Включение LSA Protection ломает ГОСТ TLS

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

Включение LSA Protection ломает ГОСТ TLS

Опции

Предыдущая тема Следующая тема

katbert		#1 Оставлено : 6 сентября 2022 г. 10:47:54(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2011(UTC) Сообщений: 25 Откуда: Уфа Сказал(а) «Спасибо»: 4 раз		После включения в домене режима LSA Protection (ключ реестра RunAsPPL=1) на машинах с Win10 и КриптоПро - перестали открываться порталы, использующие ГОСТ TLS. Помогает восстановление КриптпПро. На двух из затронутых машин - была версия 4.0.9975 В журнале Microsoft-Windows-CodeIntegrity/Operational на обоих машинах есть упоминания о блокировках: Цитата: Code Integrity determined that a process (\Device\HarddiskVolume3\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume3\Program Files\Common Files\Crypto Pro\Shared\pkivalidator.dll that did not meet the Microsoft signing level requirements. Вопрос - в чем может быть проблема? Если бы файлы не были подписаны должным образом доя совместимости с LSA Protection - то восстановление не помогло бы. А если файлы уже подписаны должным образом - то чему ломаться?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

two_oceans		#2 Оставлено : 7 сентября 2022 г. 7:45:17(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 396 раз в 366 постах		Действительно, интересно. Ключ при восстановлении не вернулся в прежнее значение?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Захар Тихонов		#3 Оставлено : 7 сентября 2022 г. 9:20:17(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,308 Откуда: Калининград Сказал «Спасибо»: 39 раз Поблагодарили: 583 раз в 560 постах		Автор: katbert После включения в домене режима LSA Protection (ключ реестра RunAsPPL=1) на машинах с Win10 и КриптоПро - перестали открываться порталы, использующие ГОСТ TLS. Помогает восстановление КриптпПро. На двух из затронутых машин - была версия 4.0.9975 В журнале Microsoft-Windows-CodeIntegrity/Operational на обоих машинах есть упоминания о блокировках: Цитата: Code Integrity determined that a process (\Device\HarddiskVolume3\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume3\Program Files\Common Files\Crypto Pro\Shared\pkivalidator.dll that did not meet the Microsoft signing level requirements. Вопрос - в чем может быть проблема? Если бы файлы не были подписаны должным образом доя совместимости с LSA Protection - то восстановление не помогло бы. А если файлы уже подписаны должным образом - то чему ломаться? Здравствуйте. Все зависит от того, что именно включено. Подробнее как включается\отключается описано тут https://docs.microsoft.c...7(v=ws.11)?redirectedfro В сертифицированной версии CSP (5.0 R2) уже включена поддержка IIS с включенным LSA Protected Mode. Рекомендуем установить данную сборку CSP и проверить работу https://cryptopro.ru/sit...0/CSPSetup-5.0.12000.exe
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

katbert		#4 Оставлено : 7 сентября 2022 г. 10:18:41(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2011(UTC) Сообщений: 25 Откуда: Уфа Сказал(а) «Спасибо»: 4 раз		Да, включалось по статье. Доменная политика создавала ключ RunAsPPL=1 в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Про не-отключение через реестр уже понял - в режиме UEFI мало удалить ключ реестра, нужна специальная утилита


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

katbert		#5 Оставлено : 7 сентября 2022 г. 10:21:22(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2011(UTC) Сообщений: 25 Откуда: Уфа Сказал(а) «Спасибо»: 4 раз		Режим совместимости с IIS не нужен, это обычные рабочие станции. Браузер подключается к порталам, которые используют ГОСТ TLS Если ГОСТ TLS не срабатывает - то браузер ругается SSL_ERROR_NO_CYPHER_OVERLAP, как будто КриптоПро не установлено совсем


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

katbert		#6 Оставлено : 7 сентября 2022 г. 10:25:41(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2011(UTC) Сообщений: 25 Откуда: Уфа Сказал(а) «Спасибо»: 4 раз		Автор: two_oceans Действительно, интересно. Ключ при восстановлении не вернулся в прежнее значение? Политика бы снова приехала - и все сломалось бы заново. А так - однократное восстановление срабатывает Посмотрел в логах - время и количество стартов системы совпало с количеством событий Цитата: LSASS.exe запущен как защищенный процесс уровня 4. Так что все перезагрузки были с включенным LSA Protection Отредактировано пользователем 7 сентября 2022 г. 10:32:06(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

katbert		#7 Оставлено : 8 сентября 2022 г. 14:27:39(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2011(UTC) Сообщений: 25 Откуда: Уфа Сказал(а) «Спасибо»: 4 раз		Воспроизвел проблему на чистой виртуалке с Win 8.1 - выходит, не только на Win10 проявляется, и конфликты с другим софтом тоже можно исключить Установил только КриптоПро 4.0.9975 Проверял из IE11 через страницу входа в личный кабинет на zakupki.gov.ru https://lk.zakupki.gov.ru/sso/svr Поднимался ГОСТ TLS, выходило текстовое сообщение о невозможности входа по сертификату Создал ключ RunAsPPL=1, перезагрузился, и ГОСТ TLS слетел - браузер ругается на невозможность отображения страницы


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Захар Тихонов		#8 Оставлено : 8 сентября 2022 г. 14:36:35(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,308 Откуда: Калининград Сказал «Спасибо»: 39 раз Поблагодарили: 583 раз в 560 постах		В сертифицированной версии CSP (5.0 R2) уже включена поддержка IIS с включенным LSA Protected Mode. Рекомендуем установить данную сборку CSP и проверить работу
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

katbert		#9 Оставлено : 8 сентября 2022 г. 15:07:45(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2011(UTC) Сообщений: 25 Откуда: Уфа Сказал(а) «Спасибо»: 4 раз		На стенде попробую, скорее всего будет работать. В боевой сети на единственной машине с КриптоПро 5.0 - после включения LSA Protection проблем не возникло. Но как массовое решение - не пойдет. Переход с версии 4 на 5 - платный же. Пока хотелось бы понять, это бага или фича На моем стенде с отвалившимся ГОСТ TLS - какие есть способы диагностики? На Win8.1 в журнал CodeIntegrity ничего не пишется


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

katbert		#10 Оставлено : 9 сентября 2022 г. 9:58:34(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2011(UTC) Сообщений: 25 Откуда: Уфа Сказал(а) «Спасибо»: 4 раз		На тестовой виртуалке Win 8.1 + КриптоПро 5.0 R2 после включения LSA Protection проблем не возникло. ГОСТ TLS работает. Но что делать с версией 4.0, которая с технической точки зрения устраивает, с формальной - сертифицирована до января 2024, а переход на 5.0 - платный?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close