Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Alex_DotNETAlexAlex_DotNET112358  
#1 Оставлено : 15 ноября 2019 г. 11:52:04(UTC)
Alex_DotNETAlexAlex_DotNET112358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.03.2019(UTC)
Сообщений: 79
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Под локальным админом работает.
Код:
AutoCERTSTORE hCertStore = CertOpenStore(CERT_STORE_PROV_SYSTEM, 0, NULL, CERT_SYSTEM_STORE_LOCAL_MACHINE, L"ROOT");


Программа запускается от учетки пользователя.
Понятное дело всем пользователям локального админа не дадут.
Какие минимальные права нужны?
Спасибо.
Offline basid  
#2 Оставлено : 15 ноября 2019 г. 11:57:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Сертификаты в хранилище компьютера должен устанавливать системный администратор и "здесь нет повода для обсуждения".
Offline two_oceans  
#3 Оставлено : 15 ноября 2019 г. 13:10:50(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: basid Перейти к цитате
Сертификаты в хранилище компьютера должен устанавливать системный администратор и "здесь нет повода для обсуждения".
Совершенно согласен.

Однако иногда приходится открывать хранилище компьютера с доступом для записи даже хотя писать не собираешься. Если мой вывод из примера в спойлере верен, то для поиска сертификатов по отпечатку или имени непонятно зачем-то нужен доступ на запись. Индекс там какой перестраивается или что, не ясно. Хотя для перечисления тех же сертификатов доступа чтения хватает.
По минимальным правам наверно ответить сложно, так как в хранилище компьютера нужна еще и возможность ставить права другим пользователям, то есть надо иметь права не только на создание, чтение и запись, но и на смену разрешений. Выходят права мало чем отличающиеся от администратора/создателя-владельца/системы. Отличается разве что область в которой высокие права, нет нужды менять владельца.

Полагаю, другие политики ограничения доступа к установке сертификатов будут мешать действиям без вхождения в группу администраторы. Настраивать каждого пользователя в политики выйдет слишком сложно, придется завести группу "почти-что-Администраторов" и прописать в политики разрешения для нее. Короче, идея так себе.

Отредактировано пользователем 15 ноября 2019 г. 13:12:59(UTC)  | Причина: Не указана

Offline Alex_DotNETAlexAlex_DotNET112358  
#4 Оставлено : 15 ноября 2019 г. 13:33:03(UTC)
Alex_DotNETAlexAlex_DotNET112358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.03.2019(UTC)
Сообщений: 79
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Автор: two_oceans Перейти к цитате
Автор: basid Перейти к цитате
Сертификаты в хранилище компьютера должен устанавливать системный администратор и "здесь нет повода для обсуждения".
Совершенно согласен.

Однако иногда приходится открывать хранилище компьютера с доступом для записи даже хотя писать не собираешься. Если мой вывод из примера в спойлере верен, то для поиска сертификатов по отпечатку или имени непонятно зачем-то нужен доступ на запись. Индекс там какой перестраивается или что, не ясно. Хотя для перечисления тех же сертификатов доступа чтения хватает.
По минимальным правам наверно ответить сложно, так как в хранилище компьютера нужна еще и возможность ставить права другим пользователям, то есть надо иметь права не только на создание, чтение и запись, но и на смену разрешений. Выходят права мало чем отличающиеся от администратора/создателя-владельца/системы. Отличается разве что область в которой высокие права, нет нужды менять владельца.

Полагаю, другие политики ограничения доступа к установке сертификатов будут мешать действиям без вхождения в группу администраторы. Настраивать каждого пользователя в политики выйдет слишком сложно, придется завести группу "почти-что-Администраторов" и прописать в политики разрешения для нее. Короче, идея так себе.

так может достаточно только прав на запись в ветку реестра?
Offline Alex_DotNETAlexAlex_DotNET112358  
#5 Оставлено : 15 ноября 2019 г. 14:23:26(UTC)
Alex_DotNETAlexAlex_DotNET112358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.03.2019(UTC)
Сообщений: 79
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
недостаточно
проверил опытным путем

может папка какая еще?
Offline Alex_DotNETAlexAlex_DotNET112358  
#6 Оставлено : 15 ноября 2019 г. 14:33:09(UTC)
Alex_DotNETAlexAlex_DotNET112358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.03.2019(UTC)
Сообщений: 79
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
а вообще конечно программу надо запускать не от пользователя, а от имени служебной учетной записи
но права лок админа наверное тож не очень хорошо ей давать
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.