Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Системное шифрование: обязательное применение надежной защиты ключей пользователей, хранящихся на компьютере.
Справочные материалы
Этот параметр политики определяет, могут ли пользователи использовать закрытые ключи, такие как ключ S/MIME, без указания пароля.
Настройка этого параметра политики таким образом, чтобы пользователи должны были указывать пароль при каждом использовании ключа (в дополнение к своему доменному паролю), значительно усложняет злоумышленнику получение доступа к хранящимся локально пользовательским ключам, даже если злоумышленник получил контроль над устройством пользователя и определил пароль для входа.
Возможные значения
При сохранении и использовании новых ключей пользовательского ввода не требуется
Пользователь получает запрос при первом использовании ключа
Пользователь должен вводить пароль при каждом использовании ключа
Не определено
Рекомендации
- Задайте для этой политики значение Пользователь должен вводить пароль при каждом использовании ключа. Пользователи должны вводить пароль при каждом доступе к ключу, который хранится на компьютере. Например, если пользователи используют сертификат S/MIME для цифровой подписи своих сообщений эл. почты, они должны будут вводить пароль для этого сертификата при каждой отправке подписанного сообщения эл. почты. Для некоторых организаций дополнительные расходы, связанные с использованием этого значения, могут оказаться слишком высокими, однако даже они должны задать для этого параметра, по крайней мере, значение Пользователь получает запрос при первом использовании ключа.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если учетная запись пользователя скомпрометирована или устройство пользователя непреднамеренно было оставлено в незащищенном состоянии, злоумышленник может использовать сохраненные для этого пользователя ключи, чтобы получить доступ к защищенным ресурсам.
Меры противодействия
Настройте для параметра Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере значение Пользователь должен вводить пароль при каждом использовании ключа, чтобы пользователи должны были указывать пароль, отличный от доменного пароля, при каждом использовании ключа. Такая конфигурация затрудняет злоумышленнику доступ к локально сохраненным ключам пользователя, даже если злоумышленник получил контроль над компьютером пользователя и определил пароль для входа.
Возможные последствия
Пользователи должны вводить пароль при каждом доступе к ключу, который хранится на устройстве. Например, если пользователи используют сертификат S/MIME для цифровой подписи своих сообщений электронной почты, они должны вводить пароль для этого сертификата при каждой отправке подписанного сообщения эл. почты. Для некоторых организаций дополнительные расходы, связанные с использованием подобной конфигурации, могут оказаться слишком высокими. Однако и они должны задать, по крайней мере, параметр Пользователь должен вводить пароль при каждом использовании ключа.