Продукты: Indeed CM

Затрагиваемые компоненты: ICM

Описание проблемы:

Ошибки при работе с устройствами eToken при использовании SafeNet Authentication Client 10.5.175.0:

• При выпуске устройства ошибка - "Указаны неправильные флаги"

• При попытке удалить устройство из Indeed CM ошибка - "Указанный PIN-код содержит недопустимые символы, либо не удовлетворяет требованиям к качеству пароля"

• При попытке инициализировать устройство через SAC 10.5.175.0 ошибка - "The new administrator пароль must comply with the quality settings"

Причины возникновения: После установки SafeNet Authentication Client 10.5.* по умолчанию включены опции:

1. Проверка качества PIN-кода администратора.
2. Ограничение на генерацию слабых ключей.
3. Запрет на генерацию экспортируемых ключей.

Варианты решения:  Все ограничения возможно снять двумя способами, через GPO или редактирование реестра. В случае с редактированием реестра указаны примеры, в которых изменения затронут только компоненты Indeed CM и не будут распространены на другое ПО.

1. Проверка качества PIN-кода администратора.

PIN-код администратора должен состоять как минимум из трех групп символов и иметь длину не менее 8 символов.
Группы символов: Буквы в нижнем регистре, буквы в верхнем регистре цифры и специальные символы.

GPO:

1. Параметр: Enable Administrator Password Quality Check
2. Конфигурация компьютера\Административные шаблоны\SafeNet Authentication Client Setting\Token Password Quality Settings\Enable Administrator Password Quality Check
3. Установить значение политики: Disabled

Реестр:  
[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\PQ\IndeedCM.Client.Server.exe]
"pqAdminPQ"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\PQ\IndeedCM.Agent.Client.exe]
"pqAdminPQ"=dword:00000000

Использовать настройки по умолчанию:
Необходимо установить подходящий по сложности PIN-код администратора, отредактировать тип устройства или ввести токен в Indeed CM с указанием нужного PIN-кода.

2. Ограничение на генерацию слабых ключей.

В SAC 10.5 являются запрещенными или нерекомендуемыми к использованию следующие алгоритмы и функции:
MD5, RC2, RC4, DES, 2DES, GenericSecret<112, RSA-RAW, RSA<2048, ECC<224, ECB, Sign-SHA1.

GPO:

1. Параметр: Deprecated Cryptographic Algorithms and Features
2. Конфигурация компьютера\Административные шаблоны\SafeNet Authentication Client Setting\Security Settings\Deprecated Cryptographic Algorithms and Features
3. Установить значение политики: None

Реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Client.Server.exe]
"Disable-Crypto"="None"

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Agent.Client.exe]
"Disable-Crypto"="None"

Использовать настройки по умолчанию:
Для RSA сертификатов необходимо установить длину ключа не менее 2048 бит.

3. Запрет на генерацию экспортируемых ключей.

По умолчанию в SAC 10.5 запрещено генерировать на устройстве экспортируемые ключи.

GPO:

1. Параметр: Key Management
2. Конфигурация компьютера\Административные шаблоны\SafeNet Authentication Client Setting\Security Settings\Key Management
3. Установить значение политики: Compatible

Реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Client.Server.exe]
"Key-Management-Security"="Compatible"

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto\IndeedCM.Agent.Client.exe]
"Key-Management-Security"="Compatible"

Использовать настройки по умолчанию:
Не использовать экспортируемые ключи.

Все файлы групповых политик ADMX и файл реестра прикреплены к данной статье.