Перейти к содержанию
17-й день рождения клуба
Пройди опрос про новый продукт, получи приз

Распространение сертификатов средствами KSC

sahana

Автор sahana,
в Помощь по корпоративным продуктам

 Share Подписчики 0

Рекомендуемые сообщения

sahana

sahana 0

Опубликовано
Опубликовано

Здравствуйте, подскажите, можно ли средствами KSC 13.2, распространить промежуточный сертификат на парк машин? Или может быть, есть какой-то другой способ, знаю, что можно через групповые политики — это сделать, но там только корневой, промежуточный нельзя. 

 

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

  

image.png

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 055

Опубликовано
Опубликовано

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

Ссылка на сообщение
Поделиться на другие сайты
Aragon

Aragon 1

Опубликовано
Опубликовано
12 часов назад, sahana сказал:

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

Ссылка на сообщение
Поделиться на другие сайты
sahana

sahana 0

Опубликовано
  • Автор
Опубликовано
22 часа назад, oit сказал:

А какой сертификат хотите распространить?

 

Не понимаю какое, это имеет значение?

 

22 часа назад, mike 1 сказал:

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

 

Все верно, это сторонний сертификат, который выдается нашей головной организацией. И почему велосипед? Знаете, у нас все люди важные, занятые, чтобы даже на 5 минут попросить время поработать на компьютере, нужно чуть ли не за неделю согласовывать все. Я конечно немного преувеличиваю, но примерно, так оно и есть. И совсем не хочется более чем на 100 компьютерах это делать вручную. 

 

13 часов назад, Aragon сказал:

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

 

Обчный батничек, у себя на компьютере запускаю от имени администратора и все отрабатывает. 
Вот он: certutil -addstore CA \\путь\название.crt

Ссылка на сообщение
Поделиться на другие сайты
Aragon

Aragon 1

Опубликовано
Опубликовано
8 часов назад, sahana сказал:

Вот он: certutil -addstore CA \\путь\название.crt

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

Ссылка на сообщение
Поделиться на другие сайты
sahana

sahana 0

Опубликовано
  • Автор
Опубликовано (изменено)
20 часов назад, Aragon сказал:

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

 

Ваш вариант не заработал, но через пробы и ошибки все таки удалось

Но пришлось скопировать сам сертификат на каждый компьютер, и только после этого все получилось. И в самой задачи указал учетку администратора. И задача распространялась с помощью Агента администрирования. 

Вот пример bat файла:

 

MD c:\temp
copy название.crt c:\temp\
C:\Windows\System32\certutil -addstore CA c:\temp\название.crt

 

Тему можно закрывать, всем спасибо за участие!!! 

 

 

Изменено пользователем sahana
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Jijidre
      После обновления плагинами управления до 11.11.0.452 политика KES 11.8 не синхронизируется с KSC 13.2
      От Jijidre
      Здравствуйте! После обновления плагинами управления до 11.11.0.452 при изменении политики в разделе управляемые устройства на KSC 13.2 заметил, что у пользователей политики не изменяются. Обновление установилось без каких либо проблем. У пользователей стоит версия KES 11.8.0.384. В чём может быть проблема?
    • Pardus335
      KSC 13
      От Pardus335
      Добрый день!
      Поделитесь пожалуйста дистрибутивом KSC 13.2, если у кого есть. Надо для проведения бесчеловечных экспериментов, а техподдержку запрашивать некогда.
      Заранее благодарен
    • Екатерина Васильева
      KSC Версия: 13.2.0.1511 задача "Синхронизация обновлений Windows Update" не отрабатывает
      От Екатерина Васильева
      Не отрабатывает задача "Синхронизация обновлений Windows Update" на KSC Версия: 13.2.0.1511, установлен на виртуальный Windows Server 2012 R2 Standart.
      Error 1182: 'HTTP error occurred'. Status 403. URL = 'http://download.windowsupdate.com/windowsupdate/redist/standalone/7.4.7600.226/WindowsUpdateAgent30-x86.exe'
    • Goddeimos13
      Программа в профиле пользователя (как почистить?)
      От Goddeimos13
      Приветствую!
      Браузер Mozilla Firefox был установлен в профиль пользователя (например, C:\Users\kirpicheva\AppData\Local\Mozilla Firefox).
      Затем он был удалён локально на машине при помощи команды "C:\Users\kirpicheva\AppData\Local\Mozilla Firefox\uninstall\helper.exe" /S
      Однако в реестре программ компьютера браузер остался висеть.
      Пробовал запускать задачи "Inventory" и "Find vulnerabilities and required updates" (Где добавлен path - C:\Users ).
      Пробовал удалять машину из управляемых и обратно заводить.
      Ничего не помогает.
      Как очистить реестр программ компьютера от программ, которые установлены вне Program Files?
    • Goddeimos13
      Защита от сетевых угроз (Mac Spoofing Attack)
      От Goddeimos13
      Приветствую, народ!
      Решил значит включить компонент KES "Защита от сетевых угроз" (Network Threat Protection) с лайтовыми настройками (дабы прощупать работу модуля):

      И на одной машине посыпались события "Network attack detected".
      Ругается на видеорегистратор Hikvision в сети.
      Кто-нибудь понимает как этот модуль траблшутить и как интерпретировать событие ниже?
      Кстати, добавление IP адреса видеорегистратора (172.18.85.101) в исключение Network Threat Protection/Exclusions, а также в General settings/Network settings/Trusted addresses никак не помогло. События продолжают генерироваться.
      Собственно само событие:
      Event: Network attack detected
      IP: 172.18.85.20
      Program: Kaspersky Endpoint Security for Windows (11.9.0.351)
      Task: Network Threat Protection
      Component: Network Threat Protection
      Result description: Allowed
      Name: Mac Spoofing Attack: conflicted ARP response
      Object: ARP from several different sources Object type: Network packet Object name: ARP from several different sources
      Suspicious: 28.06.2022 8:40:31: 8c-e7-48-98-82-9b -> 172.18.85.101 Database release date: 27.06.2022 20:54:00
×
×
  • Создать...