Дополнительные сведения
В АПКЗИ "Ребус-М" версии 4.0 (сертификат соответствия ФСТЭК России № 3140) обнаружена уязвимость BDU:2024-04392, опубликованная в базе уязвимостей ФСТЭК России (https://bdu.fstec.ru/vul/2024-04392).
ВНИМАНИЕ! Уязвимость не актуальна для АПКЗИ "Ребус-М" с сертификатом соответствия Минобороны России № 1117!
Компенсирующие меры, нейтрализующие угрозу эксплуатации уязвимости:
Для нейтрализации угрозы эксплуатации уязвимости необходимо запретить пользователям возможность запуска исполняемых файлов, полученных с внешних источников:
- внешних носителей информации;
- общих сетевых ресурсов.
Для обеспечения возможности работы пользователей с внешними носителями эти носители необходимо добавить в список ресурсов соответствующих станций, для этого необходимо выполнить следующие действия:
- войти в ОС под учетной записью администратора АПКЗИ «Ребус-М»;
- запустить программу «Администрирование АПКЗИ»;
- в списке станций выбрать нужную станцию, нажать кнопку «Изменить», в появившемся окне «Редактирование станции» выбрать вкладку «Ресурсы»;
- если в списке ресурсов станции нет ресурсов «Flash-носители», «CD/DVD», «ГМД», и при этом пользователю нужно использовать данные ресурсы, то эти ресурсы необходимо добавить на станцию. Те ресурсы, которые не используются на станции, необходимо удалить из списка ресурсов станции;
- если в списке ресурсов станции нет необходимых логических дисков (папок), то их необходимо добавить. Для добавления новых логических дисков необходимо добавлять ресурс «Папка» с именем, содержащим имя диска, например, «g:\». Те диски, которые не используются на станции, необходимо удалить из списка ресурсов станции;
- в окне «Редактирование станции», во вкладке «Пользователи», выбрать пользователя, нажать кнопку «Изменить»;
- в окне «Работа пользователя станции» выбрать вкладку «Права доступа»;
- если в списке ресурсов (ресурсов пользователя станции) нет необходимых пользователю ресурсов «Flash-носители», «CD/DVD», «ГМД», логических дисков внешних носителей (например, «g:\»), их необходимо добавить;
- последовательно перебирая внешние ресурсы, необходимо во вкладке «Права доступа» установить для каждого ресурса запрет на запуск («Запуск»), а для логических дисков в дереве прав доступа необходимо раскрыть раздел «Наследуемый доступ\Использование ф/п» и установить запрет на запуск («Запуск файла»).
После выполнения настроек для всех станции и пользователей необходимо передать на все станции таблицы настроек и перезагрузить станции для вступления настроек в силу.
Дополнительно, необходимо блокировать возможность запуска исполняемых файлов с общих сетевых ресурсов. Для этого необходимо (с помощью межсетевого экрана, брандмауэра Windows и проч..) разрешить доступ по сети только к доверенным (защищаемым, контролируемым) общим сетевым ресурсам (в случае использования таковых), а также запретить запуск исполняемых файлов с этих ресурсов путём настройки соответствующих прав доступа.