Обзор компактного защищенного компьютера Kraftway Credo VV25 компактного защищенного компьютера Kraftway Credo VV25
Новое поколение мини-компьютеров Kraftway Credo оказалось намного интереснее предыдущего. Оно сохранило главные черты линейки — компактность, бесшумность и защищённость. Но самое главное, что оно стало более производительным, удобным и безопасным. Это уже не просто терминальная станция, а полноценный защищённый офисный ПК.
Описание устройства
В прошлом году мы рассказывали про предыдущее поколение неттопов Kraftway Credo VV23. С обновлением линейки общая концепция устройства не поменялась: современная модель VV25 всё так же упакована в компактный, но прочный металлический корпус, который одновременно является радиатором. Неттоп абсолютно бесшумен, хотя строение системы охлаждения чуточку поменялось — теперь нет никаких тепловых трубок, а процессор, как единственный, по сути, горячий элемент системы, отдаёт тепло на массивный алюминиевый цилиндрик, который, в свою очередь, рассеивает его на поверхности одной из ребристых боковых крышек корпуса.
В неттопе используется уже не Atom, а очень даже неплохой свеженький Intel Celeron N2930 с четырьмя ядрами, работающими на частоте 1,83 ГГц, двухмегабайтным L2-кешем и интегрированной графикой Intel HD Graphics. Это, в общем-то, не просто CPU, а вполне себе SoC — тут есть контроллеры памяти, PCI-E, USB, SATA-II. Материнская плата в Kraftway Credo VV25 чуть меньше стандартного формата Mini-ITX. Тем не менее у неё есть два слота SO-DIMM, в которые можно установить суммарно до 8 Гбайт памяти DDR3L-1333. Нам досталась как раз такая конфигурация. Кроме того, производитель отказался от использования обычных жёстких дисков, и новые ПК комплектуются SSD объёмом до 512 Гбайт. В тестовом экземпляре был установлен накопитель Foxline FLSSD120X3 на120 Гбайт.
В общем, конфигурация получается сбалансированной, хотя и не предполагающей какого-либо значительного апгрейда. Впрочем, на плате имеются два слота Mini PCI-E, в которые можно вставить, например, беспроводной модуль. По умолчанию его нет, что вполне логично с точки зрения безопасности, но на корпусе есть отверстие с заглушкой, в которое можно вывести антенну. Как и ранее, в неттопе установлен оптический сетевой адаптер. В нашей комплектации это был многомодовый модуль D-Link DEM-211 на 100 Мбит/с. Плюс такого подключения в лучшей защите от скрытого прослушивания и большей дальности работы по сравнению с обычным LAN-подключением. Впрочем, встроенный гигабитный Ethernet-адаптер Realtek в устройстве тоже есть. Питается Kraftway Credo VV25 от небольшого внешнего БП мощностью 36 ватт.
Набор внешних интерфейсов значительно расширился. Наружу выведены аж шесть портов USB 2.0 — четыре сзади и два спереди. На передней панели также имеются различные индикаторы, один порт USB 3.0 и привычный считыватель смарт-карт стандарта ISO 7816 Class A/B/C, за счёт которого как раз и работает встроенная система защиты, о которой мы поговорим чуть ниже. На заднюю стенку выведены аудиоразъёмы 3,5 мм для подключения динамиков и микрофона, гнездо питания и два порта HDMI. Наличие хотя бы одного видеовыхода D-SUB или DVI сделало бы неттоп ещё более привлекательным, но, увы, производитель решил иначе. На задней стенке также находится гнездо для установки SFP-модуля со своими собственными индикаторами активности.
В целом начинка Kraftway Credo VV25, на наш взгляд, прекрасно сбалансирована и отлично подходит для офисных задач, на которые неттоп и рассчитан. Корпус устройства окрашен в чёрный цвет. Предполагается, что оно будет покоиться на столе, на что намекают резиновые ножки на днище. Хотя, думается, при большом желании его всё-таки можно будет прикрепить к задней стенке монитора. Не хватает, пожалуй, только гнезда для замка Kensington. Процесс сборки-разборки устройства совсем простым назвать нельзя, но в данном случае это только плюс, потому что, например, для инициализации или сброса системы защиты всё равно придётся лезть внутрь корпуса. Так что лишние преграды на пути потенциального злоумышленника не помешают. Да, вот такой вот он суровый, мир защищённых систем. Давайте-ка расскажем про него поподробнее.
Безопасность
При включении компьютера пользователь первым делом увидит на экране не привычный POST-отчёт о работоспособности компонентов устройства, а отчёт о проверке системы «Антивирусом Касперского» для UEFI. Да, UEFI позволяет не только упростить работу с ПК ещё до загрузки ОС, но и обеспечить защиту последней от стороннего вмешательства. Собственно говоря, UEFI здесь тоже не простой — в мини-компьютере используется собственная оболочка Kraftway Secure Shell (KSS), которая комплектуется различными модулями безопасности, и антивирус — лишь один из них. У Kraftway имеются собственные модули, но сторонние разработчики тоже могут интегрировать свои решения в UEFI. Ещё раз стоит подчеркнуть, что всё это работает на самом «нижнем» уровне. Производитель заявляет, что обойти систему можно, только получив физический доступ к внутренностям ПК и перепрошив BIOS.
В тестовом экземпляре, помимо антивируса, который проверяет загрузочные области, загрузчик и ядро ОС, критически важные системные файлы/папки и компоненты приложений, а также реестр, имелись и другие модули. Сразу после проверки на зловреды включается модуль защиты файловой системы. Он сверяет хеш-суммы заранее выбранных администратором файлов и умеет работать с ФС FAT16/32, NTFS и EXT 2/3/4. Похожим образом работают модули для контроля за логическими дисками на накопителе и за целостностью оборудования. Кроме того, в KSS встроен собственный гипервизор, а любые действия записываются в журнал. Если на каком-либо из этапов проверки было обнаружено нарушение целостности системы, то её загрузка тут же прекращается. Таким образом максимально ограничиваются возможности несанкционированного доступа к системе.
Сама оболочка KSS тоже имеет ряд стандартных настроек безопасности вроде отключения загрузки с внешних накопителей, проверки собственной целостности, ограничения по времени на вход в оболочку и так далее. Она же интегрируется с сервером безопасности Kraftway Security Center для удалённой настройки ПК, инвентаризации, расширенных настроек аутентификации, управления доступом и множеством других функций для упрощения работы с парком машин не в ущерб защите оных. Наконец, самая главная и самая важная часть оболочки — это аппаратно-программный модуль доверенной загрузки (АПМДЗ) «Криптон-Витязь». Он запускается после проверок системы антивирусом и модулями целостности ФС и оборудования. В задачи модуля входят процедуры идентификации, аутентификации и авторизации пользователей.
Идентификация пользователей проводится посредством смарт-карты, аутентифицируются они с помощью своего пароля, а затем осуществляется авторизация пользователя в соответствии с ролевой моделью. Есть три уровня доступа. Первый — это уровень системного администратора, который проводит настройку и инициализацию АПМДЗ. Для его включения необходимо перевести переключатели, расположенные на материнской плате, в определённое положение. Только после этого можно инициализировать модуль защиты и создать профиль системного администратора, который имеет полный доступ и к АПМДЗ, и ко всем прочим настройкам системы. Второй и третий уровень доступа — это, соответственно, администраторы и обычные пользователи. У администраторов также возможно разделение полномочий на доступ к тем или иным разделам настроек.
В любом случае без заранее зарегистрированной в «Криптон-Витязь» смарт-карты и пароля нельзя будет не то что поменять настройки BIOS или Kraftway Secure Shell, но и просто загрузить ОС. Естественно, здесь применяются всякие стандартные меры безопасности — ограниченный срок действия пароля, лимит числа попыток входа конкретного пользователя или всех пользователей сразу, задание минимальной длины пароля, журналирование, контроль за загрузкой ОС и так далее. Отдельно стоит отметить, что Kraftway Credo VV25 — это одно из немногих подобных решений, прошедшее сертификацию ФСТЭК и находящееся на сертификации в ФСБ России. Кроме вышеперечисленных модулей в рамках платформы KSS доступны и другие расширения для создания защищённых хранилищ, создания безопасных сетевых подключений, идентификации и аутентификации и так далее.
Источник: 3dnews
