Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: Gri_V Всем добрый день!
Немножко уточню. Для меня профиль пользователя (в том числе и реестр) не надежен потому, что если с компьютером (у нас это виртуальные машины) возникают технические проблемы, мне проще его переинсталлировать. Соответственно есть риск потерять подпись. Также у меня один и тот же пользователь со своей подписью может работать на нескольких виртуальных машинах. Поэтому и хотелось бы хранить подпись пользователя вне привязки к профилю на локальном компьютере. Самое простое здесь например, это homeshare пользователя на файловом сервере.
С уважением, Василий Вы хотите, чтобы были решены две задачи: возможность восстановления и возможность использования с разных машин. Для обеих я бы порекомендовал пользоваться флешками. Честно говоря, иногда возникают разговоры, чтобы дать настраивать папку для ключей, но, кажется, что это такой ящик пандоры, который лучше не открывать. 1) Все сертификаты, установленные в хранилище, имеют ссылку на закрытый ключ, которая имеет строгий формат, не подразумевающий вариабельности. Соответственно, пользователь для корректной работы должен следить, чтобы считыватель указывал в правильное место. Если там лежит один ключ, то второй, лежащий в другом месте, уже виден не будет. Админ что-то настроил, пользователь что-то поправил, в итоге ключи лежат непонятно где. 2) Сейчас мы более-менее уверены в том, что ключи защищены от доступа другим пользователем. Если человек начинает править права доступа к папке с ключами, то ССЗБ. А если сделать штатной функциональностью возможность смены папки, тут уже мы ни на что надеяться не можем. В целом, пока не возникнет проблемы, которую можно решить иначе, кроме как переносом папки ключей, добавлять эту функциональность мы не планируем. |
|
2 пользователей поблагодарили Grey за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.11.2009(UTC) Сообщений: 12
|
Сергей, спасибо за развернутый ответ. Для меня эта тема пока на стадии осмысливания, вернее тема корпоративного хранилища сертификатов. В настоящее время используем и RuToken, и виртуальные флэшки (по средствам ПО TrueCrypt или сейчас VeraCrypt), как Вы и рекомендовали. Но с виртуальными флэшками может быть проблема при работе на терминальном сервере, подмонтированные контейнеры будут видны всем пользователям. Поэтому и обратил внимание на контейнер Directory. Ну не проблема, пусть будет AppData локального пользователя. Придет время, найду техническое решение, главное я выяснил, что нигде в настройках это не изменить. С уважением, Василий Отредактировано пользователем 24 декабря 2019 г. 15:44:58(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: Gri_V Сергей, спасибо за развернутый ответ.
Для меня эта тема пока на стадии осмысливания, вернее тема корпоративного хранилища сертификатов. В настоящее время используем и RuToken, и виртуальные флэшки (по средствам ПО TrueCrypt или сейчас VeraCrypt), как Вы и рекомендовали. Но с виртуальными флэшками может быть проблема при работе на терминальном сервере, подмонтированные контейнеры будут видны всем пользователям. Поэтому и обратил внимание на контейнер Directory.
Ну не проблема, пусть будет AppData локального пользователя. Придет время, найду техническое решение, главное я выяснил, что нигде в настройках это не изменить.
С уважением, Василий Можете еще вот какой вариант рассмотреть. Генерировать все ключи как LOCAL_MACHINE, назначить пользователям права на ключи (каждому на свои), примонтировать папку на удаленную машину. |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Автор: Агафьин Сергей Можете еще вот какой вариант рассмотреть. Генерировать все ключи как LOCAL_MACHINE, назначить пользователям права на ключи (каждому на свои), примонтировать папку на удаленную машину. Если папка на NTFS то да, а вот флешки в основном все еще с FAT (для быстрого извлечения), с правами там похуже. Как вариант конечно подойдет, но мне кажется хранилище компьютера доставляет еще больше неприятностей. Поясню: (речь о версии 4.0, на 5.0 не тестировал, но предполагаю все так же, Windows Server 2008 R2) если нужно дать к контейнеру на жестком диске (корне несистемного раздела) доступ как службе ("локальной системе"), то доступ автоматически получит и служба "Распространение сертификатов" и установит сертификат всем активным пользователям в хранилище пользователя. Похоже "Распространение сертификатов" не сможет найти контейнер на флешке или несистемном диске, но сразу же находит по сертификату в хранилище компьютера (то есть считает что в хранилище компьютера сертификаты с токенов). При этом у пользователя, которому "Распространение сертификатов" установит сертификат, может стоять запрет доступа к контейнеру и средствами хранилища компьютера и средствами файловой системы, использовать сертификат пользователь не сможет, но службе Распространение сертификатов это нисколько не мешает и в хранилище личные у всех мельтешит этот сертификат. Если смотреть дальше, то службы криптопровайдера также запущены от Локальной системы, то есть совсем перекрыть доступ к контейнеру для системы не вариант.
У меня такая проблема с сертификатом ЭП-ОВ, в котором нет ФИО и снилса (используется в программе запускаемой из службы, программа наследует учетную запись от службы), но бухгалтерия часто выбирает сертификат не смотря есть в нем ФИО или нет, подпись отчета в Контур-Экстерн обламывается так как бухгалтерии доступ к контейнеру не дан и они начинают звонить мне, чтобы убрал биииип нерабочий сертификат. Удаление неэффективно, так как "Распространение сертификатов" ставит все обратно. Заглушать "Распространение сертификатов" полностью не очень хороший вариант. Дать доступ тоже не вариант, так как в сертификате ЭП-ОВ нет назначения для Контура и Контур отклонит подписанный отчет и придется загружать отчет по новой. Все это не мешает плагину Контура показывать неподходящий сертификат из хранилища и даже сообщать о его истечении.
Поэтому меня очень интересует возможность использования виртуальных аккаунтов служб, чтобы доступ можно было дать только конкретной службе (например, криптопровайдеру и целевой службе). Свою службу я конечно могу перенести под отдельного пользователя, но вот менять пользователя криптопровайдера или распространения сертификатов приведет неизвестно к чему. Как я понял из одного сообщения на форуме виртуальные аккаунты служб не поддерживаются? Изменилось ли что-то на текущий момент? Если не изменилось, то хранилище компьютера вроде и удобно и безопасно, но дает очень неожиданные эффекты. Отредактировано пользователем 10 января 2020 г. 8:21:05(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.01.2022(UTC) Сообщений: 1
|
Автор: Александр Лавник Автор: irina-chebakova Добрый день, подскажите, пожалуйста, появился новый считыватель директория. В чем отличие от реестра и куда записываются ключи? Здравствуйте. 1) Отличие от реестра: хранение в виде папки с файлами на жестком диске (формат ключевого контейнера аналогичен формату на флеш-накопителе или на несистемном разделе жесткого диска). 2) Место расположения: Код:C:\Users\<username>\AppData\Local\Crypto Pro\
Доброго времени, есть ли возможность сменить директорию на Roaming? у нас переносные профили пользователей на терминальном сервере, local по сути идет как временная, при выходе из системы она не выгружается в хранилище профилей, а просто удаляется, а вся конфигурация и настройки пользователя лежат в Roaming
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: Suleyman Доброго времени, есть ли возможность сменить директорию на Roaming? у нас переносные профили пользователей на терминальном сервере, local по сути идет как временная, при выходе из системы она не выгружается в хранилище профилей, а просто удаляется, а вся конфигурация и настройки пользователя лежат в Roaming
Добрый день. Нет, папка является фиксированной. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.04.2022(UTC) Сообщений: 2
|
Добрый день при копирование ключей в реестр то ветка находится HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\(SID номер)\Keys подскажите путь ветки в реестре при копрированрие в директорию?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,701 Сказал «Спасибо»: 500 раз Поблагодарили: 2049 раз в 1589 постах
|
Автор: Vonabruch Добрый день при копирование ключей в реестр то ветка находится HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\(SID номер)\Keys подскажите путь ветки в реестре при копрированрие в директорию? Цитата: \Users\логин пользователя\AppData\Local\Crypto Pro\
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.04.2022(UTC) Сообщений: 2
|
Автор: Андрей * Автор: Vonabruch Добрый день при копирование ключей в реестр то ветка находится HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\(SID номер)\Keys подскажите путь ветки в реестре при копрированрие в директорию? Цитата: \Users\логин пользователя\AppData\Local\Crypto Pro\
путь до папки я знаю. Но меня интересует путь до ветки в реестре куда теперь записывает?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,701 Сказал «Спасибо»: 500 раз Поблагодарили: 2049 раз в 1589 постах
|
Автор: Vonabruch Автор: Андрей * Автор: Vonabruch Добрый день при копирование ключей в реестр то ветка находится HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\(SID номер)\Keys подскажите путь ветки в реестре при копрированрие в директорию? Цитата: \Users\логин пользователя\AppData\Local\Crypto Pro\
путь до папки я знаю. Но меня интересует путь до ветки в реестре куда теперь записывает? Что записывает? В вопросе - путь до директории... Опишите более подробно вопрос. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close