Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ASG1704  
#1 Оставлено : 12 октября 2020 г. 13:51:06(UTC)
ASG1704

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2019(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Добрый день! На работе есть более 200 ПК с установленным Крипто Про 4.0 с разной версией сборок. Каким образом можно массово удалить 4 версию с пк? Учитывая то, что все они устанавливались вручную. И затем, необходимо установить 5 версию но с разными ключами лицензии? На работе есть машины и с 7 виндой и 10, все они x64.
Offline two_oceans  
#2 Оставлено : 13 октября 2020 г. 3:21:51(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,125
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 257 раз в 241 постах
Вроде бы уже поднимался вопрос, в общих чертах:
1) для каждого ПК слепить в SuperOrca минипатч с одним только регистрационным номером - сохранить как %CompName%.msp. Как вариант файл реестра %CompName%.reg
2) удалять 4.0 в принципе не обязательно, так как 5.0 заменит 4.0, но если вдруг: запустить удаление через msiexec по гуид или имени продукта (разные версии 4.0 имеют разные гуиды, но по имени и 5.0 снесет). Как вариант набросал скрипт автоопределения;

3) запустить стандартную установку - есть в виде msi;
4) запустить патчик %CompName%.msp или внедрение %CompName%.reg
Повторить на все компы можно групповой политикой либо другими средствами автоматизации.
Если при создании групповой политики будет ругаться что нет такого файла %CompName%.msp - временно создать копию патча с таким именем, потом сразу удалить.

Отредактировано пользователем 15 октября 2020 г. 8:14:19(UTC)  | Причина: скрипт теперь пишет в TEMP и находит лицензию в реестре

Offline ASG1704  
#3 Оставлено : 13 октября 2020 г. 6:25:19(UTC)
ASG1704

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2019(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: two_oceans Перейти к цитате
Вроде бы уже поднимался вопрос, в общих чертах:
1) для каждого ПК слепить в SuperOrca минипатч с одним только регистрационным номером - сохранить как %CompName%.msp. Как вариант файл реестра %CompName%.reg
2) удалять 4.0 в принципе не обязательно, так как 5.0 заменит 4.0, но если вдруг: запустить удаление через msiexec по гуид или имени продукта (разные версии 4.0 имеют разные гуиды, но по имени и 5.0 снесет). Как вариант набросал скрипт автоопределения;

3) запустить стандартную установку - есть в виде msi;
4) запустить патчик %CompName%.msp или внедрение %CompName%.reg
Повторить на все компы можно групповой политикой либо другими средствами автоматизации.
Если при создании групповой политики будет ругаться что нет такого файла %CompName%.msp - временно создать копию патча с таким именем, потом сразу удалить.



А обязательно на каждый компьютер делать отдельный файл? Разве нет способа как-то это упростить? Просто у меня больше 300 пользовательских лицензий и делать на каждую отдельный файл, ну такое себе конечно)))) Я предполагал, что можно создать текстовый документ в котором будут лицензии и при установке из него они будут браться, а после завершения выводить лог файл в которм указанно, у какого ПК какая лицензия
Offline two_oceans  
#4 Оставлено : 15 октября 2020 г. 7:44:41(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,125
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 257 раз в 241 постах
Ну это решение если через групповую политику развертывать - каждый компьютер по своему имени возьмет только свой номер из своего файлика, никаких шансов что один номер получат 2 компьютера.
Если брать из одного файла 300 компьютерами одновременно - надо еще и блокировку файла придумывать, чтобы дублей не было. Проще сделать через БД тогда уж.

Чем глобально не устраивает вариант с файлами реестра? Смотрите: файл реестра REG это тот же текстовый файл по сути (в кодировке Юникод с BOM и фиксированной первой строкой). Скрипт, генерирующий 300 файликов реестра из одного TXT файлика с 300 именами компьютеров (по имени в строке) и второго TXT файлика с 300 номерами лицензий (по номеру в строке) и третьего REG файлика (шаблона) - не особо сложный будет, не понадобится их все вручную набивать. Ветераны даже батником такое смогут провернуть, а я vbs пишу. Останется только 300 файликов кинуть в общую папку.
Ну а опрос номеров лицензий... можно слегка поправить тот скрипт выше чтобы находил номер и дописывал в конец файла в шаре на сервере.

Еще вариант (без файликов): использовать удаленную командную строку (смотря какая есть psexec или winrm, например) для дистанционной записи значения в реестр.

Еще вариант (ближе к Вашему по логике): страничка на веб-сервере (IIS втыкаемый Майкрософт в каждую роль Сервера и ASP страничка сойдет), выдающая лицензии и запоминающая в бд (ms access файлик mdb, например) что выдала какому имени компьютера. Плюс скрипт, выполняемый через групповую политику, определяющий имя компьютера, получающий по имени лицензию от странички и пишущий лицензию в реестр. В этом случае в БД можно импортировать текстовые файлики со списком компьютеров (чтоб "чужие" не получили) и списком лицензий, а потом сделать красивенький отчет из БД кому какую лицензию дали, а кто все еще не получил.

Отредактировано пользователем 15 октября 2020 г. 7:49:11(UTC)  | Причина: Не указана

Offline ASG1704  
#5 Оставлено : 16 октября 2020 г. 7:24:26(UTC)
ASG1704

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2019(UTC)
Сообщений: 10
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: two_oceans Перейти к цитате
Ну это решение если через групповую политику развертывать - каждый компьютер по своему имени возьмет только свой номер из своего файлика, никаких шансов что один номер получат 2 компьютера.

Из всех вариантов что я в интернете нашел, ваш самый лучший как мне кажется. Только можете прокомментировать свой скрипт который вы выше написали?
Первую часть скрипта я понял, там идет определение версии установленного криптопро. А что происходит во второй части, где создаются текстовые документы и из каких файлов он должен брать информацию?
Интересует именно часть после Sub DetectInFile(Fname)

Отредактировано пользователем 16 октября 2020 г. 7:37:45(UTC)  | Причина: Не указана

Offline Винтик  
#6 Оставлено : 17 октября 2020 г. 7:30:01(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 392

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
И сразу все забыли про то что СКЗИ требуется устанавливать только с диска приебретённого... Anxious
Offline basid  
#7 Оставлено : 17 октября 2020 г. 9:50:50(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 811

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 102 раз в 93 постах
Цитата:
2.10 Установка СКЗИ на рабочее место пользователя может быть осуществлена только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации (раздел 2 ЖТЯИ.00101-01 95 01. КриптоПро CSP. Правила пользования).

Цитата:
− Инсталляция СКЗИ на рабочих местах должна производиться только с дистрибутива, полученного по доверенному каналу.

Цитата:
Установочные модули СКЗИ «КриптоПро CSP» версии 5.0 КС1 и комплект эксплуатационной документации к нему могут поставляться пользователю Уполномоченной организацией двумя способами:
1) на носителе (CD, DVD-диски);
2) посредством загрузки через Интернет.

Читайте, в общем, актуальную документацию.
Offline two_oceans  
#8 Оставлено : 19 октября 2020 г. 9:47:41(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,125
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 257 раз в 241 постах
Цитата:
Интересует именно часть после Sub DetectInFile(Fname)
Стартовой положение - в одной папке лежат два приведенных файла, дальше в норме все должно пройти автоматом. Конечно при реальном удалении понадобится повышение прав, а тест (сканер) отрабатывает с обычными правами.
Замечание про получение дистрибутива от Уполномоченной организации и по доверенному каналу конечно справедливо. Диск особенно круто смотрится в сейфе, рядом с компом без оптического привода (которых сейчас большинство среди новых сборок). Положить ISO с этого диска в общую папку, доступную только для чтения и двумя кликами примонтировать на десятку - вполне рабочий вариант в текущих условиях. Особенно если вспомнить, что десятка не сертифицирована, а семерка обновляется исключительно платно.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.