КриптоПро CSP 4.0 настройки реестра ОС по ЖТЯИ.00087-01.91.02

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

КриптоПро CSP 4.0 настройки реестра ОС по ЖТЯИ.00087-01.91.02 - Вопросы по разделу 10.2 Настройка системного реестра ОС Windows при установке СКЗИ

Опции

Предыдущая тема Следующая тема

Aliquis		#1 Оставлено : 28 февраля 2020 г. 8:33:47(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 28.02.2020(UTC) Сообщений: 2		Здравствуйте Имеется: Windows 7 Pro 32bit и 64bit КриптоПро CSP 4.0.9953 При настройке по данному пункту руководства возникли вопросы: 1.- для исключения утечки информации при передаче данных по именованному каналу \\server\PIPE\SPOOLSS удалить имя SPOOLSS из ключа HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes; - Нет имени 1 пункт считается выполненным? 2.- в ключе HKLM\System\CurrentControlSet\Services\Eventlog\<LogName> (LogName - имя журнала для которого следует ограничить доступ пользователям группы Everyone) установить параметр RestrictGuestAccess (REG_DWORD) со значением «1» для исключения доступа группы Everyone к системному журналу и журналу приложений; - Не известно название ветки (LogName) в которой надо создать RestrictGuestAccess (REG_DWORD) со значением «1» Как выполнить этот пункт в данном случае? 3.- в ключе HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ установить параметр AllocateFloppies (REG_SZ) со значением «1» для исключения параллельного использования дисковода для гибких дисков; - В системе нет ключа по причине отсутствия устройства (Моноблоки) есть необходимость прописывать данный параметр? А так же требуется ли данный параметр в реестре на компьютерах с отдельным системным блоком, если у них так же нет возможности установки FDD (конструктивные особенности корпуса)? 4.- в ключе HKLM\System\CurrentControlSet\Control\Lsa установить параметр AuditBaseObjects (REG_DWORD) со значением «1» для включения аудита на базовые объекты системы; - Не понятна формулировка "включения аудита на базовые объекты системы" что значит базовые объекты системы, что за объекты, за что они отвечают в ОС Windows? 5.- в ключе HKLM\System\CurrentControlSet\Control\Lsa установить параметр FullPrivilegeAuditing (REG_BINARY) со значением «1» для включения аудита привилегий; - значение бинарное, что прописать 1 (HEX=31) или 01 из документа не ясно, требуется уточнение. 6.- для исключения передачи пароля пользователей по сети в открытом виде (ОС Windows ХР) в ключе HKLM\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters установить параметр EnablePlainTextPassword (REG_DWORD) со значением «0». - в Windows 7 Pro нет ветки MRxSmb нужно ли ее создавать? И последнее, некоторые пункты невозможно выполнить по независящим от администратора причинам (администратор сегмента, а не всей корпоративной сети), что в данном случае делать? Отредактировано пользователем 2 марта 2020 г. 6:35:08(UTC) \| Причина: уточнение


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

bev381		#2 Оставлено : 28 февраля 2020 г. 8:55:15(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 28.02.2020(UTC) Сообщений: 1 Откуда: Томск		Еще вот такой вопрос есть. - в ключе HKLM\System\CurrentControlSet\Services\LanManServer\Parameters установить параметры AutoShareWks и AutoShareServer, имеющие тип REG_DWORD, со значением «0» для запрета автоматического создания скрытых совместных ресурсов; По умолчанию их нет, выход нужно их создать. Если находиться в корпоративной сети, то ограничивает сетевой доступ администратора к компьютерам, кроме него итак не кто не имеет право подключаться к скрытым ресурсам. Не понятно решение ограничения доступа, так как защиту от внешнего входа ограничивают другие средства, а доступ в локальной сети и так ограничена администратором сети?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#3 Оставлено : 28 февраля 2020 г. 13:49:27(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 396 раз в 366 постах		Автор: Aliquis - значение бинарное, что прописать 1 (HEX=31) или 01 из документа не ясно, требуется уточнение. Странный какой-то у Вас перевод между системами счисления. Хотя... 0x31 это код символа "1". Автор: Aliquis 6.- для исключения передачи пароля пользователей по сети в открытом виде (ОС Windows ХР) в ключе HKLM\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters установить параметр EnablePlainTextPassword (REG_DWORD) со значением «0». - в Windows 7 Pro нет ветки MRxSmb нужно ли ее создавать? Предположу что нет. отсутствие данной ветки означает что у Вас нет такой службы. Если создадите раздел, то это будет дефектной записью о службе. Либо штатно установите службу и задайте параметр либо ничего не создавайте ("нет так нет"). Автор: bev381 параметры AutoShareWks и AutoShareServer, имеющие тип REG_DWORD, со значением «0» для запрета автоматического создания скрытых совместных ресурсов; Для конкретной операционки должен быть настроен один из них, подходящий по смыслу. Это как раз и есть ограничение от администратора, так как может быть конфиденциальная информация к которой у администратора не должно быть доступа (контейнеры закрытого пользователей, например). Просто для справки, что именно Вы делаете через скрытые ресурсы? Есть достаточно много других механизмов администрирования в новых версиях систем Windows (WinRS PowerShell и т.д.). Конечно я тоже часто хожу по скрытым ресурсам, но признаться честно это в 90% случаев не связано с администрированием, а с просьбами вроде "скинь мне эту таблицу на рабочий стол". Если же нравятся именно шары, в операционках начиная с 2000 отлично работают hardlink/junction/символические ссылки и Вы можете создать общую папку (не скрытую) и ограничить к ней доступ - дать только конкретному администратору и прилинковать туда абсолютно все Вам нужные для администрирования папки компьютера, разбросанные по разным дискам. Когда не заботит безопасность можно даже корневые директории дисков прилинковать. У меня, например, на файловом сервере открыты отдельные папки исключительно для каждого отдела (другим отделам отказано в доступе) в одной шаре и в папке почти каждого отдела есть подпапка для стат отчетов. Подпапки статотчетов junction прилинкованы к папке отдела отправляющего отчеты. И этот отправляющий отдел видит файлы отчетов в линкованных папках в своей папке, хотя зайти напрямую в папки других отделов не может. Скажете почему не пользоваться автоматическими скрытыми шарами? На них невозможно изменить ограничения прав доступа и запретить конкретному администратору обращаться к папке/диску, доступ будет как у администратора сегмента, так и у глобального администратора сети (который может завести еще сотню администраторов), а еще у локальных аккаунтов-администраторов (которым в особо запущенных случаях администратор домена вообще может менять удаленно пароль и сохранять в небезопасном расширении схемы ActiveDirectory, откуда его сможет достать вирус, например). В то же время на нескрытые шары можно рулить правами как удобно и разом перекрыть все эти неявные лазейки для неизвестно откуда приползших администраторов. К слову, данные параметры AutoShareWks и AutoShareServer (как и остальные Вами перечисленные) настраиваются групповой политикой и по идее если внесете в реестр конкретного компьютера они должны переписаться значением от домена корпоративной сети, когда администратор домена внезапно их задаст (если групповая политика работает в корпоративной сети). Поэтому лучше настраивать сразу новую политику в домене и применять политику к выбранным компьютерам. А вот если компьютеры не в домене или групповая политика сломана - тогда да, пишите в реестр. Обратите внимание, что с сервера 2012 появилась возможность регулировать сложность паролей в домене для определенной глобальной группы безопасности пользователей. Например, можно задать для администраторов смену пароля еженедельно и сложный + длинный пароль, а для обычных пользователей - раз в полгода, покороче и без требований сложности. Иногда даже рекомендуют создавать для администраторов 2 аккаунта - один обычный для повседневного зависания в интернете и т.д., второй с правами администратора. Отредактировано пользователем 2 марта 2020 г. 9:47:48(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Aliquis		#4 Оставлено : 2 марта 2020 г. 5:30:21(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 28.02.2020(UTC) Сообщений: 2		Цитата: Странный какой-то у Вас перевод между системами счисления. Не у меня, а у Microsoft Цитата: Предположу что ... В данном топике обсуждается официальный документ на основе которого выносятся замечания при проверке организаций по этому какие либо предположения тут не допустимы. В данном случае требуются ответы на поставленные вопросы "создателей" данного документа. Ни на один вопрос я не получил конкретного ответа "Авторов". Продолжаем ждать, и прошу Вас two_oceans внимательно читать сообщения и больше не флудить в данной теме. Тут поставлены конкретный вопросы надеюсь получить на них такие же конкретные ответы, для ссылки на данную информацию в случае проверки. Так как при проверке данный пункт (10.2) тоже может быть проверен и в связи с неясностью указанных пунктов данной инструкции может возникнуть множество вопросов у проверяющих на которые "конечный пользователь" не сможет дать исчерпывающего ответа. Отредактировано пользователем 2 марта 2020 г. 11:09:01(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close