Atom Лента - Форум КриптоПро - Тема:Безопасность ключей Крипто в реестре Windows - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Bezopasnost'kljuchejjKriptovreestreWindows-10:1Copyright 2024 Форум КриптоПро2024-03-29T14:25:52Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruvilgelm.fokhthttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=60511&name=vilgelm.fokhtvilgelm.fokhthttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=60511&name=vilgelm.fokhttwo_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansvilgelm.fokhthttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=60511&name=vilgelm.fokhtYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid128074:1Безопасность ключей Крипто в реестре Windows<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=128041#post128041"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Можно ли производить установку ключей только в ветку HKCU?</div></div>Добрый день.<br />Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации.<br /><br />Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже.<br /><br />Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю". </div></div><br /><br />Идея с паролем неплохая, но вручную тяжеловато будет для 2-3к пользователей произвести данную настройку)<br />Для меня тоже крайне странным оказалась возможность подгрузить HKLM для обычного пользователя) За ответ спасибо! Будем думать дальше))<br /><br /></td></tr></table>2021-10-18T09:35:54+03:002021-10-18T09:35:54+03:00vilgelm.fokht<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=128041#post128041"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Можно ли производить установку ключей только в ветку HKCU?</div></div>Добрый день.<br />Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации.<br /><br />Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже.<br /><br />Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю". </div></div><br /><br />Идея с паролем неплохая, но вручную тяжеловато будет для 2-3к пользователей произвести данную настройку)<br />Для меня тоже крайне странным оказалась возможность подгрузить HKLM для обычного пользователя) За ответ спасибо! Будем думать дальше))<br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid128041:1Безопасность ключей Крипто в реестре Windows<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Можно ли производить установку ключей только в ветку HKCU?</div></div>Добрый день.<br />Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации.<br /><br />Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже.<br /><br />Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю". </td></tr></table>2021-10-15T06:33:24+03:002021-10-15T06:33:24+03:00two_oceans<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Можно ли производить установку ключей только в ветку HKCU?</div></div>Добрый день.<br />Решения на 100% в описанной ситуации нет. Формально ключи должны быть личные и пользователь имеет право читать и копировать. Как я понимаю, это одна из причин, по которым считыватель "Реестр" разрешен только в КС1 конфигурации.<br /><br />Непонятно как HKCU поможет решить проблему - на HKCU полные права у пользователя, а вот добавить на локальный компьютер в HKLM мимо КриптоПро CSP у пользователя может и не быть прав. Насчет HKCU вроде как уже много лет просили администраторы RDS ферм (с целью применения перемещаемого профиля) и благоприятного ответа все еще нет. В теории, есть проблемы когда профиль повреждается, есть вероятность подгрузить чужой реестр и тд. В итоге, безопасность только станет хуже.<br /><br />Можно несколько усложнить задачу пользователю - поставить сложный пароль на контейнер, запомнить его для пользователя, но не сообщить пользователю. Достаточно опытный пользователь найдет и место хранения паролей и попытается его тоже скопировать, но при переносе паролей между компьютерами достаточно высока вероятность неудачи. Тогда при попытке скопировать контейнер через реестр пользователь столкнется с тем, что не знает пароля и придет к Вам. Дальше Вы можете расследовать (слетел пароль или это копия контейнера) и применить какие-то меры к такому "внутреннему нарушителю". </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid128021:1Безопасность ключей Крипто в реестре Windows<table class="content postContainer_Alt" width="100%"><tr><td>Коллеги, добрый день!<br />Возник весьма трепетный вопрос с точки зрения безопасности. <br />Имеется. RDS ферма. На ней произведена установка КриптоПРО. Проблема следующая:<br />Пользователь, залогиненый на ферму, может самостоятельно проникнуть в ветку реестра \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\{УИД пользователя}\Keys, где может посредством выгрузки данной ветки, войти в 1С посредством данных ключей, изменив данные в локальном реестре.<br />Вопрос:<br />Можно ли производить установку ключей только в ветку HKCU? Если нет, то какие варианты закрытия данной проблемы, могли бы порекомендовать. Закрытие реестра может привести к остановке рабочего процесса.</td></tr></table>2021-10-14T12:44:01+03:002021-10-14T12:44:01+03:00vilgelm.fokht<table class="content postContainer_Alt" width="100%"><tr><td>Коллеги, добрый день!<br />Возник весьма трепетный вопрос с точки зрения безопасности. <br />Имеется. RDS ферма. На ней произведена установка КриптоПРО. Проблема следующая:<br />Пользователь, залогиненый на ферму, может самостоятельно проникнуть в ветку реестра \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\{УИД пользователя}\Keys, где может посредством выгрузки данной ветки, войти в 1С посредством данных ключей, изменив данные в локальном реестре.<br />Вопрос:<br />Можно ли производить установку ключей только в ветку HKCU? Если нет, то какие варианты закрытия данной проблемы, могли бы порекомендовать. Закрытие реестра может привести к остановке рабочего процесса.</td></tr></table>