Журнал "Information Security/ Информационная безопасность" #4, 2023

• 39 ТЕХНОЛОГИИ www.itsec.ru В "СОН" надо сначала под Адми- нистратором задать разрешен- ные компьютеры, а потом под Пользователем на них работать с флешкой. Но ведь так можно разрешить себе любые компью- теры, в чем смысл? Коротко: в том, что Администратор и Пользователь – это разные люди. Смысл в том, что при корпоративном применении Пользователем и Админи- стратором "СОН" должны быть разные сотрудники. Пользователь "Секрета" не может ничего сделать "под Администра- тором", так как у него нет пароля от этой учетной записи. В случае же если "Секрет Особого Назначения" используется как личная флешка и Пользователь с Администра- тором – одно и то же лицо, владелец устройства, то нормально, что ему решать, где флешка будет использо- ваться, он ограничивает круг компьюте- ров не от своих собственных потенци- альных действий, а от действий того, кто флешку найдет или украдет. Если у "СОН" есть Администратор, который управляет списком разре- шенных компьютеров, значит, он может разрешить себе открыть "Секрет" любого пользователя на своем компьютере. Конечно, Адми- нистратор – доверенное лицо, но не всегда такое приемлемо. Коротко: Администратор не может получить доступ к флешке даже на раз- решенном компьютере, доступ может получить только Пользователь. У Администратора нет возможности доступа к диску "СОН", если он не заре- гистрирован в нем и как Пользователь тоже. Зарегистрировать себя вторым Пользователем он не может, а перере- гистрация Пользователя возможна толь- ко с уничтожением всех данных на диске. У Администратора нет никакой возмож- ности примонтировать диск "Секрета" и тем более – прочитать с него данные. Администратор может быть зарегистри- рован и как Пользователь, если это его личное устройство. Тогда он может полу- чать доступ к флешке, и это нормально. Кража или иное незаконное завладение "СОН" бессмысленны, потому что на компьютере зло- умышленника, и вообще ни на каком компьютере, кроме разре- шенных Администратором, диск не примонтируется. А что делать, если легальному Пользователю необхо- димо взять флешку домой или в командировку? Такое бывает! Коротко: можно на время внести ком- пьютер в список разрешенных, причем Администратор может это сделать уда- ленно. Этот случай просто нужно согласовать с Администратором "СОН", и он внесет в список разрешенных компьютеров нужный. Для этого есть специальная программа, которая позволяет удаленно собрать дан- ные о компьютере для его регистрации в "СОН". Это несложный процесс, однако при его проведении нужно принимать орга- низационные меры для того, чтобы, поль- зуясь случаем, неблагонадежный сотруд- ник не организовал регистрацию в СОН" какого-то компьютера, который регистри- ровать не следовало бы. Нужно помнить о том, что временно зарегистрированные компьютеры после окончания работы с ними лучше из спис- ка зарегистрированных удалять. Если пользователь "СОН" – круп- ный руководитель, то ждать от него явки к Администратору для снятия временных политик – слишком смело, а попытки его "выловить" самостоятельно могут затянуться. В этом случае в "СОН" руководителя рискует накопиться большой список разрешенных компьютеров и однажды это при- ведет к неприятностям. Коротко: в "Секрете Руководителя" политики можно назначать на заранее заданное время. Такого не случится, если использовать предназначенный для таких сотрудников "Секрет руководителя". В нем есть часы реального времени (RTC, real time clock), которые позволяют назначать времен- ные политики, которые будут отменяться по истечении срока сами. Обойти это ограничение, изменяя системное время компьютера, не получится из-за RTC, у "СОН" время идет по-своему. Все подключения "СОН" к ком- пьютерам, и разрешенным, и неразрешенным, записываются в журнал "Секрета", недоступный Пользователю для чтения и изме- нения. Но, меняя системное время на компьютере, злоумышленник (будь он легальным Пользователем или нет) может обмануть Админи- стратора, представив попытку доступа (или доступ) старым собы- тием, тогда как Администратор будет следить за новыми. Коротко: ничего не получится, события в журнале записываются подряд, без учета данных поля с системным временем. Эта авантюра, наоборот, привлечет внимание Администратора, так как собы- тия в журнал записываются подряд и системное время на порядок записей не влияет, а только отображается в одном из полей. Запись "из прошлого" окажется последней и будет хорошо заметна. Свойства "Секрета" кажутся очень подходящими для хранения криптографических ключей, но большинство СКЗИ работают с ключами в хранилищах PKCS#11; можно сделать "Секрет" таким хранилищем? Коротко: да, мы уже сделали. Свойства "Секретов" действительно полезны для решения целого ряда спе- циальных задач, и для этого мы выпус- каем специальные продукты на основе той же технологии. Для хранения ключей это "Идеальный токен", для архивирова- ния журналов событий – "Программно- аппаратный журнал", для безопасного администрирования – "Секрет Админи- стратора", а для однонаправленного шлюза – "Система Ниппель". Про все эти продукты можно прочитать на сайте ОКБ САПР в разделе "Служебные носители". Рассмотренные здесь сомнения мы слышали от наших клиентов и очень им за них благодарны. Если у вас есть дру- гие сомнения, пожалуйста, поделитесь ими с нами, мы их подробно обсудим. В случае если мы действительно что-то не предусмотрели, – доработаем "Сек- рет", ведь это наша разработка и мы можем (и готовы) ее улучшать бесконеч- но. Будем вам очень признательны! l Защищенные флешки "Секрет Особого Назначения" запрещают делать только то, что нельзя и не мешают делать то, что можно т решений, которые позиционируются как “защищенные", ожидают двух неприятностей: либо они не могут помешать злоумышленнику, либо они очень сильно мешают работать легальному пользователю. В худшем случае оба подозрения оказываются верны. Однако с “Секретом Особого Назначения” дело обстоит иначе. Разберем главные опасения, которые может испытывать владелец системы перед внедрением защищенных флешек семейства “Секрет”. О Светлана Конявская-Счастная, АО “ОКБ САПР” Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы