Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline abraxas_12  
#1 Оставлено : 12 августа 2021 г. 17:44:22(UTC)
abraxas_12

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2015(UTC)
Сообщений: 4

Добрый день,
прошу помощи с вопросом по Software Center
В организации имеются ноуты под Microsoft Windows 10 Enterprise, на них работает sccm. У некоторых пользователей он перестает работать (например, не запускается Software Center, не удается подключиться удаленно, не ставятся обновления). Это происходит у всех пользователей, которым устанавляваются КриптоПро CSP и КриптоПро Browser Plugin, у остальных таких пробелм не возникает. Пробовали версии 4 и 5. Была тут аналогичная тема, в которой говорили про исправление похожей проблемы в билде 4.0.9971
Ставили 4.0.9975 и последюю 5 -- все равно SCCM слетает. Лицензии CSP как постоянные \ демо, так и встроенные в сертификат
В логах sccm в явном виде никакого криминала нет (искал просто по тексту крипто|crypto).
С подписанием все ОК, никаких проблем нет ни в 1 приложении, использующем ключи.

На ноутах установлен McAfee, Checkpoint VPN и TrustWare CSP (для работы с ключами на смарт-картах). McAfee ругается на cpcrypt.dll при установке, но вроде бы ничего не удаляет (по крайней мере, криптопровайдер после такой установки работает)

Буду признателен за любые подсказки, куда стоит копать.
Если есть список *.exe, которые можно включить в список исключений для встраивания, то также буду признателен, я просто не представляю, сколько приложений могут вызываться при работе SCCM\ WMI. Не могу не отметить, что есть рациональное зерно в предложении добавить в реестр еще и белый список приложений, в которые разрешено встраивание cpcrypt.dll из этой темы Супарбаг и боль Call of Duty warzone - не дает запуститься







Offline two_oceans  
#2 Оставлено : 13 августа 2021 г. 12:00:45(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Автор: abraxas_12 Перейти к цитате
Не могу не отметить, что есть рациональное зерно в предложении добавить в реестр еще и белый список приложений, в которые разрешено встраивание cpcrypt.dll из этой темы Супарбаг и боль Call of Duty warzone - не дает запуститься
Саму по себе рациональность наверно можно признать, но это либо потребует всех разработчиков добавить в установщики программ дописать разрешение загружать КриптоПро либо всех пользователей добавлять разрешения на все нужные программы. Это просто нереально, надо придумать другой критерий. Какие-нибудь контейнеры для рабочих приложений?

Думаю, более рационально отключать гост для зарубежных и, возможно, локальных URL - гост не особо признан за рубежом и так проблема не будет затрагивать инструменты администрирования и игры. Вопрос как определить, что программа "ненашенская".

С другой стороны, замечу, что есть нехорошая тенденция со стороны Майкрософт - толкать HTTP во все свои приложения и толкать HTTP и TLS стек даже в память сторонних приложений, которым никогда не нужен HTTP. А если есть TLS, то туда до кучи и криптопровайдер подгрузится. Для демонстрации легко сравнить карту памяти или хотя бы список подгруженных библиотек одной и той же программы под XP, семеркой, десяткой, можно даже без криптопровайдера КриптоПро для чистоты эксперимента. Там где под XP вообще не было признака HTTP стека, уже на семерке оказывается подгруженная из каких-то других программ зависимость. На десятке вообще надо постараться, чтобы найти приложение без подгруженных библиотек HTTP. Ну правда, я сам удивляюсь, почему на десятке мое приложение формирующее QR код из строки занимает почти 100 МБайт памяти - Десятка расщедрилась нагрузила в память много всякого "мусора", в том числе библиотеки HTTP стека. Зачем? Поэтому мне кажется, что предложение про белый список куда вообще можно пихать HTTP, скорее надо адресовать Майкрософт.

Отредактировано пользователем 13 августа 2021 г. 12:02:39(UTC)  | Причина: Не указана

Offline abraxas_12  
#3 Оставлено : 13 августа 2021 г. 12:43:12(UTC)
abraxas_12

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2015(UTC)
Сообщений: 4

Автор: two_oceans Перейти к цитате
Нэто либо потребует всех разработчиков добавить в установщики программ дописать разрешение загружать КриптоПро либо всех пользователей добавлять разрешения на все нужные программы.


ну почему же, по аналогии с блокировкой на установку расширений в браузер MS Edge (ExtensionInstallAllowlist и ExtensionInstallBlocklist):
1. есть белый список (встраиваем только сюда), по умолчанию, при установке он заполнен *, то есть, встраиваем везде, где вызывается cryptro32.dll. Сейчас именно так и работает.
2. есть черный список, по умолчанию, пустой, соответственно, ни для каких приложений встраиванием не блокируется.
Для пользователей при установке по умолчанию не поменяется вообще ничего.
Для тех, у кого проблемы с известными *.exe -- поможет черный список, белый останется с дефолтной "*". В этом случае блокируются только приложения из черного списка.
Для тех, кто еще не знает, в чём именно проблема -- поможет белый список, который будет заполнен браузерами или что там вызывает по факту эту либу.
Осталось только определить приоритет, если заполнены оба списка. Я думаю, приоритетнее белый список, но это уже не так существенно

Отредактировано пользователем 13 августа 2021 г. 12:43:49(UTC)  | Причина: Не указана

Offline basid  
#4 Оставлено : 13 августа 2021 г. 12:46:52(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 839

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 110 раз в 99 постах
Если "приоритетнее белый список", то (в вашем же предложении) "чёрный список" вообще работать не будет.
Offline abraxas_12  
#5 Оставлено : 14 августа 2021 г. 21:23:20(UTC)
abraxas_12

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2015(UTC)
Сообщений: 4

Если белый список заполнен (то есть, там что-то отличное от "*"), то да, он приоритетнее и черный список не работает.
Если белый список не заполнен конкретными приложениями (установлено значение "*"), то черный список работает (в том же режиме, что и сейчас)
Offline two_oceans  
#6 Оставлено : 19 августа 2021 г. 4:40:25(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Мне кажется установка расширений отличается от криптопровайдера как позитив и негатив, в том смысле, что браузер блокирует загрузку маленькой части (расширения), а библиотеки криптопровайдера (маленькая часть) сами выгружаются из процессов в черном списке.

Вообще, я так понимаю, идея белого списка возникла потому что "лениво" или невозможно составить исчерпывающий черный список. Вести 2 списка еще более лениво. В теории - чего проще скриптом перечислить все exe файлы на компьютере и забить в черный список. Для такого своего скрипта можно самостоятельно составить белый список из браузеров и плагинов и не ждать ответа разработчиков.

Хорошо, когда приложение работает с гост корректно это может помочь, но есть и более сложные ситуации - например, сейчас, https://smev3.gosuslugi.ru/portal/ в мозилле корректно открывается с сертификатом не-гост. В Хромиум-гост же открывается страница ошибки портала госуслуг с сертификатом гост. Поэтому наверно более корректно белый список делать по урл, каким серверам можно сказать, что у нас есть гост.

Тут на ум приходит алгоритм, реализованный в Хромиум+ГОСТ, насколько понимаю, примерно такой: при первом обращении к любому сайту сначала гост выключен, соединение идет в штатную библиотеку, не понимающую гост. В случае если происходит облом "не поддерживаемый шифросьют", то ошибка перехватывается и подгружается уже гост часть, соединение инициируется уже с гост. Если по гост все ок, то сайт сохраняется в белый список и гост часть используется сразу. Вполне себе алгоритм, не хватает только возможности вручную выкидывать из белого списка при временных проблемах конфигурации сайта. Это решит одну часть проблемы - когда сайт "не может переварить" гост.

Вторая часть проблемы - это сам механизм как библиотеки подгружаются в приложение. Тут определенно что-то реализовано не правильно, потому что конфликтует с кучей отладчиков, также использующих вставку своего кода. "Кто виноват" - не разбирался. Казалось бы ничего не мешает выстроить цепочку вызовов перехватчиков по определенным правилам. Примером может служить установка хуков на нажатия клавиатуры или мыши. Конечно нужна атомарность между чтением прошлого адреса функции и установкой нового, InterlockedExchange в помощь.
Offline abraxas_12  
#7 Оставлено : 19 августа 2021 г. 11:20:15(UTC)
abraxas_12

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2015(UTC)
Сообщений: 4

Автор: two_oceans Перейти к цитате
идея белого списка возникла потому что "лениво" или невозможно составить исчерпывающий черный список. Вести 2 списка еще более лениво. В теории - чего проще скриптом перечислить все exe файлы на компьютере и забить в черный список


Именно так. В папке с виндой 7к *.exe, добавлять все -- глупо. Пока собрали список приложений, относящихся к WMI и SCCM, будем тестировать. Проблема в том, что если это не поможет, то я не знаю, как отловить exe, ломающийся при встраивании.


Кстати, а где-нибудь есть более подробное описание вот этих ключей -- что именно не работает, если указать эти ключи / в каких случаях есть смысл их применять? Правильно понимаю, что если не нужен ГОСТ-TLS и вход в ОС по смарткарте с ГОСТ ключами, то все 3 можно ставить в "1"?

NODRIVER=1 - Не устанавливать компоненту "Драйверная библиотека CSP" (ставится по умолчанию на Windows Server 2008)
NOCPROCTRL=1 - Не устанавливать компоненту "Совместимость с продуктами Microsoft" (ставится по умолчанию)
NOCCID=1 - Не устанавливать драйвер CCID (Chip/Smart Card Interface Devices)


Offline two_oceans  
#8 Оставлено : 19 августа 2021 г. 13:37:52(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Автор: abraxas_12 Перейти к цитате
NOCPROCTRL=1 - Не устанавливать компоненту "Совместимость с продуктами Microsoft" (ставится по умолчанию)
Без этого компонента не должно работать много чего еще, предполагаю отключится регистрация криптопровайдера (не уверен, так как у меня версия 4 и название немного другое) и следовательно возможность подписывать тоже исчезнет, толку от такого криптопровайдера.

Тогда еще идея - может нужна возможность запретить всю папку Windows целиком (по пути к exe файлу, а не запрещать 7 тысяч раз по имени самого файла)? Отмороженные программы ставящиеся в Windows (макромедия, принтеры) - как-нибудь переживут. Однако там еще .NET Fremework лежит, мда, задачка еще та.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.