Имеется ввиду передача ЭП одного сотрудника (или даже ген. директора) другим лицам в разных филиалах? Ну, такое себе решение.
Мы в подобных случаях делаем что-то вроде терминального сервера с доступом к ресурсам, где требуется подпись и на этом сервере/vdi устанавливаем ключ подписи.
Еще более лучшим решением является использование HSM. Но это дорого для небольших организаций.
А чем не устраивает использование неэкспортируемого ключа на смарт-карте (на отчуждаемом носителе), как это изначально задумано? В таком случае работает служба Certificate propagation service в связке с криптопро и при подключении смарт-карты сертификат автоматически добавляется в хранилище.
А запуск стороннего ПО в этой конфигурации запрещен? Необходима реализация замкнутой программной среды, когда есть белый список ПО, который допускается запускать. Обычно реализуется при помощи проверки валидности подписи бинарников или соответствия хешей эталонным (IMA).
Ну и вся эта возня с российской криптографией в будущем будет бесполезна вне сертифицированных систем.
Ещё можно существенно сократить объем захватываемого трафика, настроив на этапе выбора интерфейса, в разделе Capture options, предварительный фильтр Capture Filter.
Только начал погружаться в тему AWS, и как я понял, ради этих всплесков Амазон и берут, предварительно настроив auto scale'инг. Или я не прав?
По поводу, Xenserver (в связке с XenDesktop), давно был опыт и он был скорее негативным из-за невозможности настроить тонкие диски, что-то с файловой системой было связано.
ReFS, если не ошибаюсь, появилась во времена Windows Server 2012R2, как дополнительный элемент к Storage Spaces (SS так же реализовывали виртуальные тома с поддержкой RAID).
Прохождения курса MSCA по Windows Server дало бы знания достаточные для исключения такой атаки. Software Restriction Policy/AppLocker + гранулированные права на директории и файлы помогли бы исключить подобный случай.
У вас на схеме указана возможность использования Nextcloud в качестве хранилища. Затем тогда FTP/SAMBA? Используйте все возможности NC, включая разграничение прав, квоты, совместную работу над документами, подключение АВ сканера, хранение предыдущих версий документов и корзину.
А можете уточнить, что там в лицензии запрещающее клонирование? Насколько помню в астре все файлы подписаны, а их хеши необходимо сверять с эталоном на компакт-диске, так что они наоборот топят за неизменяемость.
Можно же склонировать ОС и выполнить post-install: перегенерить ключи, расширить lvm диски, если целевой диск по объему больше чем в образе, сменить hostname, в домен ввести и прочее, что выполняется скриптами.
В эпоху "Anything as a Service", как вы лично оцениваете необходимость обладания стационарным принтером? Можете назвать порядок цифр, начиная с какого экземпляра фото отобьется стоимость принтера по сравнению с печатью в дорогой фотолабе снимков формата A5?
P.S. раньше были традиции фотографировать и распечатать в альбом. Сейчас, при наличии гаджетов, альбомы ушли в цифровые облака и обмен фото через соцсети/мессенджеры. Максимум куда необходимо распечатать фото - в рамку на стену. Итого потребность в фото у обычного человека сводится с 3-10 экземплярам печатных фото.
Паспорт - документ, удостоверяющий личность. Так что, главное в нём всё-таки Ф.И.О. и фото. А номер паспорта - технический номер, а не ваш (или относящийся к вашей личности).
Мне интересно, как с этой симкой заграницу выезжать? Она же будет являться сертифицированным СКЗИ, с отечественной криптографией, которые, насколько я помню, подлежат вывозу по согласованию с органами.
Сделал практически то же самое (еще при первых тревожных звоночках о РКН), но на OpenVPN. А буквально вчера, перевел на Wireguard. По статьям в интернет настраивается за 30 минут, включая аренду ВМ. Наверное, дольше искал провайдера (в свое время остановился на zomro с тарифом 2.5$/мес.)
К слову о Wirequard, для мобильного клиента есть хорошая фича: добавление конфига по QR-коду. QR-код можно сгенерировать прямо в консоли сервера при помощи пакета qrencode. Это избавляет от необходимости переноса ключей/конфигов через сторонние сервисы/шнурки и пр..
"Гуру" может однажды под трамвай попасть или уйти в запой, или на сказочное Бали уехать. Что в этом случае делать корпорации?
Контракт для того и заключается, что дает гарантии заказчику в любой момент получить поддержку, исправление критической уязвимости и т.п. вне зависимости от конкретных людей, т.к. есть штат квалифицированных специалистов, которые хотят кушать (и те кто их организует под одной крышей тоже хочет кушать).
Если это домашний компьютер, то почему бы и нет?
Я понимаю, если он в сети предприятия установлен, где при не совсем грамотной настройке сети, XP можно было бы атаковать, используя известные уязвимости.
А дома, находясь за NAT, при наличии не самой старой версии браузера, да ещё если и SRP включить, то вполне можно жить.
Имеется ввиду передача ЭП одного сотрудника (или даже ген. директора) другим лицам в разных филиалах? Ну, такое себе решение.
Мы в подобных случаях делаем что-то вроде терминального сервера с доступом к ресурсам, где требуется подпись и на этом сервере/vdi устанавливаем ключ подписи.
Еще более лучшим решением является использование HSM. Но это дорого для небольших организаций.
А чем не устраивает использование неэкспортируемого ключа на смарт-карте (на отчуждаемом носителе), как это изначально задумано? В таком случае работает служба Certificate propagation service в связке с криптопро и при подключении смарт-карты сертификат автоматически добавляется в хранилище.
А запуск стороннего ПО в этой конфигурации запрещен? Необходима реализация замкнутой программной среды, когда есть белый список ПО, который допускается запускать. Обычно реализуется при помощи проверки валидности подписи бинарников или соответствия хешей эталонным (IMA).
Ну и вся эта возня с российской криптографией в будущем будет бесполезна вне сертифицированных систем.
Моя домашняя лаба: б/у сервер supermicro с Intel E5, набитый SSD и оперативной памятью + proxmox как система виртуализации.
Летом лежал на балконе, на зиму разместил в датацентре (примерно 3,5 тыс. руб/месяц), там он и остался.
Важная информация синхронизируется с git, образы ВМ бэкапятся на себя же через proxmox backup server (с дедупликацией).
Сеть виртуализирована.
Да, сервер сам по себе - единая точка отказа, но это - лабы. А за счет дешевизны компонентов, все меняется за копейки по необходимости.
Ещё можно существенно сократить объем захватываемого трафика, настроив на этапе выбора интерфейса, в разделе Capture options, предварительный фильтр Capture Filter.
Только начал погружаться в тему AWS, и как я понял, ради этих всплесков Амазон и берут, предварительно настроив auto scale'инг. Или я не прав?
По поводу, Xenserver (в связке с XenDesktop), давно был опыт и он был скорее негативным из-за невозможности настроить тонкие диски, что-то с файловой системой было связано.
ReFS, если не ошибаюсь, появилась во времена Windows Server 2012R2, как дополнительный элемент к Storage Spaces (SS так же реализовывали виртуальные тома с поддержкой RAID).
Прохождения курса MSCA по Windows Server дало бы знания достаточные для исключения такой атаки. Software Restriction Policy/AppLocker + гранулированные права на директории и файлы помогли бы исключить подобный случай.
У вас на схеме указана возможность использования Nextcloud в качестве хранилища. Затем тогда FTP/SAMBA? Используйте все возможности NC, включая разграничение прав, квоты, совместную работу над документами, подключение АВ сканера, хранение предыдущих версий документов и корзину.
А ещё его можно сгенерировать внутри смарт-карты, откуда он никогда не будет скопирован.
А можете уточнить, что там в лицензии запрещающее клонирование? Насколько помню в астре все файлы подписаны, а их хеши необходимо сверять с эталоном на компакт-диске, так что они наоборот топят за неизменяемость.
Можно же склонировать ОС и выполнить post-install: перегенерить ключи, расширить lvm диски, если целевой диск по объему больше чем в образе, сменить hostname, в домен ввести и прочее, что выполняется скриптами.
В эпоху "Anything as a Service", как вы лично оцениваете необходимость обладания стационарным принтером? Можете назвать порядок цифр, начиная с какого экземпляра фото отобьется стоимость принтера по сравнению с печатью в дорогой фотолабе снимков формата A5?
P.S. раньше были традиции фотографировать и распечатать в альбом. Сейчас, при наличии гаджетов, альбомы ушли в цифровые облака и обмен фото через соцсети/мессенджеры. Максимум куда необходимо распечатать фото - в рамку на стену. Итого потребность в фото у обычного человека сводится с 3-10 экземплярам печатных фото.
Паспорт - документ, удостоверяющий личность. Так что, главное в нём всё-таки Ф.И.О. и фото. А номер паспорта - технический номер, а не ваш (или относящийся к вашей личности).
Мне интересно, как с этой симкой заграницу выезжать? Она же будет являться сертифицированным СКЗИ, с отечественной криптографией, которые, насколько я помню, подлежат вывозу по согласованию с органами.
Сделал практически то же самое (еще при первых тревожных звоночках о РКН), но на OpenVPN. А буквально вчера, перевел на Wireguard. По статьям в интернет настраивается за 30 минут, включая аренду ВМ. Наверное, дольше искал провайдера (в свое время остановился на zomro с тарифом 2.5$/мес.)
К слову о Wirequard, для мобильного клиента есть хорошая фича: добавление конфига по QR-коду. QR-код можно сгенерировать прямо в консоли сервера при помощи пакета qrencode. Это избавляет от необходимости переноса ключей/конфигов через сторонние сервисы/шнурки и пр..
"Гуру" может однажды под трамвай попасть или уйти в запой, или на сказочное Бали уехать. Что в этом случае делать корпорации?
Контракт для того и заключается, что дает гарантии заказчику в любой момент получить поддержку, исправление критической уязвимости и т.п. вне зависимости от конкретных людей, т.к. есть штат квалифицированных специалистов, которые хотят кушать (и те кто их организует под одной крышей тоже хочет кушать).
Флутиказон, попробуйте. Действовать начинает не сразу, на третий день где-то.
Если это домашний компьютер, то почему бы и нет?
Я понимаю, если он в сети предприятия установлен, где при не совсем грамотной настройке сети, XP можно было бы атаковать, используя известные уязвимости.
А дома, находясь за NAT, при наличии не самой старой версии браузера, да ещё если и SRP включить, то вполне можно жить.