i.chamin Опубликовано 5 Февраля 2019 Жалоба Поделиться Опубликовано 5 Февраля 2019 Добрый день. Хочу уточнить возможность включения ПК с ViPNet Administrator 4 в домен. В документации никаких ограничений не нашел, есть ли какие рекомендации по дополнительным настройкам или можно смело включить машину с ViPNet Administrator 4 в домен и все будет работать? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 5 Февраля 2019 Жалоба Поделиться Опубликовано 5 Февраля 2019 Добрый день. Посмотрите документ "ViPNet Administrator 4. Правила пользования.pdf", он находится в комплекте документации поставляемой вместе с ПО. А именно раздел 6. Конечно там никто прямо не напишет: "Запрещено устанавливать в домен". Но принимая во внимание совокупность требований по обеспечению защиты от НСД рабочего места администратора, являющегося не просто СКЗИ, а АРМ, на котором происходит выпуск ключей, включение этого рабочего места в общую информационную сеть Предприятия, а тем более - в информационную сеть общего доступа (Интернет), видится мне достаточно опрометчивым шагом. Даже если Вы обложитесь по кругу сетевыми экранами и антивирусами - в рассматриваемом документе есть требование обеспечения защиты от НСД организационно-техническими и административными мероприятиями. Зачем заведомо создавать опасные условия эксплуатации СКЗИ? Также в документе есть ссылка на СТР-К - вероятно что-то ещё может быть там. Вообще, в связи с чем возникла потребность включение АРМ администратора в домен? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.chamin Опубликовано 5 Февраля 2019 Автор Жалоба Поделиться Опубликовано 5 Февраля 2019 57 минут назад, Xenobius сказал: Вообще, в связи с чем возникла потребность включение АРМ администратора в домен? Так же в этом документе есть требование обновлять ОС и прикладное ПО, у нас в организации это выполняется ролью Wsus, ради этого. Как вы обновляете ОС? Машина так и так подключена физически к сети предприятия (из этого не следует доступ в интернет, МЭ предприятия и МЭ СЕРТИФИЦИРОВАННОЕ випнетКлиент на машине) для централизованного управления антивирусом (обновления, аудит) СЗИ от НСД (аудит). Какой смысл не включать в домен? Цитата от НСД организационно-техническими и административными мероприятиями доступ администраторам домена, которые не должны иметь доступ ограничивается СЗИ от НСД Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 5 Февраля 2019 Жалоба Поделиться Опубликовано 5 Февраля 2019 Сами спросили, сами и ответили ) Нет таких ограничений, а додумывать себе можно все что угодно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.chamin Опубликовано 5 Февраля 2019 Автор Жалоба Поделиться Опубликовано 5 Февраля 2019 6 минут назад, R.Sheyn сказал: Нет таких ограничений Я спрашивал про технические ограничения, то есть не развалится ли сам Випнет Администратор из за каких нибудь тонкостей которые я могу не знать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 5 Февраля 2019 Жалоба Поделиться Опубликовано 5 Февраля 2019 11 минут назад, i.chamin сказал: Я спрашивал про технические ограничения, то есть не развалится ли сам Випнет Администратор из за каких нибудь тонкостей которые я могу не знать. Ну есть некоторые нюансы, например ключ администратора УКЦ хранится в профиле пользователя, т.е. его надо будет переместить если будете доменную учетку использовать. Не модифицировать служебные учетки KcaUser и NccUser. Ну а что касается аккуратности с установкой обновлений на ОС и обновления антивируса вы наверное сами знаете. К сожалению криптопровайдер vipnet csp достаточно чувствителен к этим вещам. Если делать аккуратно и не ломать, то не развалится. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.chamin Опубликовано 5 Февраля 2019 Автор Жалоба Поделиться Опубликовано 5 Февраля 2019 3 минуты назад, R.Sheyn сказал: ключ администратора УКЦ хранится в профиле пользователя, т.е. его надо будет переместить Пробовал, адрес ключа ЭП не меняется, хотя криптопровайдет отдельно запрашивает его после смены расположений контейнеров с ключами админа и я указываю ему явно на него, при открытии администратора УКЦ ключ ЭП не отображается так как пытается посмотреть его по старому пути. По этому скорее всего использовать я буду старую встроенную учетную запись в ОС. В самом УКЦ есть пункт у учетной записи администратора, кажется переместить ключи, он не активен (думаю не спроста, этот функционал не работает и просто поменять расположение нельзя). 9 минут назад, R.Sheyn сказал: Не модифицировать служебные учетки KcaUser и NccUser. Мне это чудо досталось, по наследству))) В ОС таких учеток нет а вот в СУБД KcaUser точно есть, поясните подробнее 10 минут назад, R.Sheyn сказал: К сожалению криптопровайдер vipnet csp достаточно чувствителен к этим вещам. Опыта мало, больше с криптопро работал, спасибо, учту Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 5 Февраля 2019 Жалоба Поделиться Опубликовано 5 Февраля 2019 Речь не про ключ ЭП, хотя ключ ЭП в той же папке. При входе в УКЦ, если нажать "Параметры", то можно выбрать папку расположения ключа администратора УКЦ. Учетки это да, для БД. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 5 Февраля 2019 Жалоба Поделиться Опубликовано 5 Февраля 2019 Как сказали правильно выше - СКЗИ чувствительно к поведению антивируса и к установке обновлений ОС. Принимая во внимание то, что творится сейчас с апдейтами от Майкрософт, обновления лучше ставить руками, только критические для безопасности, после тщательного тестирования. Антивирус можно спокойно и руками обновлять подсовывая актуальные базы, если уж на то пошло. И не нужно говорить про прошлый век и подобное. Также, вводя в домен АРМ администратора ViPNet, становитесь зависимы от политик домена. В любом случае у админа домена есть доступ ко всем узлам этого домена. Говорите доступ админов домена ограничите СЗИ от НСД - как именно? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.chamin Опубликовано 6 Февраля 2019 Автор Жалоба Поделиться Опубликовано 6 Февраля 2019 10 часов назад, Xenobius сказал: Как сказали правильно выше - СКЗИ чувствительно к поведению антивируса и к установке обновлений ОС. Принимая во внимание то, что творится сейчас с апдейтами от Майкрософт, обновления лучше ставить руками, только критические для безопасности, после тщательного тестирования. Антивирус можно спокойно и руками обновлять подсовывая актуальные базы, если уж на то пошло. И не нужно говорить про прошлый век и подобное. Также, вводя в домен АРМ администратора ViPNet, становитесь зависимы от политик домена. В любом случае у админа домена есть доступ ко всем узлам этого домена. Говорите доступ админов домена ограничите СЗИ от НСД - как именно? Вы так и не ответили на мой вопрос, пожалуйста подробно в деталях как вы обновляете ОС, куда заходите (ссылку) где смотрите список обновлений, как принимаете решение применимо ли оно для этой ОС, как принимаете решение критично оно или нет, в каком порядке, как часто и т д, я внимательно выслушаю вас и возможно перейму ваш опыт. Как часто вы обновляете ручками антивирус ? (подробнее пожалуйста) Так же я хотел бы узнать как вы ведете аудит и сколько защищенных рабочих мест вы обслуживаете? "СЗИ от НСД - как именно" например разрешу работать в ОС определенным учетным записям, остальные не смогут даже если они админы в домене, элементарно, странно что вы это спрашиваете ЗЫ и да, а что творится сейчас с апдейтами от Майкрософт? Как по мне они стабильнее обновлений нашего российского ПО и наших СЗИ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 9 Февраля 2019 Жалоба Поделиться Опубликовано 9 Февраля 2019 Вы со своим сарказмом останетесь без ответа. Нет у меня желания вести с Вами не то что дискуссию, даже беседу - судя по всему, для себя уже всё решили. Таки скатертью дорога. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
i.chamin Опубликовано 11 Февраля 2019 Автор Жалоба Поделиться Опубликовано 11 Февраля 2019 В 09.02.2019 в 19:29, Xenobius сказал: без ответа Да у вас его и не было. Вы только на словах обновляете в ручную, а по факту никак и ничего не обновляете. Еще обратите пожалуйста внимание на первое сообщение, я уже в нем все решил, я не спрашивал за и против, это уж так, я у вас поинтересовался, и ответ я ваш знал заранее, потому что его нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.