Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Безопасность ключей Крипто в реестре Windows
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.10.2021(UTC) Сообщений: 2 Сказал(а) «Спасибо»: 1 раз
|
Коллеги, добрый день! Возник весьма трепетный вопрос с точки зрения безопасности. Имеется. RDS ферма. На ней произведена установка КриптоПРО. Проблема следующая: Пользователь, залогиненый на ферму, может самостоятельно проникнуть в ветку реестра \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\{УИД пользователя}\Keys, где может посредством выгрузки данной ветки, войти в 1С посредством данных ключей, изменив данные в локальном реестре. Вопрос: Можно ли производить установку ключей только в ветку HKCU? Если нет, то какие варианты закрытия данной проблемы, могли бы порекомендовать. Закрытие реестра может привести к остановке рабочего процесса.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Цитата:Можно ли производить установку ключей только в ветку HKCU? Добрый день. Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации. Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже. Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю".
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.10.2021(UTC) Сообщений: 2 Сказал(а) «Спасибо»: 1 раз
|
Автор: two_oceans Цитата:Можно ли производить установку ключей только в ветку HKCU? Добрый день. Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации. Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже. Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю". Идея с паролем неплохая, но вручную тяжеловато будет для 2-3к пользователей произвести данную настройку) Для меня тоже крайне странным оказалась возможность подгрузить HKLM для обычного пользователя) За ответ спасибо! Будем думать дальше))
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Безопасность ключей Крипто в реестре Windows
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close