Автор: Александр О. | 97829 | 27.07.2018 15:52 |
Господа, перебирал реестр винды, надумал над вопросом.
Ситуация - допустим кто-то подключил незарегистрированную флешку в АРМ, мы знаем электронный номер флешки. Как узнать какой пользователь совершил данное действие, если журналы ОС и журнал СЗИ ничего не говорят - перезаписались из-за объема. П.С. такой ситуации не возникало лично, но задумался.. конечно СЗИ не даст доступ к флешке, но все же... Алгоритм определения пользователя, который вставил незарегистрированный USB накопитель в аттестованный АРМ. 1. Узнаём соответствие SID пользователей с их логином HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\<SID>\ProfileImagePath – смотрим пути пользователей, определяем соответствие SID и логинов – запоминаем. 2. Узнаем DiskID - уникальный ID, который присваивает всем usb-накопителям Windows HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\название_USB \эл_номер\Device Parameters\Partmgr – узнаём параметр DISKID ( большой номер из чисел и букв) 3. Производим вход в ОС под каждым пользователем и смотрим HKEY_USERS\s-1-5-21-……….-…………….-………-…..\software\microsoft\windows\currentversion\explorer\mountpoints2 – ищем запись DISKID. Если пользователь вставлял незарегистрированной USB, в списке отобразиться DISKID. Важно! DISKID в ветке ….\explorer\mountpoints2 будет отображаться у тех пользователей, которые вставляли данную флешку ---> Данным алгоритмом работы мы определяем всех пользователей кто вставлял флешку. Те пользователи, которые не вставляли флешку, запис DISKID в ветке ….\explorer\mountpoints2 не будет. Прошу высказать мнение, по моему алгоритму, и правильный ли он. А точнее будет ли это неоспоримым доказательством в определении нарушителей. |
Автор: Max | 97831 | 27.07.2018 16:17 |
Зачем изобретать велосипед? Если у вас Даллас стоит, там журналы не затираются, а складываются в бэкап, восстановите журнал, посмотрите время и дату и узнаете.
Если Секрет нет, поставьте блокировку пользователя при изменении аппаратной конфигурации. Неоспоримым доказательством для кого? Для руководства для должно быть максимально понятно, а ваш алгоритм это лечение запора горчичниками. |
Автор: Александр О. | 97832 | 27.07.2018 16:30 |
то Мах, а Страж 2.5?)
второй вариант событий - если в незащищенный комп(без аттестата и СЗИ) вставили флешку с категорией, то как тогда? |
Автор: oko | 97834 | 27.07.2018 16:52 |
to Александр О.
1. Вычищаем реестр от USB блочных устройств, а также от их драйверов (USBOblivion в помощь). 2. Очищаем setupapi.dev.log. 3. Ведем журнал выдачи паролей/ключей доступа пользователям АС (обязаловка же). 4. Ждем. 5. При подключении нового USB блочного устройства в setupapi.dev.log попадет информация об установке драйвера с точностью времени до мкс. Читаем, анализируем, сравниваем с журналом выдачи ключей/паролей. Если предположить, что в период пользования АС лицо, получившее ключи/пароли, покинуло помещение и, следовательно, подключение USB-устройства произвел тот самый "внешний нарушитель", то... все равно надо раздать люлей юзеру за оставление рабочего места без присмотра. Заодно подумаете и переделаете инструкцию по эксплуатации АС в нужную сторону, ага... |
Автор: Dfg | 97838 | 27.07.2018 18:33 |
Александр О
А если в телефон через переходник вставили флешку с категорией, что тогда? Тут надо в сторону криптографии (кодирования) по хорошему смотреть. |
Автор: sekira | 97843 | 27.07.2018 21:49 |
"Ведем журнал выдачи паролей/ключей доступа пользователям АС (обязаловка же)"
А можно поподробнее где такая обязаловка написана? "А если в телефон через переходник вставили флешку с категорией, что тогда?" тогда телефон сжеч и пепел съесть... :)), только режим и доверие все техникой не покроешь |
Автор: oko | 97844 | 27.07.2018 22:06 |
to sekira
<А можно поподробнее...> - вам такие вещи как журнал учета и личная карточка учета средств доступа (ИАФ) к АС ни о чем не говорят? Согласен, возможно это не идет по букве существующих НМД, но уже де факто стандарт, как пароль >=8 символов (вместо 6, ага). С трудом представляю себе ГТ-АС, где сотрудники имеют право личного и бесконтрольного хранения средств ИАФ (за исключением РСП, разумеется). Иначе нахрена козе баян? <...только режим и доверие все техникой не покроешь> - новый букварь и НМД иже с ним все больше намекают на радикальное снижение количества съемных носителей... to Dfg Беда всех съемных носителей в том, что они съемные. И криптозащита тут особо не поможет (потому что есть паническое ощущение, что "завтра все будет безвозвратно зашифровано", ага)... |
Автор: sekira | 97878 | 28.07.2018 09:22 |
"Вам такие вещи как журнал учета и личная карточка учета средств доступа (ИАФ) к АС ни о чем не говорят?"
Зачем если есть разрешительная а авторизационные данные на бланке, или карточке? Журнал зачем? То есть обязаловка все же не обязаловка, а возможные локальные правила согласно своей инструкции СВТ ГТ в организации.То есть "де факто стандарт" но делать не обязан. СЗИ же ведет журналы? "С трудом представляю себе ГТ-АС, где сотрудники имеют право личного и бесконтрольного хранения средств ИАФ (за исключением РСП, разумеется)" Да ваще ни проблема у каждого свой ключ в своем сейфе. Ключ не носитель . Большинство силовых ведомств так и работает еще и с разделенным делопроизводством и со своими носителями. |
Автор: oko | 97884 | 28.07.2018 12:43 |
to sekira
<СЗИ же ведет журналы?> - это если АИБ из РСП, а не от тех сотрудников, которые разделенные и со своим делопроизводством. Иначе будет и туча левых flash, и порнобаннер на весь экран (при обновлении баз АВЗ через Интернет, ага), и прочий разброд и шатание. Плавали-знаем... Вот для того журнал учета и нужен. Матрица статична, она не учитывает факт получения/возврата средств ИАФ в сутки. А это критично, особенно в тех АС, где машина де факто за конкретным сотрудником не закреплена... Да, перечитал 3-1, СТР и проч. буквари - обязаловки нет, согласен. Но настолько привык уже и понимаю суть к доп.контроля, что удивился иной ситуации... ЗЫ Кстати, вы про карточку обмолвились - она же синоним журнала учета, не? |
Автор: sekira | 97893 | 28.07.2018 16:50 |
Карточка для паролей, и учет ключ-юзер.
|
Просмотров темы: 4874