Статус: Участник
Группы: Участники
Зарегистрирован: 19.02.2015(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 3 раз
|
Автор: Андрей Писарев  Автор: bazki Автор: Андрей * Здравствуйте.
После обновлений - пересчитывать контрольные суммы Ну то есть после каждого обновления вручную запускать эту команду? Можете автоматизировать. Не приведете пример ? Вдруг уже есть какие-то готовые решения. Спасибо
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,108
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,420
Сказал(а) «Спасибо»: 580 раз
Поблагодарили: 408 раз в 387 постах
|
Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный?
Или где есть какие требования, что данные сообщения должны быть именно в системном?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4
|
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Если что я не сотрудник, но я вижу что здесь на форуме хотя бы отвечают, в отличие от поддержки многих других программ. И сам стараюсь отвечать. Автор: 6ec123321 короче я начал искать решение проблем, а его нет Как бы слишком оптимистично надеяться, что Вы только поставили свежее обновление и сразу со скоростью света уже известны все проблемы, которые принесло обновление и найдены пути их решения. Майкрософт начхать что какие-то программы не работают после их обновлений и предварительно обновления ни с кем не согласуют.
да еще и описания обновлений очень "информативные" в духе "короче была проблема и мы с пацанами ее решили". Что решили, как решили, актуальна вообще рядовому пользователю эта проблема - придется долго искать бюллетень безопасности. Большую часть таких надуманных проблем (начинающихся "представим, что пользователь уже вошел в систему, так вот нашелся миллионный способ получить админку") можно вообще игнорировать. Особенно меня повеселило обновление, защищавшее от rogue printer. О да, я удивлюсь у какой конторы внутренняя сеть настолько открытая, что к ним можно тупо занести и "незаметно" подключить свой принтер. Интернет-кафе? Такой организации наверно уже поможет только ежедневная перезаливка клона ОС на каждый компьютер. Или курьера из магазина гоп-стопнули и подменили принтер? Страсти какие... и все насмарку из-за бдительных пацанов в Майкрософт.
Также есть портал поддержки для оперативного решения проблем, а форум это так.. неофициально спросить как что-то запрограммировать или решить проблему, которая потерпит полгодика. Однако сколько из нас покупает расширенную техподдержку и идут на портал техподдержки? Цитата:Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный? Или где есть какие требования, что данные сообщения должны быть именно в системном? Насчет системного журнала тоже понятно - в сферическом вакууме, когда системный администратор все ошибки и предупреждения сразу же исправляет, прикрутил информер на рабочий стол об ошибках (триггер на ошибку в планировщике) - узнали себя? Тогда действительно системный журнал самое удобное место, не надо по сотне журналов лазить. Меня больше раздражают информационные сообщения в системном журнале, вроде "мы чего-то начали делать, не смогли, сами исправим" или "мы запустились, а серверная лицензия не введена" (так как лицензия в сертификате - это не ошибка, а еще можно использовать только для проверки подписи и тогда тоже не ошибка). Вот такое можно бы в отдельный журнал записать.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,215 Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 285 раз в 265 постах
|
Добрый день! ознакомьтесь с документацией на СКЗИ: ЖТЯИ.*. Руководство администратора безопасности. Windows по поводу контроля целостности Цитата:8 Требования по криптографической защите
...
Контролем целостности должны быть охвачены следующие файлы:
...
\Windows\system32\inetcomm.dll
\Windows\SysWOW64\inetcomm.dll
\Windows\system32\rastls.dll
\Windows\SysWOW64\rastls.dll
\Windows\system32\wininet.dll
\Windows\SysWOW64\wininet.dll
\Windows\system32\msi.dll
\Windows\SysWOW64\msi.dll
\Windows\system32\crypt32.dll
\Windows\SysWOW64\crypt32.dll
\Windows\system32\schannel.dll
\Windows\SysWOW64\schannel.dll
\Windows\system32\kerberos.dll
\Windows\SysWOW64\kerberos.dll
\Windows\system32\certenroll.dll
\Windows\SysWOW64\certenroll.dll
\Windows\system32\cryptsp.dll*
\Windows\SysWOW64\cryptsp.dll*
\Windows\system32\sspicli.dll*
\Windows\SysWOW64\sspicli.dll*
* Для ОС Windows Server 2008 под контролем целостности вместо библиотек cryptsp.dll и
sspicli.dll находятся библиотеки \Windows\system32\advapi32.dll, \Windows\SysWOW64\advapi32.dll,
\Windows\system32\secur32.dll, \Windows\SysWOW64\secur32.dll.
...
по поводу журналов Цитата:7 Требования по защите от НСД
...
Для ОС Windows дополнительно должен быть реализован следующий комплекс организационно-
технических мер защиты от НСД:
...
32) Должен проводиться регулярный просмотр сообщений в журнале событий Event viewer с
периодичностью не реже 1 раза в неделю.
...
в таком виде дистрибутивы с комплектом документации сертифицируется ФСБ России. P.S. Аудит CSP существует на разных ОС: Win, *nix, MacOS общая схема событий: N_DB_ERROR = 1 (0x01), - критические ошибки N_DB_WARN = 2 (0x02), - некритические ошибки N_DB_CALL = 4 (0x04), - информация о вызове функции N_DB_LOG = 8 (0x08), - нейтральная информация N_DB_TRACE = 16 (0x10) - отладочная информация N_DB_CRUCIAL = 32 (0x20) - информация о важных событий (создан ключ, удален контейнер, ...) Логируется на Windows: в DbgView, console, EventLog *nix в: syslog, console добавление еще одной сущности или же дробление логирования другой нецелесообразно и избыточно. |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Автор: Санчир Момолдаев Логируется на Windows: в DbgView, console, EventLog
*nix в: syslog, console
добавление еще одной сущности или же дробление логирования другой нецелесообразно и избыточно. Да как бы с классификацией событий не спорим и про еще одну сущность речь не идет, просто на новых версиях Windows в EventLog целое дерево журналов. Речь о возможности корректировки пути в дереве EventLog, чтобы события определенной программы EventLog отправлял в отдельный файл журнала. Никто не спорит, что создать фильтр системного журнала достаточно легко, но для этого надо: 1) знать коды событий которые искать; 2) надо чтобы на момент просмотра события все еще были в журнале. К сожалению, это далеко не всегда верно. Причина проста - размер файлов журнала ограничен и когда одна программа за секунду регистрирует 20 однотипных сообщений, сообщения о других события тупо могут вытесняться из системного журнала. Увеличить журнал также временное решение потому что а) никогда неизвестно заранее насколько интенсивным будет потом событий и б) увеличение размера не вернет уже вытесненные события. Поэтому даже если согласно документации просматривать еженедельно системный журнал может "внезапно" оказаться что за неделю какая-то другая программа нафлудила так, что сообщений криптопровайдера криптопро просто не сохранилось. Или наоборот криптопро нафлудил так, что невозможно допустим понять какие были ошибки в репликации. Обычно EventLog подавляет такой флуд сообщений Майкрософт и пишет потом сводку, что за сутки произошло столько-то одинаковых ошибок (синхронизации времени, например). Однако криптопро почему-то в такую фильтрацию не попадает и временами "дух захватывает" сколько сообщений за неделю записано в системный журнал. Поэтому речь скорее о том чтобы разные программы "не перебивали" друг друга записывая события в один журнал и с этим как раз справится вариант "поправки пути в дереве EventLog", чтобы события попадали в отдельный файл с отдельным ограничением размера.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
|
Вообще мы планировали перейти на современные журналы в Windows, но думаю, сможем изменить поведение малой кровью и создать отдельный журнал для CSP.
Взяли в работу. |
|
 2 пользователей поблагодарили Максим Коллегин за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
