Разрешения по умолчанию для папок MachineKeys
В этой статье описываются разрешения по умолчанию для папок MachineKeys.
Применяется к: Windows Server 2003
Исходный номер базы знаний: 278381
Аннотация
В папке MachineKeys хранятся ключи пар сертификатов как для компьютера, так и для пользователей. Эта папка используется как службами сертификатов, так и Internet Explorer. Разрешения по умолчанию для папки могут ввести в заблуждение при попытке определить минимальные разрешения, необходимые для правильной установки и доступа к сертификатам.
Разрешения по умолчанию для папки MachineKeys
Папка MachineKeys находится в этой All Users Profile\Application Data\Microsoft\Crypto\RSA папке. Если администратор не настроит для папки минимальный уровень, пользователь может получить следующие ошибки при создании сертификата сервера с помощью сервера IIS.
- Не удалось создать запрос сертификата
- Внутренняя ошибка сервера (импортируемый закрытый ключ может потребовать поставщика служб шифрования, который не установлен в системе)
Следующие параметры являются разрешениями по умолчанию для папки MachineKeys:
- Администраторы (полный доступ) Только эта папка
- Все (специальные) Только эта папка
Разрешения для группы «Все»
Чтобы просмотреть специальные разрешения для группы «Все», щелкните правой кнопкой мыши папку MachineKeys, выберите «Дополнительно » на вкладке «Безопасность», а затем выберите пункт «Просмотреть или изменить». Разрешения состоят из следующих разрешений:
- Перечисление папок и чтение данных
- Чтение атрибутов
- Чтение расширенных атрибутов
- Создание файлов и запись данных
- Создание папок и добавление данных
- Запись атрибутов
- Запись расширенных атрибутов
- Чтение разрешений
Установите флажок «Сброс разрешений для всех дочерних объектов» и установите флажок распространения наследуемых разрешений. Администратор не имеет полного контроля над дочерними объектами для защиты закрытой части пары ключей пользователя. Но администратор по-прежнему может удалять сертификаты для пользователя.
Дополнительные сведения см. в следующей статье:
Как задать необходимые разрешения NTFS и права пользователя для веб-сервера IIS 5.0, IIS 5.1 или IIS 6.0.
Обратная связь
Были ли сведения на этой странице полезными?
Устранение неполадок с сертификатом расширения на виртуальной машине Windows в Azure
В этой статье описывается, как выявлять и устранять проблемы, связанные с сертификатами на виртуальной машине Windows, которая использует расширение. Как правило, эти проблемы связаны с криптографическими операциями или с самим сертификатом.
Контрольный список для устранения неполадок
Просмотр гостевых журналов
Чтобы получить сведения об ошибке, проверка гостевые журналы. В следующей таблице приведены наиболее полезные журналы на виртуальной машине Windows для устранения ошибок сертификата расширения.
Log | Описание |
---|---|
Файл C:\WindowsAzure\Logs\WaAppAgent.log | Журнал гостевого агента. Описывает операции расширения (например, скачивание, установку, включение и отключение) и их результаты. |
Файлы журнала в папке C:\WindowsAzure\Logs\Plugins\ | Различные журналы, отражающие операции определенного расширения. Каждое расширение имеет свои собственные функции, но большинство расширений имеют стандартный набор файлов журнала, включая CommandExecution.log, CommandExecution_ , CustomScriptHandler.log и IaaSBcdrExtension . |
Эта таблица содержит только самые важные файлы журнала. Это не исчерпывающий список.
Кроме того, можно запустить средствоCollectGuestLogs.exe , чтобы собрать все гостевые журналы в архивный файл.zip . Средство CollectGuestLogs.exe находится на виртуальной машине Windows в одном из следующих каталогов:
- C:\WindowsAzure\Packages
- C:\WindowsAzure\GuestAgent__
Симптомы
В следующем списке перечислены наиболее распространенные ошибки, которые могут возникнуть при использовании расширения на виртуальной машине Windows.
-
FailedToDecryptProtectedSettings Исключение. Сертификат транспорта, используемый для расшифровки защищенных параметров расширения, отсутствует на виртуальной машине.
Примечание. Вариант FailedToDecryptProtectedSettings исключения приводит к неправильному указанию разрешений для папки Crypto\RSA\MachineKeys . В этом сценарии отображается одно из следующих сообщений об ошибке:
System.Security.Cryptography.CryptographicException: Keyset does not exist at System.Security.Cryptography.Pkcs.EnvelopedCms.DecryptContent(RecipientInfoCollection recipientInfos, X509Certificate2Collection extraStore) at Microsoft.Azure.Plugins.Diagnostics.dll.PluginConfigurationSettingsProvider.DecryptPrivateConfig(String encryptedConfig)
Failed to decode, decrypt, and deserialize the protected settings string. Error Message: Keyset does not exist"
Decrypting Protected Settings - Invalid provider type specified
[ERROR] Failed to get TransportCertificate. Error: Microsoft.WindowsAzure.GuestAgent.CertificateManager.CryptographyNative+PInvokeException: Self-signed Certificate Generation failed. Error Code: -2146893808.
DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:32:20 PM] Decrypting private configuration DiagnosticsPluginLauncher.exe Warning: 0 : [6/29/2020 1:32:20 PM] No certficate with given thumbprint found in the certificate store. Thumbprint:34C8CDC747693E0E33A9648703E3990EC4F2C484 DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:32:20 PM] Retrying after 30 seconds. Retry attempt 1 DiagnosticsPluginLauncher.exe Warning: 0 : [6/29/2020 1:32:50 PM] No certficate with given thumbprint found in the certificate store. Thumbprint:34C8CDC747693E0E33A9648703E3990EC4F2C484 DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:32:50 PM] Retrying after 30 seconds. Retry attempt 2 DiagnosticsPluginLauncher.exe Warning: 0 : [6/29/2020 1:33:20 PM] No certficate with given thumbprint found in the certificate store. Thumbprint:34C8CDC747693E0E33A9648703E3990EC4F2C484 DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:33:20 PM] Retrying after 30 seconds. Retry attempt 3 DiagnosticsPluginLauncher.exe Error: 0 : [6/29/2020 1:33:50 PM] System.Security.Cryptography.CryptographicException: The enveloped-data message does not contain the specified recipient. at System.Security.Cryptography.Pkcs.EnvelopedCms.DecryptContent(RecipientInfoCollection recipientInfos, X509Certificate2Collection extraStore) at Microsoft.Azure.Plugins.Diagnostics.dll.PluginConfigurationSettingsProvider.DecryptPrivateConfig(String encryptedConfig)
Причина. Изменения кода рабочих процессов и зависимостей
Эта проблема в основном вызвана изменением платформы Azure, которое было реализовано около мая 2020 г. Это изменение было изменено для улучшения рабочего процесса расширений виртуальной машины и устранения некоторых зависимостей от других компонентов Azure. Для этого требуется, чтобы расширения, настраиваемые поставщики ресурсов (CRP) и гостевой агент работали совместно. Незначительные ошибки вызвали вторичные проблемы, которые отражаются в проблемах с сертификатом расширения.
Решение 1. Обновление сертификата расширения
Выполните следующие действия, чтобы обновить сертификат, который можно успешно использовать вместе с расширением:
- Проверьте, включен ли сертификат генератора сертификатов Windows Azure CRP в оснастке «Сертификаты» консоли управления Майкрософт. Для этого следуйте инструкциям в разделе Несколько сертификатов на виртуальной машине Azure IaaS, которая использует расширения для поиска проблем с виртуальной машиной Windows.
- Удалите этот сертификат. Для этого выберите сертификат генератора сертификатов Windows Azure CRP , а затем щелкните значок Удалить .
Примечание. Если требуется сертификат генератора сертификатов Windows Azure CRP , виртуальная машина повторно создает сертификат, если он отсутствует.
-
Выполните следующий скрипт PowerShell, содержащий команды Get-AzureRmVM и Update-AzureRmVM :
$rg = "" $vmName = "" $vm = Get-AzureRmVM -ResourceGroupName $rg -Name $vmName Update-AzureRmVM -ResourceGroupName $rg -VM $vm
Если обновление сертификата не устранит проблему, остановите или освободите виртуальную машину, а затем снова запустите виртуальную машину.
Решение 2. Исправление списка управления доступом (ACL) в папках MachineKeys или SystemKeys
В папке Crypto\RSA\MachineKeys исправьте список управления доступом (ACL), чтобы применить правильные разрешения.
-
В консоли PowerShell с правами администратора выполните следующие команды, чтобы получить уникальное имя контейнера ключа сертификата клиента. Убедитесь, что вы закомментировали одно из $certName определений в зависимости от того, используете ли вы классическую виртуальную машину переднего плана RedDog (RDFE) (для которой сертификат имеет Windows Azure Service Management for Extensions имя ) или виртуальную машину Azure Resource Manager (для которой сертификат имеет Windows Azure CRP Certificate Generator имя ):
# Comment out one of the following certificate name definitions. $certName = "Windows Azure Service Management for Extensions" # Classic RDFE VM $certName = "Windows Azure CRP Certificate Generator" # Azure Resource Manager VM $fileName = (Get-ChildItem Cert:\LocalMachine\My | Where-Object ).PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys /save machinekeys_permissions_before.aclfile /t
icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\$fileName /grant SYSTEM:(F) icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\$fileName /grant Administrators:(RX)
icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys /t > machinekeys_permissions_after.txt
Если эта процедура не работает, попробуйте выполнить icacls команды еще раз (шаги 2–4) в папках C:\ProgramData\Microsoft\Crypto\SystemKeys\* вместо папки C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\$fileName .
Дополнительная информация
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.
Подскажите про папку crypto (C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA), windows XP
С ним происходят странные вещи:
1) при открытии свойства — постоянно увелечивается в папке C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys количество файло (видно, если открыть свойства папки)
2) Если открываешь ее, то ни одного файла не видно (хотя у меня и установлено показывать скрытые файлы и папки)
3) Файлы в ней не может открыть антивирус (ESET Smart Security), чтобы проверить
Скажите, пожалуйста, что может происходить?
Лучший ответ
Здравствуйте. с этими файлами на данный момент у многих появляются проблемы. Если кратко, то получается так. это кодировка программ, например закачали библию «ВЕТХИЙ ЗАВЕТ», а через неделю приходит обновление. т. е. кодировка на обновление, это и есть тот самый файл, или иначе говоря «водитель программы». множество программ сейчас используют такую кодировку. Но если проблема только в том что антивирус не открывает эти файлы и при условии, что они ни как не отражаются на физических характеристиках вашей машинки, то в принципе проблемы как таковой можно сказать что и нет. НО тут открывается вторая сторона вопроса, более интересная. Так как ни Вы, ни ваш антивирус не имеете доступа к данным файлам не имеете, правильного и простого способа решения этой проблемы у вас нет, то здесь при любом, так сказать раскладе, я считаю лучше всего будет обратиться к квалифицированному специалисту.
Остальные ответы
Судя по всему эта папка для хранения или еще чего то, вообщем что то связанное с криптографией (кодированием) данных методом (алгоритмом) RSA
Dozer GamaetУченик (160) 4 года назад
«Судя по всему эта папка для хранения или еще чего то» самый гениальный ответ, который только можно было дать))
Решено папка Microsoft\Crypto\RSA\MachineKeys
Подскажите, кто знает для чего нужна папка ProgramData\Microsoft\Crypto\RSA и влияет ли она как-то на работу Крипто Про ?
В данном каталоге содержится папка MachineKeys а в ней еще какие-то контейнеры.
Можно ли очистить старые файлы в этой папке?
Последнее редактирование модератором: 28.01.2019
NanoSuit
Специалист
Подскажите, кто знает для чего нужна папка ProgramData\Microsoft\Crypto\RSA и влияет ли она как-то на работу Крипто Про ?
В данном каталоге содержится папка MachineKeys а в ней еще какие-то контейнеры.
Можно ли очистить старые файлы в этой папке?
Каталог MachineKeys хранит пары ключей сертификатов для пользователей и компьютеров. Эта папка используется службами сертификации и Internet Explorer, другими браузерами.
В этой директории и в ее поддиректориях размещаются файлы, связанные с сертификатами и ключами контейнерами.