Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline altdmb14  
#1 Оставлено : 14 февраля 2020 г. 8:54:37(UTC)
altdmb14

Статус: Участник

Группы: Участники
Зарегистрирован: 14.02.2020(UTC)
Сообщений: 10
Российская Федерация
Откуда: Уфа

Сказал(а) «Спасибо»: 2 раз
Добрый день!
Возникла следующая ситуация. Есть пользователь которому записали ЭП на etoken. Этот etoken-носитель пользователь передал нескольким людям, которые сохранили контейнер с etoken к себе в реестр. Плюс некоторые сохранили на диск Д (в папку вида airvfikyg.000). Все контейнеры установлены на ОС Windows 7 и Windows 10.
Не подскажите возможно ли средствами Windows, SCCM, WMI, произвести поиск локально сохраненных контейнеров? Если да, то по каким параметрам, названиям можно отследить?
У меня в наличии есть сертификат от данного контейнера.
Спасибо.
Offline Андрей *  
#2 Оставлено : 14 февраля 2020 г. 10:58:33(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Здравствуйте.

Удаленно - т.е. без ведома пользователей?
Утилиту для запуска на ПК в режиме каждого пользователя,
которая сама ищет в контейнерах и сверяет открытый ключ из сертификата и контейнера...?



Самый "простой" вариант:
Панель управления\КриптоПРО CSP\Сервис\Установить личный сертификат...

пройтись по всем рабочим местам (удаленный доступ к рабочему столу) - и попытаться установить этот сертификат с автопоиском контейнера.

Если контейнер есть "в правильном расположении" - найдётся.
Не найдутся копии контейнеров (на рабочем столе, в подпапках на флешках, pfx тоже могли сделать и т.п.)

Техническую поддержку оказываем тут
Наша база знаний
Offline altdmb14  
#3 Оставлено : 14 февраля 2020 г. 11:16:19(UTC)
altdmb14

Статус: Участник

Группы: Участники
Зарегистрирован: 14.02.2020(UTC)
Сообщений: 10
Российская Федерация
Откуда: Уфа

Сказал(а) «Спасибо»: 2 раз
Компьютеров много (около 5000) так что к каждому подключиться (по RDP) не получится.
А скажем если обратиться к реестру (каждого ПК)
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-21-567657657-765765765765-7567657657-8798\Keys\Иванов2020]
И найти там поле
"name.key"=hex:

Просто такая ситуация, что до этого ЭЦП курировал другой специалист и неизвестно на каком количестве ПК этот контейнер скопирован, а передо мной стоит задач посчитать у кого же всё таки этот контейнер есть. Т.к директор один, а программ в котором требуется ключ директора несколько.
Offline Андрей *  
#4 Оставлено : 14 февраля 2020 г. 11:19:30(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Альтернатива - поиск по отпечатку сертификата.
Техническую поддержку оказываем тут
Наша база знаний
Offline Винтик  
#5 Оставлено : 14 февраля 2020 г. 17:38:57(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Автор: altdmb14 Перейти к цитате
Компьютеров много (около 5000) так что к каждому подключиться (по RDP) не получится.
А скажем если обратиться к реестру (каждого ПК)
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-21-567657657-765765765765-7567657657-8798\Keys\Иванов2020]
И найти там поле
"name.key"=hex:

Просто такая ситуация, что до этого ЭЦП курировал другой специалист и неизвестно на каком количестве ПК этот контейнер скопирован, а передо мной стоит задач посчитать у кого же всё таки этот контейнер есть. Т.к директор один, а программ в котором требуется ключ директора несколько.


И что этот один контейнер по всем был? (Хорошо если на все куплена лицензия.. но может вшита)

Однако если есть вероятность компрометации (т.е. не велся журнал СКЗИ и на какие ПК была определенна данная подпись),
то его могли копии на копии и перекопии сделать.
Может лучше тогда отозвать и получить новый?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.