Тема от a___alex

  • a___alex
  • Посетитель
  • Неактивен

Настройка политики PIN-кода через групповые политики AD

Добрый день!

В инструкции "Управление Pin-кодами Рутокена" написано:
"Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена."

Подскажите, где в AD находятся данные политики, которые отвечают за политики PIN-кода Рутокен? Может это какие то дополнительные административные шаблоны?

Пользователям в домене "разливается" рутокеновский мини драйвер, так как толстый им не нужен. Каким образом сделать так, чтобы система требовала принудительно сменить пин-код по умолчанию, при их первоначальном входе в систему по только что выданному токену?

Ответ от Фатеева Светлана

  • Фатеева Светлана
  • Техническая поддержка
  • Неактивен

Re: Настройка политики PIN-кода через групповые политики AD

Здравствуйте, a___alex,
Распространить политики PIN-кодов из Панели Управления Рутокен на минидрайвер не получится. Но возможно использоваться с криптопровайдером Aktiv Rutoken CSP v.1.0
Как альтернативу можем предложить использовать аппаратные политики PIN-кодов в Рутокен ЭЦП 3.0, но запретив PIN-код по умолчанию там, winlogon не предложит его сменить.
Использовать системы управления жизненным циклом, такие как Рутокен KeyBox. Его агент могут следить за тем, чтобы пользователь не пользовался PIN-кодом по умолчанию.

Ответ от a___alex

  • a___alex
  • Посетитель
  • Неактивен

Re: Настройка политики PIN-кода через групповые политики AD

Спасибо.

Фатеева Светлана пишет:

Но возможно использоваться с криптопровайдером Aktiv Rutoken CSP v.1.0

Подскажите в чем разница (преимущество) использования крипропровайдера -  Aktiv Rutoken CSP v.1.0 по сравнению с Microsoft Smart Card Base CSP?

Фатеева Светлана пишет:

Как альтернативу можем предложить использовать аппаратные политики PIN-кодов в Рутокен ЭЦП 3.0

Аппаратные политики Pin-кодов не подходят (не работают), поскольку как вы сами пишите они на минидрайвер не распространяются. Т.е. пользователь после входа в систему по сложному пин-коду (установленному заранее, в соответствии с требованиями безопасности) может самостоятельно сменить пин-код (нажав Ctrl+Alt+Del), при этом установив себе самый простой пароль (который может не удовлетворять требованиям безопасности в организации) и данное действие никак нельзя ни предотвратить, ни промониторить.

Ответ от Фатеева Светлана

  • Фатеева Светлана
  • Техническая поддержка
  • Неактивен

Re: Настройка политики PIN-кода через групповые политики AD

a___alex,

a___alex пишет:

Подскажите в чем разница (преимущество) использования крипропровайдера -  Aktiv Rutoken CSP v.1.0 по сравнению с Microsoft Smart Card Base CSP?

В данном случае ничем. Извините, мы ввели вас в заблуждение. Смена пин-кода в Winlogon невозможна.

a___alex пишет:

Аппаратные политики Pin-кодов не подходят (не работают), поскольку как вы сами пишите они на минидрайвер не распространяются. Т.е. пользователь после входа в систему по сложному пин-коду (установленному заранее, в соответствии с требованиями безопасности) может самостоятельно сменить пин-код (нажав Ctrl+Alt+Del), при этом установив себе самый простой пароль (который может не удовлетворять требованиям безопасности в организации) и данное действие никак нельзя ни предотвратить, ни промониторить.

Аппаратные политики пин-кодов устанавливаются администратором и запрещают использовать слабый пин-код. Политики, которые возможно использовать указаны в пункте 35 инструкции.