В качестве ПО для генерации паролей использую бесплатный продукт от компании Инфотекс — Vipnet Password Generator. Принцип генерации паролей основан на мнемонической технике запоминание парольной фразы состоящей из нескольких слов + комбинация цифр перед словами. На английской раскладке набираются 3 или 4 первых буквы каждого слова. Словарь из которого генерируются фразы очень витьеватый и фразы выходят зачастую комичные, за счёт этого хорошо врезаются в память (например 49 Извозчиков Умывают Шального Старика. На английской раскладке набираются 49ИзвоУмывШальСтар). Какой бы нелепой эта техника не казалась на первый взгляд — в моей практике она оказалась действующей и приемлемой для большинства пользователей, судя по обратной связи.
Используемая учётная запись имеет у меня только права локального админа, однако да. Ваш посыл про единый SID для пользователя верен. И именно поэтому я обратил на это внимание не вдаваясь в технические подробности. Факт в том, что программа исправно работает на иных компьютерах даже если на нём никогда не вводились админские учётные данные которые «зашиты» в ярлыке.
Использовал неоднократно Admlink для выдачи прав админа на определённые программы (в частности для установки шрифтов в Windows через ПО FontManager) Благо что с 1903 поддерживается установка шрифтов в пространство пользователя и от этого элегантного «костыля» отказался. Хочу так же заметить что в домене прекрасно работает один и тот же ярлык, созданный с помощью Admlink на всех компьютерах без необходимости внесения дополнительных изменений.
Я так и подумал, но решил сначала уточнить.
Поделюсь с вами способом которым пользуюсь самостоятельно — возможно он вам тоже пригодится.
Существует такая утилита ImDisk Virtual Driver (распространяется под GNU GPL, BSD). В функционале этой софтиры есть возможность монтирования любого файла в качестве диска. В том числе представлять его в качестве Сьемного носителя (Removable Media).
Порядок действия такой:
1) Создаем и Монтируем пустую «Виртуальную флешку», проставив при этом галку «Removable Media». Размер обычно ставлю 5 мегабайт. По указанному пути в драйвере создает обычный файлик в который осуществляется запись.
2) Форматируем появившуюся в системе «Виртуальную флешку» стандартными средствами Windows в FAT.
3) При помощи оснастки КриптоПро выполняем обычную функцию «Скопировать» (Сервис — Скопировать). В качестве исходного контейнера указываем необходимый на токене — в качестве получателя указываем «Виртуальную флешку». КриптоПро воспринимает такой контейнер вполне адекватно как обычную флешку и создает копию ключа.
4) Извлекаем виртуальный контейнер через оснастку программы ImDisk Virtual Driver.
5) Переносим созданный файлик-виртуальную-флешку на другой компьютер.
6) Монтируем «Виртуальную флешку» через ImDisk Virtual Driver.
7) Производим обратное копирование контейнера закрытого ключа стандартными средствами Крипто-Про.
Заранее прошу меня извинить если описанная выше инструкция покажется сумбурной.
Если общий принцип или конкретные пункты будут не понятны, но заинтересованость воспользоваться методом будет — то отпишитесь.
Использую pfsense уже более 5 лет. Радует стабильность работы, минимальное потребление ресурсов (на сеть из 20 машин может будет достаточно cpu уровня P4 и 256 мб ОЗУ). К огромному преимуществу (IMHO) стоит отметить его приспособленность к работе в качестве virtual appliance под Esxi. Встроенные обновления между давали сбой только единожды (года 4 назад), что даёт возможность обновлять его удалённо и поддерживать актуальность в части отсутствия выявленных уязвимостей. Активно использую OpenVPN который настраивается и устанавливается без каких-либо танцев с бубном. Ну и на закуску стоит отметить возможность гибкого шейпинга трафика.
На итого: из коробки, без необходимости платить денежку можно получить МЭ коммерческого уровня с мощным функционалом.
P.S. с относительно недавних версий pfsense обзовелся встроенным переводом gui на русский. Из плюсов при этом отмечу только возможность «комментировать» правила на русском языке.
ru_vds, Используемое вами изображение в начале статьи, является объектом авторского права владельцев продукта Wtware.
Будьте любезны проставить ссылку на авторский сайт или не использовать изображение вовсе.
Господа.
А почему отказались от идеи реализации МЭ+СОВ сразу?
Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.
Именно так.
Однако если это аппаратно-программная платформа, то получится ли так с ней?
Ибо сертифицируется платформа в целом, именно, в таком случае.
По крайней мере насколько мне известно.
Господа. Убедительная просьба.
Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
Прошу меня извинить, но глаз режет это слово — «ресертификация» )
Не так давно перешел на одну интересную утилиту — Duplicati.
ПО по умолчанию из коробки умеет шифровать в AES-256, имеет очень приятный и понятный Web-GUI, а так же множество различных протоколов для подключения к конечному серверу, что исключает необходимость монтирования (подключения) дисков в самой системе. Ну и конечно же — инкрементное резервное копирование на закуску.
Очень рекомендую.
Не все. Эксплуатируемые на объектах СЗИ, которые были установлены до 1.12.2016 продолжают своё функционирование и не требуют замены. До окончания срока действия их сертификата. А дальше уже — замена.
Здравствуйте, Юрий.
Спасибо вам за статью.
Как раз разбираемся с коллегами и внедряем подобный инструментарий у нас в продакшене.
Ваша статья разъяснила нам некоторые моменты.
Поделюсь с вами способом которым пользуюсь самостоятельно — возможно он вам тоже пригодится.
Существует такая утилита ImDisk Virtual Driver (распространяется под GNU GPL, BSD). В функционале этой софтиры есть возможность монтирования любого файла в качестве диска. В том числе представлять его в качестве Сьемного носителя (Removable Media).
2) Форматируем появившуюся в системе «Виртуальную флешку» стандартными средствами Windows в FAT.
3) При помощи оснастки КриптоПро выполняем обычную функцию «Скопировать» (Сервис — Скопировать). В качестве исходного контейнера указываем необходимый на токене — в качестве получателя указываем «Виртуальную флешку». КриптоПро воспринимает такой контейнер вполне адекватно как обычную флешку и создает копию ключа.
4) Извлекаем виртуальный контейнер через оснастку программы ImDisk Virtual Driver.
5) Переносим созданный файлик-виртуальную-флешку на другой компьютер.
6) Монтируем «Виртуальную флешку» через ImDisk Virtual Driver.
7) Производим обратное копирование контейнера закрытого ключа стандартными средствами Крипто-Про.
Заранее прошу меня извинить если описанная выше инструкция покажется сумбурной.
Если общий принцип или конкретные пункты будут не понятны, но заинтересованость воспользоваться методом будет — то отпишитесь.
На итого: из коробки, без необходимости платить денежку можно получить МЭ коммерческого уровня с мощным функционалом.
P.S. с относительно недавних версий pfsense обзовелся встроенным переводом gui на русский. Из плюсов при этом отмечу только возможность «комментировать» правила на русском языке.
Будьте любезны проставить ссылку на авторский сайт или не использовать изображение вовсе.
А почему отказались от идеи реализации МЭ+СОВ сразу?
Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.
Однако если это аппаратно-программная платформа, то получится ли так с ней?
Ибо сертифицируется платформа в целом, именно, в таком случае.
По крайней мере насколько мне известно.
Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
Прошу меня извинить, но глаз режет это слово — «ресертификация» )
ПО по умолчанию из коробки умеет шифровать в AES-256, имеет очень приятный и понятный Web-GUI, а так же множество различных протоколов для подключения к конечному серверу, что исключает необходимость монтирования (подключения) дисков в самой системе. Ну и конечно же — инкрементное резервное копирование на закуску.
Очень рекомендую.
KB3068708 — Update for customer experience and diagnostic telemetry // 8.1 / WS 2012 R2 / 7 SP1 / WS 2008 R2 SP1
KB3075249 — Update that adds telemetry points to consent.exe in Windows 8.1 and Windows 7 // 8.1 / RT 8.1 / WS 2012 R2 / 7 SP1 / WS 2008 R2 SP1
KB3080149 — Update for customer experience and diagnostic telemetry // 8.1 / WS 2012 R2, 7 SP1 / WS 2008 R2 SP1
Взято отсюда (скрипт удаления и блокировки телеметрии)
Использую данный скрипт уже некоторое время. Проблем с работой компьютеров после использования скрипта не возникало.
KB2952664
KB2976978
KB2990214
KB3021917
KB3022345
KB3035583
KB3044374
KB3046480
KB3050265
KB3050267
KB3065987
KB3065988
KB3068708
KB3075249
KB3075851
KB3075853
KB3080149
KB3083324
KB3083325
KB3083710
KB3083711
KB971033