Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vilgelm.fokht  
#1 Оставлено : 14 октября 2021 г. 12:44:01(UTC)
vilgelm.fokht

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.10.2021(UTC)
Сообщений: 1
Российская Федерация

Коллеги, добрый день!
Возник весьма трепетный вопрос с точки зрения безопасности.
Имеется. RDS ферма. На ней произведена установка КриптоПРО. Проблема следующая:
Пользователь, залогиненый на ферму, может самостоятельно проникнуть в ветку реестра \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\{УИД пользователя}\Keys, где может посредством выгрузки данной ветки, войти в 1С посредством данных ключей, изменив данные в локальном реестре.
Вопрос:
Можно ли производить установку ключей только в ветку HKCU? Если нет, то какие варианты закрытия данной проблемы, могли бы порекомендовать. Закрытие реестра может привести к остановке рабочего процесса.
Offline two_oceans  
#2 Оставлено : 15 октября 2021 г. 6:33:24(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Цитата:
Можно ли производить установку ключей только в ветку HKCU?
Добрый день.
Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации.

Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже.

Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю".
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.