Криптопро глобальную политику

PuMi

Оставлено
:
18 декабря 2009 г. 15:22:38(UTC)

Добрый день, нам нужно установить криптопро через групповую политику на большое число компьютеров. Все устанавливает, но не могу разобраться как можно ввести автоматом ключ лицензии. Подскажите? Может какой файл конфигурационный файл заменить после установки?

Возможные причины с определением контейнера

1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
3. Устарелая версия CryptoPRO

В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.

Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.

Содержание:

• Получите установочный MSI пакет программы
• Создаем GPO для установки программы на компьютеры пользователей
• Изменение параметров MSI пакета для установки через GPO

Раздел содержит инструкцию по настройке входа в домен по предъявлению токена в операционной системе Windows Server 2019.

Для настройки необходим компьютер с установленной операционной системой Windows 2019 Server Rus и драйверами Рутокен, а также дистрибутив этой ОС.

Операционная система должна быть настроена как Контроллер домена, должны быть установлены Службы Сертификации, а пользователям выданы сертификаты типа Пользователь со смарт-картой или Вход со смарт-картой.

Все описанные действия производятся с правами администратора системы.

Для примера используется учетная запись Admin.

Этапы настройки входа в домен по предъявлению токена:

1 этап: Настройка учетных записей пользователя.

2 этап: Настройка политик безопасности домена.

3 этап: Настройка клиентской операционной системы.

При работе со службой штампов времени ПО
“КриптоАРМ” использует интерфейс клиентских приложений из состава
КриптоПРО TSP SDK. Интерфейс клиентских приложений КриптоПро TSP
может настраиваться с помощью групповых политик (group policy).

Для успешной работы со Cлужбой штампов времени
необходимо корректно настроить групповые политики. Для этого:

1. В открывшейся консоли откройте консоль с групповыми
   политиками:

Консоль -> Добавить или удалить
оснастку… -> Добавить -> Редактор объекта групповой
политики

Все политики располагаются в узле
Политика “Локальный компьютер” \Конфигурация
компьютера\Административные
шаблоны\Крипто-Про\КриптоПро TSP
Client

• Для успешного получения штампа времени, в котором содержится
  сертификат службы, необходимо установить параметр Отключить
  полную проверку при импорте в значение
  Enabled.
• Есть возможность установить Максимальное расхождение
  времени получения штампа (в милисекундах). Эта возможность
  будет полезна в том случае, если время на вашей машине отличается
  от московского.

Автор
Petrovi4{-_-} Участник форума Зарегистрирован: 06.04.2015 Пользователь #: 156,384 Сообщения: 486	Добавлено: Пт 10 Мар, 2017 13:44    Заголовок сообщения: Повторная неконтролируемая установка программы через GPO
Вернуться к началу
	Зарегистрируйтесь и реклама исчезнет!
Petrovi4{-_-} Участник форума Зарегистрирован: 06.04.2015 Пользователь #: 156,384 Сообщения: 486	Добавлено: Пн 13 Мар, 2017 9:55    Заголовок сообщения:
Вернуться к началу
ADMINDM guru <img src="https://sysadmins.ru/images/ranks/nix.jpg" alt="guru” title=”guru“> Зарегистрирован: 04.11.2007 Пользователь #: 63,218 Сообщения: 7207 Голоса: 230	Добавлено: Пн 13 Мар, 2017 13:44    Заголовок сообщения: _________________ Если помог мой ответ – щёлкните по ссылке : http://sysadmins.ru/reputation.php?a=add&u=63218&p=13191050&c=ac4064c1 «Знание некоторых принципов легко возмещает незнание некоторых фактов»
Вернуться к началу
Petrovi4{-_-} Участник форума Зарегистрирован: 06.04.2015 Пользователь #: 156,384 Сообщения: 486	Добавлено: Ср 05 Апр, 2017 22:21    Заголовок сообщения:
Вернуться к началу

Похожие темы
	Windows 2016 уходит в BSOD при копиро…	Traygod	WINDOWS	1	Пн 06 Мар, 2017 14:28
	курилка через 20 лет	Гoсть	Курилка	21	Вс 05 Мар, 2017 9:13
	Запрет через политику запуск любых пр…	Rossomaha	WINDOWS	18	Чт 02 Мар, 2017 16:03
	Мониторинг ZABBIX через windows Zabbi…	Omikums	WINDOWS	4	Чт 02 Мар, 2017 13:12
	Установка net fraimwork 3.5 через GPO…	RazerV3i	WINDOWS	9	Ср 01 Мар, 2017 14:15
Похожие темы

[решено] Крипто Про CSP 4.0 и R4 в тихом режиме (FYI)

csp-x64-kc1-rus.msi /qn ALLUSERS=1 INSTALLCPCERT=1 REBOOT=R

1 этап. Прохождение тестирования(взаимодействие с тестовым контуром ГИС ГМП)
#Адрес сервиса ГИС ГМП тестовый:
gisgmp.wsdlLocation=http://213.59.255.182:7777/gateway/services/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint=http://213.59.255.182:7777/gateway/services/SID0003663
Этот адрес прописывается в настройках СП.Дополнительно требуется прописать в файле настроек логгирования, указав значение TRACE.
После внесения указанных значений, требуется запустить СП и клиент АЦК (перезапустить, если уже был запущен)
Далее, из ЗОР или Заявки БУ/АУ на выплату средств требуется выполнить действие “Создать Сведение о платеже”, если будут пройдены системные контроли – то создастся Сведение о платеже. Которое в последствии нужно будет выгрузить.
После выгрузки требуется проверить статус действием “Запрос статуса обработки”. После чего ЭД Сведение о платеже переходит на статус “Принят ГИС ГМП” -…

Дано:

Таблица MSG (сообщения) с большим количеством записей.CREATETABLEmsg(idINTEGERNOTNULLPRIMARYKEY,descriptionCHAR(50)NOTNULL,
date_createDATE);Задача:

Необходимо очистить таблицу от данных/ Решение:

Для решения данной задачи есть несколько способов. Ниже описание и пример каждого из них.
Самый простой способ (первый вариант
) – выполнение оператора удаления записи. При его выполнении вы будете видеть результат (сколько записей удалено). Удобная штука когда необходимо точно знать и понимать правильные ли данные удалены. НО имеет недостатки перед другими вариантами решения поставленной задачи.

DELETE FROMmsg;–Удалит все строки в таблице–Удалит все строки у которых дата создания “2019.02.01”
DELETE FROMmsg WHEREdate_create=”2019.02.01″;

Второй вариант
. Использование оператора

На днях перевел терминальный сервер(windows 2003 server x64 standard) на виртуальную машину. На терминалке бухгалтера работали со СБИС. Сертификаты для сбиса храняться на флэшке, она на виртуалку не пробрасывается. Бухи нервничают, надо что то делать:

1. Попробовал создать диск и скопировать туда сертификаты,но crypto про не видит локальных дисков. Облом 1
2. Перенес Сбис на виртуальную машину под windows server 2012R2,пробросил флэшку(режим расширенного сеанса). Она определилась как локальный диск. Облом 2

Тут я решил позвонить в техподдержку СБИС(при слове виртуальная машина консультант впал с ступор и начал давать странные советы….). На третьем консультанте я получил ответ,что только через реестр(что мне не хотелось делать). Ну да ладно,начал делать через реестр….

И тут меня осенило,есть же возможность подключать дискету.Эврика))))
Создал дискету через HYPER-V MANAGER скинул туда сертификаты. Открыл crypro про и убедился,что сертификаты видны! Вроде на этом должно было закончится,но нет…
При подписи или «отправке получении» получаем ошибку не найден закрытый ключ шифрования…Для решения этой проблемы Идем в ПАНЕЛЬ УПРАВЛЕНИЯ
— КриптоПРО CSP
— СЕРВИС
— УДАЛИТЬ ЗАПОМНЕННЫЕ ПАРОЛИ
— УДАЛИТЬ ИНФОРМАЦИЮ ОБ ИСПОЛЬЗОВАННЫХ СЪЕМНЫХ НОСИТЕЛЯХ
(ставим галку). И наступает счастье,но не у всех…Данную процедуру надо повторить под всеми пользователями,которые пользуются crypto pro(будь то сайты гос закупок или сбис…).

P.S: вариант с реестром вполне рабочий,но не охота его было делать!

[решено] КриптоПро ЭЦП Browser plug-in

cadesplugin.exe -?

cadesplugin.exe -silent -cadesargs ADDNPCADES=1

SetLocal Disabledelayedexpansion
7z.exe e cadesplugin.exe -y -o"%~dp0" -r -i!*.msi

[решено] КриптоПро ЭЦП Browser plug-in

cadesplugin.exe -?

cadesplugin.exe -silent -cadesargs ADDNPCADES=1

SetLocal Disabledelayedexpansion
7z.exe e cadesplugin.exe -y -o"%~dp0" -r -i!*.msi

3 Comments

1. держу на ESXi 5.5 Windows 2012 R2
   стоит крипто про 3.9
   почему то после закрытия сбиса иногда процесс остается висеть в памяти, не сталкивались с такой проблемой?
   при этом можно запустить еще раз сбис и он откроется нормально, никакие файлы не будут заблокированы предыдущей версией.
   не могу понять в чем дело, отъедает память сильно если несколько копий останутся запущенные весеть..

День первый

На Windows 7 x64 были совместно установлены Virtual Box (версии 4 и 5) с расширением Extension Pack и CryptoPro CSP (КриптоПро CSP 3.6 R4 для Windows).

При запуске виртуальной машины через Virtual Box система падала в синий экран. Причина в невозможности совместной работы КриптоПро CSP и Virtual Box.

Чтобы не было синего экрана при запуске виртуальной машины VirtualBox удалил КриптоПро CSP и перезагрузил компьютер. Решение временное, не сумел разобраться как подружить два продукта, а VirtualBox был нужнее, чем КриптоПро.

Помогло выйти на связь VirtualBox + КриптоПро == BSOD сообщение на форуме:
На форуме Крипто Про также есть обсуждение:
Отчёты из программы blueScreenView :

A problem has been detected and Windows has been shut down to prevent damage
to your computer.
The problem seems to be caused by the following file: ntoskrnl.exe
SYSTEM_SERVICE_EXCEPTION
Technical Information:
*** STOP: 0x0000003b (0x00000000c0000005, 0xfffff800032735af, 0xfffff8800412eb90,
0x0000000000000000)
*** ntoskrnl.exe – Address 0xfffff80003292c40 base at 0xfffff8000321f000 DateStamp
0x5625815c
Вывод – Virtual Box (версии 4 и 5) и CryptoPro CSP (КриптоПро CSP 3.6 R4 для Windows) пока несовместимы на Windows 7 x64 SP1.

================

День второй

Подключил к первому монитору второй монитор, используя USB 3.0 VGA Adapter. Модель устройства – Fresco Logic FL200 USB Display Adapter. Если подключить адаптер до включения виртуальной машины, то порядок. А если подключать адаптер во время работы виртуальной машины Virtual Box, то будет снова синий экран.

A problem has been detected and Windows has been shut down to prevent damage
to your computer.
The problem seems to be caused by the following file: ntoskrnl.exe
IRQL_NOT_LESS_OR_EQUAL
Technical Information:
*** STOP: 0x0000000a (0x0000000000000088, 0x0000000000000002, 0x0000000000000001,
0xfffff800032579e6)
*** ntoskrnl.exe – Address 0xfffff80003276c00 base at 0xfffff80003203000 DateStamp
0x5684191c

Из того, что видно перед ошибкой – диспетчер устройств (HAL) сообщает, что подключено новое USB 2.0 устройство, а затем система падает. Диспетчер устройств не прав, так как подключается USB 3.0 устройство в USB 3.0 порт.

Возможно, просто совпадение, два BSOD-а подряд. И причина BSOD в реализации драйверов для Fresco Logic FL200 USB Display Adapter.

Но есть предположение, что причина ошибок в реализации поддержки USB 2.0 / USB 3.0 в VirtualBox. А особые возможности поддержки USB появляются при установке Oracle VM VirtualBox Extension Pack.

Удалить VirtualBox не хотелось бы, иногда бывает нужен. А удалить Extension Pack могу запросто. Надеюсь, что после удаления VirtualBox Extension Pack синих экранов больше не будет. И можно будет повторно установить КриптоПро CSP 3.6 R4 для Windows и пользоваться двумя мониторами.

Добрый день!. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен , который используется для подписи документов для ВТБ24 ДБО
. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta
. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2 . На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip , подключен ключ JaCarta. Ключ в системе видится
, а вот в КриптоПРО нет.

Настройка клиентской операционной системы

Компьютеры с установленными клиентскими операционными системами Windows 10/8.1/8/7/Vista/XP/2000 необходимо ввести в домен и установить на них драйверы Рутокен.

Редакции ОС должны включать возможность присоединения к домену.

Если клиентские компьютеры были загружены во время настройки сервера, то необходимо их перезагрузить.

Теперь пользователи, которым выдан сертификат типа Пользователь со смарт-картой или Вход со смарт-картой, смогут входить в домен только при подключении к компьютеру устройства Рутокен с этим сертификатом.При извлечении устройства Рутокен в процессе открытого пользовательского сеанса, клиентская ОС будет автоматически заблокирована (в ОС Windows 10/8.1/8/7/Vista для блокировки рабочего стола при отключении устройства Рутокен необходимо установить автоматический запуск службы Политика удаления смарт-карт/Smart Card Removal Policy).

Настройка учетных записей пользователей

В первую очередь необходимо настроить учетные записи пользователей. В этом примере будет настроена учетная запись User — пользователь домена, включенные только в группу Пользователи домена.

Для настройки учетной записи пользователя:

1. Откройте Панель управления.
2. В поле поиска введите слово “администрирование”.

3. Два раза щелкните по названию Администрирование.
4. Два раза щелкните по названию Пользователи и компьютеры Active Directory.
   
   
5. В левой части окна оснастки щелкните по названию папки Users.
6. Щелкните правой кнопкой мыши по имени пользователя, которому будет разрешено входить в домен только при наличии устройства Рутокен, и выберите пункт Свойства.
   
   
7. В окне свойств пользователя перейдите на вкладку Учетная запись.
8. В секции Параметры учетной записи установите флажок Для интерактивного входа в сеть нужна смарт-карта. Нажмите ОК.
   
   
9. Закрой окно Active Directory – пользователи и компьютеры.
10. Аналогичным образом настройте другие учетные записи в домене. Для таких пользователей вход в домен будет доступен только при наличии устройства Рутокен с сертификатом, выданным администратором домена.

Создаем GPO для установки программы на компьютеры пользователей

Теперь нужно создать новую политику в домене для установки вашего ПО.

1. Откройте консоль управления доменными GPO (
   gpmc.msc
   );
2. Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here);
3. Выберите пункт меню New -> Package;
4. Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
5. Выберите опцию “Advanced” и нажмите OK;
6. В открывшемся окне можно настроить дополнительные параметры MSI пакета. Я просто изменю отображаемое имя с Teams Machine-Wide Installer на Microsoft Teams Client;
7. На вкладке Deployment нажмите кнопку Advanced и включите опцию Ignore language when deploying this package (это позволит игнорировать язык Windows на компьютерах клиентов);
8. Перезагрузите компьютер для обновления настроек GPO и при следующей загрузке компьютера будет выполнена установка программы. Она появится в списке установленных программ Windows. Для анализа событий установки включите фильтр по источнику Application Management Group в разделе System Event Viewer-а.

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО
отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

• Первым делом обновляем вашу операционную систему , всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Получите установочный MSI пакет программы

Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.

Скачайте MSI пакет с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте файл Teams_windows_x64.msi в каталог SYSVOL на контроллере домена (
\\winitpro.ru\SysVol\winitpro.ru\scripts
).

Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.

Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:

• Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.

Редактор ЛГП — зачем нужен и как использовать

Опубликовано 16.08.2022

Содержание:

• 1 Редактор локальной групповой политики
  • 1.1 Подробнее о редакторе локальной групповой политики
  • 1.2 Узлы оснастки
  • 1.3 Почему редактор ЛГП отсутствует в редакции Home
  • 1.4 Чем редактор ЛГП отличается от редактора реестра
• 2 Как открыть редактор локальных групповых политик
  • 2.1 Открываем редактор ЛГП через консоль управления MMC
• 3 Заключение

Как открыть редактор локальных групповых политик

Развернуть на экране редактор ЛГП возможно любым из предложенных способов. Результат один, разница будет исключительно в удобстве выбранного метода для конкретного пользователя.

1. Используйте win+r и gpedit.msc.

2. Введите gpedit.msc в строку поиска «Виндовс». Кликните по документу, предложенному ОС.

3. Щелкните по строке быстрого доступа в Проводнике (если там имеются какие-либо значения, удалите их). Наберите в поле gpedit.msc. Система развернет окно редактора ЛГП.

4. Наберите gpedit.msc в командной консоли (с админскими правами) или окне PowerShell (откройте через строку поиска «Виндовс» либо после правого клика по «Пуск»). Щелкните «Энтер».

5. Найдите на системном диске директорию Windows и откройте в ней папку System32. Дважды кликните ЛКМ по элементу gpedit.

Чтобы легко и удобно открывать редактор ЛГП, разместите его ярлык на рабочем столе. Для этого кликните ПКМ по элементу gpedit в Проводнике и выберите действие «Отправить»→«Рабочий стол (создать ярлык)». После запуска можете зафиксировать ярлык в «Пуске» или на панели задач.

Открываем редактор ЛГП через консоль управления MMC

В поисковой строке «Виндовс» наберите mmc. Для этих же целей можно использовать функционал «Выполнить» (win+r).

После активации «Энтер» развернется консоль. Кликните на «Файл» и нажмите «Добавить или удалить оснастку». Либо используйте ctrl+m. В новом окне укажите редактор объектов ЛГП и кликните «Добавить».

Далее оставьте объект, подсказанный системой, или воспользуйтесь кнопкой обзора и выберите другой компьютер, а также юзеров и группы.

Подтвердите выбор — «Готово» и OK.

Политика «Локальный компьютер» появилась в ветке. При закрытии окна сохраните внесенные коррективы.

Настройка политик безопасности домена

Для настройки политик безопасности:

1. Откройте Панель управления.
2. Два раза щелкните по названию пункта Администрирование.
3. Два раза щелкните по названию оснастки Управление групповой политикой.
   
   
4. В окне Управление групповой политикой рядом с названием категории Объекты групповой политики щелкните по стрелочке.

5. Шаги 4-5 необходимо выполнять только в том случае, если всем пользователям будет запрещен вход в домен без устройства Рутокен с необходимым сертификатом.

6. В окне Редактор управления групповыми политиками рядом с названием пункта Конфигурация Windows щелкните по стрелочке.
7. Рядом с названием пункта Параметры безопасности щелкните по стрелочке.
8. Рядом с названием пункта Локальные политики щелкните по стрелочке.
9. Щелкните по названию пункта Параметры безопасности.
10. Щелкните два раза по названию политики Интерактивный вход в систему: требовать Windows Hello для бизнеса или смарт- карту.
    
    
11. Установите флажок Определить следующий параметр политики.
12. Установите переключатель в положение Включен.
13. Нажмите ОК.
    
    
14. В окне Редактор управления групповыми политиками рядом с пунктом Конфигурации Windows щелкните по стрелочке.
15. Рядом с названием подпункта Параметры безопасности щелкните по стрелочке.
16. Рядом с названием Локальные политики щелкните по стрелочке.
17. Щелкните по названию подпункта Параметры безопасности.
18. Щелкните правой кнопкой мыши по названию политики Интерактивный вход в систему: поведение при извлечении смарт-карты и выберите пункт Свойства.
    
    
19. Установите флажок Определить следующий параметр политики.
20. Из раскрывающегося списка выберите поведение клиентской ОС при отсоединении устройства Рутокен в процессе открытого пользовательского сеанса. В данном примере выбрано поведение ОС — Блокировка рабочей станции.
21. Нажмите ОК.
    
    
22. Закройте окно Редактор управления групповыми политиками.
23. Закройте Панель управления.

Настройка будет доступна только после перезагрузки компьютера. Настройка серверной операционной системы после этого будет завершена.

Редактор локальной групповой политики

Посредством локальных групповых политик администратор настраивает конфигурацию всех компьютеров в составе ЛВС, изменяет функционал Windows, ограждает пользователей от несанкционированных действий. Это — встроенный инструмент, работающий в редакциях Pro, Education, Enterprise, Ultimate. Локальные групповые политики отделяют от доменных. Последние действуют в отношении устройств и пользователей Active Directory и хранятся только на контроллере этого домена.

При функционировании отдельного компьютера или локальной сети пользователю поступают рекомендации изменить характеристики групповой политики. Из нашего материала вы узнаете, что собой представляет редактор ЛГП, почему он не действует в домашней редакции «Виндовс», и как развернуть на экране меню этого инструмента.

Подробнее о редакторе локальной групповой политики

Редактор ЛГП помогает администратору ЛВС изменить характеристики «Виндовс» на разных компьютерах с главного устройства. Встроенное средство содержит в себе все элементы для оптимальной настройки ОС. К ним относятся:

• характеристики реестра;
• параметры информационной безопасности;
• настройки, позволяющие корректно инсталлировать ПО;
• алгоритмы включения и отключения устройств;
• перенаправление папок и мн. др.

Благодаря редактору ЛГП администратор легко запрещает или разрешает сотрудникам доступ к конфиденциальным документам и программам, контролируя перемещение данных внутри организации и использование рабочих ПК. Кроме этого, инструмент аналогичным образом позволяет удобно настроить работу домашнего компьютера.

Узлы оснастки

Открыв оснастку редактора ЛГП любым из нижеприведенных способов, вы увидите 2 главных узла.

Узел «Конфигурация компьютера» позволяет настроить работу ПК, независимо от того, под каким аккаунтом юзер вошел в Windows. Сохраненные характеристики используются при запуске ОС и автоматически обновляются каждые 1,5—2 часа.

Узел «Конфигурация пользователя» предназначен для изменения свойств юзеров. Эти параметры распространяются на тот аккаунт, под которым пользователь вошел в ОС. Характеристики также обновляются фоном каждые 1,5—2 часа.

В оба основных узла входят по 3 дочерних, где и настраивают все свойства объектов ЛГП.

Почему редактор ЛГП отсутствует в редакции Home

Основные компоненты всех редакций Windows абсолютно одинаковы. Различие состоит только в бизнес-элементах, которых нет в варианте Home. Разработчики разместили их только там, где они необходимы. Это связано с тем, что бизнес-компоненты участвуют в создании связей между устройствами в составе одной ЛВС для полноценного функционирования целого офиса. Производитель посчитал, что домашним пользователям такие детали не нужны. Если же вам необходимо создать дома локальную сеть, установите подходящую редакцию «Виндовс».

Что отсутствует в редакции Home:

• возможность подсоединения дополнительных устройств;
• шифрование передаваемой информации;
• более широкий перечень стандартов сети;
• возможность совместного использования документации и печатающих устройств;
• выход в облако.

В принципе, обычному юзеру, который серфит в интернете, играет в игры, просматривает фильмы, работает с графическими и текстовыми редакторами, эти функции не нужны. Однако управление групповыми политиками позволяет каждому пользователю без высокого риска применить расширенные настройки компьютера.

Чем редактор ЛГП отличается от редактора реестра

Изменения, внесенные в один редактор, сразу же начинают действовать в другом. Но редактор ЛГП проще и понятнее для большинства пользователей, чем редактор реестра. В последнем полноценно могут работать более продвинутые юзеры, понимающие, за что отвечает то или иное значение. Чтобы сохранить реестр в рабочем состоянии, групповая политика «Виндовс» 10 автоматически обновляет его каждые 0,5—1,5 часа. При необходимости этот параметр возможно изменить.

Изменение параметров MSI пакета для установки через GPO

В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:

msiexec /i Teams_windows_x64.msi OPTIONS="noAutoStart=true" ALLUSERS=0

Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.

Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).

Откройте ваш MSI пакет с помощью Orca.

Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:

• noAutoStart на
  True
• ALLUSERS на
  0

Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL

Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.

Выберите All –> Task -> Remove

Создайте новое правило установки программы, опять выберите msi файл в каталоге SYSVOL и перейдите на вкладку Modification. Нажмите кнопку Add. Выберите созданный ранее MST файл.

Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.

Основные недостатки метода установки MSI программ через GPO:

1. Поддерживаются только MSI и ZAP установщики;
2. Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
3. Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
4. Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta
– это специальная утилита от компании “Аладдин”, для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows , у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем “Далее”

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете “Выборочную установку”, то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

https://www.cryptopro.ru/downloads

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку “Установить корневые сертификаты” и нажимаем “Установить (Рекомендуется)”

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через . В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту “Единый клиент Jacarta PKI”, подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) – это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт “Считыватели устройств смарт-карт (Smart card readers)” щелкните по Microsoft Usbccid (WUDF) и выберите пункт “Свойства”. Перейдите на вкладку “Драйвера” и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки “Не возможно подключиться к службе управления смарт-картами”.
2. Нужно снять одну галку в CryptoPRO

ОБЯЗАТЕЛЬНО снимите галку “Не использовать устаревшие cipher suite-ы” и перезагрузитесь
.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления , в котором так же есть виртуальная консоль.

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты “Единый клиент Jacarta PKI” вот такое сообщение с ошибкой:

1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.\

Как исправить ошибку “Не возможно подключиться к службе управления смарт-картами”.

• Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
• Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге “Подключение к удалённому рабочему столу” в параметрах выберите вкладку “Локальные ресурсы”, далее в группе “Локальные устройства и ресурсы” нажмите кнопку “Подробнее…”, а в открывшемся диалоге выберите пункт “Смарт-карты” и нажмите “ОК”, затем “Подключить”.

• Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге “Мои Документы” Проследите, чтобы в данном файле присутствовала строчка “redirectsmartcards:i:1”.
• Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
  -[Конфигурация компьютера\административные шаблоны\компоненты windows\службы удалённых рабочих столов\узел сеансов удалённых рабочих столов\перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
• Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Заключение

Благодаря редактору локальной групповой политики администратор удобно настраивает отдельные параметры ОС. Открыть инструмент очень легко — мы расписали в нашем материале все способы его активации. Возникли вопросы? Обратитесь к специалистам «АйТи Спектр» через форму обратной связи или по телефону. Мы проведем необходимые консультации, а также окажем услуги по настройке и обслуживанию локальных компьютерных сетей.