Сообщение Re[2]: Хранение ключей в Windows от 27.04.2022 12:21
Изменено 27.04.2022 12:24 Doom100500
Re[2]: Хранение ключей в Windows
Здравствуйте, gandjustas, Вы писали:
G>Начнем с конца
G>То есть если у вас все пользователи работают под одной учеткой (не дай бог с автовходом) и\или под учеткой с правами админа, то защитить данные нельзя.
G>Если можно:
G>
G>создать несколько непривилегированных учеток
G>не раздавать всем пароли от них
G>под одной из учеток запустить сервис, который будет передавать данные по FTP
G> G>Тогда учетные данные от этого сервиса можно достаточно надежно скрыть от других пользователей средствами DPAPI. А если диск защитить bitlocker, то вероятность угона учетных без знания пароля учетки, крайне мала.
Этот компютер — система оптической проверки для печатной индустрии. Установлен на вонючем и шумном заводе в кабинете (железный ящик) печатного преса. например как здесь (Опа, а там наши экраны
).
Клавиатура закрыта в кабинете вместе с системным блоком на ключ, и открывается только сервисным инженером (конечно и этот ключ можно подделать или хранить прямо на рабочем столе). Система заводится нажатием на зелёную кнопку, вмонтированную в рабочий стол. После инициакизации готова к работе и управляется мышью или тач скрином. Других задач у этого компютера нет. Отчёты — это статистистические данные и крэш дампы.
D>>Как же хранить этот ключ в таких условиях?
G>Попробуйте ключ не хранить.
G>Пусть сервер аутентифицирует клиента по IP например. В самом простом варианте FTP + анонимный вход + фильтр по ip на сервере.
IP далеко не статичный, и вообще NAT. И сервер коробочный, купленный и делает только то, что делает и ничего больше.
G>Еще говорят встроенная windows\kerberos аутентификация помогает, но вероятнее всего не ваш случай.
D>>Или просто сделать на от***сь и не париться?
G>Если вы серьезно рассматриваете такой вариант, то видимо он вам подойдет.
Если принять во внимание то, что я выше описал, достаточно ли будет формально зашифровать с помощью DPAPI и не париться, или надо всё-же продавливать с нуля новое решение (не факт, что удачно при всём выше сказанном)
G>Начнем с конца
G>То есть если у вас все пользователи работают под одной учеткой (не дай бог с автовходом) и\или под учеткой с правами админа, то защитить данные нельзя.
G>Если можно:
G>
G>создать несколько непривилегированных учеток
G>не раздавать всем пароли от них
G>под одной из учеток запустить сервис, который будет передавать данные по FTP
G> G>Тогда учетные данные от этого сервиса можно достаточно надежно скрыть от других пользователей средствами DPAPI. А если диск защитить bitlocker, то вероятность угона учетных без знания пароля учетки, крайне мала.
Этот компютер — система оптической проверки для печатной индустрии. Установлен на вонючем и шумном заводе в кабинете (железный ящик) печатного преса. например как здесь (Опа, а там наши экраны
).Клавиатура закрыта в кабинете вместе с системным блоком на ключ, и открывается только сервисным инженером (конечно и этот ключ можно подделать или хранить прямо на рабочем столе). Система заводится нажатием на зелёную кнопку, вмонтированную в рабочий стол. После инициакизации готова к работе и управляется мышью или тач скрином. Других задач у этого компютера нет. Отчёты — это статистистические данные и крэш дампы.
D>>Как же хранить этот ключ в таких условиях?
G>Попробуйте ключ не хранить.
G>Пусть сервер аутентифицирует клиента по IP например. В самом простом варианте FTP + анонимный вход + фильтр по ip на сервере.
IP далеко не статичный, и вообще NAT. И сервер коробочный, купленный и делает только то, что делает и ничего больше.
G>Еще говорят встроенная windows\kerberos аутентификация помогает, но вероятнее всего не ваш случай.
D>>Или просто сделать на от***сь и не париться?
G>Если вы серьезно рассматриваете такой вариант, то видимо он вам подойдет.
Если принять во внимание то, что я выше описал, достаточно ли будет формально зашифровать с помощью DPAPI и не париться, или надо всё-же продавливать с нуля новое решение (не факт, что удачно при всём выше сказанном)
Re[2]: Хранение ключей в Windows
Здравствуйте, gandjustas, Вы писали:
G>Начнем с конца
G>То есть если у вас все пользователи работают под одной учеткой (не дай бог с автовходом) и\или под учеткой с правами админа, то защитить данные нельзя.
G>Если можно:
G>
G>создать несколько непривилегированных учеток
G>не раздавать всем пароли от них
G>под одной из учеток запустить сервис, который будет передавать данные по FTP
G> G>Тогда учетные данные от этого сервиса можно достаточно надежно скрыть от других пользователей средствами DPAPI. А если диск защитить bitlocker, то вероятность угона учетных без знания пароля учетки, крайне мала.
Этот компютер — система оптической проверки для печатной индустрии. Установлен на вонючем и шумном заводе в кабинете (железный ящик) печатного преса. например как здесь (Опа, а там наши экраны ).
Клавиатура закрыта в кабинете вместе с системным блоком на ключ, и открывается только сервисным инженером (конечно и этот ключ можно подделать или хранить прямо на рабочем столе). Система заводится нажатием на зелёную кнопку, вмонтированную в рабочий стол. После инициакизации готова к работе и управляется мышью или тач скрином. Других задач у этого компютера нет. Отчёты — это статистистические данные и крэш дампы.
D>>Как же хранить этот ключ в таких условиях?
G>Попробуйте ключ не хранить.
G>Пусть сервер аутентифицирует клиента по IP например. В самом простом варианте FTP + анонимный вход + фильтр по ip на сервере.
IP далеко не статичный, и вообще NAT. И сервер коробочный, купленный и делает только то, что делает и ничего больше.
G>Еще говорят встроенная windows\kerberos аутентификация помогает, но вероятнее всего не ваш случай.
D>>Или просто сделать на от***сь и не париться?
G>Если вы серьезно рассматриваете такой вариант, то видимо он вам подойдет.
Если принять во внимание то, что я выше описал, достаточно ли будет формально зашифровать с помощью DPAPI и не париться, или надо всё-же продавливать с нуля новое решение (не факт, что удачно при всём выше сказанном)
EDIT
G>под одной из учеток запустить сервис, который будет передавать данные по FTP
Сервис крутится от имени SYSTEM
G>Начнем с конца
G>То есть если у вас все пользователи работают под одной учеткой (не дай бог с автовходом) и\или под учеткой с правами админа, то защитить данные нельзя.
G>Если можно:
G>
G>создать несколько непривилегированных учеток
G>не раздавать всем пароли от них
G>под одной из учеток запустить сервис, который будет передавать данные по FTP
G> G>Тогда учетные данные от этого сервиса можно достаточно надежно скрыть от других пользователей средствами DPAPI. А если диск защитить bitlocker, то вероятность угона учетных без знания пароля учетки, крайне мала.
Этот компютер — система оптической проверки для печатной индустрии. Установлен на вонючем и шумном заводе в кабинете (железный ящик) печатного преса. например как здесь (Опа, а там наши экраны
).Клавиатура закрыта в кабинете вместе с системным блоком на ключ, и открывается только сервисным инженером (конечно и этот ключ можно подделать или хранить прямо на рабочем столе). Система заводится нажатием на зелёную кнопку, вмонтированную в рабочий стол. После инициакизации готова к работе и управляется мышью или тач скрином. Других задач у этого компютера нет. Отчёты — это статистистические данные и крэш дампы.
D>>Как же хранить этот ключ в таких условиях?
G>Попробуйте ключ не хранить.
G>Пусть сервер аутентифицирует клиента по IP например. В самом простом варианте FTP + анонимный вход + фильтр по ip на сервере.
IP далеко не статичный, и вообще NAT. И сервер коробочный, купленный и делает только то, что делает и ничего больше.
G>Еще говорят встроенная windows\kerberos аутентификация помогает, но вероятнее всего не ваш случай.
D>>Или просто сделать на от***сь и не париться?
G>Если вы серьезно рассматриваете такой вариант, то видимо он вам подойдет.
Если принять во внимание то, что я выше описал, достаточно ли будет формально зашифровать с помощью DPAPI и не париться, или надо всё-же продавливать с нуля новое решение (не факт, что удачно при всём выше сказанном)
EDIT
G>под одной из учеток запустить сервис, который будет передавать данные по FTP
Сервис крутится от имени SYSTEM