Папка crypto в папке microsoft что это
Перейти к содержимому

Папка crypto в папке microsoft что это

  • автор:

Разрешения по умолчанию для папок MachineKeys

В этой статье описываются разрешения по умолчанию для папок MachineKeys.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 278381

Аннотация

В папке MachineKeys хранятся ключи пар сертификатов как для компьютера, так и для пользователей. Эта папка используется как службами сертификатов, так и Internet Explorer. Разрешения по умолчанию для папки могут ввести в заблуждение при попытке определить минимальные разрешения, необходимые для правильной установки и доступа к сертификатам.

Разрешения по умолчанию для папки MachineKeys

Папка MachineKeys находится в этой All Users Profile\Application Data\Microsoft\Crypto\RSA папке. Если администратор не настроит для папки минимальный уровень, пользователь может получить следующие ошибки при создании сертификата сервера с помощью сервера IIS.

  • Не удалось создать запрос сертификата
  • Внутренняя ошибка сервера (импортируемый закрытый ключ может потребовать поставщика служб шифрования, который не установлен в системе)

Следующие параметры являются разрешениями по умолчанию для папки MachineKeys:

  • Администраторы (полный доступ) Только эта папка
  • Все (специальные) Только эта папка

Разрешения для группы «Все»

Чтобы просмотреть специальные разрешения для группы «Все», щелкните правой кнопкой мыши папку MachineKeys, выберите «Дополнительно » на вкладке «Безопасность», а затем выберите пункт «Просмотреть или изменить». Разрешения состоят из следующих разрешений:

  • Перечисление папок и чтение данных
  • Чтение атрибутов
  • Чтение расширенных атрибутов
  • Создание файлов и запись данных
  • Создание папок и добавление данных
  • Запись атрибутов
  • Запись расширенных атрибутов
  • Чтение разрешений

Установите флажок «Сброс разрешений для всех дочерних объектов» и установите флажок распространения наследуемых разрешений. Администратор не имеет полного контроля над дочерними объектами для защиты закрытой части пары ключей пользователя. Но администратор по-прежнему может удалять сертификаты для пользователя.

Дополнительные сведения см. в следующей статье:

Как задать необходимые разрешения NTFS и права пользователя для веб-сервера IIS 5.0, IIS 5.1 или IIS 6.0.

Обратная связь

Были ли сведения на этой странице полезными?

Папка Crypto в папке Microsoft — что это?

Папка Crypto в папке Microsoft — содержит данные, связанные с криптографией при использовании алгоритма шифрования RSA (может например потребоваться для ЭЦП).

Простыми словами: если на ПК установлено ПО по работе с электронно-цифровой подписью, например КриптоПро, то удалять данную директорию не стоит. В другом случае — лучше сделать бэкап содержимого, после пробовать удалить, при наличии проблем — восстановить содержимое. Но в любом случае — все на свой страх и риск. Второе — идеально создать образ системы, а не точку восстановления, тогда папку можно просто удалить, а если будут проблемы при удалении (если висит замочек) — используйте утилиту Unlocker.

Разбираемся

Эта папка может быть на Windows XP, точный путь:

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto

С папкой могут происходить странные явления — при открытии свойств размер может постоянно увеличиваться. Внутри Crypto часто бывает папка RSA\MachineKeys, в свойствах написано что файлов много, но если открыть эту папку — не видно ни одного. Эти файлы даже нельзя проверить антивирусом.

В интернете пишут что данная папка предназначена для хранения данных, связанных с криптографией используя алгоритм RSA (может использоваться электронно-цифровой подписью). Скорее всего именно поэтому файлов невидно.

Также найдена версия, что Crypto — директория системного API, который отвечает за криптографию (ключи шифрования). Если очистить папку, то файлы будут генерироваться новые, но лучше их не удалять, могут быть проблемы с некоторым установленным ПО (например Крипто Про).

В каталоге RSA\MachineKeys могут хранится данные ключей сертификатов для пользователей и компьютеров. Данные используются службами сертификации и Internet Explorer, а также другими браузерами. Поэтому удалять эти данные нежелательно.

Пример содержания директории MachineKeys:

Надеюсь данная информация оказалась полезной. Удачи и добра, до новых встреч друзья!

Решено папка Microsoft\Crypto\RSA\MachineKeys

Подскажите, кто знает для чего нужна папка ProgramData\Microsoft\Crypto\RSA и влияет ли она как-то на работу Крипто Про ?
В данном каталоге содержится папка MachineKeys а в ней еще какие-то контейнеры.
Можно ли очистить старые файлы в этой папке?

Последнее редактирование модератором: 28.01.2019

NanoSuit
Специалист

Подскажите, кто знает для чего нужна папка ProgramData\Microsoft\Crypto\RSA и влияет ли она как-то на работу Крипто Про ?
В данном каталоге содержится папка MachineKeys а в ней еще какие-то контейнеры.
Можно ли очистить старые файлы в этой папке?

Каталог MachineKeys хранит пары ключей сертификатов для пользователей и компьютеров. Эта папка используется службами сертификации и Internet Explorer, другими браузерами.
В этой директории и в ее поддиректориях размещаются файлы, связанные с сертификатами и ключами контейнерами.

Устранение неполадок с сертификатом расширения на виртуальной машине Windows в Azure

В этой статье описывается, как выявлять и устранять проблемы, связанные с сертификатами на виртуальной машине Windows, которая использует расширение. Как правило, эти проблемы связаны с криптографическими операциями или с самим сертификатом.

Контрольный список для устранения неполадок

Просмотр гостевых журналов

Чтобы получить сведения об ошибке, проверка гостевые журналы. В следующей таблице приведены наиболее полезные журналы на виртуальной машине Windows для устранения ошибок сертификата расширения.

Log Описание
Файл C:\WindowsAzure\Logs\WaAppAgent.log Журнал гостевого агента. Описывает операции расширения (например, скачивание, установку, включение и отключение) и их результаты.
Файлы журнала в папке C:\WindowsAzure\Logs\Plugins\ Различные журналы, отражающие операции определенного расширения. Каждое расширение имеет свои собственные функции, но большинство расширений имеют стандартный набор файлов журнала, включая CommandExecution.log, CommandExecution_ , CustomScriptHandler.log и IaaSBcdrExtension .

Эта таблица содержит только самые важные файлы журнала. Это не исчерпывающий список.

Кроме того, можно запустить средствоCollectGuestLogs.exe , чтобы собрать все гостевые журналы в архивный файл.zip . Средство CollectGuestLogs.exe находится на виртуальной машине Windows в одном из следующих каталогов:

  • C:\WindowsAzure\Packages
  • C:\WindowsAzure\GuestAgent__

Симптомы

В следующем списке перечислены наиболее распространенные ошибки, которые могут возникнуть при использовании расширения на виртуальной машине Windows.

    FailedToDecryptProtectedSettings Исключение. Сертификат транспорта, используемый для расшифровки защищенных параметров расширения, отсутствует на виртуальной машине.

Примечание. Вариант FailedToDecryptProtectedSettings исключения приводит к неправильному указанию разрешений для папки Crypto\RSA\MachineKeys . В этом сценарии отображается одно из следующих сообщений об ошибке:

System.Security.Cryptography.CryptographicException: Keyset does not exist at System.Security.Cryptography.Pkcs.EnvelopedCms.DecryptContent(RecipientInfoCollection recipientInfos, X509Certificate2Collection extraStore) at Microsoft.Azure.Plugins.Diagnostics.dll.PluginConfigurationSettingsProvider.DecryptPrivateConfig(String encryptedConfig) 
Failed to decode, decrypt, and deserialize the protected settings string. Error Message: Keyset does not exist" 
Decrypting Protected Settings - Invalid provider type specified 
[ERROR] Failed to get TransportCertificate. Error: Microsoft.WindowsAzure.GuestAgent.CertificateManager.CryptographyNative+PInvokeException: Self-signed Certificate Generation failed. Error Code: -2146893808. 
DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:32:20 PM] Decrypting private configuration DiagnosticsPluginLauncher.exe Warning: 0 : [6/29/2020 1:32:20 PM] No certficate with given thumbprint found in the certificate store. Thumbprint:34C8CDC747693E0E33A9648703E3990EC4F2C484 DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:32:20 PM] Retrying after 30 seconds. Retry attempt 1 DiagnosticsPluginLauncher.exe Warning: 0 : [6/29/2020 1:32:50 PM] No certficate with given thumbprint found in the certificate store. Thumbprint:34C8CDC747693E0E33A9648703E3990EC4F2C484 DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:32:50 PM] Retrying after 30 seconds. Retry attempt 2 DiagnosticsPluginLauncher.exe Warning: 0 : [6/29/2020 1:33:20 PM] No certficate with given thumbprint found in the certificate store. Thumbprint:34C8CDC747693E0E33A9648703E3990EC4F2C484 DiagnosticsPluginLauncher.exe Information: 0 : [6/29/2020 1:33:20 PM] Retrying after 30 seconds. Retry attempt 3 DiagnosticsPluginLauncher.exe Error: 0 : [6/29/2020 1:33:50 PM] System.Security.Cryptography.CryptographicException: The enveloped-data message does not contain the specified recipient. at System.Security.Cryptography.Pkcs.EnvelopedCms.DecryptContent(RecipientInfoCollection recipientInfos, X509Certificate2Collection extraStore) at Microsoft.Azure.Plugins.Diagnostics.dll.PluginConfigurationSettingsProvider.DecryptPrivateConfig(String encryptedConfig) 

Причина. Изменения кода рабочих процессов и зависимостей

Эта проблема в основном вызвана изменением платформы Azure, которое было реализовано около мая 2020 г. Это изменение было изменено для улучшения рабочего процесса расширений виртуальной машины и устранения некоторых зависимостей от других компонентов Azure. Для этого требуется, чтобы расширения, настраиваемые поставщики ресурсов (CRP) и гостевой агент работали совместно. Незначительные ошибки вызвали вторичные проблемы, которые отражаются в проблемах с сертификатом расширения.

Решение 1. Обновление сертификата расширения

Выполните следующие действия, чтобы обновить сертификат, который можно успешно использовать вместе с расширением:

  1. Проверьте, включен ли сертификат генератора сертификатов Windows Azure CRP в оснастке «Сертификаты» консоли управления Майкрософт. Для этого следуйте инструкциям в разделе Несколько сертификатов на виртуальной машине Azure IaaS, которая использует расширения для поиска проблем с виртуальной машиной Windows.
  2. Удалите этот сертификат. Для этого выберите сертификат генератора сертификатов Windows Azure CRP , а затем щелкните значок Удалить .

Примечание. Если требуется сертификат генератора сертификатов Windows Azure CRP , виртуальная машина повторно создает сертификат, если он отсутствует.

    Выполните следующий скрипт PowerShell, содержащий команды Get-AzureRmVM и Update-AzureRmVM :
$rg = "" $vmName = "" $vm = Get-AzureRmVM -ResourceGroupName $rg -Name $vmName Update-AzureRmVM -ResourceGroupName $rg -VM $vm 

Если обновление сертификата не устранит проблему, остановите или освободите виртуальную машину, а затем снова запустите виртуальную машину.

Решение 2. Исправление списка управления доступом (ACL) в папках MachineKeys или SystemKeys

В папке Crypto\RSA\MachineKeys исправьте список управления доступом (ACL), чтобы применить правильные разрешения.

    В консоли PowerShell с правами администратора выполните следующие команды, чтобы получить уникальное имя контейнера ключа сертификата клиента. Убедитесь, что вы закомментировали одно из $certName определений в зависимости от того, используете ли вы классическую виртуальную машину переднего плана RedDog (RDFE) (для которой сертификат имеет Windows Azure Service Management for Extensions имя ) или виртуальную машину Azure Resource Manager (для которой сертификат имеет Windows Azure CRP Certificate Generator имя ):

# Comment out one of the following certificate name definitions. $certName = "Windows Azure Service Management for Extensions" # Classic RDFE VM $certName = "Windows Azure CRP Certificate Generator" # Azure Resource Manager VM $fileName = (Get-ChildItem Cert:\LocalMachine\My | Where-Object ).PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName 
icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys /save machinekeys_permissions_before.aclfile /t 
icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\$fileName /grant SYSTEM:(F) icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\$fileName /grant Administrators:(RX) 
icacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys /t > machinekeys_permissions_after.txt 

Если эта процедура не работает, попробуйте выполнить icacls команды еще раз (шаги 2–4) в папках C:\ProgramData\Microsoft\Crypto\SystemKeys\* вместо папки C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\$fileName .

Дополнительная информация

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *