Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Какие минимальные права нужны на запись в CERT_SYSTEM_STORE_LOCAL_MACHINE?
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Под локальным админом работает. Код:AutoCERTSTORE hCertStore = CertOpenStore(CERT_STORE_PROV_SYSTEM, 0, NULL, CERT_SYSTEM_STORE_LOCAL_MACHINE, L"ROOT");
Программа запускается от учетки пользователя. Понятное дело всем пользователям локального админа не дадут. Какие минимальные права нужны? Спасибо.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,037
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 140 раз в 126 постах
|
Сертификаты в хранилище компьютера должен устанавливать системный администратор и "здесь нет повода для обсуждения".
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Автор: basid Сертификаты в хранилище компьютера должен устанавливать системный администратор и "здесь нет повода для обсуждения". Совершенно согласен. Однако иногда приходится открывать хранилище компьютера с доступом для записи даже хотя писать не собираешься. Если мой вывод из примера в спойлере верен, то для поиска сертификатов по отпечатку или имени непонятно зачем-то нужен доступ на запись. Индекс там какой перестраивается или что, не ясно. Хотя для перечисления тех же сертификатов доступа чтения хватает.
Пример. У меня запускается приложение подписания из службы Apache под локальной системой. Разместить в хранилище пользователя "система" проблематично (теоретически надо запускать панель управления криптопро через psexec под системой с повышенными правами). Хранилище пользователя "система" по факту программно открывается, но пустое и приходится с хранилищем компьютера работать. Для корректности ставлю открытие хранилища компьютера в режиме "только чтение" (система конечно имеет права записи как и администраторы).
Не тратьте слова на указание какая плохая схема запускать Apache от системы, сам понимаю, что надо такую службу запустить под специальной служебной учеткой. Запустил бы под виртуальными учетками служб, но там еще больше проблем с хранилищем насколько мне известно.
В итоге приложением не находится сертификат через Find, но он же прекрасно виден через Enum. Причем тот же самый вызов Find с теми же самыми данными прекрасно срабатывает не в режиме службы для хранилища пользователя-администратора (открыто без "только чтение").
По минимальным правам наверно ответить сложно, так как в хранилище компьютера нужна еще и возможность ставить права другим пользователям, то есть надо иметь права не только на создание, чтение и запись, но и на смену разрешений. Выходят права мало чем отличающиеся от администратора/создателя-владельца/системы. Отличается разве что область в которой высокие права, нет нужды менять владельца. Полагаю, другие политики ограничения доступа к установке сертификатов будут мешать действиям без вхождения в группу администраторы. Настраивать каждого пользователя в политики выйдет слишком сложно, придется завести группу "почти-что-Администраторов" и прописать в политики разрешения для нее. Короче, идея так себе. Отредактировано пользователем 15 ноября 2019 г. 13:12:59(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Автор: two_oceans Автор: basid Сертификаты в хранилище компьютера должен устанавливать системный администратор и "здесь нет повода для обсуждения". Совершенно согласен. Однако иногда приходится открывать хранилище компьютера с доступом для записи даже хотя писать не собираешься. Если мой вывод из примера в спойлере верен, то для поиска сертификатов по отпечатку или имени непонятно зачем-то нужен доступ на запись. Индекс там какой перестраивается или что, не ясно. Хотя для перечисления тех же сертификатов доступа чтения хватает.
Пример. У меня запускается приложение подписания из службы Apache под локальной системой. Разместить в хранилище пользователя "система" проблематично (теоретически надо запускать панель управления криптопро через psexec под системой с повышенными правами). Хранилище пользователя "система" по факту программно открывается, но пустое и приходится с хранилищем компьютера работать. Для корректности ставлю открытие хранилища компьютера в режиме "только чтение" (система конечно имеет права записи как и администраторы).
Не тратьте слова на указание какая плохая схема запускать Apache от системы, сам понимаю, что надо такую службу запустить под специальной служебной учеткой. Запустил бы под виртуальными учетками служб, но там еще больше проблем с хранилищем насколько мне известно.
В итоге приложением не находится сертификат через Find, но он же прекрасно виден через Enum. Причем тот же самый вызов Find с теми же самыми данными прекрасно срабатывает не в режиме службы для хранилища пользователя-администратора (открыто без "только чтение").
По минимальным правам наверно ответить сложно, так как в хранилище компьютера нужна еще и возможность ставить права другим пользователям, то есть надо иметь права не только на создание, чтение и запись, но и на смену разрешений. Выходят права мало чем отличающиеся от администратора/создателя-владельца/системы. Отличается разве что область в которой высокие права, нет нужды менять владельца. Полагаю, другие политики ограничения доступа к установке сертификатов будут мешать действиям без вхождения в группу администраторы. Настраивать каждого пользователя в политики выйдет слишком сложно, придется завести группу "почти-что-Администраторов" и прописать в политики разрешения для нее. Короче, идея так себе. так может достаточно только прав на запись в ветку реестра?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
недостаточно проверил опытным путем
может папка какая еще?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
а вообще конечно программу надо запускать не от пользователя, а от имени служебной учетной записи но права лок админа наверное тож не очень хорошо ей давать
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Какие минимальные права нужны на запись в CERT_SYSTEM_STORE_LOCAL_MACHINE?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close