tokenbindingkeys что это за папка
TokenBroker что это за служба?
TokenBroker или в русской версии Windows 10 — Диспетчер учетных веб-записей, это служба которая необходима для работы Windows Store (магазина приложений) и которая управляет правами доступа приложений из магазина на вашем компьютере.
Если вы не используете магазин приложений Windows 10, то службу можно безболезненно выключить, так же она отсутствует в корпоративных версиях Windows 10, а именно в редакциях LTSB и LTSC. Я уже писал как в эти редакции Windows 10 добавить магазин приложений, если вы это сделаете, то соответственно и служба появится в списке.
В норме служба TokenBroker, практически не потребляет ресурсов, она занимает несколько мегабайт оперативной памяти и практически не обращается к процессору, в списке процессов и служб видна либо под именем TokenBroker в англоязычной версии Windows 10, либо под названием Диспетчер учетных веб-записей:
В более ранних версиях Windows 10, в поле описание выводилась ошибка службы TokenBroker: » не удается прочитать описание код ошибки 15100″, если вместо описания вы видите эту ошибку значит вам необходимо обновить Windows:
По сути ошибка «tokenbroker не удается прочитать описание код ошибки 15100», ошибкой не является и на работу службы никак не влияет.
Иногда с службой TokenBroker возникают проблемы — она начинает потреблять много ресурсов, оперативной памяти и времени процессора, в этом случае попробуйте остановить службу и затем запустить опять (если не пользуетесь магазином решением может быть полное отключение службы), используйте встроенное в Windows 10 средство устранения неполадок и проверьте целостность системный файлов. Если этого недостаточно — пишите в комментарии.
Key Storage and Retrieval
Key Storage Architecture
CNG provides a model for private key storage that allows adapting to the current and future demands of creating applications that use cryptography features such as public or private key encryption, as well as the demands of the storage of key material. The key storage router is the central routine in this model and is implemented in Ncrypt.dll. An application accesses the key storage providers (KSPs) on the system through the key storage router, which conceals details, such as key isolation, from both the application and the storage provider itself. The following illustration shows the design and function of the CNG key isolation architecture.
To comply with common criteria (CC) requirements, the long-lived keys must be isolated so that they are never present in the application process. CNG currently supports the storage of asymmetric private keys by using the Microsoft software KSP that is included with Windows Server 2008 and Windows Vista and installed by default.
Key isolation is enabled by default in Windows Server 2008 and Windows Vista. The key isolation feature is not available on platforms prior to these. Also, third party KSPs are not loaded in the key isolation service (LSA process). Only the Microsoft KSP is loaded in the key isolation service.
The LSA process is used as the key isolation process to maximize performance. All access to private keys goes through the key storage router, which exposes a comprehensive set of functions for managing and using private keys.
CNG stores the public portion of the stored key separately from the private portion. The public portion of a key pair is also maintained in the key isolation service and is accessed by using local remote procedure call (LRPC). The key storage router uses LRPC when calling into the key isolation process. All access to private keys goes through the private key router and is audited by CNG.
As described above, a wide range of hardware storage devices can be supported. In each case, the interface to all of these storage devices is identical. It includes functions to perform various private key operations as well as functions that pertain to key storage and management.
CNG provides a set of APIs that are used to create, store, and retrieve cryptographic keys. For a list of these APIs, see CNG Key Storage Functions.
Key Types
CNG supports the following key types:
Supported Algorithms
CNG supports the following key algorithms.
| Algorithm | Key/hash length (bits) |
|---|---|
| RSA | 512 to 16384, in 64 bit increments |
| DH | 512 to 16384, in 64 bit increments |
| DSA | 512 to 1024, in 64 bit increments |
| ECDSA | P-256, P-384, P-521 (NIST Curves) |
| ECDH | P-256, P-384, P-521 (NIST Curves) |
| MD2 | 128 |
| MD4 | 128 |
| MD5 | 128 |
| SHA-1 | 160 |
| SHA-256 | 256 |
| SHA-384 | 384 |
| SHA-512 | 512 |
Key Directories and Files
The Microsoft legacy CryptoAPI CSPs store private keys in the following directories.
| Key type | Directories |
|---|---|
| User private | %APPDATA%\Microsoft\Crypto\RSA\User SID\ %APPDATA%\Microsoft\Crypto\DSS\User SID\ |
| Local system private | %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\S-1-5-18\ %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\S-1-5-18\ |
| Local service private | %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\S-1-5-19\ %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\S-1-5-19\ |
| Network service private | %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\S-1-5-20\ %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\S-1-5-20\ |
| Shared private | %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\MachineKeys |
CNG stores private keys in the following directories.
| Key type | Directory |
|---|---|
| User private | %APPDATA%\Microsoft\Crypto\Keys |
| Local system private | %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\SystemKeys |
| Local service private | %WINDIR%\ServiceProfiles\LocalService |
| Network service private | %WINDIR%\ServiceProfiles\NetworkService |
| Shared private | %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys |
The following are some of the differences between the CryptoAPI and CNG key containers.
When persisting a key, CNG can create two files. The first file contains the private key in the new CNG format and is always created. This file is not usable by the legacy CryptoAPI CSPs. The second file contains the same private key in the legacy CryptoAPI key container. The second file conforms to the format and location used by Rsaenh.dll. Creation of the second file only occurs if the NCRYPT_WRITE_KEY_TO_LEGACY_STORE_FLAG flag is specified when the NCryptFinalizeKey function is called to finalize an RSA key. This feature is not supported for DSA and DH keys.
When an application attempts to open an existing persisted key, CNG first attempts to open the native CNG file. If this file does not exist, then CNG attempts to locate a matching key in the legacy CryptoAPI key container.
When you move or copy CryptoAPI keys from a source machine to a target machine with Windows User State Migration Tool (USMT), CNG will fail to access the keys on the target machine. To access such migrated keys, you must use the CryptoAPI.
Папка WinSxS — зачем она нужна и можно ли ее удалить?
Содержание
Содержание
С необходимостью очистки системного диска сталкивается практически каждый пользователь. Со временем системные файлы занимают все больше памяти, и это может привести к различным проблемам вплоть до нестабильной работы системы. Папка WinSxS является одной из первых директорий, на которую обращают внимание пользователи, а все из-за ее размера. Что это за папка? Можно ли безопасно очистить или удалить WinSxS, и как это правильно сделать?
Что это за папка и для чего она нужна
WinSxS — служебная папка, которая появилась еще в Windows Vista, и присутствует во всех последующих версиях операционной системы. Полный путь к папке: C:\Windows\WinSxS. Увидеть ее можно, если включить отображение скрытых файлов и папок в параметрах папок (вкладка «Вид»).
Здесь хранятся файлы обновлений, конфигурационные данные, резервные копии файлов. Это каталог хранилища компонентов Windows. Именно благодаря ему пользователь может откатить практически любые изменения системы. Например, если вышло очередное забагованное обновление или эти самые изменения чем-то не понравились. Содержимое WinSxS используется в откате операционной системы к первоначальным настройкам, а также необходимо для работы Windows.
Учитывая специфику каталога, со временем он будет интенсивно расширяться.
Сколько места может занимать содержимое папки WinSxS
Обновления приходят регулярно, тем более сам пользователь часто вносит различные изменения в работу операционной системы. Если оптимизация каталога ранее не проводилась, или же процедура выполнялась давно, то размер папки легко может превысить отметки в 20 ГБ, но здесь есть один нюанс.
В папке WinSxS используются жесткие ссылки на файлы других каталогов. Иными словами, Проводник или файловые менеджеры в расчетах учитывают именно полный размер файла, хотя, по факту, его здесь нет, и место не занято.
Отсюда возникает и другой вопрос. Какой размер этой папки считается нормальным, и когда нужно всерьез задуматься об оптимизации содержимого?
Если папка WinSxS занимает свыше 10 ГБ памяти, то чистка практически наверняка нужна.
С другой стороны, освободить место можно и при более скромных объемах.
Можно ли удалить папку WinSxS или ее содержимое?
Да, удалить можно вообще любую системную папку или файл. Правда, в этом случае последствия не заставят себя ждать: уже при следующем включении или перезагрузке Windows может не запуститься, а большинство способов восстановления окажутся бесполезными.
Другие возможные последствия удаления отдельных файлов папки WinSxS:
Удалять саму папку WinSxS или ее содержимое, как и любой другой системной директории, настоятельно не рекомендуется, но это не означает, что пользователю нужно смириться с ситуацией. Есть возможность уменьшить занимаемый ею объем памяти.
Как очистить папку WinSxS: способы и инструкции
Начнем с того, что не нужно заходить в эту папку и вручную удалять не понравившиеся файлы. Для этого существуют другие инструменты. Преимущество описанных далее методов в том, что во время оптимизации происходит очистка неиспользуемых файлов. Иными словами, происходит безопасное удаление мусора, который просто захламляет систему. Инструменты используют различные алгоритмы, поэтому эффективность методов также отличается.
Встроенное средство очистки дисков в Windows
Это самый простой и безопасный метод, который направлен на удаление неиспользуемых обновлений. Внутренняя оптимизация содержимого не происходит, поэтому, если стоит цель освободить как можно больше места на системном диске, лучше использовать другие способы. С другой стороны, это самый простой способ, которым может воспользоваться любой пользователь.
Инструкция по использованию встроенного средства очистки дисков в Windows.
Если каталог WinSxS ранее не чистился или чистился давно, то при помощи данного метода получится освободить от нескольких сотен мегабайт до пары гигабайт места.
Этот метод актуален для ОС Windows 8.1 и Windows 10. В Windows 7 данной опции изначально нет, но она появится при установке пакета обновлений KB2852386.
Утилита DISM.exe
Этот метод предполагает использование консоли. Его эффективность выше, и в результате можно освободить больше места.
Инструкция по использованию утилиты DISM.exe для очистки папки WinSxS.
Но это еще не все, что можно сделать при помощи утилиты DISM.exe. Другие полезные действия перечислены ниже.
Теперь можно полюбоваться результатом, еще раз вызвав команду Dism.exe /Online /Cleanup-Image /AnalyzeComponentStore и сравнив результат с первым анализом. Кстати, данная команда не поддерживается в Windows 7.
В приведенном примере результат незначительный, что объясняется недавней глубокой чисткой системы, но он все-таки есть.
Планировщик задач
Многие пользователи забывают об огромных возможностях оптимизации, которые дает Планировщик задач Windows. Он будет полезен и в нашем случае.
Чтобы очистить папку WinSxS при помощи планировщика задач, нужно выполнить следующий порядок действий.
Преимущество метода в том, что пользователь может настроить автоматическую очистку папки WinSxS по расписанию и забыть о проблеме. Для этого нужно кликнуть правой клавишей мыши на задаче «StartComponentCleanup», выбрав пункт «Свойства», вкладку «Триггеры», а здесь настроить расписание процедуры.
Удаление неиспользуемых компонентов
Этот метод предназначен для продвинутых пользователей. Удаление компонентов может повлиять на стабильность работы системы.
В этом случае мы будем очищать неактивные компоненты. В будущем, при необходимости, их возможно восстановить.
Посмотреть активные и неактивные компоненты Windows можно в разделе «Программы и компоненты», который находится по здесь: Панель управления\Программы\Программы и компоненты. Интересующий пункт находится в левой части окна.
Наиболее популярными вариантами очистки директории являются первые два метода, о которых снято много видеороликов для YouTube.
Воспользовавшись предложенными в статье способами, можно уменьшить размер WinSxS. Результат зависит от выбранного способа и того, как часто пользователь выполняет очистку системы от мусора. Как правило, интерес к папке WinSxS возникает при необходимости освобождения места на системном диске. А том, как это сделать можно прочитать здесь.
Tokenbindingkeys что это за папка
Основные признаки подключения устройств Рутокен указаны в Таблице 1.
| Название устройства | Признак |
|---|---|
| Токен, Bluetooth-токен, токен с разъемом Type-C, токен с NFC | на устройстве светится индикатор |
| Смарт-карта | на считывателе для смарт-карт светится индикатор |
Во время выполнения операций с устройством Рутокен ни в коем случае не отсоединяйте его от компьютера. Это может привести к ошибке.
Панель управления Рутокен
Панель управления Рутокен — это программное средство, предназначенное для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. Панель управления Рутокен устанавливается в системе при установке комплекта «Драйверы Рутокен для Windows».
Виды пользователей в Панели управления Рутокен:
PIN-код Пользователя
PIN-код Пользователя является паролем, который используется для доступа к основным функциям устройства Рутокен.
PIN-код Пользователя по умолчанию — 12345678.
PIN-код Администратора
PIN-код Администратора является паролем, который используется для доступа к административным функциям устройства Рутокен.
PIN-код Администратора по умолчанию — 87654321.
Подключение устройств Рутокен к компьютеру
Подключение токена
Для подключения токена вставьте его в USB-порт компьютера. Если токен подключен корректно, то на нем начнет светиться индикатор.
Подключение смарт-карты
Для подключения смарт-карты к компьютеру используется считыватель смарт-карт.
К USB-порту компьютера можно подключить как пустой считыватель, так и считыватель со вставленной смарт-картой.
Для подключения смарт-карты к компьютеру:
Подключение Bluetooth-токена
Bluetooth-токен подключается к компьютеру при помощи microUSB кабеля. Если Bluetooth-токен подключен корректно, то на нем начнет светиться индикатор.
Подключение Рутокена с разъемом Type-C к компьютеру
Рутокен с разъемом Type-C подключается к компьютеру, у которого есть специальный порт USB Type-C. На некоторых компьютерах этот порт обозначен как Thunderbolt 3 (USB-C).
Если токен подключен корректно, то на нем начнет светиться индикатор.
Запуск Панели управления Рутокен
Существует несколько способов запуска Панели управления Рутокен:
1 способ. Запуск с рабочего стола компьютера (используется, если на Рабочем столе есть значок Панель управления Рутокен)
Два раза щелкните левой кнопкой мыши по значку Панель управления, расположенному на рабочем столе компьютера.
2 способ. Запуск из меню Пуск (используется, если на рабочем столе нет значка Панель управления Рутокен)
Для Windows 10:
Для Windows 7:
Для Windows XP:
3 способ. Запуск из Панели управления компьютера (используется, если скрыта панель задач)
Выбор устройства в Панели управления Рутокен
Если к компьютеру подключено несколько устройств Рутокен одновременно, то перед началом работы необходимо выбрать устройство, с которым будут выполняться операции.
Для выбора устройства:
Проверка корректности выбора устройства
Для проверки корректности выбора устройства:
Просмотр сведений об устройстве Рутокен
Для просмотра сведений об устройстве Рутокен:
Описание, представленной в панели управления информации об устройстве Рутокен, приведено
в Таблице 2.
| Поле | Описание |
|---|---|
| Имя | Персонализированная метка устройства |
| Модель | Общеизвестное наименование устройства |
| Системное имя | Наименование, используемое для обозначения устройства в других приложениях |
| ID | Уникальный цифровой идентификатор устройства |
| Версия | Версия прошивки устройства Рутокен и флаги состояния |
| Общая память (байт) | Общий объем памяти выбранного устройства |
| Свободная память (байт) | Объем памяти устройства (доступный пользователю) |
| PIN-код Пользователя может быть изменен | Политика, выбранная для смены PIN-кода Пользователя на устройстве |
| Возможность безопасного использования кириллических символов при задании PIN-кода | |
| Поддержка КриптоПро ФКН | Поддержка устройством работы с КриптоПро Рутокен CSP по защищенному каналу ФКН |
| Microsoft Base Smart Card Crypto Provider | Поддержка устройством работы со стандартным поставщиком криптографии для смарт-карт от Microsoft |
| Устройство подключено по RDP | Подключено ли устройство по протоколу RDP |
Просмотр версии установленного комплекта «Драйверы Рутокен для Windows»
Для просмотра версии установленного комплекта «Драйверы Рутокен для Windows»:
Ввод PIN-кода Пользователя для работы с устройством Рутокен
После ввода неправильного PIN-кода Пользователя несколько раз подряд устройство Рутокен блокируется. Разблокировать его может только Администратор устройства Рутокен.
Для ввода PIN-кода Пользователя:
Изменение количества устройств Рутокен S для одновременной работы нескольких токенов на компьютере
Так как может потребоваться перезагрузка компьютера, перед изменением количества устройств Рутокен S для одновременной работы нескольких токенов на компьютере рекомендуется закрыть все работающие приложения
Эта настройка используется:
Для изменения количества устройств Рутокен S для одновременной работы нескольких токенов на компьютере:
— на экране может отобразиться сообщение о необходимости перезагрузить операционную систему. Нажмите Да;
— в окне с запросом на разрешение вносить изменения на компьютере нажмите Да.
Выбор криптопровайдера, используемого по умолчанию, для устройства Рутокен
Криптопровайдер — это динамически подключаемая библиотека, реализующая криптографические функций со стандартизованным интерфейсом.
У каждого криптопровайдера могут быть собственные наборы алгоритмов и собственные требования к формату ключей и сертификатов.
Для выбора криптопровайдера, используемого по умолчанию для устройства Рутокен:
Выбор метода генерации ключевых пар RSA (для устройства Рутокен ЭЦП)
Не следует использовать для генерации ключевых пар криптопровайдер Microsoft, если нет уверенности в безопасности компьютера.
Для выбора криптопровайдера для генерации ключевых пар RSA:
Выбор настроек для PIN-кода
В Панели управления Рутокен можно задать настройки для PIN-кода. Перечень настроек указан в Таблице 3.
| Настройка | Результат выбора настройки |
|---|---|
| Запомнить PIN-код из приложения. | PIN-код вводится один раз при первом использовании устройства Рутокен в приложении |
| Предлагать сменить PIN-код каждый раз. | Каждый раз после ввода PIN-кода на экране отображается сообщение с предложением изменить PIN-код (если пользователь не изменил PIN-код, установленный по умолчанию) |
| Кодирование PIN-кода в UTF-8. | PIN-код может состоять из кириллических символов |
Настройка Запомнить PIN-код позволяет уменьшить количество вводов PIN-кода в прикладных приложениях за счет кратковременного хранения их криптопровайдером в зашифрованной памяти. Не следует использовать данную настройку, если нет уверенности в безопасности компьютера.
Настройка Кодирование PIN-кода в UTF-8 позволяет безопасно использовать PIN-коды, содержащие кириллические символы.
Для выбора настроек для PIN-кода:
Изменение PIN-кода Пользователя
По умолчанию для устройства Рутокен установлен PIN-код Пользователя — 12345678. В целях безопасности перед первым использованием устройства Рутокен рекомендуется изменить PIN-код установленный по умолчанию.
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Доступ к сертификатам, сохраненным на устройстве возможен только после указания PIN-кода. Если PIN-код был изменен, то его необходимо запомнить
Для изменения PIN-кода:
Запустите Панель управления Рутокен.
Нажмите ОК.
Нажмите Изменить.
В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является «слабым», если желтым — то «средним», а если зеленым — то «надежным».
Указание Пользователем имени устройства Рутокен
Для того чтобы различать устройства Рутокен между собой следует задать имя каждому устройству. Оно не всегда будет отображаться в сторонних приложениях.
Рекомендуется указать имя и фамилию владельца устройства или краткое наименование области применения устройства.
Для указания имени устройства Рутокен:
Ввод PIN-кода Администратора для работы с устройством Рутокен
После ввода неправильного PIN-кода Администратора несколько раз подряд, он блокируется. PIN-код Администратора разблокировать невозможно. В случае блокировки PIN-кода Администратора необходимо отформатировать устройство Рутокен, но при этом будут безвозвратно удалены все данные, хранящиеся на нем
Для ввода PIN-кода Администратора:
Изменение PIN-кода Администратора
По умолчанию для устройства Рутокен установлен PIN-код Администратора — 87654321. В целях безопасности рекомендуется изменить PIN-код, установленный по умолчанию перед первым использованием устройства Рутокен.
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Для изменения PIN-кода Администратора:
Изменение Администратором PIN-кода Пользователя
Администратор может изменить PIN-код Пользователя только в том случае, если при форматировании устройства была выбрана политика смены PIN-кода — «Пользователь и Администратор» («Администратор»).
Для просмотра текущей политики смены PIN-кода откройте сведения об устройстве Рутокен.
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Для изменения PIN-кода Пользователя:
Разблокировка Администратором PIN-кода Пользователя
PIN-код Пользователя блокируется в том случае, если пользователь несколько раз подряд ввел его с ошибкой. PIN-код Пользователя может разблокировать только администратор.
После того как PIN-код Пользователя будет разблокирован, счетчик неудачных попыток аутентификации примет исходное значение (заданное при форматировании устройства Рутокен).
После разблокировки PIN-код Пользователя не изменится. Администратор может задать новый PIN-код Пользователя только при форматировании устройства Рутокен.
Для того чтобы разблокировать PIN-код Пользователя:
В результате PIN-код Пользователя будет разблокирован.
Форматирование Администратором устройства Рутокен
В ходе форматирования устройства все, созданные на нем объекты удалятся. Останутся только те объекты, которые были сохранены в защищенной памяти (для Рутокен ЭЦП Flash). Также при форматировании задаются новые значения PIN-кодов или выбираются значения, используемые по умолчанию.
Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство в заводское состояние. Для такого форматирования ввод PIN-кода Администратора не требуется.
При возврате к заводскому состоянию устройства Рутокен ЭЦП Flash содержимое Flash-памяти тоже очистится, а информация, записанная в ней будет удалена безвозвратно.
При форматировании устройства Рутокен все данные на нем, в том числе ключи и сертификаты, будут удалены безвозвратно.
В процессе форматирования не следует отключать устройство Рутокен от компьютера, так как это может привести к его поломке.
Для запуска процесса форматирования устройства Рутокен:
В окне с предупреждением об удалении всех данных на устройстве Рутокен нажмите ОК.
В окне с сообщением об успешном форматировании устройства Рутокен нажмите ОК.
Особенности форматирования Bluetooth-токена
Для форматирования Bluetooth-токена:
Указание имени устройства Рутокен при форматировании
Для указания имени устройства Рутокен при форматировании в поле Имя токена укажите новое имя устройства.
Изменение политики при форматировании
В зависимости от политики, выбранной при форматировании устройства Рутокен, PIN-код Пользователя может быть изменен:
Для того чтобы понять какую политику выбрать пройдите по ссылке «Какую политику я должен выбрать?» (расположенную в секции PIN-код пользователя может менять).
Для изменения политики в секции PIN-код Пользователя может менять установите переключатель в необходимое положение.
Указание нового PIN-кода Пользователя (Администратора) при форматировании
Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после завершения процесса форматирования:
Указание минимальной длины PIN-кода Пользователя (Администратора) при форматировании
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в соответствующей секции из раскрывающегося списка Минимальная длина PIN-кода выберите необходимое значение.
Указание максимального количества попыток ввода PIN-кода Пользователя (Администратора) при форматировании
Для повышения уровня безопасности следует изменить исходное значение. Рекомендуемое количество попыток ввода PIN-кода — 5 раз. Небольшое количество попыток (1-4 раза) может привести к случайной блокировке PIN-кода, большое количество (более 5 раз) — снизит уровень информационной безопасности.
Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в соответствующей секции из раскрывающегося списка Попытки ввода PIN-кода выберите необходимое значение.
Работа с политиками качества PIN-кода
Политики качества PIN-кода позволяют повысить уровень безопасности PIN-кода.
В Панели управления Рутокен все PIN-коды по качеству делятся на три категории:
Существует возможность выбора политик, которые будут учитываться при оценке качества PIN-кода.
Для контроля качества PIN-кода используются следующие политики:
При установке комплекта «Драйверы Рутокен для Windows» значения параметров политик установлены по умолчанию.
По умолчанию выбраны все ранее указанные политики качества PIN-кода.
По умолчанию пароль считается «слабым», если его длина меньше одного символа.
Политики качества PIN-кода могут быть изменены в Панели управления Рутокен пользователем с правами администратора операционной системы или администратором домена.
Каждый новый PIN-код должен соответствовать выбранным политикам качества.
Политики качества PIN-кода устанавливаются в Панели управления Рутокен для конкретного компьютера.
Для того чтобы выбрать политики, которые будут учитываться при оценке уровня безопасности PIN-кода:
Просмотр ключевых пар и сертификатов, сохраненных на устройстве Рутокен
В Панели управления Рутокен личным сертификатом называется контейнер, содержащий: сертификат, открытый ключ и закрытый ключ.
Для просмотра сертификатов и ключевых пар, сохраненных на устройстве Рутокен:
На вкладке Сертификаты отображаются сертификаты, ключевые пары и личные сертификаты, сохраненные на устройстве Рутокен.
Слева от названий сертификатов, личных сертификатов и ключевых пар отображаются иконки. Они обозначают следующее:
— личный сертификат.
— сертификат КриптоПро CSP.
— ключевую пару.
— ключевую пару КриптоПро CSP.
Полужирным шрифтом обозначены личные сертификаты, установленные по умолчанию. Для каждого криптопровайдера установлен свой личный сертификат по умолчанию. В Панели управления Рутокен можно установить по умолчанию только личный сертификат RSA.
Если при нажатии левой кнопкой мыши на названии личного сертификата в верхней части окна панели отобразится уведомления о том, что личный сертификат является ненадежным, то необходимо для него установить доверенный корневой сертификат удостоверяющего центра.
Формулировки таких уведомлений могут быть следующими:
Для обновления списка сертификатов, личных сертификатов и ключевых пар рядом с полем Подключенные Рутокен нажмите на кнопку 
.
Регистрация корневого сертификата удостоверяющего центра в качестве доверенного корневого сертификата
Перед регистрацией корневого сертификата удостоверяющего центра в качестве доверенного корневого сертификата проверьте его наличие внутри личного сертификата, записанного на устройстве Рутокен.
Для проверки наличия корневого сертификата:
Для самостоятельной регистрации корневого сертификата удостоверяющего центра в качестве доверенного:
Просмотр информации о сертификате (ключевой паре, личном сертификате), сохраненном на устройстве Рутокен
Для просмотра информации о сертификате (ключевой паре, личном сертификате), сохраненном на устройстве Рутокен:
На вкладке Общие указаны:
На вкладке Состав указано полное описание сертификата:
На вкладке Путь сертификации указан путь от выбранного сертификата до центров сертификации, выдавших сертификат. Нажав Просмотреть сертификат можно получить дополнительные сведения о сертификатах каждого центра сертификации в пути.
Для ключевой пары:
Для ключевой пары КриптоПро CSP (при просмотре параметров ключевой пары КриптоПро CSP необходимо ввести PIN-код Пользователя):
Экспорт сертификата в файл
Иногда возникает необходимость передать сертификат, сохраненный на устройстве Рутокен другому пользователю. Для этого сертификат необходимо экспортировать в файл.
В Панели управления Рутокен имеется поддержка следующих форматов файлов сертификатов:
В Панели управления Рутокен существует два способа экспорта сертификата в файл:
1 способ
Для экспорта сертификата с устройства Рутокен в файл:
2 способ
Для экспорта сертификата с устройства Рутокен в файл:
Для экспорта корневого доверенного сертификата:
Импорт RSA сертификата и ключевой пары RSA на устройство Рутокен
Данная операция позволяет импортировать на устройство Рутокен ключевую пару вместе с сертификатом из файлов форматов:
Если для импорта выбран файл в формате PFX или P12, то закрытый ключ и соответствующий RSA сертификат будут скопированы на устройство Рутокен.
Если файл в формате PFX защищен паролем, то на экране отобразится окно для ввода пароля.
Если для импорта выбран файл в формате CER, то Панель управления Рутокен проверит, есть ли на устройстве закрытый ключ, соответствующий данному RSA сертификату. Если закрытый ключ действительно есть, то импортируемый RSA сертификат будет связан с данным ключом.
Для импорта RSA сертификата и ключевой пары RSA из файла на устройство Рутокен:
Назначение сертификата для ключевой пары
Если у пользователя имеется сертификат, соответствующий ключевой паре, то после создания ключевой пары на устройстве Рутокен необходимо назначить для нее сертификат.
Данная операция позволяет назначить сертификат в формате CER ключевой паре, находящейся на устройстве Рутокен.
Для назначения сертификата ключевой паре:
Назначение нового RSA сертификата для ключевой пары RSA
Данная операция позволяет назначить новый RSA сертификат для ключевой пары RSA, находящейся на устройстве Рутокен.
Для назначения нового RSA сертификата для ключевой пары RSA:
Установка для личного сертификата RSA атрибута «по умолчанию»
Если ни для одного из личных сертификатов не установлен атрибут «по умолчанию», то при работе с устройством Рутокен будет использоваться сертификат, записанный в памяти устройства раньше всех остальных.
Если на устройстве Рутокен есть личный сертификат, для которого ранее был задан атрибут «по умолчанию» и вместо него необходимо использовать другой личный сертификат RSA, то для другого сертификата достаточно установить атрибут «по умолчанию».
У каждого криптопровайдера атрибут «по умолчанию» может быть установлен только для одного личного сертификата.
Чтобы установить для личного сертификата RSA атрибут «по умолчанию»:
Удаление для личного сертификата RSA атрибута «по умолчанию»
Чтобы удалить для личного сертификата RSA атрибут «по умолчанию»:
Регистрация личного сертификата в локальном хранилище
Чтобы различные приложения операционной системы Windows могли обращаться к личному сертификату, хранящемуся в памяти устройства Рутокен, необходимо зарегистрировать его в локальном хранилище рабочей станции. В некоторых случаях личный сертификат регистрируется автоматически.
Данная процедура позволяет зарегистрировать личный сертификат в локальном хранилище.
Для регистрации личного сертификата в локальном хранилище:
Удаление личного сертификата из локального хранилища
Для удаления личного сертификата из локального хранилища:
Удаление RSA сертификата (ключевой пары RSA, личного сертификата RSA) из памяти устройства Рутокен
После удаления RSA сертификат (ключевую пару RSA, личный сертификат RSA) восстановить будет невозможно.
Для удаления RSA сертификата ( ключевой пары RSA, личного сертификата RSA) :
Подключение Рутокена к устройству на Android
Рутокены, которые можно подключить к устройству на Android
К устройству на Android можно подключить:
Установка приложения Панель управления Рутокен на Android
Приложение Панель управления Рутокен дает возможность:
Для установки приложения Панель управления Рутокен:
Подключение Bluetooth-токена к устройству на Android
Процесс подключения Bluetooth-токена к устройству на Android состоит из следующих этапов:
Этап 1. Для проверки уровня заряда аккумулятора, нажмите на кнопку, расположенную на Bluetooth-токене. Если на токене начнет мигать синий индикатор, то он готово к работе. В противном случае, аккумулятор Bluetooth-токена необходимо зарядить.
Для зарядки аккумулятора, подключите Bluetooth-токен к USB-порту компьютера.
Этап 2. Нажмите на кнопку, расположенную на Bluetooth-токене.
На токене начнет мигать индикатор.
Этап 3. Перед настройкой убедитесь, что устройство находится на расстоянии не больше одного метра от Bluetooth-токена.
Включите Bluetooth на устройстве и подключите Bluetooth-токен. Для этого на устройстве выберите Настройки > Bluetooth и убедитесь, что переключатель Bluetooth находится в положении «Вкл».
В настройках Bluetooth на устройстве найдите имя Bluetooth-токена (последние 5 цифр имени указаны на корпусе Bluetooth-токена), нажмите на него и подтвердите подключение.
Зайдите в ранее установленное приложение. На экране устройства отобразится название подключенного Bluetooth-токена.
Если Bluetooth-токен был отформатирован с шифрованием радиоканала по ГОСТ 28147-89 (ГОСТ 28147-89, усиленная защита), то необходимо выполнить активацию шифрования радиоканала (на это указывает сообщение, которое отображается ниже названия Bluetooth-токена).
Для активации шифрования канала:
Подключение Рутокена с разъемом Type-C к устройству на Android
Рутокен с разъемом Type-C подключается к устройству на Android со специальный портом USB Type-C. Если токен подключен корректно, то на нем начнет светиться индикатор и его название отобразится в приложении Панель управления Рутокен.
Для проверки корректности отображения названия Рутокена в приложении Панель управления Рутокен:
Подключение дуальной смарт-карты с поддержкой NFC (токена с NFC) к устройству на Android
Для подключения дуальной смарт-карты с поддержкой NFC (токена с NFC) приложите Рутокен к модулю NFC мобильного устройства. Если мобильное устройство издало звук, значит Рутокен к нему подключилась. Также при корректном подключении название Рутокена отобразится в приложении Панель управления Рутокен.
Для проверки отображения названия дуальной смарт-карты с поддержкой NFC (токена с NFC) в приложении Панель управления Рутокен:
Работа с приложением Панель управления Рутокен
Изменение PIN-кода
Для изменения PIN-кода Пользователя или Администратора в приложении Панель управления Рутокен:
Изменение метки устройства Рутокен
Для изменения метки устройства:
Выберите пункт меню Сменить метку токена. В приложении отобразится окно для ввода PIN-кода Пользователя и новой метки.
Разблокировка PIN-кода
Для разблокировки PIN-кода Пользователя:
Особенности в работе с Bluetooth-токеном
Просмотр индикатора зарядки аккумулятора Bluetooth-токена
Для просмотра индикатора уровня зарядки аккумулятора:
Установка времени работы в режиме ожидания для Bluetooth-токена
Функция Установка времени работы Bluetooth-токена в режиме ожидания позволяет выбрать промежуток времени, через который Bluetooth-токен выключится, если он не используется.
Рекомендуется установить — 15 минут.
Если установлено больше 15 минут, то это снизит общую продолжительность работы Bluetooth-токена на одном заряде аккумулятора.
Для установки времени работы Bluetooth-токена в режиме ожидания:
Особенности в работе с устройством Рутокен ЭЦП Flash
Важной особенностью устройства Рутокен ЭЦП Flash является наличие управляемой Flash-памяти. Она может быть поделена на разделы, доступ к которым разграничивается с помощью PIN-кодов. Такая память называется защищенной и при форматировании устройства ее состояние остается неизменным.