Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,628 Сказал «Спасибо»: 493 раз Поблагодарили: 2034 раз в 1578 постах
|
Автор: two_oceans Автор: vladellec Спасибо всем за информацию. Подытожу информацию для себя, попрошу поправить или добавить, вдруг что не так:
1. Использование считывателя "Съёмный диск" позволяет видеть контейнер всем, кому он доступен, но это небезопасно, т.к. есть возможность производить операции с контейнером. 2. При выборе хранения контейнера в "Реестр" Компьютера нужно взаимодействовать с разработчиками той или иной программы, т.к. поиск сертификата и ссылки на закрытый ключ может происходить только в хранилище Пользователь/Личное. И может потребоваться доработка. 3. Массовые операции с контейнерами и сертификатами обеспечивается утилитой csptest.exe. 4. Надо тестировать работоспособность функции подписи в каждой программе=) Тоже прокомментирую: 1. В целом, если ничего не делать, то действительно вариант съемных носителей может быть рискован. Однако при надлежащих мерах разграничения доступа все будет безопасно. Основные условия: если пользователь не сможет извлечь съемный носитель и прицепить куда-то еще (например, серверная заперта и опечатана, ключ у администратора) и если пользователь не имеет прав администратора. Об этом лучше спрашивать на форумах по администрированию, тут напишу только "наводки".
Есть возможность запретить пользователю доступ к определенным буквам дисков с помощью политик (или скрыть их из видимости) - это работает на дискеты, флешки и жесткие диски. Плюс: subst отлично подойдет для создания "съемного диска" без занятия порта USB. Минус: токены обычно не отображаются на буквы дисков и с ними номер не пройдет.
Сродни видимости букв дисков позиционируется функция "проброса USB" для подключения съемного носителя с клиента удаленного рабочего стола (RDP). В этом случае, на сервере вообще не будет носителей и теоретически такие "удаленные носители" видны только в текущем сеансе пользователя и в сеансах администраторов. Казалось бы, вот он практически идеальный вариант, но на практике нужно настраивать и перепроверять кому еще будет доступен носитель. По умолчанию функция "проброса USB" отключена на сервере, чтобы пользователи не притащили вирусы на сервер с какими попало флешками. Кроме того, я бы не стал подключать носитель с контейнерами, если соединение удаленного рабочего стола не зашифровано (на XP SP3 шифрование RDP по умолчанию отключено и требуется править реестр чтобы включить).
Для токенов и флешек есть программы, ограничивающие доступ конкретного пользователя к определенным USB портам (пример актуальной отечественной программы не смогу назвать, посмотрите в списке программ сертифицированных рабочих мест по требованиям ФСБ и ФСТЭК). Минус: если пользователей много и следовать принципу "один носитель - контейнеры только одного пользователя", на всех может не хватить портов USB. Однако, это наиболее "законный" вариант, к которому не будет замечаний при проверке.
Кроме того, если дискета, флешка или жесткий диск отформатированы в NTFS, то возможно ограничить права доступа средствами файловой системы. Отличие от предыдущего варианта в том, что можно обойтись одним носителем, но назначить права доступа к конкретным файлам и папкам с контейнерами. Минус: 1) при извлечении носителя NTFS обязательно безопасное извлечение; 2) при проверке носителей ФСБ обычно обращает внимание, чтобы на каждом носителе были контейнеры только одного пользователя. Как вариант на такой общий носитель можно поместить только символические ссылки на контейнеры, физически находящиеся на жестком диске, тогда на самом носителе физически не будет контейнеров. Пока носитель подключен к серверу, контейнеры будут доступны, но при краже носителя и подключении к другому компьютеру контейнеров не окажется. Лично я больше склоняюсь к такому варианту. Заметьте, на флешках с FAT32 и дискетах с FAT12 ограничение средствами файловой системы и создание ссылок невозможно.
Пароль на контейнер конечно тоже ограничит доступ. Минус: представьте пользователя которого при входе озадачит вводом паролей от 10 контейнеров и в итоге он позвонит Вам.
2. Да, о серьезной доработке как правило речь не идет, подправить в вызове функции параметр с 1 на 5, например, но это тоже требует доступа к исходникам. Особенно, если программа подписана ЭП разработчика или имеет защиту от изменения. А я удивлюсь, если программа работающая с СКЗИ не имеет того или другого. 3. Это просто самая "легкодоступная" программа с массовыми функциями, потому что идет в комплекте с CSP. Конечно есть подобные утилиты других авторов. Соглашусь, что в первую очередь это тестовая утилита. 4. Да. Еще пользователь может просто экспортировать в PFX или скопировать с флешки папку с контейнером... Т.е. ему не нужен физический доступ к флешке (в серверную). |
|