Меры повышения безопасности установленного драйвера аппаратной защиты для операционной системы Windows

В состав дистрибутива платформы «1С:Предприятие» версии 8.3 входит драйвер аппаратной защиты HASP Device Driver. Этот драйвер обеспечивает работу аппаратной защиты продуктов «1С» и состоит из двух частей:

• непосредственно драйвер USB-устройства ключа защиты;
• веб-интерфейс его управления.

Драйвер аппаратной защиты является важным компонентом платформы «1С:Предприятие» и входит в поставку продуктов «1С». Для снижения рисков и повышения безопасности компьютеров пользователей и серверов «1С:Предприятие» рекомендуется следовать следующим принципам:

• обновлять и использовать актуальные версии программных продуктов «1С» и драйвера защиты;
• если пользователи не используют аппаратную защиту, то рекомендуется не выполнять установку драйвера и удалить ранее установленный драйвер защиты;
• если аппаратная защита используется и необходимо использование драйвера защиты, то рекомендуется отключить веб-интерфейс драйвера.

Данная статья содержит описание действий, необходимых для реализации этих принципов и повышения безопасности компьютеров пользователей и серверов «1С:Предприятия». Указанные действия необходимо выполнить администраторам информационной системы на платформе «1С:Предприятие». Подробнее о работе защиты от несанкционированного использования системы «1С:Предприятие» рассказано в документации к системе «1С:Предприятие» (https://its.1c.ru/db/v83doc#bookmark:adm:TI000000262). Описание процесса установки и удаления драйвера аппаратной защиты также приводится в документации (https://its.1c.ru/db/v83doc#bookmark:adm:TI000000282).

При установке платформы «1С:Предприятие» флажок установки драйвера защиты включен по умолчанию. В процессе установки платформы вы можете его выключить, но при установке по умолчанию драйвер будет размещен на компьютере пользователя и сервере «1С:Предприятия», даже если вы не будете его в дальнейшем использовать.

Проверить установку драйвера защиты можно по нескольким признакам. Информацию об установленном драйвере защиты показывает программа его установки из командной строки при вызове с ключом «-info»: » haspdinst.exe -info «. При установке платформы «1С:Предприятие» эта программа размещается в папке » С:\Program Files\1cv8\common\ «:

После запуска команды в первых строках выводится информация о версии установленного драйвера и его компонентов. Ниже на экране отображаются данные для драйвера, входящего в дистрибутив внутри файла haspdinst.exe.

При установке драйвера защиты параметры драйвера записываются в реестр операционной системы в разделе » HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin Knowledge Systems\HASP\Driver\Installer «. Ключ » Version » содержит номер версии установленного драйвера. Эту информацию можно увидеть с помощью редактора реестра, входящего в состав ОС:

Эту же информацию можно получить с помощью интерпретатора командной строки, вызвав команду:
reg query «HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin Knowledge Systems\HASP\Driver\Installer» /v «Version»

При установке драйвера автоматически устанавливается веб-интерфейс для его управления. Веб-интерфейс доступен через веб-браузер на том же компьютере, где установлен драйвер, по адресу: http://localhost:1947/. Если в веб-браузере открывается страница по этому адресу, то это означает, что драйвер защиты установлен и его веб-интерфейс включен.

Работа веб-интерфейса драйвера осуществляется через сервис » Sentinel LDK License Manager «, который не надо путать с сервисом сетевых многопользовательских ключей защиты HASP License Manager. При отключении сервиса » Sentinel LDK License Manager «, веб-интерфейс драйвера защиты отключается и перестает работать. Защита от несанкционированного использования системы «1С:Предприятие» не использует для своей работы веб-интерфейс драйвера защиты, поэтому для повышения безопасности компьютеров пользователей он может быть отключен.

На момент написания данной статьи актуальная версия драйвера защиты – 7.60. Поэтому, если установленная у вас версия драйвера защиты ниже 7.60, то необходимо обновить версию драйвера до 7.60 и выше.

Платформа «1С:Предприятие» версии 8.3 поддерживает большое количество операционных систем, включая Windows XP и Windows Server 2003. С актуальным списком поддерживаемых операционных систем можно ознакомиться на сайте: http://v8.1c.ru/requirements/ Этот список может отличаться от списка поддерживаемых операционных систем производителем драйвера защиты (SafeNet/Gemalto). Список систем, поддерживаемых драйвером, приведен в файле «readme.html» в поставке драйвера. При внутреннем тестировании драйвера защиты 7.60 с операционными системами Windows XP и Windows Server 2003 проблем в работе драйвера не выявлено.

Получить новую версию драйвера можно на сайте обновлений «1С» https://releases.1c.ru/project/AddCompDriverHASP или на сайте производителя драйвера SafeNet/Gemalto https://www.safenet-sentinel.ru/helpdesk/download-space/#tabs-1.

Для операционной системы Windows имеется выбор поставки драйвера для установки через командную строку, или графический интерфейс. Вариант поставки для установки через командную строку включает в себя файл haspdinst.exe , который для установки надо запустить с ключом «-i»: haspdinst.exe -i

В случае установки драйвера через графический интерфейс необходимо запустить файл HASPUserSetup.exe .

Для отключения веб-интерфейса драйвера защиты необходимо остановить и выключить службу » Sentinel LDK License Manager «, которая отвечает за его работу. Это можно сделать вручную через панель управления службами.

Так же веб-интерфейс драйвера можно отключить из интерпретатора командной строки. Для этого необходимо запустить интерпретатор командной строки от имени администратора, а затем выполнить следующую команду:
sc config hasplms start= disabled && sc stop hasplms

HASP — общие вопросы

Что такое серия разработчика (или код ключей) и что такое Vendor ID?

Серия разработчика = Batch code = код разработчика = серия ключей – равнозначные понятия.

За каждым разработчиком при первоначальной покупке ключей закрепляется уникальная серия разработчика. В дальнейшем ключи данной серии продаются только данному конкретному разработчику.

Ключи разных серий разработчика обладают различным криптоповедением, благодаря чему ключи от одной серии не подходят для работы с приложением, защищённым на ключи другой серии разработчика.

При последующей покупке ключей разработчик в заказе указывает ту серию разработчика, под которую ему необходимо приобрести ключи (за разработчиком могут быть закреплены несколько различных серий).

Batch code нанесён на корпус каждого ключа (как пользовательского, так и служебного) и выглядит как последовательность из нескольких латинских символов, вида: «CDQDR», «DEMOMA» и т.д.

DEMOMA — серия разработчика, присвоенная демонстрационным ключам. Серия DEMOMA интегрирована в комплект разработчика и предназначена для тестирования функционала комплекта разработчика. Для работы с ключами серии DEMOMA не требуется наличие Sentinel (HASP) HL Master ключа.

Vendor ID – числовой эквивалент серии разработчика, отображается в Sentinel Admin Control Center на вкладке Sentinel Keys в столбце Vendor для подключенного ключа. Исключение – служебные ключи Sentinel (HASP) HL Master и Sentinel (HASP) HL Developer. Для этих ключей Vendor ID всегда одинаковый – «64294» и отличен от Vendor ID серии разработчика клиента.

Vendor ID содержится в именах всех кастомизированных под данную конкретную серию разработчика библиотек Sentinel LDK Licensing API из комплекта разработчика.

Обновление прошивки (firmware) ключа HASP HL до версии 3.25

Обновление микропрошивки в стандартном режиме производится автоматически при соблюдении двух условий:

1. Наличия на ПК актуальной версии установленного драйвера для ключей Sentinel (HASP);
2. Наличия на ПК активного интернет соединения.

При подключении к ПК ключа с микропрошивкой версии ниже 3.25 (за исключением 2.17), например версии 2.16, ключ сам должен обновиться. Визуально это сопровождается миганием светодиода ключа с момента начала и до момента окончания процедуры обновления микропрошивки. Обычно эта процедура занимает несколько секунд. В ходе обновления микропрошивки ни в коем случае не следует отключать ключ от порта!

Если же обновление микропрошивки не было произведено в автоматическом режиме, то есть возможность выполнить это вручную. Сделать это можно двумя способами:

*Файл применяется к ключу с помощью: стандартной утилиты RUS под данную серию разработчика, либо через интерфейс драйвера — Sentinel Admin Control Center.

Процедура установки/удаления драйвера ключа

Для OS Windows Vista и ниже необходимо выполнять оба раздела инструкции, для Windows 7 и выше только «Раздел II».

Перед установкой/удалением необходимо убедиться, что UAC отключен и после его отключения ПК был перезагружен.

Раздел I. Удаление драйверов версии 4.116 и ниже.

1. Войти в систему как администратор.
2. Если возможно, следует временно отключить любое защитное ПО (антивирус, брандмауэр).
3. Отключить все локальные Sentinel (HASP) ключи.
4. Загрузить драйвер 4.116: http://safenet-sentinel.ru/files/hasp4_driver_cmdline.zip для проверки, не установлено ли старых версий драйверов.
5. Распаковать загруженный архив на диск и в командной строке перейти в директорию с файлами из архива.
6. Запустить «hinstall –r –alldrv» для удаления версий, установленных ранее.
7. Если возникли проблемы с удалением, обратитесь к пункту настоящей инструкции «ПРОБЛЕМЫ ВО ВРЕМЯ УСТАНОВКИ ДРАЙВЕРА».

Раздел II. Установка/удаление драйверов версии 5.х и выше.

1. Войти в систему как администратор.
2. Если возможно, следует временно отключить любое защитное ПО (антивирус, брандмауэр).
3. Скачать свежую консольную версию драйвера: https://thales-sentinel.ru/helpdesk/download-space/
4. Отключить все локальные Sentinel (HASP) ключи.
5. Разархивировать драйвер.
6. Выполнить из командной строки «haspdinst.exe –fr –kp –purge» для удаления версий, установленных ранее.
7. Выполнить «haspdinst.exe –i» для установки драйвера.
8. Если возникли проблемы с удалением, следует обратиться к пункту инструкции «ПРОБЛЕМЫ ВО ВРЕМЯ УСТАНОВКИ ДРАЙВЕРА».
9. Открыть браузер и перейти по адресу http://localhost:1947; проверить, что ключ отображается на странице «Sentinel Keys».
10. Проверить, что приложение работает. Если нет:

• Использовать «MsConfig» для остановки всех служб, которые не относятся к Microsoft, перезагрузите компьютер и проверить снова.
• В случае отказа системы необходимо сохранить «дамп памяти ядра».
• В случае отказа Менеджера лицензий (HASP License Manager) необходимо сохранить лог (event log: Пуск -> Панель управления -> Администрирование -> Просмотр событий) и сохранить скриншот возникающей ошибки.
• Удалить файл «C:\Windows\aksdrvsetup.log», запустить «haspdinst –i –v», сохранить созданный файл aksdrvsetup.log
• Запустить «MsInfo32» (Пуск -> выполнить -> msinfo32 -> Ввод), создать .NFO log и выслать его.

Все сохранённые данные по проблеме необходимо передать в службу технической поддержки, порядок обращения в техническую поддержку см. «Порядок обращения в техническую поддержку».

ПРОБЛЕМЫ ВО ВРЕМЯ УСТАНОВКИ ДРАЙВЕРА

• Удалить все компоненты HASP через «Установка/удаление программ».
• Остановить все службы, которые содержат в названии «Hasp» или «HLServer».
• Удалить все файлы aks*.*, «hardlock.sys» и «haspnt.sys» из папки c:\windows\system32\drivers» (если они не используются другими приложениями).
• Удаление драйверов в «Диспетчере устройств»:

o Зайти в «Панель управления»\«Система».

o Перейти на вкладку «Оборудование» и откройте «Диспетчер устройств».

o Выбрать в меню «Показать скрытые устройства».

o Раскрыть пункт «Драйверы устройств не Plug and Play».

o Удалить каждый из следующих пунктов, если они присутствуют: «Hardlock», «Haspnt», «HASP fridge».

• Еще раз удалить драйверы с помощью команды «haspdinst –purge», а затем установить с помощью «haspdinst –i».

Работа с ключом на виртуальных машинах

Работа на виртуальных машинах ограничивается двумя факторами:

1. Используемой системой защиты.
2. Используемой платформой виртуализации.

Для каждой системы защиты есть свой список официально поддерживаемых платформ виртуализации, посмотреть который можно либо на сайте sentinelcustomer.safenet-inc.com/platformsupport/, либо в документации к используемому комплекту разработчика.

Некоторые платформы виртуализации не поддерживают проброс USB устройств с реальной машины в виртуальную, например Microsoft Virtual Server + Hyper-V.

При использовании виртуальных сред с балансировкой нагрузки может происходить блокировка работы программных ключей Sentinel (HASP) SL, так как при балансировке нагрузки виртуальная машина фактически «перемещается» с одного физического ПК на другой, вследствие чего изменяется параметр привязки CPU ID, подробнее см. «Ошибка SL Clone detected».

Ошибка: «HASP not found (-10), (-11), (Error 27), (H0027), Terminal services detected»

Возникновение данной ошибки возможно в следующих случаях.

1. При обнаружении программ терминального доступа типа Microsoft Terminal Server (в т.ч. служба RDP – Remote Desktop), Citrix Winframe/Metaframe и т.д. драйвер ключа блокирует доступ к ключу. Т.е. ключ не должен находиться на одной машине с активным терминальным ПО. Для систем защиты HASP HL и Sentinel HASP* разработчик защищенного приложения имеет возможность контролировать данную опцию, разрешая или запрещая работу на терминальном сервере. Для ключей HASP4 она задана жестко и не может быть отключена. Если вы являетесь пользователем защищенного ПО, то варианты решения данного вопроса следующие:
   • Остановить работу терминального сервера.
   • Разместить ключ на любом другом компьютере в сети, если ключ сетевой.
   • Обратиться к разработчику защищенного ПО.
2. Ошибка «HASP not found (-10)» также может возникать при запуске приложений, защищенных с помощью HASP4 под Windows Vista/Windows 7.

* Для стандартной Feature 0, которая есть во всех ключах по умолчанию, лицензионные ограничения изменять нельзя. При этом для всех локальных ключей Sentinel HL для Feature 0 запрещена работа в терминальном режиме, а для сетевых ключей Sentinel (HASP) HL Net и сетевых ключей Sentinel (HASP) HL NetTime – разрешена. Соответственно, если защита программ осуществляется через Sentinel LDK Envelope на Feature 0 (например, используется DataHASP, который для своей работы использует Feature 0), то защищённое таким образом ПО может работать на терминальном сервере только с сетевым ключом, в котором для Feature 0 разрешён терминальный режим. С локальными ключами ПО будет выдавать ошибку «HASP_TS_DETECTED = 27».

Для локальных ключей рекомендуется использовать для защиты Feature отличную от Feature 0, в таком случае можно записать в локальный ключ требуемую Feature с разрешением работы на терминальном сервере (RDP). Однако следует учитывать, что при использовании локального ключа с Feature с разрешённой опцией RDP на терминальном сервере не будут ограничиваться одновременно запущенные копии ПО. Таким образом все запущенные на терминальном сервере экземпляры защищённого ПО будут потреблять одну лицензию с локального ключа, так как все копии ПО запущены на одной и той же машине (на RDP сервере) и система считает их за одну потребляемую лицензию. Таким образом в подобной ситуации пользователь сможет запустить столько экземпляров защищённого ПО, сколько подключений позволит создать сам терминальный сервер.

Для сетевых же ключей всегда можно для Feature, отличной от Feature 0, указать на какое количество сетевых мест рассчитана данная лицензия, а также можно изменить механизм подсчёта лицензий, указав что подсчёт лицензий требуется выполнять не по Станциям, а по Процессам, что позволит избежать ситуации аналогичной ситуации описанной выше (с локальными ключами).

!Update!: в системе защиты Sentinel LDK (в актуальной версии SDK LDK), для локальных моделей ключей Sentinel HL, работающих в Driverless режиме (для всех моделей кроме Sentinel HL Basic), есть возможность записывать сетевые лицензии с разрешённой / запрещённой работой RDP и с подсчётом подключений: по станциям, по процессам и по логинам. Благодаря чему любую, изначально локальную модель ключа можно превратить в сетевую. Но этот функционал требует приобретения дополнительных лицензий (HL seats) на Ваш Мастер ключ.

Ошибка «HASP not Found (-3), (Error 7), (H0007)»

Возникновение данной ошибки возможно в следующих случаях.

• Ключ Sentinel (HASP) не подсоединен к компьютеру. Необходимо подсоединить ключ защиты.
• Подсоединен ключ Sentinel (HASP) другой серии (ключ от другого ПО). Необходимо подсоединить ключ требуемой серии (ключ от данного приложения).
• Сетевой ключ, подсоединенный к компьютеру в сети, на самом деле не является сетевым (сетевой ключ должен содержать в себе сетевую лицензию). Следует проверить установленный ключ и, в случае ошибки, подключить требуемый сетевой ключ Sentinel (HASP).
• На компьютере, где установлен сетевой ключ Sentinel (HASP), не запущен менеджер лицензий. Следует установить и запустить менеджер лицензий.
• На компьютере, где установлен ключ, или на компьютере, где запускается защищенное приложение, блокируется передача трафика по 475 или 1947 порту (активен firewall, брандмауэр windows, антивирусные программы также могут блокировать передачу по сети). Необходимо отключить все ПО, которое может блокировать доступ к ключу.