Vipnet не запускается контроль приложений
Последовательность действий для воспроизведения проблемы:
Установлен Windows 7 x86 (VM на Hyper-V 2012R2), введен в домен, установлены все критические апдейты, установлен Office 2016 Pro Plus, установлен VipNet 3.2.11.19855 (сертификат ФСБ).
В VipNet сделана настройка автоввода пароля из реестра компьютера в окно VipNet при старте системы,
в VipNet добавлено правило, разрешающее входящие подключения для возможности подключения к машине по RDP. Включен удаленный доступ RDP в Win7.
В силу особенности VipNet данное правило начинает работать только при вводе пароля VipNet.
Конфигурация проверена, работает!
Установлен агент DrWeb ESS 10, компоненты Сканер, Guard, Gate, Офисный контроль, Превентивная защита.
До перезапуска системы все работает. Далее начинается "необъяснимое" , - при последующих перезагрузках VipNet начинает стартовать через раз,
через 5-6 перезагрузок вообще перестает стартовать.
Далее появляется стандартное приглашение Ctrl+Alt+Del.
Вводим логин и пароль доменного юзера.
Из оснастки службы вручную запускаем IpLirControl - запускается. Далее стартуем ярлыком VipNet Monitor и все работает как ни в чем не бывало.
Для решения проблемы:
В сканере сделаны исключения на папки:
C:\Program Files\InfoTeCS\VipNet Client\*
В Guard сделаны исключения
C:\Program Files\InfoTeCS\VipNet Client\*
C:\Program Files\InfoTeCS\VipNet Client\ivpsrv.exe
C:\Program Files\InfoTeCS\VipNet Client\Monitor.exe
C:\Program Files\InfoTeCS\VipNet Client\monitsrv.exe
C:\Program Files\InfoTeCS\VipNet Client\vipnetln.exe
В превентивной защите разрешено все.
VipNet 3.2.11.19855 не стартует служба IpLirControl (monitsrv.exe)
Очень долгий старт, логи смотреть примерно с 14-45 по 15-15.
Прикрепленные файлы:
поправка, до VipNet Client 3.2.11.19855 установлен VipNet CSP 4.2
Процессы, если не ошибаюсь. прописываются без указания путей.
Ну и вероятней всего, все-таки, превентивная защита, этот vipnet занимается инжектами, всё-таки.
А погодите-ка. Так "не стартует" или "очень долгий старт"?
А погодите-ка. Так "не стартует" или "очень долгий старт"?
очень долгий старт - это относится к появлению приглашения windows ctrl+alt+del )
VipNet не стартует, на черном экране выдает ошибку - не найдена служба IpLirControl и окно по таймауту 20сек закрывается,
далее долго черный экран до старта винды.
Процессы, если не ошибаюсь. прописываются без указания путей.
Ну и вероятней всего, все-таки, превентивная защита, этот vipnet занимается инжектами, всё-таки.
в превентивной защите разрешено все.
я так понял она часть агента и её не получится не устанавливать как компонент? и отдельно удалить нельзя?
для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.Процессы, если не ошибаюсь. прописываются без указания путей.
Если задавать исключения напрямую в агенте, то при указании файла он прописывает полный путь, а так же есть 2 галочки не проверять гардом и не проверять гейтом и майлом. При выборе галочек появляются соответсвующие отметки в таблице интерфейса добавления исключений.
Если же задавать исключения для первичной группы , в которую входит комп в консоли ess, то на агент клиента "приезжают" полные пути, а вот в колонках таблички исключений в интерфейсе агента галочек уже нет. Так что непонятно исключил агент их или нет.
И еще косяк, если в настройках привентивной защиты в консоли еss выставить галочки как надо, но при этом запретить юзеру менять настройки превентивной защиты агента, то на агенте в табличке настроек привентивной защита отображается неактивная настройка, состав которой не соответсвует той, то выставлена на сервере ess для данного клиента. И опять не понятно, что приехало на клиента, то что надо или то что показывает агент.
для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.
Подскажите, плиз, как сделать такие трейсы?
для анализа нужны трейсы procmon с бут режима. можно в личку а лучше в саппорт. тут не место для решения таких проблем.
бутлог сделал, см. лс.
в саппорт подал заявку на создание ЛК, жду пароля )
Будете разбираться, не забывайте, что и актуальный билд ViPNet-клиента версии 3.2 - 3.2.12+ и четвёртая версия уже выпущена и сертифицирована.
пытался решить через саппорт, там предположили, что проблема в том, что машина виртуальная.
Проблему со стартом VipNet решил путем установки типа запуска службы IpLirControl на "отложенный".
Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.
Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.
Не надо вводить в заблуждение.
Кроме того, ИнфоТеКС проводит "аукцион неслыханной щедрости", согласовав с ФСБ упрощённую процедуру регистрации (бесплатного) CSP 4.2 в качестве сертифицированного СКЗИ.
Использовать другую сборку VipNet не могу, ибо сертификат ФСБ только на эту.
Не надо вводить в заблуждение.
Кроме того, ИнфоТеКС проводит "аукцион неслыханной щедрости", согласовав с ФСБ упрощённую процедуру регистрации (бесплатного) CSP 4.2 в качестве сертифицированного СКЗИ.
Блажен, кто верует, особенно если не знает, но уверенно вещает.
Одного сертификата ФСБ с сайта мало. Сертифицированный ФСБ VipNet Client поставляется с номерным дистрибутивом и формуляром, в котором указан номер дистрибутива, что и подтверждает, что именно эта сборка и является сертифицированным средством защиты персональных данных. Но вам такие мелочи знать видимо ни к чему.
VipNet Client мне поставлялся централизовано в рамках определенного федерального проекта. Соответственно есть тех.требования к версии клиента. Она должна быть 3.2. Саппорт VipNet'а в ответ на запрос мне сказал, что сертификат ФСБ имеет только сборка 3.2.11.19855, которая имеет ряд проблем совместимости и они это признают, но заменить на другую сборку из линейки 3.2 не могут, ибо другие сборки ФСБ не сертифицированы, соответственно мне поставлен номерной дистрибутив этой сборки, формуляр к нему с указанием внутри формуляра номера дистрибутива и сертификат ФСБ. Если вы лично хотите играть в игру "установи другую сборку, отличную от той, что пришла тебе по документам, и получи проблемы с совместимостью при работе с координатором, отказ в саппорте провайдера федеральной программы, проблемы с ФСБ, когда будут проверять то что ты сделал по линии исполнения закона о защите персональных данных", то это ваше ЛИЧНОЕ дело.
Не надо советовать людям, не зная всех нюансов и не разбираясь в предмете, то, за что можно получить по голове, вплоть до уголовной статьи.
Да, практически. Пришлось много применять метод научного тыка, пока удалось запустить сабжевую сбору VipNet Client + Win 7 + All critical updates + DrWeb.
Далее немного оффтоп, да простит меня модератор )
В формуляре на сертифицированный ФСБ VipNet Client, сборка 3.2.11.19855 указано, что использование данного СКЗИ допускается только при условии установки ВСЕХ критических обновлений безопасности операционной системы. Финт ушами в виде использования Windows XP не прокатывает, ибо она снята с поддержки производителя. Использовать данную ОС не допустимо.
После установки некоторых обновлений Windows 7 возникает конфликт системы безопасности Win7 и драйвера TLS от VipNet 3.2. Выражается это в том, что при запуске появляется черный экран, и загрузка Win до Ctrl+Alt+Del не происходит. Если использовать ворэраунд саппорта и деактивировать в реестре драйвер TLS от VipNet, то сохраняется проблема с доступом к рабочей станции по RDP, он тупо не работает.
Многие решают данную проблему отключая обновления, но тогда согласно формуляру сертификация ФСБ нарушена и использовать СКЗИ нельзя.
После появления CSP 4.2 появился более адекватный воркэраунд. Клиент лечится с помощью установки CSP 4.2, который при установке заменяет драйвер TLS на свой, совместимый с Win 7, при этом изменений в алгоритмы VipNet клиент не вносится, номер сборки не меняется, т.е. на сертификацию ФСБ не влияет (ответ саппорта). При этом замечу, что это опять же воркэраунд, а не исправление, ибо 3.2 снять с разработки. Я так понял все сборки имееют данную проблему совместимости с 7-кой.
И как уже было написано проблема с DrWeb решилась отложенным запуском службы IpLirControl.
Данная проблема как правило возникает по вине самого пользователя, особенно при наличии у него прав администратора, либо неверным решением на запрос контроля приложений. Как правило даже особая диагностика тут не нужна, но мы её проведем.
p, blockquote 1,0,0,0,0 -->
Что вообще такое этот VipNet Client? Это одновременно VPN, Firewall и криптопровайдер. Последний как правило вызывает проблемы только при взаимодействии с КриптоПро csp, а проблемы описанные в названии как правило связаны с функцией сетевого экрана и виртуальной сети.
p, blockquote 2,0,1,0,0 -->
Нет связи с ресурсами компании
p, blockquote 3,0,0,0,0 -->
p, blockquote 4,0,0,0,0 -->
p, blockquote 5,1,0,0,0 -->
Если время на сервере отличается от времени на устройстве, VipNet клиент работать не будет. Сам постоянно грешу и забываю в первую же очередь проверить время на устройстве, однако в последнем обращении клиентов с такой проблемой наблюдал забавную фишку. Время на компе было вписано якобы правильно. Точнее цифры то правильные, а часовой пояс неверный. Короче меняем время в системе. Делаем правый тык на часах ->настройка даты и времени, проверяем что часовой пояс верный. На верочку так же можно включить автоматическую установку времени и дополнительно его синхронизировать.
Нет интернета при использовании VipNet Client
Данная проблема конечно гораздо глобальнее, ведь интернета как и локальной сети в данном случае нет. А виноват опять пользователь. Если при использовании VipNet пропал интернет, скорее всего был заблокирован Svсhost.exe, отвечающий за выход АРМ в сеть. Процесс блокировки скорее всего выглядел так: Контроль приложений Vipnet вызвал у пользователя окно о том, что приложение Svchost.exe изменено и можно ли ему разрешить выход в сеть. Пользователь не глядя ткнул на запрет и вот результат. Проверить заблокирован ли Svchost.exe можно вызвав контроль приложений во вкладке приложения.
p, blockquote 7,0,0,0,0 -->
Ищем в списке наш процесс и удостоверяемся в том что он не заблокирован. В моем случае всё норм, у вас будет крест напротив процесса.
p, blockquote 8,0,0,1,0 -->
Чтобы разблокировать данный процесс, понадобится вход в режим администратора, а следовательно, пароль администратора. Звоните администратору сети чтобы узнать был ли ранее задан пароль администратора Vipnet и не истек ли его срок годности.
p, blockquote 9,0,0,0,0 -->
А если истек?
В случае истечения срока действия админского пароля Vipnet Client скорее всего придётся сносить т.к. администратор сети не сможет выслать вам новый (сети же нет). Однако если вам повезло и администратор сети находится от вас на расстоянии вытянутой руки, пусть перевыпустит и переустановит DST данного узла на новый, но проще конечно переустановить Vipnet Client, не забыв при этом вручную удалить папку d_station по пути установки клиента. По-умолчанию путь C:\Program Files (x86)\InfoTeCS\ViPNet Client\d_station. Если вы не зачистите папку d_station, после переустановки клиент снова подхватит правила из контроля приложений и интернета снова не будет. Естественно прежде чем переустанавливать VipNet Client не забудьте убедиться в том что у вас сохранился прежний DST файл. За это вам конечно надо дать по шапке т.к. это небезопасно. Если DST файла у вас нет, опять же звоните администратору сети с просьбой выпустить новый взамен старого.
VipNet Client 3.2 Обнаружены несанкционированно измененные файлы
Версия хоть уже и под устарела но ей много кто пользуется и естественно сталкивается с проблемами. Для начала для чего эта программа - для связи с другим компьютером через интернет как по локальной сети и естественно с защитой данных. А раз обеспечивается защита данных - то и соответственно эту программу ставить надо с умом (не браузер же устанавливаем), где любая мелочь приводит к невозможности установки или настройке к подключению.
Бывает что вчера работали нормально, а сегодня ничего ни работает.
Первым делом надо вспомнить не устанавливали чего мы вчера? Бывают случаи установки других программ мешающим уже установленным - в этом случае может помочь вариант с де инсталляцией (удалением) недавно установленной программы, или откат системы на более ранее состояние где программа уже работала.
Это было отступление. Теперь рассмотрим попавшийся случай неполадки нам на руки с диагнозом ошибки "обнаружены несанкционированно измененные файлы". Пробороздив по данной ошибке в интернете (ПОДСКАЗКА КОТОРАЯ ПОМОГЛА НАМ ) выяснили, что с вероятностью в 90% был скачек света или не дождались завершения работы - выключили компьютер.
Удалось реанимировать просто достав архив или файлы первоначальной конфигурации в папку C:\Program Files\InfoTeCS\ViPNet Client\log\data\ses файла ses.cfg и в придачу всего содержимого в папке. Алеллуя заработало. Рекомендуем на будущее сделать копию программы для реанимации.
Но Этого оказалось мало.Ошибку " Обнаружены несанкционированно измененные файлы " исправили,но небыло связи с в випнет, пришлось попотеть, честно говоря прилично. Дело в том, что мы знали о жестком требовании в ВипНет соответствия компьютерного к текущему времени, естественно время сверялось местное и компьютера чуть ли не по секундам.
Служба поддержки рекомендовала переустановить программу (Деинсталировать, удалить папку с Program Files, перезагрузить, установить заново) - СТАНДАРТНАЯ ОТГОВОРКА АВСЬ ОТСТАНУТ.Тоже не наш случай. А на второй раз в службе попался более адекватный специалист - не поленился и проверил нас на связь и констатировал НЕВЕРНЫЙ ЧАСОВОЙ ПОЯС.
Очень часто к нам на страничку приходят с вопросом- vipnet не ставиться, ошибка
Решений Несколько. Во первых - при повторной установке папку випнета клиент с С:\Рrogram files (х86) надо удалять, можно почистить Ccleaner (ом) или другими утилитами комп от мусора, перезагрузка и повторная установка.
Еще может помочь это - в окне запуска VipNet Client Монитор выбираем "Настройка" и производим "Первичная инициализация", ждем продолжения автоматической установки. Если ничего не происходит, ищем в каталоге "Temp" файл вида abn_xxxx.dst. Если файл не обнаруживаем, то все содержимое удаляем.
Третий вариант тоже может помочь, но не во всех случаях,но пробовать стоить начинасть с него. Это откат системы (восстановление по точке сохранения системы) на тот момент когда система работала корректно.
Где проблема?
Внезапное прекращение работы ViPNet связано с обновлением операционной системы Windows.
Как устранить проблему?
Для того, чтобы вернуть ViPNet в рабочее состояние следует совершить следующие действия:
1. Зайти в Панель управления – Программы
2. Найти в списке программу ViPNet и нажать кнопку «Восстановить»
3. Запустится процесс восстановления, и система предложит перезагрузить компьютер
5. После перезагрузки требуется запустить ViPNet, выбрать действующий сертификат, на нижней панели нажать кнопку «Свойства»
6. В Свойствах контейнера ключей нажать кнопку «Открыть»
7. Нажать кнопку «Установить сертификат»
8. Соглашаться со всеми действиями, предлагаемыми мастером импорта сертификатов
9. Завершение установки сопровождается всплывающим окном с текстом «Импорт успешно выполнен»
11. Если перечисленные действия не привели к желаемому результату, и при отправке отчета возникает ошибка, звоните на Линию Консультаций Софт-Юнион по телефону 520-911. Наши специалисты с удовольствием помогут Вам ее устранить.
Что сделать, что бы проблема больше не возникала?
Если такие сбои в работе ViPNet у вас происходят достаточно часто, то мы рекомендуем приобрести платную программу шифрования КриптоПро, в работе с которой подобных сбоев не происходит, и обновление Windows никак не влияет на ее работоспособность.
Читайте также: