none
GPO SRP Правила хэшей и сертификатов RRS feed

  • Вопрос

  • Расклад следующий:

    Существует домен, который изначально базировался на ОС Windows 2003. Недавно   (ноябрь 2012) произведена миграция на Windows 2008.
    Существует дочерний домен который, также базировался на Windows 2003, сейчас производится миграция на Windows 2008. Один контроллер переведен на Windows 2008, а на втором, основном контроллере установлена Windows 2003.

    ОС клиентских машин Windows XP и Windows 7.
    На машины с Windows XP действует политика ограниченного использования программ (SRP).
    Используются правила Сертификатов, Хэша и Путей.

    Недавно возникло несколько проблем:
    1. Примерно в мае 2012 года перестали, корректно работать правила путей. Т.е. Если я напишу правило в виде *.exe, то все замечательно работает, но если я напишу правило вида C:\Program Files\Autocad\*, то никакой .exe файл из это каталога не запустится.
    2. Файла autocad подписаны цифровой подписью от autodesk, но срок действия этой подписи истек в 2009 году. Тем не менее если добавить эту подпись в хранилище «Доверенные издатели», то она по идее должна считаться легитимной. Подобное я уже проделывал со старыми подписями от Microsoft, adobe и др. и все работает, политики не блокируют указанные приложения. С Autocad сложилась любопытная ситуация. Если я прописываю хэш для файла подписанного подписью от autodesk, то при просмотре свойств файла подпись считается легитимной, что можно видеть при просмотре свойств файла, если же я убираю правило хэша, то подпись тут же становится не легитимной. Причины этого поведения мне не понятны.

    Буду благодарен за любой ответ. Особенно хочется понять причины проблем с цифровой подписью.

    6 января 2013 г. 10:06

Ответы

  • Эврика, сам нашел ответ. Может кому поможет.

    Открывает на редактирование политику в которой настраивались "Политики открытого ключа".

    Ветка "Конфигурация компьютера\Конфигурация Windows\Политики открытого ключа"

    Настраиваем "Параметры подтверждения пути сертификата"

    Ставим галочку "Разрешить пользователям доверять сертификатм одноранговой группы"

    Нажимаем кнопку "Выберите назначение сертификатов"

    В открывшемся окне открываем выпадающий список. В нем выбираем "Все политики применения".

    Нажимаем "Ок" и радуемся работе SRP по старым сертификатам.

    Да, кстати, необходимо также разрешить добавлять доверенных изадателей только администраторам.

    • Помечено в качестве ответа AlexeySem 10 января 2013 г. 6:31
    10 января 2013 г. 6:31