База знаний: Indeed Certificate Manager > Ошибки Indeed CM
Ошибка "Указаны неправильные флаги" при выпуске, ошибки при удалении и инициализации устройств eToken при работе с SAC 10.5.175.0 и выше
Автор Mikhail Yakovlev, Last modified by Mariya Vorozhba на 11 февраля 2024 06:43 PM

Продукты: Indeed CM

Затрагиваемые компоненты: ICM

Описание проблемы:

Ошибки при работе с устройствами eToken при использовании SafeNet Authentication Client 10.5.175.0:

  • При выпуске устройства ошибка - "Указаны неправильные флаги"

  • При попытке удалить устройство из Indeed CM ошибка - "Указанный PIN-код содержит недопустимые символы, либо не удовлетворяет требованиям к качеству пароля"

  • При попытке инициализировать устройство через SAC 10.5.175.0 ошибка - "The new administrator пароль must comply with the quality settings"

Причины возникновения: После установки SafeNet Authentication Client 10.5.* по умолчанию включены опции:

  1. Проверка качества PIN-кода администратора.
  2. Ограничение на генерацию слабых ключей.
  3. Запрет на генерацию экспортируемых ключей.

 

Варианты решения:  Все ограничения возможно снять двумя способами, через GPO или редактирование реестра. В случае с редактированием реестра указаны примеры, в которых изменения затронут только компоненты Indeed CM и не будут распространены на другое ПО.

  1. Проверка качества PIN-кода администратора.

PIN-код администратора должен состоять как минимум из трех групп символов и иметь длину не менее 8 символов.
Группы символов: Буквы в нижнем регистре, буквы в верхнем регистре цифры и специальные символы.

GPO:

  1. Параметр: Enable Administrator Password Quality Check
  2. Конфигурация компьютера\Административные шаблоны\SafeNet Authentication Client Setting\Token Password Quality Settings\Enable Administrator Password Quality Check
  3. Установить значение политики: Disabled

Реестр:  
[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\PQ\IndeedCM.Client.Server.exe]
 "pqAdminPQ"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\PQ\IndeedCM.Agent.Client.exe]
 "pqAdminPQ"=dword:00000000

Использовать настройки по умолчанию:
Необходимо установить подходящий по сложности PIN-код администратора, отредактировать тип устройства или ввести токен в Indeed CM с указанием нужного PIN-кода.

  1. Ограничение на генерацию слабых ключей.

В SAC 10.5 являются запрещенными или нерекомендуемыми к использованию следующие алгоритмы и функции:
MD5, RC2, RC4, DES, 2DES, GenericSecret<112, RSA-RAW, RSA<2048, ECC<224, ECB, Sign-SHA1.

GPO:

  1. Параметр: Deprecated Cryptographic Algorithms and Features
  2. Конфигурация компьютера\Административные шаблоны\SafeNet Authentication Client Setting\Security Settings\Deprecated Cryptographic Algorithms and Features
  3. Установить значение политики: None

Реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Client.Server.exe]
 "Disable-Crypto"="None"

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Agent.Client.exe]
 "Disable-Crypto"="None"

Использовать настройки по умолчанию:
 Для RSA сертификатов необходимо установить длину ключа не менее 2048 бит.

  1. Запрет на генерацию экспортируемых ключей.

По умолчанию в SAC 10.5 запрещено генерировать на устройстве экспортируемые ключи.

GPO:

  1. Параметр: Key Management
  2. Конфигурация компьютера\Административные шаблоны\SafeNet Authentication Client Setting\Security Settings\Key Management
  3. Установить значение политики: Compatible

Реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Client.Server.exe]
 "Key-Management-Security"="Compatible"

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Agent.Client.exe]
"Key-Management-Security"="Compatible"

Использовать настройки по умолчанию:
 Не использовать экспортируемые ключи.

Все файлы групповых политик ADMX и файл реестра прикреплены к данной статье.



Вложения 
 
 ADMX.zip (34.41 кБ)
 etoken-fix.reg (1.41 кБ)
(9 голос(а))
Эта статья полезна
Эта статья бесполезна