Инструкция по смене директора ООО

Почему двухфакторная аутентификация в домене по токену с pin-кодом безопаснее обычной парольной схемы?

PIN-код привязан к определенному устройству, в нашем случае к токену. Знание PIN-кода само по себе ничего не дает.

Например, PIN-код от токена можно диктовать по телефону другим лицам и это ничего не даст злоумышленнику, если вы достаточно бережно относитесь к токену и не оставляете его без присмотра.

С паролем же ситуация совершенно иная, если злоумышленник подобрал, угадал, подсмотрел или еще каким-то образом завладел паролем от учетной записи в домене, то он сможет беспрепятственно зайти, как в сам домен, так и в другие сервисы компании, в которых используется эта же учетная запись.

Токен является уникальным некопируемым физическим объектом. Им обладает легитимный пользователь. Двухфакторную аутентификацию по токену можно обойти только тогда, когда администратор намеренно или по недосмотру оставил для этого «лазейки» в системе.

Увольте директора и примите на работу нового руководителя ООО

Директор ООО является наемным работником (даже в том случае, если в этом качестве выступает учредитель
компании). Для передачи ему соответствующих полномочий нужно не только решение собственников компании,
но и правильно оформленные трудовые отношения.

При смене руководителя общества с ограниченной ответственностью проследите, чтобы приказы об увольнении
предыдущего директора и о приеме на работу нового были выпущены в один день. Так вы избежите пересечения
их полномочий и отсутствия в компании действующего руководителя.

Если вы отказываетесь от работы с прежним директором до окончания срока его трудового договора, не
забудьте расторгнуть контракт. С новым директором подпишите трудовой договор.

Внесите изменения в устав организации – при необходимости

Новая редакция устава и лист изменений к нему – документы, равные по юридической силе. Отличаются они лишь формой.

Сведения о директоре не обязательно должны содержаться в уставе общества. Поэтому вам понадобится подготовить один из этих документов, только если такая информация есть именно в вашем уставе. В ином случае – не меняйте учредительный документ при отсутствии иных изменений в ООО.

Если графы о личности руководителя присутствуют в уставе ООО, для их смены может быть достаточно листа изменений к уставу. Если кроме смены директора, о котором есть упоминание в уставе, вы вносите другие изменения, проще составить новую редакцию устава.

В листе изменений укажите, какой пункт устава вы меняете, и приведите его новую формулировку. Лист изменений станет приложением к действующему уставу, после регистрации изменений их нужно будет хранить и представлять вместе.

Новая редакция полностью заменит прежний устав. Все положения устава нужно будет изложить в ней полностью, включая те, которые вы не меняете. После регистрации изменений старая редакция перестанет действовать. Не сшивайте новую версию устава перед подачей в инспекцию: в налоговой документ будут сканировать постранично.

Подайте документы в налоговую инспекцию

Заявление по форме Р13014, решение одного участника/протокол общего собрания учредителей, устав или лист
изменений к нему (при необходимости), квитанцию об оплате госпошлины (при желании) нужно подать в
инспекцию в течение трех дней с момента принятия решения о смене директора.

Заявителем может быть руководитель общества с ограниченной ответственностью или иное лицо, имеющее право
без доверенности действовать от его имени.

Подать документы можно любым удобным для вас способом:

• Непосредственно в ФНС или МФЦ,
• Через онлайн-сервис налоговой при помощи ЭЦП,
• По почте ценным письмом с описью вложений. Или курьерской доставкой – доступно только для
  Москвы,
• Через нотариуса. Нотариус подпишет заявление своей ЭЦП и направит через онлайн-сервис ФНС.

Уведомлять о смене директора ПФР, ФОМС и ФСС не нужно.

Госпошлина за регистрацию изменений по форме Р13014 составляет 800 рублей. Сформировать квитанцию и
оплатить пошлину можно в
онлайн-сервисе
ФНС.

При направлении документов в налоговую для регистрации изменений в ООО в
форме электронных документов, а также через МФЦ и нотариуса, уплачивать государственную пошлину не
требуется!

Двухфакторная аутентификация

Опытным системным администраторам и службам безопасности хорошо известно, что пользователи крайне не сознательны в вопросе соблюдения политик безопасности, они могут записать свои учетные данные на стикере и приклеить его рядом с компьютером, передать пароли своим коллегам и тому подобное.

Особенно часто это происходит, когда пароль сложный (содержащий более 6 знаков и состоящий из букв разного регистра, цифр и специальных символов) и его трудно запомнить. А ведь такие политики администраторами задаются не просто так. Это необходимо для защиты учетной записи пользователя от простого перебора паролей по словарю.

Давайте вспомним, что такое аутентификация. В нашем случае это процесс подтверждения подлинности субъекта или объекта. Аутентификация пользователя — это процесс подтверждения подлинности пользователя.

А двухфакторная аутентификация — это такая аутентификация, в которой необходимо использовать не менее двух различных способов для подтверждения своей личности.

Простейшим примером двухфакторной аутентификации в реальной жизни является сейф с замком и кодовой комбинацией. Чтобы открыть такой сейф необходимо знать код и владеть ключом.

Изменение политики по смене пользовательского pin-кода

Перед форматированием можно установить способы изменения пароля Пользователя. Здесь 3 варианта переключателей:

Каждый из пунктов имеет ряд специфических ограничений. Например, при установке переключателя в позицию «Пользователь» можно изменить ПИН только после ввода прежнего варианта. Одновременно есть 2 важных ограничения:

При установке галочки напротив пункта «Администатор» вы сможете изменить PIN-код Пользователя только при введении администраторского пароля. Одновременно теряется возможность изменения ПИН Администратора с использованием встроенного сервиса Microsoft Base Smart Card Crypto Provider.

Если вы установите переключатель в положение «Пользователь и Администратор», то появится возможность изменить пользовательский PIN-код при знании любого из действующих.

Как подписать документ в mac os

Есть два варианта. Первый предусматривает использование специального программного обеспечения КриптоАрм (лицензия обойдется в 2 500 рублей). Альтернативой станет использование терминала (здесь процедура будет бесплатной для пользователя).

Если вы остановились на втором варианте, то с помощью команды /opt/cprocsp/bin/certmgr -list нужно определить HASH код (он включает 40 символов и находится в строке SHA1 Hash). Непосредственно подпись через терминал идет командой из каталога, где находится интересующий нас документ: /opt/cprocsp/bin/cryptcp -signf -detach -cert -strict -der -thumbprint Hash-код FileName.

При корректном выполнении перечисленных выше действий на экране всплывет сообщение «Signed message is created», а на компьютере появится файл формата *.sgn. Автоматизировать процесс поможет скрипт Automator Script, позволяющий подписывать документы напрямую через контекстное меню. Для этого сохраните на жестком диске приложение и выполните следующие действия:

При возникновении проблем с использованием электронной цифровой подписи на компьютерах под управлением Mac OS обратитесь в нашу компанию. Наши сотрудники оперативно помогут вам, проконсультируют и настроят корректную работу КриптоПро со всеми необходимыми сервисами.

Как правило, смена генерального директора в ооо 2020 году включает несколько стадий:

• разработку Протокола общего собрания участников или единогласного решения, если участник в Обществе один;
• расторжение трудовых отношений с прежним руководителем;
• подготовку заявления в соответствии с установленной формой;
• обращение в налоговую инстанцию для проведения гос. регистрации данного действия;
• уведомление банка, в котором обслуживается организация, об успешном завершении процедуры.

Подготовка документации

Оформление решения или протокола о предстоящей смене директора ООО выступает первым шагом на пути к глобальным переменам в организации. (Решение готовят в случаях, когда организация имеет единственного учредителя).

Если предстоит в ооо смена генерального директора протокол должен содержать стандартный набор сведений, касающихся:

1. порядкового номера документа;
2. места и даты организации общего собрания (принятия решения);
3. полного наименования предприятия;
4. перечисления всех участников общего собрания;
5. главных вопросов, требующих принятия совместного решения;
6. результатов, полученных в ходе голосования по каждому рассматриваемому вопросу на повестке дня;
7. итогового решения, утвержденного в процессе общего собрания.

Если ООО имеет лишь одного участника, в тексте решения должна присутствовать информация о:

1. наименовании бланка;
2. месте и дате подготовки решения;
3. полного наименования предприятия;
4. персональных сведениях учредителя;
5. прежнем и будущем генеральном директоре;
6. дате вступления нового директора в свою должность.

Как проверить срок действия эцп рутокен

Срок действия сертификатов электронной цифровой подписи составляет стандартно 12 месяцев. Связано это с необходимостью обеспечить безопасность и предотвратить возможную компрометацию данных. Пользователю необходимо знать дату завершения срока действия для своевременного продления.

Для выполнения операции запустите КриптоПРО CSP и перейдите во вкладку «Посмотреть сертификат в контейнере», расположенную в разделе «Сервис». Далее через кнопку «Обзор» выберите интересующий вас контейнер с сертификатом и кликните по нему дважды мышкой. В итоге откроется окно, где будет указана дата завершения действия сертификата.

Настройка двухфакторной аутентификации в домене windows

Теоретическая часть:

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт-карты и токена, начиная с Windows 2000. Она заложена в расширении PKINIT (public key initialization — инициализация открытого ключа) для протокола Kerberos RFC 4556 .

Протокол Kerberos был специально разработан для того, чтобы обеспечить надежную аутентификацию пользователей. Он может использовать централизованное хранение аутентификационных данных и является основой для построения механизмов Single Sing-On. Протокол основан на ключевой сущности Ticket (билет).

Ticket (билет) является зашифрованным пакетом данных, который выдается доверенным центром аутентификации, в терминах протокола Kerberos — Key Distribution Center (KDC, центр распределения ключей).

Когда пользователь выполняет первичную аутентификацию после успешного подтверждения его подлинности, KDC выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT).

В дальнейшем при обращении к отдельным ресурсам сети, пользователь, предъявляет TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Ticket Granting Service (TGS).

Одним из преимуществ протокола Kerberos, обеспечивающим высокий уровень безопасности, является то, что при любых взаимодействиях не передаются ни пароли, ни значения хеша паролей в открытом виде.

Расширение PKINIT позволяет использовать двухфакторную аутентификацию по токенам или смарт-картам на этапе предаутентификации Kerberos.

Вход в систему может быть обеспечен, как при использовании службы каталога домена, так и локальной службы каталога. TGT создается на основе электронной подписи, которая вычисляется на смарт-карте или токене.

Все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, т. к. реализуется процесс взаимной аутентификации клиента и сервера.

Практика:

Приступим к настройке.

Сделаем так, чтобы в домен под вашей учетной записью можно было зайти только по предъявлению токена и зная PIN-код.

Для демонстрации мы будем использовать Рутокен ЭЦП PKI производства компании «Актив».

1 Этап — Настройка домена Первым делом установим службы сертификации.

Дисклеймер.

Эта статья не является туториалом по внедрению корпоративного PKI. Вопросы проектирования, разворачивания и грамотного применения PKI тут не рассматриваются ввиду необъятности этой темы.

Все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение такого решения, обязательно должны доверять корневому Удостоверяющему Центру (Центру Сертификации).

Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Удостоверяющий центр, выдающий сертификаты для использования смарт-карт или токенов, должен быть помещен в хранилище NT Authority.

Зайдите в Диспетчер сервера и выберите «Добавить роли и компоненты».

При добавлении ролей сервера выберите «Службы сертификации Active Directory» (Microsoft категорически рекомендует не делать это на контроллере домена, дабы не огрести проблем с производительностью). В открывшемся окне выберите «Добавить компоненты» и выберите пункт «Центр сертификации».

На странице для подтверждения установки компонентов нажмите «Установить».

2 Этап — Настройка входа в домен с помощью токена

Для входа в систему нам понадобится сертификат, который содержит идентификаторы Smart Card Logon и Client Authentication.

Сертификат для смарт-карт или токенов также должен содержать UPN пользователя (суффикс имени участника-пользователя). По умолчанию суффиксом имени участника-пользователя для учетной записи является DNS-имя домена, которое содержит учетную запись пользователя.

Сертификат и закрытый ключ должны быть помещены в соответствующие разделы смарт-карты или токена, при этом закрытый ключ должен находиться в защищенной области памяти устройства.

В сертификате должен быть указан путь к точке распространения списка отзыва сертификатов (CRL distribution point). Такой файл содержит список сертификатов с указанием серийного номера сертификата, даты отзыва и причины отзыва. Он используется для передачи сведений об отозванных сертификатах пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

Настроим установленные службы сертификации. В правом верхнем углу нажмите на желтый треугольник с восклицательным знаком и щелкните «Настроить службы сертификации…».

В окне «Учетные данные» выберите необходимые учетные данные пользователя для настройки роли. Выберите «Центр сертификации».

Выберите «ЦС предприятия».

ЦС предприятия интегрированы с AD. Они публикуют сертификаты и списки отзыва сертификатов в AD.

Укажите тип «Корневой ЦС».

На следующем этапе выберите «Создать новый закрытый ключ».

Выберите период действия сертификата.

3 этап — Добавление шаблонов сертификатов

Для добавления шаблонов сертификатов откройте Панель управления, выберите пункт «Администрирование» и откройте Центр сертификации.

Щелкните по названию папки «Шаблоны сертификатов», выберите пункт «Управление».

Щелкните по названию шаблона «Пользователь со смарт-картой» и выберите пункт «Скопировать шаблон». На следующих скриншотах показано, какие параметры в окне «Свойства нового шаблона» необходимо изменить.

Если в списке поставщиков нет «Aktiv ruToken CSP v1.0», то необходимо установить комплект «Драйверы Рутокен для Windows».

Начиная с Windows Server 2008 R2 вместо специального провайдера от производителя можно использовать «Microsoft Base Smart Card Crypto Provider».

Для устройств Рутокен библиотека «минидрайвера», поддерживающая «Microsoft Base Smart Card Crypto Provider», распространяется через Windows Update.

Проверить установился ли «минидрайвер» на вашем сервере можно подключив Рутокен к нему и посмотрев в диспетчер устройств.

Если «минидрайвера» по каким-то причинам нет, его можно установить принудительно, инсталлировав комплект «Драйверы Рутокен для Windows», а после этого воспользоваться «Microsoft Base Smart Card Crypto Provider».

Комплект «Драйверы Рутокен для Windows» распространяется бесплатно с сайта Рутокен .

Добавьте два новых шаблона «Агент сертификации» и «Пользователь с Рутокен».

Для этого выйдите из окна «Управления шаблонами». Нажмите правой кнопкой мыши на «Шаблоны сертификатов» и выберите пункт меню «Создать» и подпункт «Выдаваемый шаблон сертификата».

Далее выберите «Агент регистрации» и «Пользователь с Rutoken» и нажмите «ОК».

Далее нам необходимо выписать сертификат администратору домена. Откройте службу «Выполнить» и укажите команду mmc. Добавьте оснастку «Сертификаты».

В окне «Оснастки диспетчера сертификатов» выберите «моей учетной записи пользователя». В окне «Добавление и удаление оснастки» подтвердите добавление сертификатов.

Выберите папку «Сертификаты».

Запросите новый сертификат. Откроется страница для регистрации сертификата. На этапе запроса сертификата выберите политику регистрации «Администратор» и нажмите «Заявка».

Таким же образом запросите сертификат для Агента регистрации.

Чтобы запросить сертификат для определенного пользователя щелкните «Сертификаты», выберите пункт «Зарегистрироваться от имени…».

В окне для запроса сертификата установите флажок «Пользователь с Рутокен».

Теперь необходимо выбрать пользователя.

В поле «Введите имена выбранных объектов» укажите имя пользователя в домене и нажмите «Проверить имя».

В окне для выбора пользователя нажмите «Заявка».

В раскрывающемся списке выберите имя токена и укажите PIN-код.

Таким же образом выберите сертификаты для других пользователей в домене.

4 этап — Настройка учетных записей пользователей

Для настройки учетных записей откройте список пользователей и компьютеров AD.

Нужно ли переоформить эцп при смене директора

Особенности использования токенов

На все токены производитель предлагает гарантийный срок эксплуатации сроком в 12 месяцев. На практике срок службы устройства кратно больше и зависит в основном о соблюдения правил использования. Последние включают следующие рекомендации:

• защищайте токен от воздействий любого типа (агрессивные вещества, повышенные и пониженные температуры, удары, вибрации, воздействия твердыми предметами);
• при подключении устройства не прилагайте больших усилий (особенно направленных перпендикулярно боковой поверхности корпуса);
• предотвращайте попадание на устройство (особенно касается считывателя) пыли, грязи, влаги, а для очистки используйте обычную чистую сухую ткань;
• не носите токен вместе с ключами, монетами и иными твердыми предметами;
• не разбирайте и не сгибайте устройство;
• подключайте токен только к исправному USB-разъему либо считывателю;
• не извлекайте устройство во время горящего или мигающего индикатора из-за риска повреждения информации, микроконтроллера;
• не используйте длинные переходники или большие хабы без дополнительного питания из-за снижения напряжения.

На практике, идеальным местом для хранения Рутокен на рабочем месте будет сейф, ящик стола, который закрывается на ключ и куда нет доступа у третьих лиц.

Оформление акта приема-передачи документов

Директор отвечает за хранение и целостность документации и вверенного имущества. При увольнении он обязан сдать дела. Но в законодательных актах отсутствует информация, как должна происходить процедура передачи. Но следует учитывать, что процедура увольнения и передачи может отображаться во внутренней документации организации. Все зависимости от существующих нормативов, участники не имеют права задерживать увольнение.

Если увольнение связано с конфликтной ситуацией и назначенное руководство отказывается принять документацию, то можно передать в архив или передать для хранения нотариусу.

Составление и подписание акта приема-передачи в большой степени требуется для уволенного сотрудника. В передаче дел могут участвовать прежний и нынешний руководитель. Иногда мероприятие может осуществляться в присутствии собственника или собственников компании.

Подготовка заявления о смене генерального директора ооо по установленной форме

Для любого случая, когда планируется смена генерального директора в ооо пошаговая инструкция указывает на необходимость подготовки заявления в соответствии с формой N Р13014. Бланк заполняется для внесения соответствующих изменений в ЕГРЮЛ. Когда запланирована смена генерального директора ооо форма N Р13014 заполняется в соответствии с официальной инструкцией.

Бланк состоит из нескольких листов. Порядок смены генерального директора ооо подразумевает указание на титульном листе реквизитов организации и причины обращения в контролирующую инстанцию. Также заполнению подлежит лист К. На первом экземпляре указывают причину внесения коррективов в учредительную документацию, а также информацию о предыдущем руководителе.

Порядок смены генерального директора в ооо 2020 обязывает заполнять также вторую страницу листа К. Она посвящена адресу места жительства и контактной информации нового руководителя.

При такой процедуре как смена генерального директора в ооо налоговая также требует заполнения листа Р. Его первая страница посвящена информации о статусе заявителя и сведениям о предприятии, представителем которого он выступает. Следующие две страницы листа Р касаются персональной информации заявителя и его контактов.

Преимущества входа в домен по токену

PIN-код от токена проще запомнить, так как он может быть намного проще пароля. Каждый наверняка хоть раз в жизни видел, как «опытный» пользователь мучительно не может с нескольких попыток аутентифицироваться в системе, вспоминая и вводя свой «безопасный» пароль.

PIN-код не обязательно постоянно менять, так как токены более устойчивы к перебору PIN-кодов. После некоторого числа неудачных попыток ввода, токен блокируется.

При использовании токена для пользователя вход в систему выглядит следующим образом: после загрузки компьютера, он просто подключает токен к USB-порту компьютера, вводит 4-6 цифр и нажимает кнопку Enter. Скорость ввода цифр у обычных людей выше, чем скорость ввода букв. Поэтому PIN-код вводится быстрее.

Токены позволяют решить проблему «брошенного рабочего места» — когда пользователь уходит со своего рабочего места и забывает выйти из своей учетной записи.

Политика домена может быть настроена таким образом, чтобы компьютер автоматически блокировался при извлечении токена. Также токен может быть оснащен RFID-меткой для прохода между помещениями компании, поэтому не забрав токен со своего рабочего места, сотрудник просто не сможет перемещаться по территории.

Разновидности токенов

Сегодня в России сертифицировано для использования в качестве токенов несколько наименований носителей (ниже будут рассмотрены все виды отдельно и более подробно):

«Рутокен» — торговый бренд российского разработчика «Актив», занимающегося разработкой и производством продуктов в области защиты информации. Токены компании имеют, в зависимости от типа, сертификаты ФСТЭК и ФСБ, что подтверждает безопасность и соответствие криптографических алгоритмов требованиям стандартов в сфере безопасности.

К основным моделям «Рутокен» сегодня относятся:

Универсальное решение для хранения ключей и сертификатов для ЭЦП без права их последующего экспорта на другие носители в системах клиент-банк. Устройство оказалось первым в России, которое получило сертификат ФСБ на соответствие обновленным стандартам в сфере криптографической безопасности.

Решение рассчитано на использование в корпоративных сетях государственных организаций и учреждений, благодаря наличию криптографических алгоритмов, соответствующих требованиям регулирующих органов.

Особенность устройства — в возможности заверения ЭЦП документов на девайсах под управлением операционных систем на мобильных устройствах iOS, Android за счет подключения через Bluetooth, HID-устройства или разъем micro-USB.

Решение позволяет перед подписанием документа ЭЦП визуализировать его на экране монитора, а также имеет дополнительную защиту от фишинга, атак с подменой страницы непосредственно при подписи.

Токен позволяет подписывать документы ЭЦП, дополнительной опцией устройства стало наличие Flash-памяти объемом до 64 ГБ, наличие сертификата ФСБ о соответствии всем требованиям класса КС2.

Смена директора по эцп

Наличие ЭЦП (электронно-цифровой подписи) значительно упрощает многие процедуры, проведение которых необходимо при деятельности фирмы. Ее наличие расширяет полномочия юридического лица, зарегистрированного на сайте ФНС. При наличии ЭЦП юрлицо имеет возможность вносить поправки в ЕГРЮЛ.

Так, например, конфликт возникает когда правление организации уже утвердило нового директора на должность, но в Реестре информация об этом появляется только после того, как глава подает заявление по форме Р 13014 в регистрационное ведомство.

Также нередко компании проводят смену директора, заказывая электронную подпись для физического лица. Или же удостоверяющий центр создают новую ЭЦП, с информацией о новом руководителе, что противоречит действующему законодательству. Закон обязывает удостоверяющий центр проверять все бумаги, заявления и регистрацию соискателя в Реестре перед созданием и выдачей ЭПЦ.

Также согласно закону, в том случае если новый руководитель компании обращается в УЦ за сертификатом на электронную подпись, удостоверяющий центр имеет право отказать в выдаче ЭПЦ, если соискатель не зарегистрирован в реестре или предоставил неполный пакет документов.

Для смены директора удаленно требуется предоставить некоторые документы в налоговые и регистрационные органы. Среди прочих здесь требуется и устав фирмы, в котором необходимо указать адрес, устанавливающий местонахождение директора. Но как быть в том случае, если директор работает удаленно?

Компания имеет возможность заключить трудовой договор с новым директором о дистанционной работе. В таком случае адресом местонахождения директора становится его домашний адрес. В том случае, если директор изначально трудился в офисе, но позже перешел на дистанционную работу, следует изменить сведения в ЕГРЮЛ, используя ЭЦП.

Трудовой договор в инспекцию предоставлять не обязательно. Сама процедура смены руководителя юридически остается прежней.Для упрощения процедуры смены генерального директора по ЭЦП звоните нам! Юристы нашей компании возьмут всю работу на себя, а Вам лишь останется принять уже готовый результат.

Способы защиты от указания слабого pin-кода

Все виды паролей делят на 3 группы: надежные, средние и слабые. Для предотвращения использования последних и повышения общей безопасности достаточно настроить индивидуальную политику для задания PIN-кодов, которая будет действовать при их смене. Для этого в ЭЦП Рутокен есть несколько ключей инсталляторов (отдельно они будут рассмотрены чуть ниже):

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) задает политику по выводу специального сообщения при сохранении установленного ранее по умолчанию ПИН с предложением его изменить.

PINENCODING (параметр, установленный в рамках базовых настроек, – ANSI) определяет политику в использовании любых символов кодировки UTF-8. Если значение установлено на значении UTF-8, то будет разрешено устанавливать PIN-код, где есть символы в этой кодировке (это доступно исключительно для ЭЦП Рутокен). Если будет установлено значение ANSI, то использовать символы кодировки UTF-8 запрещено.

PPACCEPTBLEBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность применения PIN-кода со «слабой» надежностью. При установлении параметра на уровне 0 это допускается, а на уровне два подобное запрещено. При значении 1 появляется предупреждающее окно, что требует дополнительного подтверждения для использования слабого по уровню защиты пароля.

PPACCEPTABLEPINBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования пароля со «средним» уровнем безопасности. При значении 0 это допускается, а если значение 1, то будет выведено соответствующее сообщение с предупреждением.

PPONLYNUBERALS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в пароле только цифр. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONLYLETERS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в новом пароле для доступа исключительно букв. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONESYMBOLPIN (параметр, установленный в рамках базовых настроек, – 0) политика определяет возможность указания PIN-кода, включающего только один повторяющийся символ. При установлении параметра в значение 0 это допустимо, а если 1, то запрещено.

PPCURRENTPIN (параметр, установленный в рамках базовых настроек, – 0) политика предусматривает возможность установки PIN-кода, который полностью совпадает с прежним. При значении 0 это допустимо, а если 1, то запрещено.

PPDEFAULTPIN (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования PIN-кода по умолчанию. При значении 0 это разрешено, а если 1, то запрещено.

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) определяет вывод сообщения при применении заводского пароля. Если выбрано положение YES, то после ввода будет появляться на экране каждый раз окно с предупреждением: «Вы используете PIN-код по умолчанию для этого токена. Хотите его сейчас поменять?» Если выбрано положение NO, то окно не выводится.

PPMINPINLENGTH (параметр, установленный в рамках базовых настроек, – 1) определяет минимальное значение PIN-кода в символах и может составлять от 1 до 16.

PPBADPINBORDER (параметр, установленный в рамках базовых настроек, – 0) определяет границу, которая отделят «средние» пароли от «слабых». Может составлять от 0 до 100.

(параметр, установленный в рамках базовых настроек, – 100) политика определяет границу, которая отделяет «надежные» PIN-коды от «средних». Значение это обязательно должно оставаться выше PPBADPINBORDER.

PPPINLENGHTWEIGHT (параметр, установленный в рамках базовых настроек, – 73) значение определяет суммарное значение длины пароля в общей оценки его сложности. Может составлять от 0 до 100.

Токен и смарт-карта

Наверно, самым надежным и простым в реализации способом двухфакторной аутентификации является использование криптографического токена или смарт-карты. Токен — это USB-устройство, которое является и считывателем, и смарт-картой одновременно. Первым фактором в таком случае является факт владения устройством, а вторым — знание его PIN-кода.

Использовать токен или смарт-карту, тут кому, что удобнее. Но исторически так сложилось, что в России больше привыкли использовать токены, так как они не требуют использования встроенных или внешних считывателей смарт-карт. У токенов есть и свои минусы. Например, на нем не напечатаешь фотографию.

На фотографии изображена типичная смарт-карта и считыватель.

Однако вернемся к корпоративной безопасности.

А начнем мы с домена Windows, ведь в большинстве компаний в России корпоративная сеть построена именно вокруг него.

Как известно, политики Windows-домена, настройки пользователей, настройки групп в Active Directory предоставляют и разграничивают доступ к огромному количеству приложений и сетевых сервисов.

Защитив учетную запись в домене, мы можем защитить большинство, а в некоторых случаях и вообще все внутренние информационные ресурсы.

Установка сертификатов

Если ранее вы уже пытались установить ЭЦП на этот компьютер под управлением Mac OS, то сначала важно удалить все имеющиеся уже сертификаты. Для этого в терминале выполните по очереди 3 команды (они удалят лишь сертификаты из КриптоПро и обойдут стороны иные, находящиеся в KeyChain):

Ответом на каждую из команд будет сообщение про успешное удаление либо отсутствие подходящих под требования сертификатов, которые находились в определенных папках.

Теперь можно установить заново корневые сертификаты, которые выступают в качестве общих для каждой квалифицированной электронной подписи, выдаваемых УЦ. Загрузить их можно с сайта УФО Министерства коммуникаций и связи. Для их установки выполните в терминале команды типа sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f pathSertif, где pathSertif – путь и имя конкретного скачанного сертификата (их 3). Ответом на каждую команду будет системное сообщение об установке и отсутствии ошибок.

Теперь можно установить на компьютер сертификаты конкретного удостоверяющего центра, где была выпущена КЭП любой категории. Их можно найти на официальном интернет-сайте в разделе с файлами для установки либо на диске, выданном при оформлении ЭЦП. Получить их можно и на сайте Минкомсвязи, где представлен весь перечень УЦ и сертификатов для последующей работы (там вам необходимы только действующие файлы).

Их также надо установить, выполнив в терминале компьютера команду типа sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f pathSertificatName, где pathSertificatName – путь к загруженному сертификату вашего УЦ. Ответом на команду должно быть сообщение об успешной операции и отсутствии ошибок при ее выполнении.

Следующим этапом здесь будет непосредственно установка сертификата с Рутокен. Сделать это можно командой /opt/cprocsp/bin/csptestf -absorb -certs, которая должна быть выполнена успешно и без ошибок.

Завершающей стадией установки станет настройка конфигурация КриптоПро для работы с сертификатами. Здесь в соответствии с рекомендациями на сайте разработчика выполните 2 операции (они не возвращают каких-либо сообщений): sudo /opt/cprocsp/sbin/cpconfig -ini ‘cryptographyOID1.2.643.7.1.1.1.1!3’ -add string ‘Name’ ‘GOST R 34.10-2021 256 bit’. Во второй команде кусок кода 256 bit поменяйте на 512 bit.

Это не страшно. как начать пользоваться ключом?

В первую очередь — вам нужен тот самый USB-токен. Его можно купить в интернете — в России проще всего достать JaCarta U2F. Я купил такой за 1500 рублей.

Процедура настройки ключа практически везде одинакова, поэтому мы покажем настройку на примере аккаунта в Google.

1 — Войдите в настройки двойной аутентификации аккаунта. Нажмите на «Выберите другой способ» и выберите там электронный ключ:

2 — Подключать ключ к компьютеру сразу нельзя. Убедитесь, что он у вас в руке и жмите «Далее»:

3 — Вставьте ключ в USB-разъем и нажмите на нем кнопку:

Ключ загорится красным светом, а браузер попросит разрешения на доступ к устройству:

4 — Ваш ключ зарегистрируется и вам нужно будет придумать ему имя:

5 — Готово! Теперь добавьте дополнительные способы входа в аккаунт — через приложение или СМС-код. Это нужно, если вы потеряете свой токен. Но я этого делать не буду.

А теперь небольшой челендж для читателей. Вот все данные аккаунта, на котором я установил свой USB-ключ: