Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Максим Коллегин  
#11 Оставлено : 19 апреля 2018 г. 19:20:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,375
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\AppPath
- это атавизм, в новых версиях почти не используется.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#12 Оставлено : 19 апреля 2018 г. 19:22:57(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,375
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Цитата:
На сертифицированной версии 4.0.9842 это не срабатывает, ключ в реестре "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\<User SID>" (при его отсутствии) не создается совсем после выполнения этой команды. Сама команда успешно завершается.

Возможно вы уже "сломали" права на ветку, или она виртуализовалась.
Попробуйте выполнять команду после штатной установки криптопровайдера.
И да, есть известная проблема с виртуализацией реестра, она решена в 4.0.9944.

Отредактировано пользователем 19 апреля 2018 г. 19:24:21(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline DfDf  
#13 Оставлено : 19 апреля 2018 г. 21:34:13(UTC)
DfDf

Статус: Участник

Группы: Участники
Зарегистрирован: 18.04.2018(UTC)
Сообщений: 13
Российская Федерация

Автор: Максим Коллегин Перейти к цитате
И да, есть известная проблема с виртуализацией реестра, она решена в 4.0.9944.


Теперь понятно, спасибо. В 4.0.9944 вроде заработало. Да уж...

Автор: Максим Коллегин Перейти к цитате
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\AppPath
- это атавизм, в новых версиях почти не используется.


Понятно.

Тогда еще вопрос:
на части машин по пути (к примеру, обратите внимание, это уже НЕ атавизм, как я понимаю)
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\csptest.exe" значение "C:\Program Files\Crypto Pro\csptest.exe",
на другой части "C:\Program Files (x86)\Crypto Pro\csptest.exe", при том, что версия операционки одинаковая, 64х битная (Windows 7 SP1 64bit Enterprise со всеми обновлениями).

Т.е. один и тот же путь в реестре показывает то на 64х битную, то на 32х битную версию утилиты.
Как это объяснить?

Отредактировано пользователем 19 апреля 2018 г. 21:39:25(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#14 Оставлено : 19 апреля 2018 г. 21:52:41(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,375
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Очень интересно, ни разу не смотрели итоговое значение этого пути. Ну и в целом, разницы для пользователя быть должно от того, какая версия приложения запустится, они идентичны.
Знания в базе знаний, поддержка в техподдержке
Offline basid  
#15 Оставлено : 20 апреля 2018 г. 5:58:50(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Автор: DfDf Перейти к цитате
Т.е. один и тот же путь в реестре показывает то на 64х битную, то на 32х битную версию утилиты.
Как это объяснить?
Есть "две виртуализации".

"Изначальная виртуализация" подставляет 32-разрядным процессам "%SystemRoot%\SysWOW64" и "%ProgramFiles(x86)%" как
"%SystemRoot%\System32" и "%ProgramFiles%" соответственно.
Аналогичным образом виртуализируются и разделы реестра.

"Виртуализация для UAC" перенаправляет некоторые записи в профиль пользователя, чтобы приложение не получило ошибку доступа.

Вторую виртуализацию я выключаю "ибо нефиг", а вот первой - вполне себе пользуюсь.
Offline DfDf  
#16 Оставлено : 20 апреля 2018 г. 22:03:55(UTC)
DfDf

Статус: Участник

Группы: Участники
Зарегистрирован: 18.04.2018(UTC)
Сообщений: 13
Российская Федерация

Автор: Максим Коллегин Перейти к цитате
Цитата:
На сертифицированной версии 4.0.9842 это не срабатывает, ключ в реестре "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\<User SID>" (при его отсутствии) не создается совсем после выполнения этой команды. Сама команда успешно завершается.

Возможно вы уже "сломали" права на ветку, или она виртуализовалась.
Попробуйте выполнять команду после штатной установки криптопровайдера.
И да, есть известная проблема с виртуализацией реестра, она решена в 4.0.9944.


Теперь аналогичная проблема с версией 4.0.9944 на сервере терминалов (Windows 2012 R2). Удалил полностью весь ключ USERS, он пересоздался, но не создаются через
Код:
csptest -keyset -enum -verifycontext

подключи <User SID>

process монитором смотрю - rundll32 (запущенный службой Крипто-Про) проверяет наличие этого ключа, не находит его и успокаивается, вместо того чтобы создать и задать ему нужные права.
Ну что за танцы с бубном снова...

Откатываюсь на 4.0.9842. Она права, конечно, неверно назначает, но хоть контейнеры создаются...
Offline Максим Коллегин  
#17 Оставлено : 22 апреля 2018 г. 11:59:09(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,375
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А на ветку Users права не испортились? (Create Subkey for EveryOne)

Отредактировано пользователем 22 апреля 2018 г. 12:05:26(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline DfDf  
#18 Оставлено : 23 апреля 2018 г. 16:48:16(UTC)
DfDf

Статус: Участник

Группы: Участники
Зарегистрирован: 18.04.2018(UTC)
Сообщений: 13
Российская Федерация

Автор: Максим Коллегин Перейти к цитате
А на ветку Users права не испортились? (Create Subkey for EveryOne)


Максим, я же написал:

Цитата:
Удалил полностью весь ключ USERS, он пересоздался

Теперь предлагается (после того как он пересоздался на последней версии) проверить права доступа к этому ключу и их исправить?
А разве служба не должна это сделать сама?
Причем не только при создании ключа, в случае его отсутствия, но и каждый раз при старте службы, т.к. это а) безопасность б) критично для работоспособности продукта?
Offline Максим Коллегин  
#19 Оставлено : 25 апреля 2018 г. 20:54:41(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,375
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Если вы испортили конфигурацию продукта, то исправить её можно только переустановкой продукта. Эти права задаются установщиком, непривилегированному пользователю эта операция недоступна, а иметь отдельную службу ради этого - не всем понравится.

Отредактировано пользователем 25 апреля 2018 г. 21:09:43(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline DfDf  
#20 Оставлено : 24 мая 2018 г. 22:02:19(UTC)
DfDf

Статус: Участник

Группы: Участники
Зарегистрирован: 18.04.2018(UTC)
Сообщений: 13
Российская Федерация

Автор: Максим Коллегин Перейти к цитате
Если вы испортили конфигурацию продукта

Её никто не портил, установщик не назначил этой ветви правильные права, как Вы же сами пишите чуть ниже.

Автор: Максим Коллегин Перейти к цитате
Эти права задаются установщиком, непривилегированному пользователю эта операция недоступна, а иметь отдельную службу ради этого - не всем понравится.


У вас и так есть служба cpcsp, она работает под LocalSystem, при старте службы можно и проверить права на критически важную ветвь реестра (почему-то Крипто-Про 3.6 эт оделала, насколько я помню), получить событие входа пользователя и в этот момент проверить права на Users\SID - тоже просто. Почему этот код перестал работать мне непонятно.


RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.