Руководство администратора безопасности Использование скзи класса защиты кс3 под управлением


Интерфейсной библиотеки криптопровайдера



Pdf просмотр
страница2/2
Дата24.11.2016
Размер1.26 Mb.
Просмотров420
Скачиваний1
ТипРуководство
1   2
Интерфейсной библиотеки криптопровайдера (см. 2.3.1) в варианте функционирования ПО КриптоПро CSP в ядре ОС Windows. Драйвер поддерживает выполнение функций шифрования, имитозащиты, хеширования, проверки подписи и выработку ключей согласования на эфемерных ключах. Драйвер не поддерживает работу с пользовательскими ключами.
2.4.4.
Интерфейс доступа к физическому и БиоДСЧ
Библиотека cprndm.dll обеспечивает унифицированный интерфейс доступа к физическому или
БиоДСЧ.
2.4.5.
Интерфейсные модули ДСЧ
Обеспечивают реализацию доступа к конкретным типам ДСЧ:
bio.dll
БиоДСЧ
accord.dll
ДСЧ ПАК "Аккорд-АМДЗ"
sable.dll
ДСЧ электронного замка "Соболь"
2.4.6.
Панель управления ресурсами СКЗИ КриптоПро CSP
Управление ресурсами СКЗИ КриптоПро CSP осуществляется командным файлом cpconfig.cpl через панель управления ”Свойства: КриптоПро CSP”. К основным средствам управления ресурсами СКЗИ относятся средства управления: лицензиями;
ДСЧ; библиотеками считывания ключевой информации; закрытыми ключами и сертификатами открытых ключей; параметрами СКЗИ.
Определение правил пользования данными средствами приводится в документе "ЖТИЯ.00083-01 90 03. КриптоПро CSP . Инструкция по использованию."

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
11
2.5.
Модуль поддержки сетевой аутентификации КриптоПро
TLS
Модуль поддержки сетевой аутентификации реализуется в форме подгружаемой библиотеки и реализует подмножество интерфейса Microsoft SSPI(SSP/AP) (см. соответствующий раздел MSDN).
Модуль обеспечивает аутентичное защищенное соединение между пользователем и сервером.
cpssl.dll, cptls.dll, cpsspap.dll – при установке модуля аутентификации поддерживающего аутентификацию в домене, cpsspcore.dll, ssp.dll – без возможности доменной аутентификации.
2.6.
ПКЗИ КриптоПро CSP
2.6.1.
Интерфейс доступа к ключевым носителям
Библиотека cprdr.dll обеспечивает унифицированный интерфейс доступа к ключевым носителям вне зависимости от их типа.
2.6.2.
Интерфейсные модули устройств хранения ключевой информации
Модули обеспечивают реализацию доступа к конкретным типам ключевых носителей и считывателей:
fat12.dll
- к дисководу и дискетe 3.5"
reg.dll - к системнному реестру и ключам в них
accord.dll
- к ПАК Аккорд-АМДЗ
sable.dll
- к электронному замку "Соболь"
dallas.dll
- к считывателю Touch-memory Dallas
ric.dll - к смарткарте РИК и Оскар
emv.dll
- к смарткарте MPCOS EMV/3DES
hs.dll - к электронному ключу eToken
pcsc.dll
- к считывателям смарткарт и eToken, поддерживающим интерфейс PC/SC
ds199x.dll
- к таблеткам DS1996, DS1995 2.6.3.
Библиотека поддержки доступа к ключевым носителям
Библиотека cpsuprt.dll обеспечивает реализацию общих функций доступа к различным устройствам хранения ключевых носителей.
2.6.4.
Модуль ASN1
Поддерживает функции преобразования структур данных в машинно-независимое представление.
2.6.5.
Использование ключей реестра Windows
Установка программного обеспечения должна производится пользователем с правами администратора. При этом программа установки требует доступ к следующим ключам реестра:
HKEY_LOCAL_MACHINE - полный доступ;
HKEY_CLASSES_ROOT - полный доступ.
При использовании СКЗИ КриптоПро CSP и создании ключей пользователей без использования флага CRYPT_LOCALMACHINE требуется доступ к следующим ключам реестра:
HKEY_LOCAL_MACHINE - чтение, перечисление;
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS - создание подключей, чтение, перечисление;
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\SID - полный доступ; SID - SID пользователя.
При использовании СКЗИ и создании ключей с использованием флага CRYPT_LOCALMACHINE дополнительно требуется доступ к следующим ключам реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings - полный доступ.
Для изменения конфигурации СКЗИ КриптоПро CSP с использованием панели управления (Control
Panel), кроме того, требуется полный доступ к ключу реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
12

Примечание. По умолчанию КриптоПро CSP может использовать до
65536 описателей криптографических объектов. Для увеличения этого значения необходимо добавить в реестр
(HKEY_LOCAL_MACHINE\SOFTWARE\Crypto
Pro\Cryptography\CurrentVersion\Parameters) параметр DWORD равный требуемому числу описателей, но не более 1048576.
3.
Установка дистрибутивов ПО КриптоПро CSP и
КриптоПро TLS
Установка дистрибутива КриптоПро CSP должна производится пользователем, имеющим права администратора.
Для установки программного обеспечения вставьте компакт-диск в привод считывателя. Из предлагаемых дистрибутивов выберите дистрибутив, подходящий для Вашей операционной системы, имеющий нужный Вам уровень защищенности и удобный для Вас язык установки.
Запустите выполнение установки.

Рис. 2. Приветственное окно мастера установки.
Если мастер установки обнаружит на машине более раннюю версию КриптоПро CSP, то в приветственном окне появится информация о замещаемых продуктах:

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
13
Рис. 3. Установка с замещением компонент.
Для дальнейшей установки КриптоПро CSP нажмите Далее
.
Последующая установка производится в соответствии с сообщениями, выдаваемыми программой установки. В процессе установки будет предложено зарегистирировать дополнительные считыватели ключевой информации, дополнительные датчики случайных чисел (для уровня КС2) или настроить криптопровайдер на использование службы хранения ключей (для уровня КС1). Все эти настройки можно произвести как в момент установки криптопровайдера, так и в любой момент после завершения установки через панель свойств.
После завершения установки дистрибутива необходимо произвести перезагрузку компьютера.
Иерархическая архитектура криптографических функций в операционной системе Windows позволяет использовать российские криптографические алгоритмы, реализованные в
КриптоПро CSP на самых различных уровнях.
3.1.
Параметры установки КриптоПро CSP.
При установке КриптоПро CSP можно использовать различные параметры командной строки, влияющие на устанавливаемые компоненты, начальную настройку продукта и т.д.
Для их использования необходимо запускать установку следующим образом: msiexec /i <полный или относительный путь к .msi-файлу> <параметры>
3.1.1.
Справочник параметров установки
Следующие опции позволяют не устанавливать соответствующие библиотеки поддержки:
NOACCORD=1 - Аккорд
NOBIO=1
- Биологический ДСЧ
NODALLAS=1 - Носители Dallas
NODS=1
- Считыватели Dallas
NODSRF=1
- ДСЧ "Последовательность поставщика"
NOEMV=1
- Карта EMV
NOFLOPPY=1 - Считыватель дискет
NOJCARD=1 - Карты JCard
NOPCSC=1
- PC/SC
NOREGISTRY=1
- Считыватель "Реестр"

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
14
NORIC=1
- Карты RIC/OSCAR
NORUTOKEN=1
- Носитель Rutoken
NOSABLE=1
- Соболь
Следующие опции позволяют управлять регистрацией поддерживаемого оборудования во время установки КриптоПро CSP (значение 0 означает "отключить опцию"; звездочкой отмечены опции, включенные по умолчанию):
REGACCORDRDR=1 - Зарегистрировать считыватель "Аккорд"
REGACCORDRND=1 - Зарегистрировать ДСЧ "Аккорд"
REGBIO=1
- Зарегистрировать биологический ДСЧ *
(только для КС1)
REGETOKEN=1
- Зарегистрировать все носители "Alladin eToken" * отдельные типы: REGETOKENJAVA10, REGETOKENJAVA10B, REGETOKENM420, REGETOKENM420B,
REGETOKEN16, REGETOKEN32, REGETOKENR2
REGFLOPPY=буквы - Зарегистрировать считыватель "дискета" для букв, указанных через запятую
REGPNPFLOPPY=1 - Зарегистрировать считыватель "Все съемные носители" *
REGDSRF=путь
- Зарегистрировать ДСЧ "Последовательность поставщика" и задать путь (без "\" на конце) к папке с db1, db2
REGDS1410E=порты - Зарегистрировать считыватель "DS1410E" (список портов через запятую:
LPT1,LPT2,...)
REGDS9097E=порты - Зарегистрировать считыватель "DS9097E" (список портов через запятую:
COM1,COM2,...)
REGDS9097U=порты - Зарегистрировать считыватель "DS9097U" (список портов через запятую:
COM1,COM2,...)
REGDS199X=1
- Зарегистрировать носитель "DS199x"
REGOSCAR=1 - Зарегистрировать носитель "Оскар"
REGOSCAR2=1
- Зарегистрировать носитель "Оскар2" *
REGTRUST=1 - Зарегистрировать носитель "Магистра" *
REGTRUSTS=1
- Зарегистрировать носитель "Магистра Сбербанк/BGS" *
REGTRUSTD=1
- Зарегистрировать носитель "Магистра Debug" *
REGPNPPCSC=1
- Зарегистрировать считыватель "Все считыватели смарткарт" *
REGALLPCSC=1
- Зарегистрировать подключенные считыватели смарткарт
REGREGISTRY=1
- Зарегистрировать считыватель "Реестр"
REGRIC=1
- Зарегистрировать носитель "РИК"
REGRUTOKEN=1
- Зарегистрировать носитель "Rutoken" *
REGSABLERDR=1
- Зарегистрировать считыватель "Соболь"
REGSABLERND=1
- Зарегистрировать ДСЧ "Соболь"
NOETOKENWL=1
- Не регистрировать носители "Alladin eToken" для Winlogon
NOOSCAR2WL=1
- Не регистрировать носитель "Оскар2" для Winlogon
NOTRUSTWL=1
- Не регистрировать носитель "Магистра" для Winlogon
NOTRUSTSWL=1
- Не регистрировать носитель "Магистра Сбербанк/BGS" для Winlogon
NOTRUSTDWL=1
- Не регистрировать носитель "Магистра Debug" для Winlogon
NORUTOKENWL=1 - Не регистрировать носитель "Rutoken" для Winlogon *
Управление режимами работы:
CPCSPR=1
- Для версии KC1 позволяет выбрать режим службы хранения ключей (только при установке)
MEDIACSPS=1
- Регистрировать в системе отдельный провайдер для каждого типа ключевых носителей (только при установке)

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
15
CACHED=N
- Настройка кэширования ключей. Если N=0, то выключено, если N>0, то задает размер кэша (только при установке и только для режима службы хранения ключей)
CSPDELETEKEYS=1 - При удалении продукта удалит так же все настройки и все ключевые контейнеры из реестра
Указание серийных номеров лицензий:
PIDKEY=
- Использовать указанный серийный номер CSP
WLPIDKEY= - Использовать указанный серийный номер Winlogon
RPPIDKEY= - Использовать указанный серийный номер Revocation Provider
OCSPAPIPIDKEY=
- Использовать указанный серийный номер OCSP Client
TSPAPIPIDKEY=
- Использовать указанный серийный номер TSP Client
Стандартные параметры Windows Installer (подробнее – см. документацию: http://msdn.microsoft.com/en-us/library/aa367988.aspx
):
INSTALLDIR=...
- Путь установки
INSTALLDIR64=...
- Путь установки для 64-компонент (x64, Itanium)
REBOOT=R
- Не перезагружать компьютер после установки
ADDLOCAL=модули - Задает список дополнительных модулей, которые следует установить
(список через зяпятую).

Существующие дополнительные модули: reprov, driver, compat.
REMOVE=модули
- ДЛЯ УЖЕ УСТАНОВЛЕННОГО ПРОДУКТА удаляет указанные модули
/qb
- установка без мастера
/qn
- установка без окон
/L*v файл
- создание журнала установки
Для удаления КриптоПро CSP:
msiexec /x {54A08450-B343-40B0-924E-68F031450996}
Примеры:
msiexec /i "d:\КриптоПро CSP 3.6\csp-win32-kc1-rus.msi" INSTALLDIR="d:\csp" /L*v "c:\temp\csp.log"
/qb
4.
Варианты встраивания КриптоПро CSP и КриптоПро
TLS в прикладное ПО
4.1.
Встраивание на уровне CryptoAPI 2.0.
КриптоПро CSP может быть использованo в прикладном программном обеспечении (как и любой другой криптопровайдер, поставляемый с ОС Windows) через интерфейс CryptoAPI 2.0, описание которого приведено в программной документации MSDN (Microsoft Developer Network): http://msdn.microsoft.com/en-us/library/windows/desktop/aa380239.aspx
. В этом случае способ выбора криптографического алгоритма в прикладном ПО может определяться идентификатором алгоритма открытого ключа отправителя/получателя, содержащегося в сертификате Х.509.
Встраивание на уровне CryptoAPI 2.0 позволяет воспользоваться набором функций, решающих большинство проблем связанных с представлением (форматами) различных криптографических сообщений (подписанных, зашифрованных), способами представления открытых ключей в виде

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
16
цифровых сертификатов, способами хранения и поиска сертификатов в различных справочниках, включая LDAP.
Функции CryptoAPI 2.0 позволяют полностью реализовать представление и обмен данными в соответствии с международными рекомендациями и Инфраструктурой Открытых Ключей (Public Key
Infrastructure).
4.2.
Встраивание на уровне CSP
КриптоПро CSP может быть непосредственно использовано в прикладном программном обеспечении путем загрузки модуля с использованием функции LoadLibrary(). Для этих целей в комплект поставки включается Руководство программиста, описывающее состав функций и тестовое ПО.
При такой реализации прикладному ПО доступен лишь ограниченный набор низкоуровневых криптографических функций, соответствующий интерфейсу Microsoft CSP.
4.3.
Использование COM интерфейсов
КриптоПро CSP может быть использовано из COM интерфейсов, разработанных Microsoft.
CAPICOM 1.0
Certificate Services
Certificate Enrollment Control
Certificate Enrollment Control
COM интерфейс Certificate Enrollment Control (реализованный в файле xenroll.dll) предназначен для использования ограниченного количества функций CryptoAPI 2.0, связанных с генерацией ключей, запросов на сертификаты и обработкой сертификатов, полученных от Центра Сертификации с использованием языков программирования Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi.
Именно этот интерфейс используют различные публичные Центры Сертификации (Verisign, Thawte и т. д.) при формировании сертификатов пользователей на платформе Windows.
CAPICOM 1.0
CAPICOM (реализованный в файле capicom.dll) предоставляет COM интерфейс, использующий основные функции CryptoAPI 2.0. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll.dll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.
С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi. Использование
CAPICOM позволяет реализовать функциональность "тонкого" клиента в интерфейсе броузера
Internet Explorer.
Компонент CAPICOM является свободно распространяемым и поставляется в составе Redistributable инструментария разработчика Microsoft Platform SDK.
Подробную информацию об интерфейсе CAPICOM можно получить на сервере http://www.cryptopro.ru/cryptopro/documentation/capicom.htm.
Certificate Services
Certificate Services включает в себя несколько COM интерфейсов, позволяющих изменить функциональность Центра Сертификации, входящего в состав ОС Windows 2000/2003 Server. При помощи данных интерфейсов возможно: обрабатывать поступающие от пользователей запросы на сертификаты; изменить состав данных (в том числе дополнений X.509), записываемых в издаваемые центром сертификаты; определить дополнительный способ публикации (хранения) изданных центром сертификатов.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
17
4.4.
Использование СКЗИ на платформе Microsoft .NET
Framework
Компанией КРИПТО-ПРО был разработан программный продукт КриптоПро .NET, позволяющий использовать средство криптографической защиты информации КриптоПро CSP на платформе
Microsoft .NET Framework. КриптоПро .NET реализует набор интерфейсов для доступа к криптографическим операциям .NET Cryptographic Provider: хеширование; подпись; шифрование;
MAC; генерация ключей и т.д.
Кроме того КриптоПро .NET позволяет использовать стандартные классы Microsoft для высокоуровневых операций: разбор сертификата; построение и проверка цепочки сертификатов; обработка CMS сообщений; установление защищенного обмена через SSL/TLS, HTTPS и FTPS;
XML подпись и шифрование.
Подробную информацию, дистрибутивы, документацию и сценарии использования можно найти на сайте продукта www.cryptopro.net
4.5.
Использование СКЗИ в веб-браузерах
СКЗИ ЖТИЯ.00083-01 может быть использовано в веб-браузерах на различных программно- аппаратных платформах путём вызова функций КриптоПро ЭЦП Browser plug-in.
КриптоПро ЭЦП Browser plug-in содержит компоненту ActiveX для работы в Microsoft Internet Explorer и плагин NPAPI для других веб-браузеров, поддерживающих данный интерфейс встраивания плагинов. Функции СКЗИ можно вызывать из сценариев JavaScript, содержащихся в отображаемой веб-браузером странице.
Подробная информация доступна странице плагина по адресу http://www.cryptopro.ru/products/cades/plugin
4.6.
Инициализация библиотеки SSP
Производится загрузка библиотеки Secur32.dll при работе с операционными системами
Windows.
С помощью функции GetProcAddress получается указатель на функцию InitSecurityInterfaceA
(InitSecurityInterfaceW в случае компиляции с Unicode).
Вызовом функции InitSecurityInterfaceA (InitSecurityInterfaceW в случае компиляции с Unicode) получается таблица функций SSPI.
Или, вместо использования GetProcAddress, достаточно поключить библиотеку импорта secur32.lib
(входит в MS Platform SDK)
Заполняется структура SCHANNEL_CRED. Поля этой структуры должны быть нулевыми, кроме:
SchannelCred.dwVersion = SCHANNEL_CRED_VERSION;
SchannelCred.dwFlags = SCH_CRED_NO_DEFAULT_CREDS |
SCH_CRED_MANUAL_CRED_VALIDATION;
Для сервера и не анонимного клиента заполняются также поля:
SchannelCred.cCreds = 1;
SchannelCred.paCred = &pCertContext.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
18
Примечание. Контекст сертификата pCertContext должен содержать ссылку на закрытый ключ.
Производится вызов функции создания Credentials: AcquireCredentialsHandle с передачей ей структуры SCHANNEL_CRED и имени пакета - UNISP_NAME ("Microsoft Unified Security Protocol
Provider").
Инициализация соединения клиентом производится вызовом InitializeSecurityContext без входного буфера и сервером – вызовом AcceptSecurityContext, после чего идет обычный цикл
Handshake.
После установления соединения, но до начала передачи данных, приложение должно выполнить проверку параметров соединения и сертификата удаленной стороны.
Для получения сертификата удаленной стороны вызывается функция QueryContextAttributes с аргументом SECPKG_ATTR_REMOTE_CERT_CONTEXT.
Для построения цепочки сертификатов рекомендуется использование функции
CertGetCertificateChain, описанную в MSDN/Platform SDK/Security, (с флагами проверки, соответствующими выбранному уровню безопасности. Рекомендуется использовать флаг
CERT_CHAIN_CACHE_END_CERT | CERT_CHAIN_REVOCATION_CHECK_CHAIN.
Цепочка сертификатов проверяется функцией CertVerifyCertificateChainPolicy, описанной там же, с аргументом pszPolicy, равным OIDCERT_CHAIN_POLICY_SSL, и аргументом pPolicyPara, заполненным следующим образом:
ZeroMemory(&polHttps, sizeof(HTTPSPolicyCallbackData)); polHttps.cbStruct = sizeof(HTTPSPolicyCallbackData); polHttps.dwAuthType = AUTHTYPE_SERVER; polHttps.fdwChecks = 0; polHttps.pwszServerName = pwszServerName; memset(&PolicyPara, 0, sizeof(PolicyPara));
PolicyPara.cbSize = sizeof(PolicyPara);
PolicyPara.pvExtraPolicyPara = &polHttps;
Необходимо, чтобы для каждого сертификата в цепочке pCertContext->pCertInfo->SubjectPublickeyInfo->Algoritm->pszObjId заканчивалась на szOID_GR3410.
Вызывается функция QueryContextAttributes с аргументом ulAttribute, равным
SECPKG_ATTR_CONNECTION_INFO, для получения параметров соединения и их проверки на выполнение условий:
ConnectionInfo.dwProtocol == SP_PROT_TLS1_CLIENT
ConnectionInfo.aiCipher == CALG_G28147, ConnectionInfo.aiHash == CALG_GR3411 aiExch=CALG_DH_EX_EPHEM или CALG_DH_EX_SF
Цикл шифрования/расшифрования для получения параметров соединения шифрования данных реализуется с помощью функций EncryptMessage/DecryptMessage.
Примечание. Должна быть обеспечена корректная обработка кодов возврата функций SSPI. При этом следует учитывать, что требуется разная обработка в зависимости от того, является код возврата кодом успешного выполнения функции, кодом не фатальной ошибки, не требующей разрыва соединения, кодом фатальной ошибки, требующей разрыва соединения. Все необрабатываемые коды возврата ошибок должны приводить к разрыву соединения.
4.7.
Завершение сессии
Корректное завершение сессии осуществляется вызовом функции ApplyControlToken.
4.8.
Требования безопасности
1. Применение модуля поддержки сетевой аутентификации допускается только при использовании открытых ключей сервера и клиента, сертифицированных доверенным центром сертификации
2. Приложением должны обеспечиваться проверка сертификатов в сообщениях Сertificate и
CertVerify, проверка 12 байт в сообщениях Finished клиента и сервера, являющихся имитовставками к информации всего диалога клиент-сервер в процессе установления сессии, контроль соответствия имени клиента (сервера) IP-адресу, по которому установлена сессия.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
19
Затем на странице http:///certsrv/certsces.asp (для этой страницы должен быть разрешен ActiveX) выбирается нужный центр сертификации, шаблон сертификата, пользователь домена, CryptoPro SmartCard CSP и сертификат агента подачи заявок, полученный ранее. Если клиент заходит на эту страницу с Windows Vista либо Windows 2008, служба сертификации должна быть установлена на Windows 2008 Server или на Windows Server 2003 должно быть установлено обновление веб-интерфейса службы сертификации.
5.
Встраивание СКЗИ КриптоПро CSP в прикладное ПО
При встраивании СКЗИ КриптоПро CSP в прикладное программное обеспечение должны выполняться требования раздела 17 документа "ЖТИЯ.00083-01 90 02.КриптоПро CSP. Руководство администратора безопасности. Общая часть."
6.
Требования по организационно-техническим и административным мерам обеспечения эксплуатации СКЗИ
Должны выполняться требования по организационно-техническим и административным мерам обеспечения безопасности эксплуатации СКЗИ в объеме раздела 12 документа "ЖТИЯ.00083-
01 90 02. КриптоПро CSP. Руководство администратор безопасности. Общая часть."
6.1.
Требования по использованию СКЗИ со стандартными программными средствами СФК
Программное обеспечение СКЗИ ЖТИЯ.00083-01 позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей и ключей проверки электронной подписи стандарта X.509 с различным программным обеспечением Microsoft:
Центр Сертификации - Microsoft Certification Authority, входящий в состав Windows 2000
Server, Advanced Server, Windows 2003 Server, Windows 2008 Server, Windows 2008r2, Windows 2012
Server, Windows 2012r2 Server.
Электронная почта - Microsoft Outlook (из состава Microsoft Office 2013, Office 2010, Office
2007, Office 2003, Office XP, Office 2000).
Электронная почта - Microsoft Outlook Express в составе Internet Explorer, Windows Mail,
Windows Live Mail.
Microsoft Word, Excel, Info Path из состава Microsoft Office 2003, 2007.
Средства контроля целостности ПО, распространяемого по сети - Microsoft Authenticode.
Службы терминалов для Windows 2003 Server, Windows 2008 Server, Windows 2008r2
Server, Windows 2012 Server, Windows 2012r2 Server (включая шлюз служб терминалов).
Защита TCP/IP соединений в сети Интернет - протокол TLS/SSL при взаимодействии
Internet Explorer – web-сервер IIS, TLS-сервер, TLS-клиент (IE).
Microsoft SQL-сервер.
Microsoft ISA сервер.
Microsoft Forefront Threat Management Gateway (TMG).
Сервер терминалов и клиент (RDP).
Средства функционирования комплекса разработки ООО «КРИПТО-ПРО»
КриптоПро УЦ 1.4, 1.5, 1.5 R2, Службы УЦ, КриптоПро OCSP, КриптоПро TSP, КриптоАРМ, CryptCP,
Клиент КриптоПро HSM.
СКЗИ ЖТИЯ.00083-01 при функционировании под управлением ОС Windows может использоваться с дополнительными программными средствами защиты:
ЖТЯИ.00032-01 30 01. КриптоПро Winlogon. Средство сетевой аутентификации.
ЖТЯИ.00051-01 30 03. КриптоПро EFS. Средство хранения конфиденциальной информации.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
20
6.2.
Требования по подключению СКЗИ для работы по общедоступным каналам передачи данных
При подключении СКЗИ к общедоступным каналам передачи данных должна быть обеспечена безопасность защищенной связи. При этом должны быть определены:
Порядок подключения СКЗИ к каналам.
Выделено лицо, ответственное за безопасность работы по общедоступным каналам.
Разработан типовой регламент защищенной связи, включающий:
- политику безопасности защищенной связи.
- допустимый состав прикладных программных средств, для которого должно быть исследовано и обосновано отсутствие негативного влияния на СКЗИ по каналу передачи данных.
- перечень допустимых сетевых протоколов.
- защиту сетевых соединений (перечень допустимых сетевых экранов).
- система и средства антивирусной защиты.
Порядок подключения СКЗИ к каналам связи должен быть определен эксплуатирующей организацией.
Лицом, ответственным за безопасность работы СКЗИ по общедоступным каналам, как правило, должен быть администратор безопасности.
Перечень штатных средств ОС, может включаться администратором в типовой регламент без проведения дополнительных исследований по оценке их влияния на СКЗИ. При этом должны выполняться: своевременное обновление программных средств, включенных в состав регламента. контроль среды функционирования СКЗИ. определение и контроль за использованием сетевых протоколов. соблюдение правил пользования СКЗИ и средой функционирования СКЗИ.
При использовании СКЗИ с другими стандартными программными средствами возможность подключения СКЗИ к общедоступным каналам передачи данных должна быть определена только после проведения дополнительных исследований с оценкой невозможности негативного влияния нарушителя на функционирование СКЗИ, использующего возможности общедоступных каналов.
7.
Требования по защите от НСД
7.1.
Организационно-технические меры защиты от НСД
Должен быть реализован следующий комплекс организационно-технических мер защиты от НСД:
В системе регистрируется один пользователь с именем root, обладающий правами администратора, на которого возлагается обязанность конфигурировать ОС Windows, настраивать безопасность ОС, а также конфигурировать ПЭВМ, на которую установлена ОС Windows.
Для администратора выбирается надежный пароль входа в систему, удовлетворяющий следующим требованиям: длина пароля не менее 6 символов, среди символов пароля встречаются заглавные символы, прописные символы, цифры и специальные символы, срок смены пароля не реже одного раза в месяц, доступ к паролю должен быть обеспечен только пользователю root.
Всем пользователям, зарегистрированным в ОС Windows, администратор в соответствии с политикой безопасности, принятой в организации, дает минимально возможные для нормальной работы права. Каждый пользователь ОС Windows, не являющийся администратором, может просматривать и редактировать только свои установки в рамках прав доступа, назначенных ему администратором.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
21
На компьютере устанавливается только одна ОС Windows. Не используют нестандартные, измененные или отладочные версии ОС Windows такие, например, как Debug/Checked Build. На всех HDD должна быть установлена файловая система
NTFS.
Права доступа к каталогам %Systemroot%\System32\ Config,
%Systemroot%\System32\SPOOL, %Systemroot%\Repair, %Systemroot%\COOKIES,
%Systemroot%\FORMS, %Systemroot%\HISTORY, %Systemroot%\SENDTO,
%Systemroot%\PROFILES, %Systemroot%\OCCASHE, \TEMP, а также файлам boot.ini, autoexec.bat, config.sys, ntdetect.com и ntldr должны быть установлены в соответствии с политикой безопасности, принятой в организации.
Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
Должна быть исключена возможность удаленного редактирования системного реестра.
Должна быть проведена установка SECURITY_ATTRIBUTES процессов и потоков в соответствии с требованиями безопасности всей системы в целом.
Если нет необходимости, не следует использовать протокол SMB. В случае необходимости использования протокола SMB параметры EnableSecuritySignature
(REG_DWORD) и RequareSecuritySignature(REG_DWORD) в ключе HKLM\System\CurrentControlSet \Services\LanManServer\Parametrs должны быть установлены со значениями 1.
У группы Everyone должны быть удалены все привилегии.
Должен быть переименован пользователь Administrator.
Должна быть отключена учетная запись для гостевого входа (Guest);
Должно быть исключено использование режима автоматического входа пользователя в операционную систему при ее загрузке.
Должно быть ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Sheduler.
Должен быть отключен сервис DCOM.
Должны быть отключены сетевые протоколы, не используемые на данной ПЭВМ.
В случае подключения ПЭВМ с установленным СКЗИ к общедоступным сетям передачи данных должно быть исключено использование JavaScript, VBScript, ActiveX и других программных объектов, загружаемых из сети.
Должна быть исключена возможность сетевого администрирования для всех, включая группу Administrators.
Должен быть закрыт доступ ко всем не используемым портам.
Должны включаться фильтры паролей, устанавливаемые вместе с пакетами обновлений ОС Windows.
Должны быть исключены исполнение и открытие файлов, полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов.
Должны быть удалены все общие ресурсы на ПЭВМ с установленным СКЗИ
«КриптоПро CSP» (в том числе и создаваемые по умолчанию при установке ОС
Windows, которые не используются. Права доступа к используемым общим ресурсам должны быть заданы в соответствии с политикой безопасности принятой в организации.
После установки операционной системы из каталога %Systemroot%\System32\Config должен быть удален файл sam.sav.
Должны использоваться наиболее защищенные протоколы аутентификации, реализованные в Windows, если функционирование СКЗИ не предусматривает применение других протоколов.
По возможности следует применять самые сильные шаблоны безопасности
(Templates).

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
22
Должна быть разработана система назначения и смены паролей.
Должно быть запрещено использование функции резервного копирования паролей.
Должны быть отключены режимы отображения окна всех зарегистрированных на
ПЭВМ пользователей и быстрого переключения пользователей.
Должна быть отключена возможность удаленного администрирования ПЭВМ с установленным СКЗИ «КриптоПро CSP»
Должно быть ограничено количество неудачных попыток входа в систему, в соответствие с политикой безопасности, принятой в организации. Рекомендуется блокировать систему после трех неудачных попыток.
Должны использоваться система аудита в соответствие с политикой безопасности, принятой в организации, и организован регулярный анализ результатов аудита.
Должен проводиться регулярный просмотр сообщений в журнале событий Event viewer.
ОС Windows должна быть настроена на завершение работы при переполнении журнала аудита.
Должна быть обеспечена невозможность модификации ОС Windows через общедоступные каналы передачи данных (Windows Update, Remote Assistance, и т.п.);
После инсталляции ОС Windows должен быть установлен последний официальный
Service Pack от фирмы Microsoft, существующий на момент установки ОС Windows.
Должны использоваться подписанные драйверы.
На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца
(Creator/Owner) и Системы (System).
Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
7.2.
Настройка системного реестра ОС Windows при установке СКЗИ
На ПЭВМ с установленной ОС Windows при установке СКЗИ необходимо внести следующие изменения в системный реестр: в ключе HKLM\System\CurrentControlSet\Control\LSA, установить параметр
RestrictAnonymous (REG_DWORD) со значением 1 для исключения доступа анонимного пользователя (null-session) к списку разделяемых ресурсов, а также для исключения доступа к содержимому системного реестра; для исключения утечки информации при передаче данных по именованному каналу \\server\PIPE\SPOOLSSудалить имя SPOOLSS из ключа
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes; в ключе HKLM\System\CurrentControlSet\Services\ LanManServer\Parameters установить параметры AutoShareWks и AutoShareServer, имеющие тип
REG_DWORD, со значением 0 для запрета автоматического создания скрытых совместных ресурсов; в ключе HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon установить параметр CashedLogonCount (REG_DWORD) со значением 0 для отключения кэширования паролей последних десяти пользователей, вошедших в систему; в ключе HKLM\System\CurrentControlSet\Services\Eventlog\
(LogName – имя журнала для которого следует ограничить доступ пользователям группы Everyone) установить параметр RestrictGuestAccess
(REG_DWORD) со значением 1 для исключения доступа группы Everyone к системному журналу и журналу приложений; в ключе HKLM\System\CurrentControlSet\Control\
SessionManager\MemoryManagment установить параметр

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
23
ClearPageFileAtShutDown (REG_DWORD) со значением 1 для включения механизма затирания файла подкачки при перезагрузке; в ключе HKLM\System\CurrentControlSet\Control\SecurePipeServers\ установить в соответствии с политикой безопасности принятой в организации разрешения на доступ к параметру winreg для ограничения удаленного доступа к реестру; в ключе HKLM\SOFTWARE\Microsoft\WindowsNT\СurrentVersion\ Winlogon\ установить параметр AllocateFloppies (REG_SZ) со значением 1 для исключения параллельного использования дисковода для гибких дисков; в ключе HKLM\System\CurrentControlSet\Control\Lsa установить параметр
AuditBaseObjects (REG_DWORD) со значением 1 для включения аудита на базовые объекты системы; в ключе HKLM\System\CurrentControlSet\Control\Lsa установить параметр
FullPrivilegeAuditing (REG_BINARY) со значением 1 для включения аудита привилегий; для исключения передачи паролей пользователей по сети в открытом виде
(ОС Windows) в ключе
HKLM\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters установить параметр EnablePlainTextPassword (REG_DWORD) со значением 0.
7.3.
Использование СКЗИ со стандартными программными средствами СФК
Программное обеспечение СКЗИ ЖТИЯ.00083-01 позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей стандарта X.509 с различным программным обеспечением Microsoft:
Центр Сертификации - Microsoft Certification Authority, входящий в состав Windows 2000
Server, Advanced Server, Windows 2003 Server, Windows 2008 Server, Windows 2008R2, Windows
2012 Server, Windows 2012R2 Server.
Электронная почта - MS Outlook (Office 2013, Office 2010, Office 2007, Office 2003, Office
XP, Office 2000).
Электронная почта - Microsoft Outlook Express в составе Internet Explorer.
Microsoft Word, Excel, Info Path из состава Microsoft Office 2003, 2007.
Средства контроля целостности ПО, распространяемого по сети - Microsoft Authenticode.
Службы терминалов для Windows 2003 Server, Windows 2008 Server, Windows 2008r2
Server, Windows 2012 Server, Windows 2012R2 Server (включая шлюз служб терминалов).
Защита TCP/IP соединений в сети Интернет - протокол TLS/SSL при взаимодействии
Internet Explorer – web-сервер IIS, TLS-сервер, TLS-клиент (IE).
SQL-сервер.
ISA сервер.
Сервер терминалов и клиент (RDP).
Средства функционирования комплекса разработки ООО «КРИПТО-ПРО»
Крипто-Про УЦ 1.4, КриптоПро OCSP, КриптоПро TSP, КриптоАРМ, CryptCP, Клиент КриптоПро HSM.
СКЗИ ЖТИЯ.00083-01 при функционировании под управлением ОС Windows может использоваться с дополнительными программными средствами защиты:
ЖТЯИ.00051-01 30 03. КриптоПро EFS. Средство хранения конфиденциальной информации.
ЖТЯИ.00086-01 30 01. СКЗИ КриптоПро IPSec.
7.4.
Требования по организации сетевого подключения к корпоративным сетям и сетям общего доступа.
При организации сетевого подключения необходимо определить политику разграничения доступа в сети на основе документа ЖТЯИ.00086-01 90 01 КриптоПро IPsec. Руководство администратора безопасности.
Организация подключения должна удовлетворять п. 6.2 настоящего документа.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
24
8.
Требования по криптографической защите
Должны выполняться требования по криптографической защите раздела 13 документа ЖТИЯ.00083-01 90 02. КриптоПро CSP версия 3.9. Руководство администратора. Общая часть. в части, касающейся ОС Windows.
Перед началом работы и в процессе работы должен быть проведен контроль целлостности.
Контролем целостности должны быть охвачены файлы:
Windows 32-bit: accord.dll, apmdz.dll, bio.dll, charismathics.dll, cpadvai.dll, cpcertocm.dll, cpcng.dll, cpconfig.cpl, cpcrypt.dll, cpcsp.dll, cpcspi_2.dll, cpcspr.dll, cpdrvlib.sys, cpenroll.dll, cpet.dll, cpExSec.dll, cpext.dll, cpintco.dll, cpkdc.dll, cpkrb.dll, cpksp.sys, cpmail.dll, cpMSO.dll, cpoutlm.dll, cprastls.dll, cprdr.dll, cprevchk.dll, cprndm.dll, CProCtrl.sys,
CProDspr.dll, cpschan.dll, cpsecure.dll, cpsslsdk.dll, cpsuprt.dll, cpui.dll, cpverify.exe, cpwinet.dll, cpXML5.dll, csptest.exe, dallas.dll, detoured.dll, ds199x.dll, dsrf.dll, emv.dll, esmarttoken.dll, etok.dll, fat12.dll, genkpim.exe, inpaspot.dll, isbc.dll, jcard.dll, pcsc.dll, pkimgmt.dll, reg.dll, reprovmgmt.dll, ric.dll, rtsup.dll, sable.dll, setuptest.exe, snet.dll, winlogomgmt.dll, wipefile.exe, cpssl.dll, cpsspap.dll.
Windows 64-bit (х86) accord.dll, apmdz.dll, bio.dll, charismathics.dll, cpadvai.dll, cpcertocm.dll, cpcng.dll, cpconfig.cpl, cpcrypt.dll, cpcsp.dll, cpcspi_2.dll, cpcspr.dll, cpdrvlib.sys, cpenroll.dll, cpet.dll, cpExSec.dll, cpext.dll, cpintco.dll, cpkdc.dll, cpkrb.dll, cpksp.sys, cpmail.dll, cpMSO.dll, cpoutlm.dll, cprastls.dll, cprdr.dll, cprevchk.dll, cprndm.dll, cpschan.dll, cpsecure.dll, cpsslsdk.dll, cpsuprt.dll, cpui.dll, cpverify.exe, cpwinet.dll, cpXML5.dll, csptest.exe, dallas.dll, detoured.dll, ds199x.dll, dsrf.dll, emv.dll, esmarttoken.dll, etok.dll, fat12.dll, genkpim.exe, inpaspot.dll, isbc.dll, jcard.dll, pcsc.dll, pkimgmt.dll, reg.dll, reprovmgmt.dll, ric.dll, rtsup.dll, sable.dll, setuptest.exe, snet.dll, winlogomgmt.dll, wipefile.exe, cpssl.dll, cpsspap.dll.
9.
Требования по работе с EFS, Secure Pack Rus,
IPseс
Работа со средством EFS, пакетом Secure Pack Rus, IPSec должна проводиться с выполнением требований эксплуатационной документации на эти средства:
- ЖТЯИ.00051-01 30 03. КриптоПро EFS. Средство хранения конфиденциальной информа- ции. Формуляр;
- EAMP.
5090005.032-01 30 01. Secure Pack Rus версия 3.0. Формуляр.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
25
Приложение 1. Контроль целостности программного обеспечения
Модуль cpverify.exe позволяет осуществлять контроль целостности установленного программного обеспечения. Контроль целостности файлов осуществляется при загрузке файла на исполнение (и периодически во время выполнения) или при ручном запуске программы контроля целостности (см. опцию –rv ниже).
При помощи перечисленных ниже опций модуль cpverify.exe может быть использован для следующих контрольных целей:
cpverify –r2x out_file [xmlcatname] - формирование xml-файла с именем out_file, содержащего список файлов, находящихся в каталоге xmlcatname под контролем целостности;
cpverify –x2r in_file [xmlcatname] - установление под контроль целостности файлов из каталога xmlcatname, перечисленных в xml-файле с именем in_file;
cpverify –xv in_file [xmlcatname] - проверка целостности файлов из каталога
xmlcatname, перечисленных в xml-файле с именем in_file;
cpverify –rv [xmlcatname] - проверка целостности файлов из каталога xmlcatname;
cpverify –xm in_file out_file [xmlcatname] - вычисление значения хеш-функции для каждого из файлов, содержащихся в каталоге xmlcatname и перечисленных в xml- файле с именем in_file, и запись полученных значений в xml-файл с именем out_file.
Текущее значение хеш-функций при этом заменяется на вновь посчитанное.
cpverify –rm [xmlcatname] - вычисление значения хеш-функции для каждого из файлов, содержащихся в каталоге xmlcatname. Текущее значение хеш-функций при этом заменяется на вновь посчитанное.
cpverify –d [catname] – удаление каталога catname из списка контрлируемых файлов.
cpverify –mk filename – вычисление значения хеш-функции для файла с именем
filename.
Во всех перечисленных выше случаях, если не указано имя каталога xmlcatname, то принимается имя каталога cpcsp, используемое csp для контроля целостности входящих в его состав модулей. Список контролируемых модулей зависит от исполнения и может быть получен при помощи команды cpverify –r2x in_file cpcsp.
Для того, чтобы поставить под контроль целостности установленное программное обеспечение, нужно выполнить следующую последовательность действий:
1.
Создать xml-файл, содержащий список устанавливаемых под контроль целостности файлов. Данный xml-файл должен иметь следующую структуру:




C:\WINDOWS\system32\calc.exe


C:\WINDOWS\system32\verifier.exe



2.
Запустить модуль cpverify –xm in_file out_file TestControl, указав в качестве параметра in_file имя созданного xml-файла. Результатом работы модуля будет

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
26
являться xml-файл с именем out_file, содержащий вычисленные значения хеш- функции для перечисленных в in_file файлов и имеющий следующую структуру:




C:\WINDOWS\system32\calc.exe
0941E781760004B3AEE0DF6BC53CF460A6B137083948C0BF6D5DD153D255FE86


C:\WINDOWS\system32\verifier.exe
A9CD3307A16F76DCE4E6E3A67ED7359658202C44D9812C532FCD8E07B1D7A7D6



3.
Установить под контроль целостности файлы, для которых было вычислено значение хеш-функции, используя модуль cpverify –x2r in_file TestControl, где параметром
in_file является xml-файл, полученный в результате вычисления значения хеш- функции в пункте 2.
Приложение 2. Службы сертификации операционной системы
Windows
Ведущие мировые производители системного и прикладного программного обеспечения активно интегрируют решения, основанные на Инфраструктуре открытых ключей, в операционные системы и приложения. Ярким примером является операционная система Windows, полностью поддерживающая ИОК.
В операционной системе Microsoft Windows в полном объеме реализована Инфраструктура открытых ключей. Эта инфраструктура представляет собой интегрированный набор служб и средств администрирования для создания и развертывания приложений, применяющих криптографию с открытыми ключами, а также для управления ими.
Инфраструктура открытых ключей предполагает иерархическую модель построения центров сертификации. Такая модель обеспечивает масштабируемость, удобство администрирования и согласованность с растущим числом продуктов и центров сертификации. Простейшая форма иерархии состоит из одного центра сертификации, а в общем случае – из множества с явно определенными отношениями родительский-дочерний.
Инфраструктура открытых ключей, реализованная в операционной системе Microsoft Windows
2000/2003 полностью поддерживает и позволяет создать иерархическую модель центров сертификации.

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
27
В состав служб сертификации операционной системы Windows 2000 входят следующие службы и компоненты.
Сервис сертификации
Сервис сертификации предоставляет набор служб для выпуска, управления и использования сертификатов открытых ключей и ключей проверки электронной подписи в защищенных технологиях и приложениях, использующих ИОК. Сервис сертификации выполняет основную роль в управлении безопасностью технологий и приложений и обеспечивает процесс достоверного и конфиденциального обмена информацией.
Консоль центра сертификации
Консоль центра сертификации является рабочим местом администратора безопасности, позволяющим управлять сертификатами открытых ключей и ключей проверки электронной подписи.
Средства расширения функциональности сервиса сертификации

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
28
Средства расширения функциональности сервиса сертификации предоставляют набор методов, позволяющих изменять и развивать функциональность стандартного сервиса сертификации для удовлетворения потребности конкретной прикладной системы или технологии. Эти средства позволяют интегрировать сервис сертификации с различными сетевыми справочниками и приложениями, формировать состав сертификатов открытых ключей и ключей проверки электронной подписи, модифицировать процесс управления сертификатами.
Клиентские средства взаимодействия со службой сертификации
Клиентские средства предоставляют пользователям различные методы для формирования закрытых ключей, запросов на сертификаты и обработки сертификатов, выпущенных службой сертификации.
Архитектура сервиса сертификации
Архитектура сервиса сертификации представлена на следующем рисунке.
Приложение 3. Управление протоколированием
Для включения/отключения протоколирования для Windows 32[Windows 64] добавляется в реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\[Wow6432Node]Crypto Pro\Cryptography\CurrentVersion\debug\
DWORD параметр cpcsp для определения уровня протокола
DWORD параметр cpcsp_fmt для определения формата протокола
Значением параметра уровнь протокола является битовая маска:
N_DB_ERROR = 1 # сообщения об ошибках
N_DB_LOG = 8 # сообщения о вызовах
Значением параметра формат протокола является битовая маска:
DBFMT_MODULE = 1 # выводить имя модуля
DBFMT_THREAD = 2 # выводить номер нитки
DBFMT_FUNC = 8 # выводить имя функции
DBFMT_TEXT = 0x10 # выводить само сообщение
DBFMT_HEX = 0x20 # выводить НЕХ дамп (содержит значение ключа проверки подписи и подписи)
DBFMT_ERR = 0x40 # выводить GetLastError

ЖТИЯ.00083-01 90 02-01. КриптоПро CSP. Руководство администратора безопасности.
Использование СКЗИ класса защиты КС3 под управлением ОС Windows
29
Лист регистрации изменений
Лист регистрации изменений
Номера листов (страниц)
Всего листов
(страниц) в докум.
№ документа
Входящий
№ сопроводи- тельного документа, дата
Подп.
Дата
Изм изменен- ных замененных новых аннулиро- ванных

Document Outline

  • Аннотация
  • Список сокращений
  • 1. Основные технические данные и характеристики исполнения 3 СКЗИ
    • 1.1. Программно-аппаратные среды функционирования
    • 1.2. Исполнения СКЗИ класса защиты КС3
    • 1.3. Ключевые носители
  • 2. Состав и назначение компонент программного обеспечения СКЗИ в ОС Windows
    • 2.1. Сервисные модули
      • 2.1.1. Модуль контроля целостности дистрибутива
      • 2.1.2. Дистрибутив
      • 2.1.3. Модуль конфигурации
      • 2.1.4. Модуль Wipefile
      • 2.1.5. Модуль контроля целостности в драйвере
    • 2.2. Модули настройки ПКЗИ ОС Microsoft Windows
      • 2.2.1. Модуль расширения и настройки CryptoAPI 2.0
      • 2.2.2. Модули инициализации настройки встроенного ПКЗИ ОС Microsoft Windows
      • 2.2.3. Модуль настройки для системного DLL crypt32.dll
      • 2.2.4. Модуль настройки для системного DLL inetcomm.dll
      • 2.2.5. Модуль настройки для системного DLL certocm.dll
      • 2.2.6. Модуль настройки для системного DLL wininet.dll
      • 2.2.7. Модуль настройки для системного DLL advapi32.dll
      • 2.2.8. Модуль настройки TLS
      • 2.2.9. Модуль настройки Authenticode
      • 2.2.10. Модули настройки MS Office
      • 2.2.11. Модуль настройки XML
      • 2.2.12. Модуль настройки контроллера домена
    • 2.3. Модули сопряжения криптопровайдера со встроенным СФК Windows
      • 2.3.1. Интерфейсная библиотека криптопровайдера
      • 2.3.2. Интерфейсная библиотека криптографического сервиса
    • 2.4. СКЗИ КриптоПро CSP
      • 2.4.1. Реализация в форме сервиса хранения ключей для ОС Windows
      • 2.4.2. Реализация криптопровайдера в форме продгружаемых библиотек
      • 2.4.3. Реализация криптопровайдера в форме драйвера ядра операционной системы
      • 2.4.4. Интерфейс доступа к физическому и БиоДСЧ
      • 2.4.5. Интерфейсные модули ДСЧ
      • 2.4.6. Панель управления ресурсами СКЗИ КриптоПро CSP
    • 2.5. Модуль поддержки сетевой аутентификации КриптоПро TLS
    • 2.6. ПКЗИ КриптоПро CSP
      • 2.6.1. Интерфейс доступа к ключевым носителям
      • 2.6.2. Интерфейсные модули устройств хранения ключевой информации
      • 2.6.3. Библиотека поддержки доступа к ключевым носителям
      • 2.6.4. Модуль ASN1
      • 2.6.5. Использование ключей реестра Windows
  • 3. Установка дистрибутивов ПО КриптоПро CSP и КриптоПро TLS
    • 3.1. Параметры установки КриптоПро CSP.
      • 3.1.1. Справочник параметров установки
  • 4. Варианты встраивания КриптоПро CSP и КриптоПро TLS в прикладное ПО
    • 4.1. Встраивание на уровне CryptoAPI 2.0.
    • 4.2. Встраивание на уровне CSP
    • 4.3. Использование COM интерфейсов
      • Certificate Enrollment Control
      • CAPICOM 1.0
      • Certificate Services
    • 4.4. Использование СКЗИ на платформе Microsoft .NET Framework
    • 4.5. Использование СКЗИ в веб-браузерах
    • 4.6. Инициализация библиотеки SSP
    • 4.7. Завершение сессии
    • 4.8. Требования безопасности
  • 5. Встраивание СКЗИ КриптоПро CSP в прикладное ПО
  • 6. Требования по организационно-техническим и административным мерам обеспечения эксплуатации СКЗИ
    • 6.1. Требования по использованию СКЗИ со стандартными программными средствами СФК
    • 6.2. Требования по подключению СКЗИ для работы по общедоступным каналам передачи данных
  • 7. Требования по защите от НСД
    • 7.1. Организационно-технические меры защиты от НСД
    • 7.2. Настройка системного реестра ОС Windows при установке СКЗИ
    • 7.3. Использование СКЗИ со стандартными программными средствами СФК
    • 7.4. Требования по организации сетевого подключения к корпоративным сетям и сетям общего доступа.
  • 8. Требования по криптографической защите
  • 9. Требования по работе с EFS, Secure Pack Rus, IPseс
    • Приложение 1. Контроль целостности программного обеспечения
    • Приложение 2. Службы сертификации операционной системы Windows
    • Приложение 3. Управление протоколированием
    • Лист регистрации изменений

Каталог: images -> files -> cryptopro docs
files -> Программа духовно-нравственного развития и воспитания обучающихся на уровне среднего общего образования
files -> Реклама на сайтерегистрация
files -> Вид: детский сад. Юридический адрес
files -> Рабочая программа по предмету по выбору«Общее фортепиано» Преподавателя Клюевой Т. А принята на заседании
files -> Рабочая программа по учебной дисциплине «Информатика» для детей 5-7 лет
files -> Использование информационных технологий в доу


Поделитесь с Вашими друзьями:
1   2


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал