Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vladellec  
#1 Оставлено : 12 августа 2018 г. 16:17:53(UTC)
vladellec

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.08.2018(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 3 раз
Добрый день!
КриптоПРО CSP 4.0, установлена на Windows Server 2012 под пользователем с правами администратора Admin.
Есть ещё пользователи Windows Server(User1, User2,..), которым нужно видеть контейнеры(много контейнеров).

Вопросов 2:
1. Считыватель Реестр позволяет показывать контейнер под другим пользователем?
Если ни при каких условиях Реестр не позволяет, то
позволит ли Съёмный диск(сетевой диск, расшаренный от Admin для User1, User2,..) видеть контейнеры через оснастку?
Какие Ваши варианты хранения контейнера с многопользовательским доступом?

2. Как можно установить личный сертификат из контейнера таким образом, чтобы он установился под каждым пользователем(Admin, User1, User2,..) в "Личные" с указанием ссылки на закрытый ключ?
Интересует вариант упрощённой установки, чтобы не проводить установку сертификата под каждым пользователем.

Если такого нет, может утилита какая разработана для массовых действий с контейнерами и сертификатами от КриптоПРО?
Спасибо!
Offline crunchru  
#2 Оставлено : 13 августа 2018 г. 6:58:48(UTC)
crunchru

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.02.2014(UTC)
Сообщений: 3
Российская Федерация

Поблагодарили: 1 раз в 1 постах
При копировании или установке сертификата, есть пункт меню
"Заданное имя задает ключевой контейнер"
-пользователя
-компьютера

куда выберите, туда и будет сделана копия\будет установлен сертификат.

Но по опыту скажу, некоторые программы, очень плохо работают если сертификат стоит в компьютере, а не пользователе. Ну бывает так, что на оборот программа не работает с личными сертификатами.
thanks 1 пользователь поблагодарил crunchru за этот пост.
vladellec оставлено 15.08.2018(UTC)
Offline two_oceans  
#3 Оставлено : 14 августа 2018 г. 5:34:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Реестр разделяет понятия контейнера пользователя и контейнера компьютера, поэтому такие контейнеры будут видны только с соответствующим флагом. Вариант с расшаренным съемным носителем (дискетой, флешкой, токеном, subst папки на жестком диске) конечно сработает, такие контейнеры видны и в режиме пользователя и в режиме компьютера, главное чтобы сам носитель был доступен пользователю. Про автоматизацию установки "установка всех сертификатов одному пользователю" ниже.

Варианта с установкой одного сертификата "всем пользователя" в "Личные" сразу я не видел, пусть меня поправят сотрудники КриптоПро, если такой вариант есть. Как уже ответили выше, наиболее похожий вариант - установка в "Личные" компьютера. Такой вариант заставляет отказаться от разделения прользователю 1 доступны сертификаты 1, 2; пользователю 2 доступны сертификаты 2, 3. Если ставить от администраторв доступны (или недоступны) будут всем сразу все сертификаты 1, 2, 3. Итого: это небезопасно, особенно если подпись нужна юридически значимая. Если ставить от не-администраторов, могут быть нюансы с видимостью другим (подробнее в справке по Microsoft CryptoApi и справке по виртуализации действий не-администраторов в Windows), но тогда нужно заходить под каждого и смысл "установка одного сертификата всем пользователям" теряется.

В любом случае, могут возникнуть проблемы с некоторыми операциями под пользователями без админских прав: 1) часто программы не проверяют хранилище компьютера вообще; 2) многие программы открывают хранилище без флага "только чтение" даже если ничего записывать не собираются. Без "только чтение" и без прав администратора открытие хранилища компьютера может привести к ошибке. А если к ошибке не привело, опять же могла сработать функция виртуализации записи. Именно все это выше подытожили "некоторые программы очень плохо работают если сертификат стоит в компьютере". Окончательно сказать подходит ли именно Вам вариант можно только попробовав конкретную программу.

Есть и варианты получше, если сменить подход от "установка одного сертификата всем пользователям" на "установка всех сертификатов одному пользователю" (вариации на тему съемного носителя/токена):
1) есть вариант с утилитой csptest (под Windows ищите в папке где установлен CSP, обычно это c:\program files\crypto pro\csp) среди ее команд есть автоматическая установка всех доступных текущему пользователю контейнеров в личные и можно ее прописать в сценарий на вход пользователя. Останется только расшарить съемный носитель с нужными контейнерами от администратора.
2) есть вариант с токенами - если кроме модуля считывателя для КриптоПро установлены еще и драйвера считывателя (а новые ОС бывает что сразу их имеют), то ОС понимает, что это "считыватель смарт-карт" и часто срабатывает функция автоматической установки всего, что есть на токене в "личные" текущего пользователя. Иногда и обратная попытка установить все что есть в "личных" на токен. Обычно такая синхронизация несказанно раздражает, так как старые сертификаты с токена тоже ставятся автоматом и удалить их получается только с n-ного раза, но по Вашему вопросу как раз то что нужно.

Как потом будете чистить старые сертификаты - отдельный вопрос.

Отредактировано пользователем 14 августа 2018 г. 6:02:58(UTC)  | Причина: опечатки

thanks 1 пользователь поблагодарил two_oceans за этот пост.
vladellec оставлено 15.08.2018(UTC)
Offline Агафьин Сергей  
#4 Оставлено : 14 августа 2018 г. 7:54:04(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Добрый день.
Есть два пути:
1) Использование любого съемного носителя: флешка, токен, смарт-карта. Их хранилища по естественным причинам общие для всех пользователей компьютера.
2) Генерация ключа и установка сертификата "локального компьютера" ("машинного") и назначение ему прав доступа: оснастка "Сертификаты" - Сертификаты (локальный компьютер) - Личное - Правой кнопкой по нужному сертификату - Управление закрытыми ключами - Ставите права нужным пользователям - Они могут получить к ним доступ.

Важный нюанс, который, как я понимаю, осветили выше, пользователи для работы с сертификатами должны будут всегда выбирать, что используют ключи "компьютера". Некоторое ПО, встраивающее наш провайдер, на это может не закладываться.

Отредактировано пользователем 14 августа 2018 г. 8:04:17(UTC)  | Причина: Не указана

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 2 пользователей поблагодарили Grey за этот пост.
vladellec оставлено 15.08.2018(UTC), Денис Зубалов оставлено 29.04.2020(UTC)
Offline vladellec  
#5 Оставлено : 15 августа 2018 г. 21:39:39(UTC)
vladellec

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.08.2018(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 3 раз
Спасибо всем за информацию.
Подытожу информацию для себя, попрошу поправить или добавить, вдруг что не так:

1. Использование считывателя "Съёмный диск" позволяет видеть контейнер всем, кому он доступен, но это небезопасно, т.к. есть возможность производить операции с контейнером.
2. При выборе хранения контейнера в "Реестр" Компьютера нужно взаимодействовать с разработчиками той или иной программы, т.к. поиск сертификата и ссылки на закрытый ключ может происходить только в хранилище Пользователь/Личное. И может потребоваться доработка.
3. Массовые операции с контейнерами и сертификатами обеспечивается утилитой csptest.exe.
4. Надо тестировать работоспособность функции подписи в каждой программе=)
Offline Агафьин Сергей  
#6 Оставлено : 16 августа 2018 г. 10:52:14(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: vladellec Перейти к цитате
Спасибо всем за информацию.
Подытожу информацию для себя, попрошу поправить или добавить, вдруг что не так:

1. Использование считывателя "Съёмный диск" позволяет видеть контейнер всем, кому он доступен, но это небезопасно, т.к. есть возможность производить операции с контейнером.
2. При выборе хранения контейнера в "Реестр" Компьютера нужно взаимодействовать с разработчиками той или иной программы, т.к. поиск сертификата и ссылки на закрытый ключ может происходить только в хранилище Пользователь/Личное. И может потребоваться доработка.
3. Массовые операции с контейнерами и сертификатами обеспечивается утилитой csptest.exe.
4. Надо тестировать работоспособность функции подписи в каждой программе=)


Почти все верно. Только пара комментариев.
1) Вы можете задать на контейнер пароль. Тогда никто больше никаких операций не выполнит.
2) Большинство ПО, которое встраивает наш провайдер, все же, это разделение поддерживает корректно.
3) csptest, конечно, много чего умеет, но это, все же, большей частью тестовая утилита.
4) А вот это точно факт.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline two_oceans  
#7 Оставлено : 22 августа 2018 г. 12:46:24(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: vladellec Перейти к цитате
Спасибо всем за информацию.
Подытожу информацию для себя, попрошу поправить или добавить, вдруг что не так:

1. Использование считывателя "Съёмный диск" позволяет видеть контейнер всем, кому он доступен, но это небезопасно, т.к. есть возможность производить операции с контейнером.
2. При выборе хранения контейнера в "Реестр" Компьютера нужно взаимодействовать с разработчиками той или иной программы, т.к. поиск сертификата и ссылки на закрытый ключ может происходить только в хранилище Пользователь/Личное. И может потребоваться доработка.
3. Массовые операции с контейнерами и сертификатами обеспечивается утилитой csptest.exe.
4. Надо тестировать работоспособность функции подписи в каждой программе=)
Тоже прокомментирую: 1. В целом, если ничего не делать, то действительно вариант съемных носителей может быть рискован. Однако при надлежащих мерах разграничения доступа все будет безопасно. Основные условия: если пользователь не сможет извлечь съемный носитель и прицепить куда-то еще (например, серверная заперта и опечатана, ключ у администратора) и если пользователь не имеет прав администратора. Об этом лучше спрашивать на форумах по администрированию, тут напишу только "наводки".

2. Да, о серьезной доработке как правило речь не идет, подправить в вызове функции параметр с 1 на 5, например, но это тоже требует доступа к исходникам. Особенно, если программа подписана ЭП разработчика или имеет защиту от изменения. А я удивлюсь, если программа работающая с СКЗИ не имеет того или другого.
3. Это просто самая "легкодоступная" программа с массовыми функциями, потому что идет в комплекте с CSP. Конечно есть подобные утилиты других авторов. Соглашусь, что в первую очередь это тестовая утилита.
4. Да.

Отредактировано пользователем 22 августа 2018 г. 12:55:51(UTC)  | Причина: уточнение

Online Андрей Писарев  
#8 Оставлено : 22 августа 2018 г. 13:47:46(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,628
Мужчина
Российская Федерация

Сказал «Спасибо»: 493 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: two_oceans Перейти к цитате
Автор: vladellec Перейти к цитате
Спасибо всем за информацию.
Подытожу информацию для себя, попрошу поправить или добавить, вдруг что не так:

1. Использование считывателя "Съёмный диск" позволяет видеть контейнер всем, кому он доступен, но это небезопасно, т.к. есть возможность производить операции с контейнером.
2. При выборе хранения контейнера в "Реестр" Компьютера нужно взаимодействовать с разработчиками той или иной программы, т.к. поиск сертификата и ссылки на закрытый ключ может происходить только в хранилище Пользователь/Личное. И может потребоваться доработка.
3. Массовые операции с контейнерами и сертификатами обеспечивается утилитой csptest.exe.
4. Надо тестировать работоспособность функции подписи в каждой программе=)
Тоже прокомментирую: 1. В целом, если ничего не делать, то действительно вариант съемных носителей может быть рискован. Однако при надлежащих мерах разграничения доступа все будет безопасно. Основные условия: если пользователь не сможет извлечь съемный носитель и прицепить куда-то еще (например, серверная заперта и опечатана, ключ у администратора) и если пользователь не имеет прав администратора. Об этом лучше спрашивать на форумах по администрированию, тут напишу только "наводки".

2. Да, о серьезной доработке как правило речь не идет, подправить в вызове функции параметр с 1 на 5, например, но это тоже требует доступа к исходникам. Особенно, если программа подписана ЭП разработчика или имеет защиту от изменения. А я удивлюсь, если программа работающая с СКЗИ не имеет того или другого.
3. Это просто самая "легкодоступная" программа с массовыми функциями, потому что идет в комплекте с CSP. Конечно есть подобные утилиты других авторов. Соглашусь, что в первую очередь это тестовая утилита.
4. Да.



Еще пользователь может просто экспортировать в PFX или скопировать с флешки папку с контейнером...
Т.е. ему не нужен физический доступ к флешке (в серверную).


Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.