить >.

11.Будет запущен процесс установки. Действия, выполняемые в процессе установки напрямую зависят от параметров, выбранных в экранной форме, представленной в п. 9. Далее будет описана типичная процедура установки.

12.После выполнения копирования файлов программы, на экран будет выведено, сообщение, содержащее список этапов настройки, которые будут выполнены далее.

13.Появится окно с просьбой подготовить носитель для создания Главного ключа.

14.После успешного создания Главного ключа появится окно с просьбой создать первого пользователя

15.После успешного создания первого пользователя на экран будет выведен запрос о считывании главного ключа.

16.Далее, после успешного считывания главного ключа, может потребоваться генерация мастер ключа.

17.После нажатия ОК, система, в случае необходимости, попросит указать путь, по которому будет сохранён исходный мастер ключ. (рекомендуется сохранять мастер-ключ в директории где установлена программа).

18.Далее будет запущен процесс генерации комплекта ЭЦП. Первой будет формироваться ЭЦП Администратора.

19.В наименование подписи вводим ФамилиюИО и должность ответственного работника за ЭЦП Администратора. (Адм писать обязательно).

Пример: ИвановИИ Адм

20.Аналогичным образом создается рабочая ЭЦП.

21.В наименование подписи вводим ФамилиюИО и должность лица имеющего право первой подписи.

Пример: ИвановИИ ГенДир

22.Вынимаем дискету с ЭЦП администратора и вставляем чистую дискету

23.После успешного создания комплекта ЭЦП система потребует отправки в банк, для чего следует подготовить Транспортную ЭЦП (ЭЦП для выезда к клиентам).

24.После нажатия на кнопку ДА появится окно с просьбой предъявить носитель ЭЦП для выезда.

25.Требуется установить носитель транспортной ЭЦП созданной в подготовительном этапе.

После того как дискета будет считана потребуется ввод пароля.

26.Появится информационное окно где следует нажать ОК

27.Далее производится печать комплекта документации. Появившийся документ следует распечатать в двух экземплярах и закрываем окно.

28.Появится информационное окно где следует нажать ОК.

29.Появится окно где следует нажать на рисунок носителя.

30.После того как дискета будет считана потребуется ввод пароля.

31.Появится информационное окно где следует нажать ОК.

32.Появятся распечатки документов которые следует распечатать в трех экземплярах и закрыть документ.

33.1. Для клиентов с типом связи через интернет

33.1.1. Появится окно нажимаем ДА

33.1.2. Выбираем «Я согласен» – «Вперед» – «install».

33.1.3. После завершения установки нажимаем кнопку закрыть.

33.1.4. На вопрос программы перезагрузить компьютер отвечаем НЕТ.

33.2.Для клиентов с типом связи через модем.

33.2.1.Появится окно где нужно будет создать новое модемное соединение.

Номера телефонов:
788-92-70
788-92-71
747-38-90

Логин и пароль: appd

33.2.2.После появления, добавить в правое окно и нажать ОК.

34.Появится окно проверки соединения. Нажимаем НЕТ.

35.После выполнения действия установка считается выполненной, и на экран выводится соответствующая форма.

Галочку НЕ СТАВИМи нажимаем кнопку «Завершить»

36.После чего перезагружаем компьютер.

Для клиентов с доступом через интернет. Устанавливаем флэшку, с эмблемой сбербанка, система автоматически настроит драйвера и водим PIN-код пользователя.

37.Заходим в АРМ«Клиент» и на панели инструментов нажимаем кнопку «Отправить/получить».

Если по каким то причинам не удалось корректно провести сеанс связи для отправки ЭЦП то с каждого носителя на который была записана ЭЦП, следует скопировать файлы publ.ddt на отдельную дискету и предоставить эту дискету в банк вместе с распечатанной документацией. Файлы следует переименовать так publ-A.ddt Администратора

publ-1.ddt Руководителя
publ-2.ddt Бухгалтера (если предусмотрен)

Установка АРМ «Клиент» завершена вам необходимо заполнить распечатанную документацию (по вопросам заполнения обращайтесь к своему операционисту) и отнести их в своему операционисту. После того как ваши ЭЦП будут зарегистрированы можно приступать к работе.

Инструкция по работе и эксплуатации можно найти на диске в папке «Документация.»

Вам также может понравиться

Windows или Linux: Что лучше выбрать?

Есть много причин выбирать между Windows и Linux, но

Файл владелец изменить linux

Команда Chown в Linux Chown Command in Linux (File

Установка шлюза по умолчанию linux

Настройка сети вручную Содержание Краткое описание

Чем разбить диск для linux

ИТ База знаний Курс по Asterisk Полезно — Узнать IP —