Контакты
Подписка
МЕНЮ
Контакты
Подписка

Алгоритм определения пользователя, который вставил незарегистрированный USB накопитель. - Форум по вопросам информационной безопасности

Алгоритм определения пользователя, который вставил незарегистрированный USB накопитель. - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Александр О. | 97829 27.07.2018 15:52
Господа, перебирал реестр винды, надумал над вопросом.

Ситуация - допустим кто-то подключил незарегистрированную флешку в АРМ, мы знаем электронный номер флешки. Как узнать какой пользователь совершил данное действие, если журналы ОС и журнал СЗИ ничего не говорят - перезаписались из-за объема.

П.С. такой ситуации не возникало лично, но задумался.. конечно СЗИ не даст доступ к флешке, но все же...

Алгоритм определения пользователя, который вставил незарегистрированный USB накопитель в аттестованный АРМ.

1. Узнаём соответствие SID пользователей с их логином
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\<SID>\ProfileImagePath – смотрим пути пользователей, определяем соответствие SID и логинов – запоминаем.

2. Узнаем DiskID - уникальный ID, который присваивает всем usb-накопителям Windows
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\название_USB \эл_номер\Device Parameters\Partmgr – узнаём параметр DISKID ( большой номер из чисел и букв)

3. Производим вход в ОС под каждым пользователем и смотрим HKEY_USERS\s-1-5-21-……….-…………….-………-…..\software\microsoft\windows\currentversion\explorer\mountpoints2 – ищем запись DISKID. Если пользователь вставлял незарегистрированной USB, в списке отобразиться DISKID.

Важно! DISKID в ветке ….\explorer\mountpoints2 будет отображаться у тех пользователей, которые вставляли данную флешку ---> Данным алгоритмом работы мы определяем всех пользователей кто вставлял флешку. Те пользователи, которые не вставляли флешку, запис DISKID в ветке ….\explorer\mountpoints2 не будет.

Прошу высказать мнение, по моему алгоритму, и правильный ли он. А точнее будет ли это неоспоримым доказательством в определении нарушителей.

Автор: Max | 97831 27.07.2018 16:17
Зачем изобретать велосипед? Если у вас Даллас стоит, там журналы не затираются, а складываются в бэкап, восстановите журнал, посмотрите время и дату и узнаете.

Если Секрет нет, поставьте блокировку пользователя при изменении аппаратной конфигурации.

Неоспоримым доказательством для кого? Для руководства для должно быть максимально понятно, а ваш алгоритм это лечение запора горчичниками.

Автор: Александр О. | 97832 27.07.2018 16:30
то Мах, а Страж 2.5?)

второй вариант событий - если в незащищенный комп(без аттестата и СЗИ) вставили флешку с категорией, то как тогда?

Автор: oko | 97834 27.07.2018 16:52
to Александр О.
1. Вычищаем реестр от USB блочных устройств, а также от их драйверов (USBOblivion в помощь).
2. Очищаем setupapi.dev.log.
3. Ведем журнал выдачи паролей/ключей доступа пользователям АС (обязаловка же).
4. Ждем.
5. При подключении нового USB блочного устройства в setupapi.dev.log попадет информация об установке драйвера с точностью времени до мкс. Читаем, анализируем, сравниваем с журналом выдачи ключей/паролей.

Если предположить, что в период пользования АС лицо, получившее ключи/пароли, покинуло помещение и, следовательно, подключение USB-устройства произвел тот самый "внешний нарушитель", то... все равно надо раздать люлей юзеру за оставление рабочего места без присмотра. Заодно подумаете и переделаете инструкцию по эксплуатации АС в нужную сторону, ага...

Автор: Dfg | 97838 27.07.2018 18:33
Александр О
А если в телефон через переходник вставили флешку с категорией, что тогда?

Тут надо в сторону криптографии (кодирования) по хорошему смотреть.

Автор: sekira | 97843 27.07.2018 21:49
"Ведем журнал выдачи паролей/ключей доступа пользователям АС (обязаловка же)"
А можно поподробнее где такая обязаловка написана?

"А если в телефон через переходник вставили флешку с категорией, что тогда?"
тогда телефон сжеч и пепел съесть... :)), только режим и доверие все техникой не покроешь

Автор: oko | 97844 27.07.2018 22:06
to sekira
<А можно поподробнее...> - вам такие вещи как журнал учета и личная карточка учета средств доступа (ИАФ) к АС ни о чем не говорят? Согласен, возможно это не идет по букве существующих НМД, но уже де факто стандарт, как пароль >=8 символов (вместо 6, ага). С трудом представляю себе ГТ-АС, где сотрудники имеют право личного и бесконтрольного хранения средств ИАФ (за исключением РСП, разумеется). Иначе нахрена козе баян?
<...только режим и доверие все техникой не покроешь> - новый букварь и НМД иже с ним все больше намекают на радикальное снижение количества съемных носителей...

to Dfg
Беда всех съемных носителей в том, что они съемные. И криптозащита тут особо не поможет (потому что есть паническое ощущение, что "завтра все будет безвозвратно зашифровано", ага)...

Автор: sekira | 97878 28.07.2018 09:22
"Вам такие вещи как журнал учета и личная карточка учета средств доступа (ИАФ) к АС ни о чем не говорят?"
Зачем если есть разрешительная а авторизационные данные на бланке, или карточке? Журнал зачем? То есть обязаловка все же не обязаловка, а возможные локальные правила согласно своей инструкции СВТ ГТ в организации.То есть "де факто стандарт" но делать не обязан. СЗИ же ведет журналы?
"С трудом представляю себе ГТ-АС, где сотрудники имеют право личного и бесконтрольного хранения средств ИАФ (за исключением РСП, разумеется)"
Да ваще ни проблема у каждого свой ключ в своем сейфе. Ключ не носитель . Большинство силовых ведомств так и работает еще и с разделенным делопроизводством и со своими носителями.

Автор: oko | 97884 28.07.2018 12:43
to sekira
<СЗИ же ведет журналы?> - это если АИБ из РСП, а не от тех сотрудников, которые разделенные и со своим делопроизводством. Иначе будет и туча левых flash, и порнобаннер на весь экран (при обновлении баз АВЗ через Интернет, ага), и прочий разброд и шатание. Плавали-знаем...
Вот для того журнал учета и нужен. Матрица статична, она не учитывает факт получения/возврата средств ИАФ в сутки. А это критично, особенно в тех АС, где машина де факто за конкретным сотрудником не закреплена...
Да, перечитал 3-1, СТР и проч. буквари - обязаловки нет, согласен. Но настолько привык уже и понимаю суть к доп.контроля, что удивился иной ситуации...

ЗЫ Кстати, вы про карточку обмолвились - она же синоним журнала учета, не?

Автор: sekira | 97893 28.07.2018 16:50
Карточка для паролей, и учет ключ-юзер.


Просмотров темы: 4874

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*