ViPNet Administrator 4 & Домен

[i.chamin 0]

Добрый день.

Хочу уточнить возможность включения ПК с ViPNet Administrator 4 в домен. В документации никаких ограничений не нашел, есть ли какие рекомендации по дополнительным настройкам или можно смело включить машину с ViPNet Administrator 4 в домен и все будет работать? 

[Xenobius 0]

Добрый день.

Посмотрите документ "ViPNet Administrator 4. Правила пользования.pdf", он находится в комплекте документации поставляемой вместе с ПО. А именно раздел 6. Конечно там никто прямо не напишет: "Запрещено устанавливать в домен". Но принимая во внимание совокупность требований по обеспечению защиты от НСД рабочего места администратора, являющегося не просто СКЗИ, а АРМ, на котором происходит выпуск ключей, включение этого рабочего места в общую информационную сеть Предприятия, а тем более - в информационную сеть общего доступа (Интернет), видится мне достаточно опрометчивым шагом. Даже если Вы обложитесь по кругу сетевыми экранами и антивирусами - в рассматриваемом документе есть требование обеспечения защиты от НСД организационно-техническими и административными мероприятиями. Зачем заведомо создавать опасные условия эксплуатации СКЗИ? Также в документе есть ссылка на СТР-К - вероятно что-то ещё может быть там.

Вообще, в связи с чем возникла потребность включение АРМ администратора в домен?

[i.chamin 0]

57 минут назад, Xenobius сказал:

Вообще, в связи с чем возникла потребность включение АРМ администратора в домен?

Так же в этом документе есть требование обновлять ОС и прикладное ПО, у нас в организации это выполняется ролью Wsus, ради этого. Как вы обновляете ОС?

Машина так и так подключена физически к сети предприятия (из этого не следует доступ в интернет, МЭ предприятия и МЭ СЕРТИФИЦИРОВАННОЕ випнетКлиент на машине) для централизованного управления антивирусом (обновления, аудит) СЗИ от НСД (аудит). Какой смысл не включать в домен? 

Цитата

от НСД организационно-техническими и административными мероприятиями

доступ администраторам домена, которые не должны иметь доступ ограничивается СЗИ от НСД

[R.Sheyn 0]

Сами спросили, сами и ответили )

Нет таких ограничений, а додумывать себе можно все что угодно.

[i.chamin 0]

6 минут назад, R.Sheyn сказал:

Нет таких ограничений

Я спрашивал про технические ограничения, то есть не развалится ли сам Випнет Администратор из за каких нибудь тонкостей которые я могу не знать.

[R.Sheyn 0]

11 минут назад, i.chamin сказал:

Я спрашивал про технические ограничения, то есть не развалится ли сам Випнет Администратор из за каких нибудь тонкостей которые я могу не знать.

Ну есть некоторые нюансы, например ключ администратора УКЦ хранится в профиле пользователя, т.е. его надо будет переместить если будете доменную учетку использовать. Не модифицировать служебные учетки KcaUser и NccUser.

Ну а что касается аккуратности с установкой обновлений на ОС и обновления антивируса вы наверное сами знаете. К сожалению криптопровайдер vipnet csp достаточно чувствителен к этим вещам.

Если делать аккуратно и не ломать, то не развалится.

[i.chamin 0]

3 минуты назад, R.Sheyn сказал:

ключ администратора УКЦ хранится в профиле пользователя, т.е. его надо будет переместить

Пробовал, адрес ключа ЭП не меняется, хотя криптопровайдет отдельно запрашивает его после смены расположений контейнеров с ключами админа и я указываю ему явно на него, при открытии администратора УКЦ ключ ЭП не отображается так как пытается посмотреть его по старому пути. По этому скорее всего использовать я буду старую встроенную учетную запись в ОС. В самом УКЦ есть пункт у учетной записи администратора, кажется переместить ключи, он не активен (думаю не спроста, этот функционал не работает и просто поменять расположение нельзя).

 

9 минут назад, R.Sheyn сказал:

Не модифицировать служебные учетки KcaUser и NccUser.

Мне это чудо досталось, по наследству))) В ОС таких учеток нет а вот в СУБД KcaUser точно есть, поясните подробнее

10 минут назад, R.Sheyn сказал:

К сожалению криптопровайдер vipnet csp достаточно чувствителен к этим вещам.

Опыта мало, больше с криптопро работал, спасибо, учту

[R.Sheyn 0]

Речь не про ключ ЭП, хотя ключ ЭП в той же папке. При входе в УКЦ, если нажать "Параметры", то можно выбрать папку расположения ключа администратора УКЦ.

Учетки это да, для БД.

[Xenobius 0]

Как сказали правильно выше - СКЗИ чувствительно к поведению антивируса и к установке обновлений ОС. Принимая во внимание то, что творится сейчас с апдейтами от Майкрософт, обновления лучше ставить руками, только критические для безопасности, после тщательного тестирования. Антивирус можно спокойно и руками обновлять подсовывая актуальные базы, если уж на то пошло. И не нужно говорить про прошлый век и подобное.

Также, вводя в домен АРМ администратора ViPNet, становитесь зависимы от политик домена. В любом случае у админа домена есть доступ ко всем узлам этого домена. Говорите доступ админов домена ограничите СЗИ от НСД - как именно?

[i.chamin 0]

10 часов назад, Xenobius сказал:

Как сказали правильно выше - СКЗИ чувствительно к поведению антивируса и к установке обновлений ОС. Принимая во внимание то, что творится сейчас с апдейтами от Майкрософт, обновления лучше ставить руками, только критические для безопасности, после тщательного тестирования. Антивирус можно спокойно и руками обновлять подсовывая актуальные базы, если уж на то пошло. И не нужно говорить про прошлый век и подобное.

Также, вводя в домен АРМ администратора ViPNet, становитесь зависимы от политик домена. В любом случае у админа домена есть доступ ко всем узлам этого домена. Говорите доступ админов домена ограничите СЗИ от НСД - как именно?

Вы так и не ответили на мой вопрос, пожалуйста подробно в деталях как вы обновляете ОС, куда заходите (ссылку) где смотрите список обновлений, как принимаете решение применимо ли оно для этой ОС, как принимаете решение критично оно или нет, в каком порядке, как часто и т д, я внимательно выслушаю вас и возможно перейму ваш опыт. Как часто вы обновляете ручками антивирус ? (подробнее пожалуйста)

Так же я хотел бы узнать как вы ведете аудит и сколько защищенных рабочих мест вы обслуживаете?

"СЗИ от НСД - как именно" например разрешу работать в ОС определенным учетным записям, остальные не смогут даже если они админы в домене, элементарно, странно что вы это спрашиваете 

 

ЗЫ и да, а что творится сейчас с апдейтами от Майкрософт? Как по мне они стабильнее обновлений нашего российского ПО и наших СЗИ.

[Xenobius 0]

Вы со своим сарказмом останетесь без ответа. Нет у меня желания вести с Вами не то что дискуссию, даже беседу - судя по всему, для себя уже всё решили. Таки скатертью дорога.

[i.chamin 0]

В 09.02.2019 в 19:29, Xenobius сказал:

без ответа

Да у вас его и не было. Вы только на словах обновляете в ручную, а по факту никак и ничего не обновляете. Еще обратите пожалуйста внимание на первое сообщение, я уже в нем все решил, я не спрашивал за и против, это уж так, я у вас поинтересовался, и ответ я ваш знал заранее, потому что его нет.