LSA и Cryptopro 5.0

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

LSA и Cryptopro 5.0 - LSA и Cryptopro 5.0

Опции

Предыдущая тема Следующая тема

danzzz		#1 Оставлено : 29 апреля 2022 г. 18:51:32(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.04.2022(UTC) Сообщений: 2		Добрый день, при включении защиты LSA на рабочей станции при установленном CryptoPro 5.0 (разных версий, включая последнюю сборку) перестают работать сетевые подключения и RDP к целевому компьютеру. В соответствии со статьей Microsoft https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection For an LSA plug-in or driver to successfully load as a protected process, it must meet the following criteria: Signature verification Protected mode requires that any plug-in that is loaded into the LSA is digitally signed with a Microsoft signature. Therefore, any plug-ins that are unsigned or are not signed with a Microsoft signature will fail to load in LSA. Examples of these plug-ins are smart card drivers, cryptographic plug-ins, and password filters. LSA plug-ins that are drivers, such as smart card drivers, need to be signed by using the WHQL Certification. For more information, see WHQL Release Signature. LSA plug-ins that do not have a WHQL Certification process, must be signed by using the file signing service for LSA. Recommended practices Use the following list to thoroughly test that LSA protection is enabled before you broadly deploy the feature: Identify all of the LSA plug-ins and drivers that are in use within your organization. This includes non-Microsoft drivers or plug-ins such as smart card drivers and cryptographic plug-ins, and any internally developed software that is used to enforce password filters or password change notifications. Ensure that all of the LSA plug-ins are digitally signed with a Microsoft certificate so that the plug-in will not fail to load. ======================= После включения аудита lsass.exe (до включения защиты LSA) в журнале есть следующие события (ID 3066): Код: Level,Date and Time,Source,Event ID,Task Category Information,29.04.2022 16:04:47,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpmsi.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpsuprt.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpcspi.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpcsp.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Windows\System32\cpcng.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Windows\System32\cpsspap.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpschan.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpkrb.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpadvai.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\detoured.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpcrypt.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load." В первую очередь полагаю, что проблема в cpsspap.dll Планируется ли решение? Для корпоративных сред использование дополнительной защиты LSA критично.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Максим Коллегин		#2 Оставлено : 30 апреля 2022 г. 13:48:23(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах		Мы давно подписываем наши модули для LSA. Вы пробовали последнюю версию 5R3?
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

danzzz		#3 Оставлено : 30 апреля 2022 г. 14:06:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.04.2022(UTC) Сообщений: 2		Максим, тестировалось со старой версией 5.0 и с последней 5.0.12417 (насколько вижу по истории загрузок). Для чистоты эксперимента еще раз протестирую в рабочей среде на 5.0.12417 (но скорее всего только после 11 мая) и смогу ответить детальнее. При этом версия 4.0.9944 работает ок при включенном LSA. В роли эксперимента еще в прошлом году пробовал подменить в распакованном msi 5 версии библиотеку cpsspap.dll от 4 версии - в таком виде 5 версия тоже работала ок после установки.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#4 Оставлено : 30 апреля 2022 г. 14:09:22(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах		Некоторые промежуточные версии CSP были не подписаны, но 12417 подписывал. Наличие подписи Microsoft вы можете увидеть в свойствах Dll.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close