14 ноября 2015 г.

СБИС++ настройка для пользвателя


Как установить СБИС для пользователя с ограниченными правами?
Ничего сложного здесь нет, самое главное - разрешить запись/чтение в папку программы.
По-умолчанию СБИС устанавливается на системный диск (C:).

Открываем свойства папки (Alt+Enter)
Вкладка безопасность, Изменить, Выделяем группу пользователей, ставим галочку полный доступ, Применить

Обычно я ставлю доступ на чтение/запись всем. Для этого открываем Свойства папки, безопасность, изменить, добавить, пишем "Все" (с большой буквы, без кавычек), нажимаем проверить имена, Ок, ставим полный доступ, применить, Ок.

Собственно основная задача статьи, показать? как разрешить пользователю запись закрытых ключей в реестр. Что дает запись ключа в реестр?, она позволяет отказаться от использования физических ключей. Когда одна флешка, можно не заморачиваться, а если их 5-10-20-40+?
Для того, чтобы пользователь мог использовать ключи из реестра, необходимо ему разрешить чтение/запись. Раньше я считал, что под словом реестр здесь скрывается какой-то особенный ящик, а оказалось - обычный реестр операционной системы.
Нажимаем меню Пуск, Выполнить (Win+R), набираем "regedit" (без кавычек).
Идем по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro
Если пути нет, значит требуется установка CryptoPro. Нажимаем правой клавишей и выбираем разрешения.
Ставим даем пользователю полный доступ.
Теперь пользователь может копировать СКЗИ и использовать их.

Ответ на вопрос как скопировать:
Вставляем ключ в ПК (с которого осуществляется подключение к серверу для клиент-серверных вариантов. По умолчанию идет проброс смарт-карт в удаленный сеанс). Если на клиенте (клиент-серверный вариант) не установлены драйвера ключа (при подключении любого ключа, лампочка в нем должна загореться/замигать), ничего не взлетит. Требуется установить драйвера локально. Потом на сервере, и только потом копировать.

Открываем Crypto-PRO CSP, переходим на вкладку "Сервис" - нажимаем скопировать - обзор -  выбираем наш ключ (правильно контейнер закрытого ключа) - Здесь система может запросить ввод пин-кода (обычно от 0/1-8, в крайнем случае в бумагах к ключу написано какой пин) - ОК - Далее
Пишем имя для нашего контейнера (лучше человеко-понимаемое, например СБИС_20ХХ_РогаИКопыта). Устанавливаем переключатель Пользователь/Компьютер (в теории: компьютер - для всех пользователей (никогда не проверял)), обычно ставят пользователь.
Далее система спрашивает куда копируем? Выбираем "Реестр", нажимаем ОК.
Дальше система просит ввести новый пин-код с подтверждением (возможен отдельный запрос на установку еще и пароля). Стандартная практика, но не рекомендация, установка пустого пин-кода. Вводим пин-код, повторяем его, нажимаем ОК.
Вот и все.

Личная рекомендация, копируйте контейнеры не в реестр, а на флеш носитель. 
  • Флеш носитель на терминальном сервере отображается во всех сеансах, в отличии от ключей (ключ отображается только в сеансах Console, т.е. для пользователя, который авторизовался без использования удаленного подключения (локально)). 
  • Доступ к контейнеру имеют все пользователи (по-умолчанию), т.о. не придется копировать во все реестры
  • При перевыпуске сертификатов и т.п., данные по контейнеру/ключу будут опять таки на носителе, и, в случае падения сервера, не придется перевыпускать/пересоздавать ключи/контейнеры.
Копирование на флеш носитель ничем не отличается от копирование в реестр, когда CryptoPRO спрашивает куда копируем, указываем ДисководХ.





Комментариев нет:

Отправка комментария