Добрый день!
Стоит задача запретить сотрудникам входить на торговые площадки под несколькими сертификатами с одного устройства, т.е. настроить устройство под одну фирму и один сертификат. Возможно через КриптоПро (или любые другие программы) запретить использовать новые сертификаты и токены?

Так конечно нужно сделать, но это не решает проблемы, так как прав обычного пользователя все равно достаточно для установки сертификата в свое собственное хранилище. Более того, если ключи на токене, то при подключении токена операционная система либо драйвер проявят ненужную "услужливость" и установят сертификаты с токена текущему пользователю в фоновом режиме.

Более реальным будет наверно вариант установки системы разграничения доступа (вроде SecretNet), в которой предусмотрено блокирование не допущенных администратором запоминающих USB устройств (флешек/токенов). С другой стороны, это также не защищает от копирования другого контейнера на допущенное устройство на другом компьютере, поэтому лучше запретить вообще все USB запоминающие устройства. Например, перейти на контейнеры, записанные на "таблетки", их скопировать сложнее - сначала надо найти считыватель. Однако нельзя забывать еще и про Интернет для торговых площадок - упорный пользователь все равно сможет переслать переслать себе по электронной почте в нарушении всех требований безопасности контейнер, даже если заварить все USB входы и системный блок, отключить DVD, таблетки, реестр и отобрать права администратора.

Выходит, что создать замкнутый контур средствами системного администрирования без закрытия Интернета практически невозможно. Наиболее близкое - сделать хранилище пользователя доступным только для чтения. Однако это также не панацея: можно создать еще одно хранилище и установить сертификат туда или скачать портативные версии браузеров с отдельным от системы хранилищем. Кроме того, с разрешенным сертификатом в хранилище доступном только для чтения немало программ будут выдавать ошибки, так как открывают хранилище без флага "только чтение".

Итого: в общем случае (без некой политики от криптопровайдера разрешающей только один сертификат) задача скорее всего нерешаемая, невозможно полностью защитить пользователя от него самого, продвинутые пользователи все равно смогут обойти все меры защиты, а обычные не смогут даже работать.

Отредактировано пользователем 9 октября 2018 г. 5:46:39(UTC)  | Причина: Не указана

Сходу удобных способов не придумывается. Но запретить пользователю изменять хранилище личных сертификатов (%localappdata%\..\Roaming\Microsoft\SystemCertificates\My\Certificates)- новые сертификаты установить не получится.