Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline karalka  
#11 Оставлено : 19 апреля 2018 г. 11:47:52(UTC)
karalka

Статус: Участник

Группы: Участники
Зарегистрирован: 19.02.2015(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей Писарев Перейти к цитате
Автор: bazki Перейти к цитате
Автор: Андрей * Перейти к цитате
Здравствуйте.

После обновлений - пересчитывать контрольные суммы

Ну то есть после каждого обновления вручную запускать эту команду?



Можете автоматизировать.


Не приведете пример ? Вдруг уже есть какие-то готовые решения. Спасибо
Offline basid  
#12 Оставлено : 19 апреля 2018 г. 12:38:39(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Offline 6ec123321  
#13 Оставлено : 14 августа 2020 г. 19:23:03(UTC)
6ec123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4

null

Отредактировано пользователем 18 марта 2021 г. 23:42:00(UTC)  | Причина: Не указана

Offline nickm  
#14 Оставлено : 14 августа 2020 г. 19:48:52(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,794

Сказал(а) «Спасибо»: 442 раз
Поблагодарили: 302 раз в 285 постах
Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный?

Или где есть какие требования, что данные сообщения должны быть именно в системном?
Offline 6ec123321  
#15 Оставлено : 14 августа 2020 г. 21:54:13(UTC)
6ec123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4

null

Отредактировано пользователем 18 марта 2021 г. 23:42:15(UTC)  | Причина: Не указана

Offline 6ec123321  
#16 Оставлено : 14 августа 2020 г. 21:59:03(UTC)
6ec123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4

null

Отредактировано пользователем 18 марта 2021 г. 23:42:27(UTC)  | Причина: Не указана

Offline two_oceans  
#17 Оставлено : 15 августа 2020 г. 7:55:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Если что я не сотрудник, но я вижу что здесь на форуме хотя бы отвечают, в отличие от поддержки многих других программ. И сам стараюсь отвечать.
Автор: 6ec123321 Перейти к цитате
короче я начал искать решение проблем, а его нет
Как бы слишком оптимистично надеяться, что Вы только поставили свежее обновление и сразу со скоростью света уже известны все проблемы, которые принесло обновление и найдены пути их решения. Майкрософт начхать что какие-то программы не работают после их обновлений и предварительно обновления ни с кем не согласуют.


Также есть портал поддержки для оперативного решения проблем, а форум это так.. неофициально спросить как что-то запрограммировать или решить проблему, которая потерпит полгодика. Однако сколько из нас покупает расширенную техподдержку и идут на портал техподдержки?
Цитата:
Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный? Или где есть какие требования, что данные сообщения должны быть именно в системном?
Насчет системного журнала тоже понятно - в сферическом вакууме, когда системный администратор все ошибки и предупреждения сразу же исправляет, прикрутил информер на рабочий стол об ошибках (триггер на ошибку в планировщике) - узнали себя? Тогда действительно системный журнал самое удобное место, не надо по сотне журналов лазить. Меня больше раздражают информационные сообщения в системном журнале, вроде "мы чего-то начали делать, не смогли, сами исправим" или "мы запустились, а серверная лицензия не введена" (так как лицензия в сертификате - это не ошибка, а еще можно использовать только для проверки подписи и тогда тоже не ошибка). Вот такое можно бы в отдельный журнал записать.

Offline Санчир Момолдаев  
#18 Оставлено : 16 августа 2020 г. 6:48:42(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
ознакомьтесь с документацией на СКЗИ:
ЖТЯИ.*. Руководство администратора безопасности. Windows
по поводу контроля целостности
Цитата:
8 Требования по криптографической защите
...
Контролем целостности должны быть охвачены следующие файлы:
...
\Windows\system32\inetcomm.dll
\Windows\SysWOW64\inetcomm.dll
\Windows\system32\rastls.dll
\Windows\SysWOW64\rastls.dll
\Windows\system32\wininet.dll
\Windows\SysWOW64\wininet.dll
\Windows\system32\msi.dll
\Windows\SysWOW64\msi.dll
\Windows\system32\crypt32.dll
\Windows\SysWOW64\crypt32.dll
\Windows\system32\schannel.dll
\Windows\SysWOW64\schannel.dll
\Windows\system32\kerberos.dll
\Windows\SysWOW64\kerberos.dll
\Windows\system32\certenroll.dll
\Windows\SysWOW64\certenroll.dll
\Windows\system32\cryptsp.dll*
\Windows\SysWOW64\cryptsp.dll*
\Windows\system32\sspicli.dll*
\Windows\SysWOW64\sspicli.dll*
* Для ОС Windows Server 2008 под контролем целостности вместо библиотек cryptsp.dll и
sspicli.dll находятся библиотеки \Windows\system32\advapi32.dll, \Windows\SysWOW64\advapi32.dll,
\Windows\system32\secur32.dll, \Windows\SysWOW64\secur32.dll.
...

по поводу журналов
Цитата:
7 Требования по защите от НСД
...
Для ОС Windows дополнительно должен быть реализован следующий комплекс организационно-
технических мер защиты от НСД:
...
32) Должен проводиться регулярный просмотр сообщений в журнале событий Event viewer с
периодичностью не реже 1 раза в неделю.
...

в таком виде дистрибутивы с комплектом документации сертифицируется ФСБ России.

P.S.
Аудит CSP существует на разных ОС: Win, *nix, MacOS
общая схема событий:
N_DB_ERROR = 1 (0x01), - критические ошибки
N_DB_WARN = 2 (0x02), - некритические ошибки
N_DB_CALL = 4 (0x04), - информация о вызове функции
N_DB_LOG = 8 (0x08), - нейтральная информация
N_DB_TRACE = 16 (0x10) - отладочная информация
N_DB_CRUCIAL = 32 (0x20) - информация о важных событий (создан ключ, удален контейнер, ...)
Логируется на Windows: в DbgView, console, EventLog
*nix в: syslog, console
добавление еще одной сущности или же дробление логирования другой нецелесообразно и избыточно.
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#19 Оставлено : 17 августа 2020 г. 6:15:10(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: Санчир Момолдаев Перейти к цитате
Логируется на Windows: в DbgView, console, EventLog
*nix в: syslog, console
добавление еще одной сущности или же дробление логирования другой нецелесообразно и избыточно.
Да как бы с классификацией событий не спорим и про еще одну сущность речь не идет, просто на новых версиях Windows в EventLog целое дерево журналов. Речь о возможности корректировки пути в дереве EventLog, чтобы события определенной программы EventLog отправлял в отдельный файл журнала. Никто не спорит, что создать фильтр системного журнала достаточно легко, но для этого надо: 1) знать коды событий которые искать; 2) надо чтобы на момент просмотра события все еще были в журнале. К сожалению, это далеко не всегда верно.

Причина проста - размер файлов журнала ограничен и когда одна программа за секунду регистрирует 20 однотипных сообщений, сообщения о других события тупо могут вытесняться из системного журнала. Увеличить журнал также временное решение потому что а) никогда неизвестно заранее насколько интенсивным будет потом событий и б) увеличение размера не вернет уже вытесненные события. Поэтому даже если согласно документации просматривать еженедельно системный журнал может "внезапно" оказаться что за неделю какая-то другая программа нафлудила так, что сообщений криптопровайдера криптопро просто не сохранилось. Или наоборот криптопро нафлудил так, что невозможно допустим понять какие были ошибки в репликации.

Обычно EventLog подавляет такой флуд сообщений Майкрософт и пишет потом сводку, что за сутки произошло столько-то одинаковых ошибок (синхронизации времени, например). Однако криптопро почему-то в такую фильтрацию не попадает и временами "дух захватывает" сколько сообщений за неделю записано в системный журнал. Поэтому речь скорее о том чтобы разные программы "не перебивали" друг друга записывая события в один журнал и с этим как раз справится вариант "поправки пути в дереве EventLog", чтобы события попадали в отдельный файл с отдельным ограничением размера.

Offline Максим Коллегин  
#20 Оставлено : 18 августа 2020 г. 11:17:53(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Вообще мы планировали перейти на современные журналы в Windows, но думаю, сможем изменить поведение малой кровью и создать отдельный журнал для CSP.
Взяли в работу.
Знания в базе знаний, поддержка в техподдержке
thanks 2 пользователей поблагодарили Максим Коллегин за этот пост.
two_oceans оставлено 20.08.2020(UTC), blangel оставлено 26.02.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.