Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline bazki  
#1 Оставлено : 10 января 2018 г. 15:18:25(UTC)
bazki

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.12.2017(UTC)
Сообщений: 4
Мужчина
Российская Федерация

Сказал «Спасибо»: 1 раз
Здравствуйте!
Есть сервер на Windows Server 2008 R2 Standart. На нем установлена КриптоПро версии 4.0.9842. Весь системный журнал Windows забит сообщениями от КриптоПро такого плана: Ошибка проверки контрольной суммы. Файл: C:\Windows\system32\sspicli.dll. Причиной ошибки может быть обновление операционной системы или некорректная установка КриптоПро CSP. Переустановите КриптоПро CSP или обновите контрольную сумму библиотеки в реестре, запустив с правами администратора: start cpverify -addreg -file "C:\Windows\system32\sspicli.dll"
При выполнении этих рекомендаций сообщения пропадают до первой установки обновлений Windows, а после снова весь журнал заполняется этими сообщениями.
Прошу дать рекомендаций по устранению проблемы.
Offline Андрей Писарев  
#2 Оставлено : 10 января 2018 г. 16:59:38(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,737
Мужчина
Российская Федерация

Сказал «Спасибо»: 357 раз
Поблагодарили: 1406 раз в 1084 постах
Здравствуйте.

После обновлений - пересчитывать контрольные суммы
Техническую поддержку оказываем тут
Наша база знаний
Offline bazki  
#3 Оставлено : 10 января 2018 г. 17:15:08(UTC)
bazki

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.12.2017(UTC)
Сообщений: 4
Мужчина
Российская Федерация

Сказал «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате
Здравствуйте.

После обновлений - пересчитывать контрольные суммы

Ну то есть после каждого обновления вручную запускать эту команду?

Offline Андрей Писарев  
#4 Оставлено : 10 января 2018 г. 18:08:13(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,737
Мужчина
Российская Федерация

Сказал «Спасибо»: 357 раз
Поблагодарили: 1406 раз в 1084 постах
Автор: bazki Перейти к цитате
Автор: Андрей * Перейти к цитате
Здравствуйте.

После обновлений - пересчитывать контрольные суммы

Ну то есть после каждого обновления вручную запускать эту команду?



Можете автоматизировать.
Техническую поддержку оказываем тут
Наша база знаний
Offline bazki  
#5 Оставлено : 10 января 2018 г. 22:37:24(UTC)
bazki

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.12.2017(UTC)
Сообщений: 4
Мужчина
Российская Федерация

Сказал «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате


Можете автоматизировать.

То есть сейчас такая ситуация на всех платформах с крипто про и выход только такой: автоматизировать выполнение рекомендуемых команд? На более новых версиях Крипто Про автоматизация данного процесса не включена в функционал ПО?

Отредактировано пользователем 10 января 2018 г. 22:38:53(UTC)  | Причина: Не указана

Offline basid  
#6 Оставлено : 10 января 2018 г. 23:39:21(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 811

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 102 раз в 93 постах
"Автоматизация перерасчёта" == "Отсутствует контроль изменений".
Offline bazki  
#7 Оставлено : 11 января 2018 г. 10:13:50(UTC)
bazki

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.12.2017(UTC)
Сообщений: 4
Мужчина
Российская Федерация

Сказал «Спасибо»: 1 раз
Автор: basid Перейти к цитате
"Автоматизация перерасчёта" == "Отсутствует контроль изменений".

Я все понимаю. Но вот в случае если руки не дошли проконтролировать установку обнов, видеть такую картину в системном журнале то еще удовольствие...

Отредактировано пользователем 11 января 2018 г. 10:14:29(UTC)  | Причина: Не указана

Offline basid  
#8 Оставлено : 11 января 2018 г. 17:19:40(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 811

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 102 раз в 93 постах
Начиная с, как минимум, Windows 7/2008R2 триггеры на события журнала делаются "в пол-пинка".
thanks 2 пользователей поблагодарили basid за этот пост.
nickm оставлено 11.01.2018(UTC), bazki оставлено 17.01.2018(UTC)
Offline karalka  
#9 Оставлено : 19 апреля 2018 г. 9:00:46(UTC)
karalka

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2015(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 2 раз
Автор: bazki Перейти к цитате
Автор: basid Перейти к цитате
"Автоматизация перерасчёта" == "Отсутствует контроль изменений".

Я все понимаю. Но вот в случае если руки не дошли проконтролировать установку обнов, видеть такую картину в системном журнале то еще удовольствие...


Здравствуйте. Случайно по ошибкам попал в данную тему и прочитав ее пришел к небольшому ужасу. Т.е. иными словами после обновления нескольких сот компов я буду должен вести пересчет контрольных сумм и Крипты ? Что-то новенькое и неожиданное. У меня установлен версия 3.9 , но и в ней я вижу такие ошибки. И так понимаю, что в 4 версии я буду вынужден делать то же самое. А чем-то чревато если я не буду делать пересчет сумм ?
Offline basid  
#10 Оставлено : 19 апреля 2018 г. 9:05:34(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 811

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 102 раз в 93 постах
Автор: karalka Перейти к цитате
А чем-то чревато если я не буду делать пересчет сумм ?
Мусором в журнале, который означает, что в вашей организации не ведётся (не организован) учёт изменений рабочих мест с СКЗИ.
thanks 1 пользователь поблагодарил basid за этот пост.
karalka оставлено 19.04.2018(UTC)
Offline karalka  
#11 Оставлено : 19 апреля 2018 г. 11:47:52(UTC)
karalka

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2015(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей Писарев Перейти к цитате
Автор: bazki Перейти к цитате
Автор: Андрей * Перейти к цитате
Здравствуйте.

После обновлений - пересчитывать контрольные суммы

Ну то есть после каждого обновления вручную запускать эту команду?



Можете автоматизировать.


Не приведете пример ? Вдруг уже есть какие-то готовые решения. Спасибо
Offline basid  
#12 Оставлено : 19 апреля 2018 г. 12:38:39(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 811

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 102 раз в 93 постах
Offline 6ec123321  
#13 Оставлено : 14 августа 2020 г. 19:23:03(UTC)
6ec123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4

Скрипт для перерасчёта контрольных сумм системных файлов и файлов крипто-про версии 4 и 5, и триггер в планировщике на ошибку (указать путь к bat-файлу!). Вдруг когда-нибудь мне самому пригодится, наткнусь на эту тему).
cryptopro_csp_calc_checksum.7z (3kb) загружен 13 раз(а).
Offline nickm  
#14 Оставлено : 14 августа 2020 г. 19:48:52(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 179

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 30 раз в 30 постах
Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный?

Или где есть какие требования, что данные сообщения должны быть именно в системном?
Offline 6ec123321  
#15 Оставлено : 14 августа 2020 г. 21:54:13(UTC)
6ec123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4

Автор: nickm Перейти к цитате
Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный?

Или где есть какие требования, что данные сообщения должны быть именно в системном?


Объясню, почему они правы, а ты не прав:
Разработчики написали системный драйвер или библиотеку, это факт, тут споров нет и не будет.
Как он работает ни кто без исходного кода не узнает.
Вчера встретил нежданчик, это в плюс (не в кавычках и не в минус, я тоже с безопаской на я) разрабам по СКЗИ:
1. У меня перестали работать Powershell-скрипты, т.к. не возможно проверить цифровую подпись, в связи с тем, что на windows 2012r2 установились обновления, обновилисись системные библиотеки (да, длллки, статические или динамические, хз, да я ведущий системный администратор и программист (Delphi 7, PHP5.3), блин, не важно, shell или powershell, shell - нужен для разработки docker-контейнеров, удивил, хотя живу я в городе-жопе и получаю мало - я иду туда, где нужны мои знания и умение из говна конфетку делать).
2. У меня скрипты согласно п.1 не работают, дак в смеси КриптоПро 4 весрии и работы Майкрософта (да, я их уважаю, завидую Билу тихо и не гажу) Windows Server 2012R2 (после серии обновлений лучше 2008 СервВинды) - короче я начал искать решение проблем, а его нет. Разработчики, пи`шите вы на форуме грамотно, только выхлопа от этого 0. Решите проблемы потребителей.
3. На шею вы государству сели дай бог - за это респект, но может и поработаете, выгоднее будет.
Offline 6ec123321  
#16 Оставлено : 14 августа 2020 г. 21:59:03(UTC)
6ec123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 4

Автор: nickm Перейти к цитате
Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный?

Или где есть какие требования, что данные сообщения должны быть именно в системном?


Еще вопросы по системному журналу есть или тебе статью на хабру кинуть и контакты человека, который в команде смог собрать это всё в clickhouse - ты не проси дураков делать твою работу - они не потянут.
Offline two_oceans  
#17 Оставлено : 15 августа 2020 г. 7:55:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,125
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 257 раз в 241 постах
Если что я не сотрудник, но я вижу что здесь на форуме хотя бы отвечают, в отличие от поддержки многих других программ. И сам стараюсь отвечать.
Автор: 6ec123321 Перейти к цитате
короче я начал искать решение проблем, а его нет
Как бы слишком оптимистично надеяться, что Вы только поставили свежее обновление и сразу со скоростью света уже известны все проблемы, которые принесло обновление и найдены пути их решения. Майкрософт начхать что какие-то программы не работают после их обновлений и предварительно обновления ни с кем не согласуют.


Также есть портал поддержки для оперативного решения проблем, а форум это так.. неофициально спросить как что-то запрограммировать или решить проблему, которая потерпит полгодика. Однако сколько из нас покупает расширенную техподдержку и идут на портал техподдержки?
Цитата:
Недавно как раз вопросом по поводу данных сообщений задавался - а почему бы разработчикам не сделать отдельный журнал и не сыпать сообщениями в системный? Или где есть какие требования, что данные сообщения должны быть именно в системном?
Насчет системного журнала тоже понятно - в сферическом вакууме, когда системный администратор все ошибки и предупреждения сразу же исправляет, прикрутил информер на рабочий стол об ошибках (триггер на ошибку в планировщике) - узнали себя? Тогда действительно системный журнал самое удобное место, не надо по сотне журналов лазить. Меня больше раздражают информационные сообщения в системном журнале, вроде "мы чего-то начали делать, не смогли, сами исправим" или "мы запустились, а серверная лицензия не введена" (так как лицензия в сертификате - это не ошибка, а еще можно использовать только для проверки подписи и тогда тоже не ошибка). Вот такое можно бы в отдельный журнал записать.

Offline Санчир Момолдаев  
#18 Оставлено : 16 августа 2020 г. 6:48:42(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 437
Российская Федерация

Сказал(а) «Спасибо»: 52 раз
Поблагодарили: 64 раз в 63 постах
Добрый день!
ознакомьтесь с документацией на СКЗИ:
ЖТЯИ.*. Руководство администратора безопасности. Windows
по поводу контроля целостности
Цитата:
8 Требования по криптографической защите
...
Контролем целостности должны быть охвачены следующие файлы:
...
\Windows\system32\inetcomm.dll
\Windows\SysWOW64\inetcomm.dll
\Windows\system32\rastls.dll
\Windows\SysWOW64\rastls.dll
\Windows\system32\wininet.dll
\Windows\SysWOW64\wininet.dll
\Windows\system32\msi.dll
\Windows\SysWOW64\msi.dll
\Windows\system32\crypt32.dll
\Windows\SysWOW64\crypt32.dll
\Windows\system32\schannel.dll
\Windows\SysWOW64\schannel.dll
\Windows\system32\kerberos.dll
\Windows\SysWOW64\kerberos.dll
\Windows\system32\certenroll.dll
\Windows\SysWOW64\certenroll.dll
\Windows\system32\cryptsp.dll*
\Windows\SysWOW64\cryptsp.dll*
\Windows\system32\sspicli.dll*
\Windows\SysWOW64\sspicli.dll*
* Для ОС Windows Server 2008 под контролем целостности вместо библиотек cryptsp.dll и
sspicli.dll находятся библиотеки \Windows\system32\advapi32.dll, \Windows\SysWOW64\advapi32.dll,
\Windows\system32\secur32.dll, \Windows\SysWOW64\secur32.dll.
...

по поводу журналов
Цитата:
7 Требования по защите от НСД
...
Для ОС Windows дополнительно должен быть реализован следующий комплекс организационно-
технических мер защиты от НСД:
...
32) Должен проводиться регулярный просмотр сообщений в журнале событий Event viewer с
периодичностью не реже 1 раза в неделю.
...

в таком виде дистрибутивы с комплектом документации сертифицируется ФСБ России.

P.S.
Аудит CSP существует на разных ОС: Win, *nix, MacOS
общая схема событий:
N_DB_ERROR = 1 (0x01), - критические ошибки
N_DB_WARN = 2 (0x02), - некритические ошибки
N_DB_CALL = 4 (0x04), - информация о вызове функции
N_DB_LOG = 8 (0x08), - нейтральная информация
N_DB_TRACE = 16 (0x10) - отладочная информация
N_DB_CRUCIAL = 32 (0x20) - информация о важных событий (создан ключ, удален контейнер, ...)
Логируется на Windows: в DbgView, console, EventLog
*nix в: syslog, console
добавление еще одной сущности или же дробление логирования другой нецелесообразно и избыточно.
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#19 Оставлено : 17 августа 2020 г. 6:15:10(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,125
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 257 раз в 241 постах
Автор: Санчир Момолдаев Перейти к цитате
Логируется на Windows: в DbgView, console, EventLog
*nix в: syslog, console
добавление еще одной сущности или же дробление логирования другой нецелесообразно и избыточно.
Да как бы с классификацией событий не спорим и про еще одну сущность речь не идет, просто на новых версиях Windows в EventLog целое дерево журналов. Речь о возможности корректировки пути в дереве EventLog, чтобы события определенной программы EventLog отправлял в отдельный файл журнала. Никто не спорит, что создать фильтр системного журнала достаточно легко, но для этого надо: 1) знать коды событий которые искать; 2) надо чтобы на момент просмотра события все еще были в журнале. К сожалению, это далеко не всегда верно.

Причина проста - размер файлов журнала ограничен и когда одна программа за секунду регистрирует 20 однотипных сообщений, сообщения о других события тупо могут вытесняться из системного журнала. Увеличить журнал также временное решение потому что а) никогда неизвестно заранее насколько интенсивным будет потом событий и б) увеличение размера не вернет уже вытесненные события. Поэтому даже если согласно документации просматривать еженедельно системный журнал может "внезапно" оказаться что за неделю какая-то другая программа нафлудила так, что сообщений криптопровайдера криптопро просто не сохранилось. Или наоборот криптопро нафлудил так, что невозможно допустим понять какие были ошибки в репликации.

Обычно EventLog подавляет такой флуд сообщений Майкрософт и пишет потом сводку, что за сутки произошло столько-то одинаковых ошибок (синхронизации времени, например). Однако криптопро почему-то в такую фильтрацию не попадает и временами "дух захватывает" сколько сообщений за неделю записано в системный журнал. Поэтому речь скорее о том чтобы разные программы "не перебивали" друг друга записывая события в один журнал и с этим как раз справится вариант "поправки пути в дереве EventLog", чтобы события попадали в отдельный файл с отдельным ограничением размера.

Offline Максим Коллегин  
#20 Оставлено : 18 августа 2020 г. 11:17:53(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,009
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 588 раз в 529 постах
Вообще мы планировали перейти на современные журналы в Windows, но думаю, сможем изменить поведение малой кровью и создать отдельный журнал для CSP.
Взяли в работу.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
two_oceans оставлено 20.08.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.