Статус: Новичок
Группы: Участники
Зарегистрирован: 25.12.2018(UTC) Сообщений: 1  Откуда: Тюмень
|
Здравствуйте! Установлен новый Ключ с новым ГОСТ Р 34.10-2012 и есть версия КриптоПро 4.0.9842. Подскажите будет ли с 1 января 2018 года возникать сообщение об ошибке/предупреждение, приводящее в некоторых случаях к неработоспособности автоматизированных систем?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.12.2018(UTC) Сообщений: 1 
|
Здравствуйте!Спасибо за утилиту по отмене блокировки Гост2001, но у нас вопрос, как долго будет сертификация Крипто Про R4? Возможно ли приобретение дистрибутива и формуляра на R4, в январе месяце,чтобы уйти совсем от проблем блокировки ГОСТа2001, но при условии,что он уже будет сертифицирован.Может есть уже какие-то более менее известные сроки получения сертификата?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.12.2018(UTC) Сообщений: 1 Откуда: СПб
|
Здравствуйте!Если я установила КриптоПро CSP 4.0 R3 (4.0.9944) и установила обновление под админом, то ключи ГОСТ 34.10-2001 будут работать в январе?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.12.2018(UTC) Сообщений: 2 Откуда: ykt Сказал(а) «Спасибо»: 1 раз
|
Всем привет, кто нибудь решал проблему установки этого патча путем распространения через AD? Суть такова: машин много, обход делать лень/некогда/невозможно и т.п. и поэтому мы попросили у сисадминов запустить удаленно на определенном списке машин. Ответили, что смогут, но нужна msi-версия этого файлика (2019.exe). Нарыл конвертер, сконвертировал, передал админам, они воткнули 2019.msi в политику, запустили на тестовой машине, но ничего не выгорело (После патча меняется пара строк в реестре, не поменялись  ) Может есть какой-нибудь другой алгоритм действий, не подскажете? Отредактировано пользователем 26 декабря 2018 г. 11:22:14(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Если нужно изменить только реестр, то есть более изящный путь - вспомнить что сама по себе групповая политика изначально пишется именно в реестр (а запуск чего-то там вторичен) и сделать файл .ADM с политикой пишущей сразу именно в эти строки реестра. В таком файле можно создать параметры для каждой изменяемой строки реестра (режим контроля ключей, время предупреждения генерации ключа, время блокировки генерации ключа, ... использования ключа) для 32-64 битности, задать допустим 3 варианта значения параметра и присвоить вариантам произвольное значение (допустим, всегда предупреждать =0, время 1 января 2019, отключить предупреждения =ffffffff), затем в групповой политике на контроллере домена открыть .ADM файл, выбрать вариант соответствующий ffffffff для всех параметров и назначить всем компьютерам соответственно разрядности операционной системы. Даже наверно можно не через отдельный ADM а просто создать в существующем шаблоне политике новый элемент реестра, как в статье про отключение SMB1. http://pyatilistnik.org/smb-v1-wannacrypt/Msi мог не отработать как раз из-за различия разрядности операционной системы или недостаточных прав, надо проверить условия выполнения msi глазами, например, через редактор SuperOrca. В норме в msi предназначенном для любой разрядности должно быть минимум 2 компонента: 32-разрядный компонент (ставится всегда) - к нему привязаны значения реестра для 32-разрядных систем, 64-разрядный компонент (с ограничением установки только на 64-разрядные системы) - к нему привязаны значения реестра для 64-разрядных систем. Обязательно должно быть указано требование повышения прав для записи в LOCAL_MACHINE. А вообще изменить реестр через AD можно массой способов. Начнем с того, что самом деле через групповую политику (или локальный сервер обновлений) можно и exe файлы разворачивать как назначенные задания или локально опубликованные обновления. Просто поищите "установить exe через групповые политики". Однако для всего что не msi и не zap потребуется руками прописывать условия для старта установки. Условия тоже вполне ясны - наличие тех самых строк в реестре и значения этих строк. Еще есть Microsoft System Center Configuration Manager. http://analogindex.ru/ho...redstvami-gpo_65538.htmlhttp://pyatilistnik.org/...le-i-report-viewer-2008/Можно прописать батники на вход каждого пользователя с запуском exe с общей папки на контроллере домена. Можно ведь и не exe - скрипты VBS/JS (да и сами батники могут работать с реестром утилитой reg) тоже на ура прочитают реестр и поправят значение, если конечно прав хватит. Отредактировано пользователем 26 декабря 2018 г. 18:45:34(UTC)
| Причина: Не указана
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.12.2018(UTC) Сообщений: 2 Откуда: ykt Сказал(а) «Спасибо»: 1 раз
|
Спасибо за ответ, получилось через выполнить удаленно через сервер Касперского =)
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.08.2018(UTC)
Сообщений: 2
Откуда: Moscow
|
И все-таки, что конкретно делает 2019.exe, кроме добавления в реестр параметра forbid_time_sign_2001 ??
Никаких других следов не обнаружил.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.12.2018(UTC)
Сообщений: 1
Сказал(а) «Спасибо»: 1 раз
|
Добрый день, недавно заметил, что УФК активно распространяет утилиту для отключения блокировки использования формирования ЭП по гост 2001 с 01.01.2019г. Прошу помощи из-за сильной спешки, имеется 500-600 машин с крипто про 4 сборки 9842. Из-за того, что сходу не получилось понять, 9842 является R3 или R2, не могу понять, смогут ли сотрудники в начале года успешно формировать ЭП. Также не понимаю, блокировка гост 2001 бывает только при включенном режиме усиленного контроля ключей, или она произойдет в любом случае?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
9842 = R2 сертифицирована, не учитывает разрешение использовать гост-2001 в 2019 году, перенос срока запрета не предусмотрен, перенос срока предупреждения предусмотрен 9944 = R3 сертифицирована, по умолчанию не учитывает разрешение использовать гост-2001 в 2019 году, перенос срока запрета предусмотрен, перенос срока предупреждения предусмотрен >9944 = R4 на одну из самых свежих сборок (9963 кажется) получено положительное заключение ФСБ и эта свежая сборка уже учитывает разрешение использовать гост-2001 в 2019 году. Невозможность формировать подпись гост-2001 в 2019 году будет только при настройках интервалов времени по умолчанию и при включенном усиленном режиме контроля ключей. Отредактировано пользователем 27 декабря 2018 г. 13:39:55(UTC)
| Причина: Не указана
|
2 пользователей поблагодарили two_oceans за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.02.2017(UTC)
Сообщений: 22
|
Добрый день. На какую именно дату данная утилита (https://support.cryptopro.ru/index.php?/News/NewsItem/View/4/kriptopro-csp-v-2019-godu) переносит блокировку использования ГОСТ-2001 для формирования ЭП? Отредактировано пользователем 25 декабря 2019 г. 13:52:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
