Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2018(UTC) Сообщений: 6 Откуда: 48
|
Добрый день! Есть сервер на Windows 2008 R2, установлен КриптоПро 5. Для каждого пользователя приходится ставить сертификат, когда несколько организаций последовательность действий напрягает... Под Администратором можно просматривать сертификаты Компьютера, под обычным пользователем нельзя. Пробовал устанавливать сертификат для ПК, в управлении сертификатами давал разрешение ВСЕ - Пользователи их все равно не видят. В КриптоПро радио Компьютер для обычного пользователя недоступен. Как сделать так, чтобы сертификаты, установленные для Компьютера, видели обычные пользователи?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Добрый день. Контейнеры расположены на съемном носителе или в реестре? Включена ли стандартная служба "Распространение сертификатов"? Судя по написанному - в реестре. В тоже время "на съемном носителе" (точнее флешке, токене/смарт-карте, несистемном разделе жесткого диска, диске эмулированном программой subst, но не на сетевом или DVD диске) контейнеры будут видны и при переключателе в режиме пользователя и при переключателе в режиме компьютера. При запущенной службе "Распространение сертификатов" пользователям могут быть автоматически установлены все сертификаты с токенов.
У меня на 2008 R2 каким-то образом пользователям "притянулся" сертификат сертификат из хранилища компьютера (ЭП-ОВ для подписания в службах), подозреваю та же служба "Распространение сертификатов" постаралась - попробуйте в хранилище компьютера дать доступ пользователю, под которым выполняется служба "Распространение сертификатов" (обычно это локальная система).
Хотя наверно это не совсем тот ответ - это не имеет ничего общего с установкой сертификата в хранилище компьютера, ведь выбрав контейнер под обычным пользователем сможете установить сертификат только в хранилище пользователя. И служба скопирует сертификат с привязкой тоже в хранилище пользователя. Работать с хранилищем компьютера должна уметь сама программа, которой подписываете/расшифровываете, и выбор хранилища нужно делать в той программе - тогда устанавливать в хранилище пользователя не придется.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2018(UTC) Сообщений: 6 Откуда: 48
|
Сертификаты хранятся и флешке и в реестре. Хотел сделать так - добавить сертификат в локальное хранилище компьютера и чтобы все пользователи их видели. Служба есть и работает, в хранилище указывал уже ВСЕ. Толку нет. А каждому пользователю устанавливать сертификаты то еще занятие...
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,037
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 140 раз в 126 постах
|
Личный сертификат обязан устанавливаться пользователем просто по определению.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2018(UTC) Сообщений: 6 Откуда: 48
|
Автор: basid Личный сертификат обязан устанавливаться пользователем просто по определению. Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 495 раз Поблагодарили: 2035 раз в 1579 постах
|
Автор: vovansgz Автор: basid Личный сертификат обязан устанавливаться пользователем просто по определению. Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера? При соблюдении ИБ - Администратор не сможет воспользоваться ключами. Вы работаете без паролей на контейнерах или пароли обычные (1..6, 1..8)? К этому ведёт basid. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2018(UTC) Сообщений: 6 Откуда: 48
|
Автор: Андрей Писарев Автор: vovansgz Автор: basid Личный сертификат обязан устанавливаться пользователем просто по определению. Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера? При соблюдении ИБ - Администратор не сможет воспользоваться ключами. Вы работаете без паролей на контейнерах или пароли обычные (1..6, 1..8)? К этому ведёт basid. Нет, пароли не стандартные.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,037
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 140 раз в 126 постах
|
Автор: vovansgz Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера? Потому, что права на чтение и запись разделов реестра существуют точно также, как и права на чтение и запись объектов файловой системы. У администратора этих прав больше, чем у пользователя.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Автор: basid Автор: vovansgz Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера? Потому, что права на чтение и запись разделов реестра существуют точно также, как и права на чтение и запись объектов файловой системы. У администратора этих прав больше, чем у пользователя. Правильно говорите и про права и про ИБ. Для простоты ИБ будем считать что это сертификат тестового УЦ, а не аккредитованного. Иначе далеко уйдем от вопроса. Как я понимаю, у ТС вопрос про то, что он в хранилище компьютера - выбрал сертификат - действия - управление ключами - дал права пользователю (походу вообще значение "Все" указал потому как конкретного пользователя не помогло), но при этом права на чтение у пользователя похоже или не появились или смотрит как-то не так (например, программа открывает хранилище от обычного пользователя без флага "только чтение" и обламывается). Я что-то склоняюсь ко второй версии - у обычных пользователей нет запрета на чтение хранилища компьютера в режиме "только чтение", но на открытие для изменения выйдет ACCESS_DENIED. Еще вариант, что не перезашел после изменения прав, а использовал какое-нибудь переключение пользователей и из-за этого права не применились к билету пользователя. Либо значение "Все" ограничено в использовании. Либо контейнеры в реестре, а прав на чтение того раздела реестра нет (тогда получается права в остнастке фикция?) Либо контейнеры на диске с NTFS и нет прав на папку с контейнером. Для чистоты эксперимента я бы еще посоветовал создать нового пользователя и пробовать от него, бывает что проблема именно из-за настроек для учетной записи. Отредактировано пользователем 14 августа 2019 г. 5:10:32(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2018(UTC) Сообщений: 6 Откуда: 48
|
Автор: two_oceans
Как я понимаю, у ТС вопрос про то, что он в хранилище компьютера - выбрал сертификат - действия - управление ключами - дал права пользователю (походу вообще значение "Все" указал потому как конкретного пользователя не помогло), но при этом права на чтение у пользователя похоже или не появились или смотрит как-то не так (например, программа открывает хранилище от обычного пользователя без флага "только чтение" и обламывается). Я что-то склоняюсь ко второй версии - у обычных пользователей нет запрета на чтение хранилища компьютера в режиме "только чтение", но на открытие для изменения выйдет ACCESS_DENIED.
Еще вариант, что не перезашел после изменения прав, а использовал какое-нибудь переключение пользователей и из-за этого права не применились к билету пользователя. Либо значение "Все" ограничено в использовании. Либо контейнеры в реестре, а прав на чтение того раздела реестра нет (тогда получается права в остнастке фикция?) Либо контейнеры на диске с NTFS и нет прав на папку с контейнером.
Для чистоты эксперимента я бы еще посоветовал создать нового пользователя и пробовать от него, бывает что проблема именно из-за настроек для учетной записи.
Все правильно поняли. Чтение раздела ветки реестра компьютера доступен только для чтения (естественно для записи не дам). Пользователь перезашел, нового пересоздавал, сервак ночью в ребут отправил - результат нулевой. Как только даю права Администратора пользователю - ключи становятся доступны. Может дать доступ на запись юзерам конкретно ветке с сертификатами?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close