logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vovansgz  
#1 Оставлено : 12 августа 2019 г. 17:41:40(UTC)
vovansgz

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2018(UTC)
Сообщений: 6
Российская Федерация
Откуда: 48

Добрый день!
Есть сервер на Windows 2008 R2, установлен КриптоПро 5.
Для каждого пользователя приходится ставить сертификат, когда несколько организаций последовательность действий напрягает...
Под Администратором можно просматривать сертификаты Компьютера, под обычным пользователем нельзя.
Пробовал устанавливать сертификат для ПК, в управлении сертификатами давал разрешение ВСЕ - Пользователи их все равно не видят. В КриптоПро радио Компьютер для обычного пользователя недоступен.
Как сделать так, чтобы сертификаты, установленные для Компьютера, видели обычные пользователи?
Offline two_oceans  
#2 Оставлено : 13 августа 2019 г. 5:17:43(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 537
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 118 раз в 113 постах
Добрый день.
Контейнеры расположены на съемном носителе или в реестре? Включена ли стандартная служба "Распространение сертификатов"? Судя по написанному - в реестре. В тоже время "на съемном носителе" (точнее флешке, токене/смарт-карте, несистемном разделе жесткого диска, диске эмулированном программой subst, но не на сетевом или DVD диске) контейнеры будут видны и при переключателе в режиме пользователя и при переключателе в режиме компьютера. При запущенной службе "Распространение сертификатов" пользователям могут быть автоматически установлены все сертификаты с токенов.

У меня на 2008 R2 каким-то образом пользователям "притянулся" сертификат сертификат из хранилища компьютера (ЭП-ОВ для подписания в службах), подозреваю та же служба "Распространение сертификатов" постаралась - попробуйте в хранилище компьютера дать доступ пользователю, под которым выполняется служба "Распространение сертификатов" (обычно это локальная система).

Хотя наверно это не совсем тот ответ - это не имеет ничего общего с установкой сертификата в хранилище компьютера, ведь выбрав контейнер под обычным пользователем сможете установить сертификат только в хранилище пользователя. И служба скопирует сертификат с привязкой тоже в хранилище пользователя. Работать с хранилищем компьютера должна уметь сама программа, которой подписываете/расшифровываете, и выбор хранилища нужно делать в той программе - тогда устанавливать в хранилище пользователя не придется.
Offline vovansgz  
#3 Оставлено : 13 августа 2019 г. 9:17:32(UTC)
vovansgz

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2018(UTC)
Сообщений: 6
Российская Федерация
Откуда: 48

Сертификаты хранятся и флешке и в реестре. Хотел сделать так - добавить сертификат в локальное хранилище компьютера и чтобы все пользователи их видели. Служба есть и работает, в хранилище указывал уже ВСЕ. Толку нет. А каждому пользователю устанавливать сертификаты то еще занятие...
Offline basid  
#4 Оставлено : 13 августа 2019 г. 11:37:23(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 739

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
Личный сертификат обязан устанавливаться пользователем просто по определению.
Offline vovansgz  
#5 Оставлено : 13 августа 2019 г. 11:52:01(UTC)
vovansgz

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2018(UTC)
Сообщений: 6
Российская Федерация
Откуда: 48

Автор: basid Перейти к цитате
Личный сертификат обязан устанавливаться пользователем просто по определению.


Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера?
Offline Андрей Писарев  
#6 Оставлено : 13 августа 2019 г. 12:25:36(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,206
Мужчина
Российская Федерация

Сказал «Спасибо»: 278 раз
Поблагодарили: 1145 раз в 908 постах
Автор: vovansgz Перейти к цитате
Автор: basid Перейти к цитате
Личный сертификат обязан устанавливаться пользователем просто по определению.


Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера?


При соблюдении ИБ - Администратор не сможет воспользоваться ключами.

Вы работаете без паролей на контейнерах или пароли обычные (1..6, 1..8)?
К этому ведёт basid.


Техническую поддержку оказываем тут
Наша база знаний
Offline vovansgz  
#7 Оставлено : 13 августа 2019 г. 12:33:44(UTC)
vovansgz

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2018(UTC)
Сообщений: 6
Российская Федерация
Откуда: 48

Автор: Андрей Писарев Перейти к цитате
Автор: vovansgz Перейти к цитате
Автор: basid Перейти к цитате
Личный сертификат обязан устанавливаться пользователем просто по определению.


Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера?


При соблюдении ИБ - Администратор не сможет воспользоваться ключами.

Вы работаете без паролей на контейнерах или пароли обычные (1..6, 1..8)?
К этому ведёт basid.




Нет, пароли не стандартные.
Offline basid  
#8 Оставлено : 13 августа 2019 г. 15:19:06(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 739

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
Автор: vovansgz Перейти к цитате
Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера?
Потому, что права на чтение и запись разделов реестра существуют точно также, как и права на чтение и запись объектов файловой системы.
У администратора этих прав больше, чем у пользователя.
Offline two_oceans  
#9 Оставлено : 14 августа 2019 г. 5:01:08(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 537
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 118 раз в 113 постах
Автор: basid Перейти к цитате
Автор: vovansgz Перейти к цитате
Почему тогда под правами Администратора можно пользоваться как личным, так и находящимся в хранилище компьютера?
Потому, что права на чтение и запись разделов реестра существуют точно также, как и права на чтение и запись объектов файловой системы.
У администратора этих прав больше, чем у пользователя.
Правильно говорите и про права и про ИБ. Для простоты ИБ будем считать что это сертификат тестового УЦ, а не аккредитованного. Иначе далеко уйдем от вопроса.

Как я понимаю, у ТС вопрос про то, что он в хранилище компьютера - выбрал сертификат - действия - управление ключами - дал права пользователю (походу вообще значение "Все" указал потому как конкретного пользователя не помогло), но при этом права на чтение у пользователя похоже или не появились или смотрит как-то не так (например, программа открывает хранилище от обычного пользователя без флага "только чтение" и обламывается). Я что-то склоняюсь ко второй версии - у обычных пользователей нет запрета на чтение хранилища компьютера в режиме "только чтение", но на открытие для изменения выйдет ACCESS_DENIED.

Еще вариант, что не перезашел после изменения прав, а использовал какое-нибудь переключение пользователей и из-за этого права не применились к билету пользователя. Либо значение "Все" ограничено в использовании. Либо контейнеры в реестре, а прав на чтение того раздела реестра нет (тогда получается права в остнастке фикция?) Либо контейнеры на диске с NTFS и нет прав на папку с контейнером.

Для чистоты эксперимента я бы еще посоветовал создать нового пользователя и пробовать от него, бывает что проблема именно из-за настроек для учетной записи.

Отредактировано пользователем 14 августа 2019 г. 5:10:32(UTC)  | Причина: Не указана

Offline vovansgz  
#10 Оставлено : 14 августа 2019 г. 10:30:13(UTC)
vovansgz

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2018(UTC)
Сообщений: 6
Российская Федерация
Откуда: 48

Автор: two_oceans Перейти к цитате


Как я понимаю, у ТС вопрос про то, что он в хранилище компьютера - выбрал сертификат - действия - управление ключами - дал права пользователю (походу вообще значение "Все" указал потому как конкретного пользователя не помогло), но при этом права на чтение у пользователя похоже или не появились или смотрит как-то не так (например, программа открывает хранилище от обычного пользователя без флага "только чтение" и обламывается). Я что-то склоняюсь ко второй версии - у обычных пользователей нет запрета на чтение хранилища компьютера в режиме "только чтение", но на открытие для изменения выйдет ACCESS_DENIED.

Еще вариант, что не перезашел после изменения прав, а использовал какое-нибудь переключение пользователей и из-за этого права не применились к билету пользователя. Либо значение "Все" ограничено в использовании. Либо контейнеры в реестре, а прав на чтение того раздела реестра нет (тогда получается права в остнастке фикция?) Либо контейнеры на диске с NTFS и нет прав на папку с контейнером.

Для чистоты эксперимента я бы еще посоветовал создать нового пользователя и пробовать от него, бывает что проблема именно из-за настроек для учетной записи.



Все правильно поняли.
Чтение раздела ветки реестра компьютера доступен только для чтения (естественно для записи не дам).
Пользователь перезашел, нового пересоздавал, сервак ночью в ребут отправил - результат нулевой.
Как только даю права Администратора пользователю - ключи становятся доступны.
Может дать доступ на запись юзерам конкретно ветке с сертификатами?
Offline basid  
#11 Оставлено : 14 августа 2019 г. 17:37:29(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 739

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
Автор: vovansgz Перейти к цитате
Может дать доступ на запись юзерам конкретно ветке с сертификатами?
Вы, что, regedit никогда не видели? Можете, конечно.
Offline vovansgz  
#12 Оставлено : 15 августа 2019 г. 9:05:55(UTC)
vovansgz

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2018(UTC)
Сообщений: 6
Российская Федерация
Откуда: 48

Автор: basid Перейти к цитате
Автор: vovansgz Перейти к цитате
Может дать доступ на запись юзерам конкретно ветке с сертификатами?
Вы, что, regedit никогда не видели? Можете, конечно.


Речь шла не о возможности, а о результате :D
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.