Разрешить алгоритмы шифрования совместимые с windows nt 4

Обновлено: 18.05.2024

Сегодня мы с вами все чаще и чаще используем ноутбуки и нетбуки и дома и на работе. Это неудивительно, так как это просто удобно, как в работе, так и дома.

Однако не стоит забывать, что именно мобильная техника все чаще и чаще приводит к утечкам конфиденциальной информации или персональных данных. Таким образом мобильность это не только достоинство, но и недостаток. В связи с этим возникает проблема защиты хранимой на портативных устройствах информации.

Не так давно было проведено исследование Ponemon Institute, которое показало, что в аэропортах США ежегодно теряется около 637 тыся ноутбуков

В большинстве стран ноутбуки чаще всего оставляют в номерах гостиниц. Потеря ноутбука в арендованной машине или в зале ожидания аэропорта занимает 2 и 3 места в списке самых частых причин утраты служебного ПК в США, Германии, Франции и Великобритании. Напротив, в Бразилии и Мексике чаще всего ноутбуки пропадают в результате квартирной кражи – их воруют прямо из дома владельца.

Опрошенные респонденты сообщили, что в их организациях ноутбук в качестве основного ПК используют от 23 до 33% сотрудников. В ближайшие

В распоряжении группы канадских студентов оказался жесткий диск с информацией о многомиллионном контракте, заключенном между министерством обороны США и подрядчиком Northrop Grumman. Студенты приобрели носитель с гостайнами всего за 40 долларов на «блошином» рынке в африканской республике Гана.

Что объединяет все эти происшествия? Да то, что ни в одном случае данные не были зашифрованы! А ведь это решило бы все вышеуказанные проблемы.

О шифровании много говорят и много пишут, однако, как показало исследование, проведенное компанией InfoWatch (рис.1) главной проблемой является не технология шифрования а все же люди.

Причины отказа от внедрения шифрования

Рисунок 1 Причины отказа от внедрения шифрования

И все же шифрование сегодня это необходимость. В данной статье мы с вами рассмотрим шифрование в Windows 7 шаг за шагом.

Естественно, в том случае, если вы все же решите внедрять шифрование, не забудьте о том, что вначале вы должны внедрить шифрование в тестовой среде, а уж потом внедрять его в организации.

Что такое BitLocker?

BitLocker – составная часть системы безопасности Windows 7, предназначенная в качестве последней линии физической обороны, шифрование системного раздела, разделов данных или внешних (съемных) дисков и USB-флеш.

С моей точки зрения, наиболее эффективно применение данной технологии на компьютерах, оборудованных TPM-модулем версии не ниже 1.2.

При использовании данного модуля возможно использование многофакторной аутентификации при шифровании

Подробнее о различиях в аутентификации и хранении ключей шифрования мы поговорим далее в данной статье.

  1. Компьютер должен удовлетворять минимальным требованиям для ОС Windows 7
  2. ТРМ-модуль версии 1.2
  3. Trusted Computing Group (TCG) –совместимый BIOS для шифрования раздела операционной системы
  4. В BIOS первым загрузочным устройством установлен жесткий диск

Примечание пункты 2 и 3 являются желательными, но не обязательными. В случае, когда они не выполнимы, ваш BIOS должен поддерживать обращение к USB-флеш диску во время загрузки.

Шифрование системного раздела компьютера, оборудованного ТРМ

Доступ к ТРМ без ПИН-кода

Учтите, что для проведения шифрования у вас должны быть права администратора на данном ПК. Кроме того, необходимо заранее сконфигурировать принтер для печати пароля восстановления.

Для шифрования системного раздела необходимо сделать следующее:

  • Пуск – Панель управления – Система и Безопасность – Шифрование диска BitLocker
  • Включить BitLocker на системном разделе (рис.2).

Шифрование диска BitLocker

Рисунок 2 Шифрование диска BitLocker

  1. После этого начнется проверка, удовлетворяет ли ваш компьютер системным требованиям.
  2. Если Да, то на следующем шаге начнется подготовка диска, включение ТРМ и шифрование диска [1] .
  3. Если ТРМ не будет проинициализирован, мастер установки BitLocker потребует вытащить CD, DVD или USB-диск и перезагрузить компьютер для включения ТРМ.
  4. После подтверждения о наличии ТРМ запустится ОС и произойдет инициализация ТРМ модуля
  5. После окончания процесса инициализации TPM вы должны выбрать метод хранения пароля восстановления. Существуют следующие способы:

Сохранить пароль восстановления на USB-флеш диске

Сохранить пароль восстановления в текстовом файле

Распечатать пароль восстановления

Рекомендуется выбрать несколько вариантов хранения пароля восстановления. Пароль восстановления состоит из 48 символов.

По окончании процедуры шифрования ваш жесткий диск будет зашифрован. При этом ключ шифрования будет храниться в ТРМ.

Недостатком данного метода является то, что если вы выбрали просто пароль для входа в систему, либо вообще ваша учетная запись не имеет пароля, то при хищении вашего ноутбука данные тоже могут быть похищены.

Доступ к ТРМ с ПИН-кодом

Для обеспечения повышенного уровня безопасности необходимо применение многофакторной аутентификации. Для этого необходимо внести изменения на уровне локальных групповых политик, запустив gpedit.msc

Административные шаблоны – Компоненты Windows – Шифрование BitLocker – Диски операционной системы.

Далее выбрать параметр Обязательная дополнительная проверка подлинности при запуске.

Этот параметр политики позволяет указать, требует ли BitLocker дополнительную проверку подлинности при каждом запуске компьютера, а также указать, используется ли BitLocker в сочетании с доверенным платформенным модулем (TPM) либо же без него.

При запуске компьютере, на котором имеется совместимый доверенный платформенный модуль (TPM), могут использоваться четыре метода проверки подлинности, призванные обеспечить дополнительную защиту зашифрованных данных. Для проверки подлинности при запуске компьютера можно использовать только доверенный платформенный модуль (TPM), либо же дополнительно потребовать установить USB-устройство флэш-памяти с ключом запуска, ввести ПИН-код, содержащий от 4 до 20 цифр, либо же сделать и то, и то.

В дальнейшем при запуске шифрования пользователя попросят ввести ПИНкод. Ввод ПИН-кода будет необходим при каждой перезагрузке системы.

Сам процесс шифрования за исключением процедуры ввода ПИН-кода ничем не отличается от приведенной выше.

Для некоторых ПК возможно применение расширенного ПИН-кода (в случае если BIOS позволяет эту процедуру). В таком случае ПИН-код будет включать не только цифры, а и буквы, что, безусловно, делает его еще более устойчивым к подбору.

Шифрование системного раздела на компьютерах, не оборудованных ТРМ

В связи с тем, что согласно законодательства некоторых стран, в том числе

России, в них запрещен ввоз компьютеров, оборудованных ТРМ-модулем, рассмотрим случай, когда необходимо шифровать системный раздел на компьютере, не оборудованном ТРМ.

В этом случае, аналогично приведенному выше сценарию, нам придется вначале изменить правило в локальной групповой политике.

Для этого запускаем gpedit.msc и находим то же самое правило

Обязательная дополнительная проверка подлинности при запуске. Далее нам необходимо включить данное правило (рис.3) и разрешить использование BitLocker без совместимого ТРМ.

Обязательная дополнительная проверка подлинности при запуске

Рисунок 3 Обязательная дополнительная проверка подлинности при запуске

Следует учесть, что такое использование шифрования куда менее надежно, чем использование ТРМ, ведь чаще всего пользователь будет хранить USBфлеш диск в той же сумке, в которой он хранит ноутбук, что существенно облегчит работу злоумышленника.

В дальнейшем процесс шифрования производится по описанному выше сценарию.

Шифрование диска данных проводится

Для шифрования системного раздела необходимо сделать следующее:

  1. Пуск – Панель управления – Система и Безопасность – Шифрование диска BitLocker
  2. Включить BitLocker на диске данных.
  3. Мастер шифрования BitLocker как вы хотите расшифровывать диск. Диск данных может быть расшифрован:

Автоматически (данный вариант рекомендуется в случае если вы зашифровали системный раздел).

После ввода пароля

После того как вставлена смарт-карта

  1. До начала процесса шифрования вы должны сохранить пароль восстановления одним из следующих способов:

Сохранить пароль восстановления на USB-флеш диске

Сохранить пароль восстановления в текстовом файле

Распечатать пароль восстановления

  1. Используя локальные групповые политики вы сможете настроить параметры использования USB-флеш диска, однако, по-моему, это актуально для корпоративной среды. При это можно использовать следующие параметры:

Разрешить доступ к съемным дискам, защищенным BitLocker из более ранних версий Windows. При этом доступ из более ранних версий будет осуществлен только по чтению.

Настроить использование паролей для съемных дисков с данными. Этот параметр политики определяет, требуется ли пароль для разблокировки съемных дисков с данными, защищенными с помощью Bitlocker. Если разрешить использование пароля, можно сделать его обязательным, установить требования к его сложности и задать минимальную длину пароля.

Для обновления шифрования BitLocker вручную вы должны сделать следующее:

Администратора и в этом окне наберите manage-bde.exe -upgrade

Хотелось бы верить, что данные материалы помогут вам в использовании шифрования BitLocker в операционной системе Windows 7. Однако вместе с тем хочу вас предупредить, что использование шифрования это всего лишь один из методов защиты ваших данных и не является своего рода панацеей. Кроме того, неправильное понимание средств и методов использования шифрования может нанести вашей организации непоправимый вред. Так что будьте внимательны.

Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.



Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.

Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.

RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.

Как защитить RDP и настроить его производительность

Шифрование и безопасность Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP.
Оптимизация Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов».

Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?

Подключение к удаленному рабочему столу

Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.

Для удаленного подключения к компьютеру нужно разрешить подключение в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.

Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.

Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.

Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.

Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.



При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:
Параметр Значение
/v:<сервер[: порт]>
Удаленный компьютер, к которому выполняется подключение.
/admin
Подключение к сеансу для администрирования сервера.
/edit
Редактирование RDP-файла.
/f
Запуск удаленного рабочего стола на полном экране.
/w:<ширина>
Ширина окна удаленного рабочего стола.
/h:<высота>
Высота окна удаленного рабочего стола.
/public
Запуск удаленного рабочего стола в общем режиме.
/span
Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов.
/multimon
Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента.
/migrate
Миграция файлов подключения прежних версий в новые RDP-файлы.


Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.

На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:


А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.

Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.

У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.

Нажав кнопку «Подключить», вы увидите окно с полями авторизации.

Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.

С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.

Настройка другой функциональности удаленного доступа

В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.

Вкладка Назначение
«Экран» Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета.
«Локальные ресурсы» Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски.

Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.

Как «угнать» сеанс RDP?

Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.

Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:


Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:

  • Вы можете подключиться к отключенным сеансам. Поэтому, если кто-то вышел из системы пару дней назад, вы можете просто подключиться прямо к его сеансу и начать использовать его.
  • Можно разблокировать заблокированные сеансы. Поэтому, пока пользователь находится вдали от своего рабочего места, вы входите в его сеанс, и он разблокируется без каких-либо учетных данных. Например, сотрудник входит в свою учетную запись, затем отлучается, заблокировав учетную запись (но не выйдя из нее). Сессия активна и все приложения останутся в прежнем состоянии. Если системный администратор входит в свою учетную запись на этом же компьютере, то получает доступ к учетной записи сотрудника, а значит, ко всем запущенным приложениям.
  • Имея права локального администратора, можно атаковать учетную запись с правами администратора домена, т.е. более высокими, чем права атакующего.
  • Можно подключиться к любой сессии. Если, например, это Helpdesk, вы можете подключиться к ней без какой-либо аутентификации. Если это администратор домена, вы станете админом. Благодаря возможности подключаться к отключенным сеансам вы получаете простой способ перемещения по сети. Таким образом, злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри сети компании.
  • Вы можете использовать эксплойты win32k, чтобы получить разрешения SYSTEM, а затем задействовать эту функцию. Если патчи не применяются должным образом, это доступно даже обычному пользователю.
  • Если вы не знаете, что отслеживать, то вообще не будете знать, что происходит.
  • Метод работает удаленно. Вы можете выполнять сеансы на удаленных компьютерах, даже если не зашли на сервер.

Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.

В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.

    Для доступа к файлам на удаленном компьютере можно использовать OneDrive:

1. Что такое шифрование?

2. Для чего применяются алгоритмы хеширования?

В случае применения к документу функции хеширования выходные данные фиксированной длины представляют собой уникальный идентификатор оригинального документа. Когда хешированное значение полученного по каналам связи документа идентично соответствующему значению отправленного документа, получатель может быть уверен, что никто не вносил изменений в документ «по пути следования». Если же значения функций хеширования разнятся, документ попадает под подозрение.

Кроме того, функции хеширования обеспечивают безопасность хранения паролей. Дело в том, что операционные системы, как правило, сохраняют не сами пароли в виде открытого текста, а значение функции хеширования пароля, которое именуют также производной пароля (password derivative). Когда пользователь пытается получить доступ, операционная система сопоставляет хранимую производную пароля с подобным же образом преобразованными данными клиента. При совпадении производных доступ предоставляется.

3. В чем различие между шифрованием с помощью закрытых и открытых ключей?

Шифры на основе ключей разделяются на две категории: с использованием закрытых и открытых ключей. Если не вдаваться в детали, можно сказать, что шифры на базе закрытых ключей быстро рассчитываются, но труднее реализуются, а шифры на базе открытых ключей рассчитываются медленнее, зато гораздо более надежны.

Шифры на основе закрытых ключей. В этих шифрах как для шифрования, так и для расшифровки данных применяется один и тот же ключ. Самый старый и наиболее распространенный алгоритм с использованием закрытых ключей - это Data Encryption Standard (DES). В нем применяется 56-разрядный ключ. После того как специалисты нескольких компаний наглядно продемонстрировали, что 56-разрядному стандарту DES присущи недостатки, которые невозможно устранить, по поручению правительства США была разработана усовершенствованная версия алгоритма, получившая название Triple DES (3DES). Это расширенная версия алгоритма, и в ней используются один, два или даже три ключа, а вычисления разделяются на три этапа. Разработанные в лабораториях RSA Laboratories шифры на базе закрытых ключей RC2 и RC4 предусматривают использование алгоритмов, взломать которые труднее, чем шифр DES с 56-разрядным ключом.

В самых высокопроизводительных и надежных криптографических системах применяются алгоритмы шифрования и с открытым, и закрытым ключом. Такое сочетание позволяет воспользоваться преимуществами обеих технологий. Требовательные к вычислительным ресурсам криптосистемы с открытым ключом применяются для организации безопасного обмена ключами и проверки идентичности отправителя, тогда как гораздо более «скоростные» алгоритмы на основе закрытого ключа используются для шифрования данных и проверки полномочий как отправителя, так и получателя (ведь оба они принимают участие в передаче и использовании одного и того же закрытого ключа). По данным, приведенным в ответах на вопросы посетителей сайта RSA Laboratories, программные средства позволяют выполнять алгоритм DES примерно в 100 раз быстрее, а аппаратные - в 1000 и даже в 10 000 раз быстрее, нежели разработанный RSA алгоритм шифрования с открытым ключом.

4. Почему так важна длина ключа?

5. Какими средствами шифрования оснащена система NT 4.0?

Операционная система Windows NT поставляется со средствами шифрования двух уровней надежности: стандартным (standard) и высоким (high). Уровень надежности зависит прежде всего от разрядности ключей, применяемых в среде NT для шифрования с закрытым ключом в соответствии с алгоритмами RC2 и RC4. Корпорация Microsoft выпустила эту операционную систему со стандартным уровнем надежности в 40 бит, однако в пакете исправлений Service Pack 6a (SP6a) «планка» стандарта была поднята до 56 бит. При установке стандартной версии NT система устанавливает базовые средства Crytpographic Service Provider (CSP), предназначенные для использования 40-разрядных или 56-разрядных ключей в зависимости от версии пакета исправлений.

6. Какую роль играет CryptoAPI?

Microsoft выпускает две версии модуля CryptoAPI: базовую (base provider) - rsabase.dll, и усовершенствованную (enhanced provider) - rsaenh.dll. При инсталляции стандартной версии NT в системе устанавливается файл rsa-base.dll; версия с усиленной защитой устанавливает файл rsaenh.dll. В Таблице 1 показаны различия в разрядности ключей динамически подключаемых библиотек базовой и усовершенствованной версий. Библиотека усовершенствованной версии обеспечивает удвоение разрядности ключей для алгоритмов шифрования с открытым и закрытым ключом, а также подключает средства шифрования по стандартам DES и 3DES. Длина ключей базовой библиотеки для стандартов RC2 и RC4 составляет 56 бит при использовании пакетов исправлений SP6a и более поздних версий, и 40 бит - для более ранних версий.

Оба набора CSP поставляются с соответствующими файлами подписи. Файл подписи базовой версии rsabase.dll называется rsasig.dll, а усовершенствованная версия rsaenh.dll укомплектована файлом подписи enhsig.dll. Модуль CryptoAPI периодически проверяет подпись на сопровождающем файле, чтобы исключить возможность модификации программных компонентов.

7. Какие средства обеспечения безопасности предоставляет операционная система с возможностью усиленного шифрования?

Усиленные средства шифрования обеспечивают надежную защиту каналов связи между контроллерами доменов (DC), серверами и рабочими станциями, а также между модулем Microsoft Outlook и Microsoft Exchange Server. Наконец, версия операционной системы с усиленным шифрованием лучше всего защищает информацию удаленных пользователей, которые применяют средства шифрования для доступа к локальной сети через коммутируемые линии или соединения VPN.

8. Как модернизировать версию NT до уровня, обеспечивающего повышенную надежность средств шифрования данных?

  • максимально защищенные каналы связи между контроллерами доменов, серверами и рабочими станциями;
  • надежное шифрование данных для удаленных пользователей, которые обращаются к ЛВС через коммутируемые или VPN-соединения;
  • максимально защищенные каналы связи между Outlook и сервером Exchange Server;
  • обмен надежно зашифрованными данными с защищенным узлом Web.

9. Как модернизировать Internet Explorer (IE) до уровня, обеспечивающего повышенную надежность средств шифрования данных?

Средства модернизации для браузеров IE 5.1, IE 5.0 и IE 4.x выбираются в соответствии с версией установленного в системе пакета исправлений NT, поэтому необходимо проследить за тем, чтобы загружался файл, предназначенный именно для данного пакета исправлений. Один файл загружается для пакетов SP5 или SP4, а другой - для пакетов SP6a или SP6. Надо сказать, что обе версии содержат одни и те же семь файлов, но некоторые из динамически подключаемых библиотек в разных версиях имеют разные размеры; по-видимому, это сделано для того, чтобы учесть различия в реализации тех или иных пакетов.

Средства модернизации браузеров IE, обеспечивающие повышенную надежность средств шифрования данных, включают в себя файлы rsaenh.dll, sch128c.dll, enhsig.dll, ie5dom.inf, advpack.dll, w95inf32.dll и w95inf16.dll. Если же нужно выполнить модернизацию до уровня, обеспечивающего повышенную надежность средств шифрования данных, одной из моделей браузера - IE 5.01 или IE 5.0 - понадобится загрузить лишь один файл для всех версий операционной системы NT 4.0 и Windows 9x.

10. Как определить уровень надежности установленных в системе средств шифрования данных?

IE. По умолчанию браузер IE 5.5 использует усовершенствованные средства шифрования. Чтобы узнать номер версии изделия, надо выбрать пункт About Internet Explorer меню Help браузера IE. В файле ie5dom.inf, определяющем модернизацию средств шифрования браузеров IE 5.0 и IE 4.0, упоминается один уникальный файл, не входящий в модернизированную версию NT. Чтобы убедиться в том, что в системе используется оснащенный усовершенствованными средствами шифрования браузер IE 5.1 или IE 5.0, попробуйте найти в каталоге system32 файл sch128c.dll. Как показано на Экране 2, в описании Original Filename на вкладке Version окна Properties файла sch128c.dll говорится, что данный файл заменяет файл schannel.dll.

Шифрование хранимых в базе данных SAM паролей с помощью утилиты Syskey

Впрочем, администратор может ввести еще один уровень парольной защиты, активизировав средство Syskey, которое поставляется с каждой системой с тех пор, как был выпущен пакет исправлений SP3. Эта утилита обеспечивает надежное шифрование всех производных от паролей, хранимых операционной системой NT в базе данных SAM. Назначение данной функции - блокировать доступ к производным паролей со стороны тех пользователей, которые имеют права администраторов (полученные, возможно, незаконным путем). При запуске функции шифрования Syskey администратору предлагается выбрать один из трех вариантов генерации и сохранения системного ключа, с помощью которого кодируются производные от паролей. Прежде всего, можно выбрать сгенерированный машиной «случайный» ключ и затем с помощью сложного «затемняющего» алгоритма (obfuscation algorithm) сохранить ключ на локальной системе. Кстати, только этот вариант допускает перезапуск системы в автоматическом режиме. Далее, можно выбрать предложенный машиной «случайный» ключ и записать системный ключ шифрования на дискете. В этом случае при выключении системы она не перезапускается до тех пор, пока в накопитель не будет установлена дискета, содержащая сохраненный системный ключ. И, наконец, можно ввести пароль, обеспечивающий генерацию системного ключа, и NT не будет загружаться вновь до тех пор, пока пользователь не введет этот пароль перед запуском системы.

Абсолютная защита - недостижимый идеал

Растет вычислительная мощность процессоров, а параллельно совершенствуются средства, позволяющие быстро взламывать криптографические системы. Но, несомненно, уже скоро появятся новые алгоритмы шифрования, будут использоваться более мощные ключи. И тогда планка безопасности данных будет поднята еще выше.

С такой ошибкой к нам обратился клиент. Подключение идет с ПК Windows 7, на борту КриптоПро и Яндекс.Браузер. Последний — в списке рекомендуемых . Но что-то мешает.

Описание ошибки

Как правило, в таких случаях следует проверить стандартный, не всеми любимый Internet Explorer. Открыли, но также быстро закрыли — версия устарела (требуется 11.0.9600.xxxxx или выше). Вариант отпадает.

Конечно же, сделали попытку обновления IE, но получили еще больше предупреждений — мол, не хватает нескольких обязательных обновлений WIndows. Получается процесс затяжного и неустойчивого характера — отложили идею, поставив на полку до лучших времен.

Проверили ключ, сертификат и формирование подписи на тестовой странице — ошибок нет.

Chromium-GOST

Для тех, кто любит быстрые решения. Нас выручил специализированный Chromium-GOST , в который встроены алгоритмы шифрования ГОСТ.

На нем все запустилось, и мы сразу попали в личный кабинет ЮЛ.

Прочие рекомендации

1. Условия доступа

Еще раз ознакомьтесь с требованиями на странице выполнения условий доступа. Во время проверки сервис дает подсказки, на каком этапе есть ошибки. Позовите на помощь знакомого ИТ-специалиста.

2. Яндекс.Браузер

  • обновите версию браузера до актуальной (Меню « Дополнительно — О браузере » или скачайте инсталлятор с официального сайта );
  • в настройках активируйте опцию «Подключаться к сайтам, использующим шифрование по ГОСТ» (меню « Настройки — Системные — Сеть »);
Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP. Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.
  • на вкладке «Настройки TLS» для КриптоПро CSP снимите галку « Не использовать устаревшие cipher suite-ы ».

3. Версии протоколов

Для теста включите в настройках браузера поддержку старых версий протоколов SSL/TLS.

Например, для IE — TLS 1.0, TLS 1.1 и TLS 1.2, а также SSL 2.0 и 3.0.
Пуск — Выполнить — inetcpl.cpl — вкладка «Дополнительно»

4. Очистка кэша SSL

Если вы работаете с несколькими учетными записями (сертификатами), при каждой смене пользователя необходимо очистить SSL ( Настройки — Свойства браузера — вкладка «Содержание» — Очистить SSL ).

Пуск — Выполнить — inetcpl.cpl — вкладка «Содержание»

5. Прямая ссылка на ЛК

6. Запуск браузера без расширений/другие браузеры

Отключите в настройках браузера дополнительные расширения, чтобы исключить их влияние на работу с порталом ФНС.

Протестируйте работу в другом браузере из списка поддерживаемых:

  • Яндекс.Браузер версии 19.3 или выше;
  • Спутник версии 4.1.2583.0 (Официальная сборка) или выше, gostssl (32 бит);
  • Internet Explorer версии 11.0.9600.xxxxx или выше;
  • Chromium-GOST.

7. Настройка антивируса/брандмауэра

Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.

8. Проверка времени и даты

Проверьте установку времени, даты и часового пояса на вашем ПК. При необходимости измените их значения на корректные или включите автоматическую синхронизацию по расписанию.

9. Другие средства защиты

Одновременная и корректная работа с разными криптопровайдерами (VipNet CSP, Континент-АП, Агава и др.) на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.

✅ В настройке подключения есть свои тонкости и набор средств. Поэтому, каждый случай надо рассматривать отдельно. Универсального решения нет, проверьте рекомендации — что-то должно помочь. Успехов вам!

⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.

Читайте также: