Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline greendrake  
#1 Оставлено : 18 января 2022 г. 5:37:36(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Появилось несколько аладин ключей с не извлекаемой частью. Необходимо для начала пробросить их на виртуальный сервер со службой удаленных рабочих столов на которых крутится 1с. Которой и нужны эти клоючи. Через что это реализуется?

Вопрос номер два.Ключ один.Нужно вести учет доступа .. кто и что подписывал им в разных программах. А это через что реализовать?
Offline Максим Коллегин  
#2 Оставлено : 18 января 2022 г. 10:17:50(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Ключи пробрасываются с клиента на сервер с помощью mstsc стандартно, часто возникает обратная задача, которую пока можно решать так, но мы готовим более удобное решение.
https://support.cryptopr...loklnym-smrt-krtm-po-rdp
Для второй -- воспользоваться возможностями аудита КриптоПро CSP.
Записей в журнале будет много, но извлечь нужные при необходимости несложно.
https://www.cryptopro.ru...%82%D0%B8.%20Windows.pdf
Приложение Б
Управление протоколированием


Начать можно с таких параметров:
Код:
csp = 0x07000000 
Знания в базе знаний, поддержка в техподдержке
Offline greendrake  
#3 Оставлено : 18 января 2022 г. 10:30:13(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
Ключи пробрасываются с клиента на сервер с помощью mstsc стандартно, часто возникает обратная задача, которую пока можно решать так, но мы готовим более удобное решение.
https://support.cryptopr...loklnym-smrt-krtm-po-rdp
Для второй -- воспользоваться возможностями аудита КриптоПро CSP.
Записей в журнале будет много, но извлечь нужные при необходимости несложно.
https://www.cryptopro.ru...%82%D0%B8.%20Windows.pdf
Приложение Б
Управление протоколированием


Начать можно с таких параметров:
Код:
csp = 0x07000000 


вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.
Offline Максим Коллегин  
#4 Оставлено : 18 января 2022 г. 10:55:37(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Спасибо за комплимент.
Вы первый, кто просит подобный функционал, но идею записал.
Вообще ключ доступен только в рамках RDP-сессии и только пользователю терминальной сессии. Зачем тут нужны дополнительные уведомления -- не очень понятно.

А если про режим с токенами в сервере -- то это техническое решение мы только проектируем.
Знания в базе знаний, поддержка в техподдержке
Offline Grey  
#5 Оставлено : 18 января 2022 г. 14:20:44(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: greendrake Перейти к цитате
вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.

Добрый день.

Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь.

Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP.

Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
nickm оставлено 18.01.2022(UTC)
Offline MDeGa32  
#6 Оставлено : 20 января 2022 г. 12:37:30(UTC)
MDeGa32

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Автор: Максим Коллегин Перейти к цитате
Ключи пробрасываются с клиента на сервер с помощью mstsc стандартно, часто возникает обратная задача, которую пока можно решать так, но мы готовим более удобное решение.
https://support.cryptopr...loklnym-smrt-krtm-po-rdp
Для второй -- воспользоваться возможностями аудита КриптоПро CSP.
Записей в журнале будет много, но извлечь нужные при необходимости несложно.
https://www.cryptopro.ru...%82%D0%B8.%20Windows.pdf
Приложение Б
Управление протоколированием


Начать можно с таких параметров:
Код:
csp = 0x07000000 


Добрый день. Подскажите, статья в базе знаний [КриптоПро CSP c доступом к локальным смарт-картам по RDP],
там есть фраза
Цитата:
"Учётная запись, которая обращается к локальным смарткартам, должна входить в локальную группу администраторов или «Привилегированные пользователи КриптоПро CSP» (CryptoPro CSP Power Users), которую можно создать при необходимости."

а как создать эту группу????? Какие права выдавать? Выдававать "локального администратора" вообще не хочется.

ЗЫ Проброс физических ключей на сервера отлично решается через [USB Redirector], тем более, что существует и прекрасно работает как для Win, так и для *nix систем.
Offline Максим Коллегин  
#7 Оставлено : 20 января 2022 г. 12:51:24(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup
Знания в базе знаний, поддержка в техподдержке
Offline MDeGa32  
#8 Оставлено : 20 января 2022 г. 14:52:00(UTC)
MDeGa32

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Автор: Максим Коллегин Перейти к цитате
Группу создавать стандартными средствами ОС:
Control Panel > Administrative Tools > Computer Management. Navigate to Local Users and Groups under Computer Management on the left panel. Click on Groups. Right-click on the middle panel and click on New Group… when the right-click menu appears.
Или net localgroup


Спасибо за развернутый ответ, можете уточнить, вы группу "ловите" только по названию?
Offline Максим Коллегин  
#9 Оставлено : 20 января 2022 г. 15:30:37(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Да.
Знания в базе знаний, поддержка в техподдержке
Offline greendrake  
#10 Оставлено : 21 января 2022 г. 2:02:55(UTC)
greendrake

Статус: Участник

Группы: Участники
Зарегистрирован: 25.02.2020(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Grey Перейти к цитате
Автор: greendrake Перейти к цитате
вы серьезно насчет логов? вы ведущие разработчики ... вы не понимаете что ключ должен быть установлен на одну машину ... и при попытке подписать с другого компа должен прилетать запрос с отображением через гуи ..нажимаем подтвердить или запретить и в гуи же в журнал падает запись (типа комп адрес такой то, под учтной записью такой то на сайте или программе такойто) и ответка улетает обратно на компьютер в сети. это еще что за самодеятельность с вашей стороны? нет индикации использования ключа в реальном времени. да так фирму можно распродать одним ключом. а потом сидеть логи смотреть.

Добрый день.

Рутинно замечу, что токен является личным ключевым носителем, за который должен нести ответственность конкретный человек. Разделение его между разными пользователями - довольно опасная вещь.

Доступ к токену осуществляется по конкретному протоколу, который не является большим секретом. По сути, если у нарушителя есть задача "распродать всю фирму", ничто не мешаеn ему написать на коленке свой простой клиент, который будет делать те же вызовы, что и CSP.

Очень похоже, что вы пытаетесь решить свою задачу немного не тем средством. Если вам нужен механизм, в котором будет гарантированное подтверждение подписи конкретным человеком, а доступ к ключу при этом будет журналироваться и может быть в теории организован с удаленных систем, рассмотрите "КриптоПро DSS": http://dss.cryptopro.ru/


Хочу заметить что сдача отчетности на разных площадках и в разных программах ведется от имени директора. Половина известных мне порталов .. тоже директор. Подписант на торговые площадки .. тоже директор. И вообще у нас в России только директор имеет право подписывать документы от лица фирмы. Поэтому директор должен решать кому и где дать подпись, а кому запретить.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
7 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.