Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vilgelm.fokht  
#1 Оставлено : 14 октября 2021 г. 12:44:01(UTC)
vilgelm.fokht

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.10.2021(UTC)
Сообщений: 2
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Коллеги, добрый день!
Возник весьма трепетный вопрос с точки зрения безопасности.
Имеется. RDS ферма. На ней произведена установка КриптоПРО. Проблема следующая:
Пользователь, залогиненый на ферму, может самостоятельно проникнуть в ветку реестра \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\{УИД пользователя}\Keys, где может посредством выгрузки данной ветки, войти в 1С посредством данных ключей, изменив данные в локальном реестре.
Вопрос:
Можно ли производить установку ключей только в ветку HKCU? Если нет, то какие варианты закрытия данной проблемы, могли бы порекомендовать. Закрытие реестра может привести к остановке рабочего процесса.
Offline two_oceans  
#2 Оставлено : 15 октября 2021 г. 6:33:24(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 319 раз в 300 постах
Цитата:
Можно ли производить установку ключей только в ветку HKCU?
Добрый день.
Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации.

Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже.

Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю".
thanks 1 пользователь поблагодарил two_oceans за этот пост.
vilgelm.fokht оставлено 18.10.2021(UTC)
Offline vilgelm.fokht  
#3 Оставлено : 18 октября 2021 г. 9:35:54(UTC)
vilgelm.fokht

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.10.2021(UTC)
Сообщений: 2
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: two_oceans Перейти к цитате
Цитата:
Можно ли производить установку ключей только в ветку HKCU?
Добрый день.
Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации.

Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже.

Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю".


Идея с паролем неплохая, но вручную тяжеловато будет для 2-3к пользователей произвести данную настройку)
Для меня тоже крайне странным оказалась возможность подгрузить HKLM для обычного пользователя) За ответ спасибо! Будем думать дальше))

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.