none
User Profile Service 1530. Пропадают персональные сертификаты выданные CA. RRS feed

  • Вопрос

  • Коллеги, сначала думали, что пользователь просто не успел получать ключ, делали запрос сертификата с клиента. 

    Но потом обращения стали появляться чаще и пользователи раньше уже работали с подписями Outlook.

    В логах нашел следующее:

    Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  
    
     ПОДРОБНО - 
     5 user registry handles leaked from \Registry\User\S-1-5-21-4218819409-2901227458-3855814343-3832:
    Process 944 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4218819409-2901227458-3855814343-3832
    Process 944 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4218819409-2901227458-3855814343-3832
    Process 944 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4218819409-2901227458-3855814343-3832\Software\Microsoft\SystemCertificates\My
    Process 944 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4218819409-2901227458-3855814343-3832\Software\Microsoft\SystemCertificates\CA
    Process 944 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4218819409-2901227458-3855814343-3832\Software\Microsoft\SystemCertificates\Disallowed

    Уже 7ой случай за 4 дня, что где можно посмотреть? Сталкивался ли кто с подобным?

    Как провести диагностику?

Ответы

  • Ну да, конечно такое никому не отгадать :)

    Натыкался на топики про касперского, но там все лечилось обновлением драйверов и т.п., углубившись в политики касперского, нашел там защиту веток реестра, в частности:

    HKLM\SOFTWARE\Microsoft\SystemCertificates\*

    Ну блин... :)

    • Помечено в качестве ответа Oleg.A 24 мая 2017 г. 13:45

Все ответы

  • Может ветку реестра запретить всем-всем?

    Чтобы раз выданные сертификаты не могли удаляться?

  • Ну да, конечно такое никому не отгадать :)

    Натыкался на топики про касперского, но там все лечилось обновлением драйверов и т.п., углубившись в политики касперского, нашел там защиту веток реестра, в частности:

    HKLM\SOFTWARE\Microsoft\SystemCertificates\*

    Ну блин... :)

    • Помечено в качестве ответа Oleg.A 24 мая 2017 г. 13:45